Rückblick und Analyse der Bedrohungen im Monat August
Neue polymorphe Packer-Generation im Anmarsch und Malware-Verbreitung über 'kostenlose Antivirus-Programme'
Hanau/Moskau, 2. September 2008
Wenn auch der gerade vergangene Sommermonat Virus-Analytikern keine neuen Exemplare von Malware beschert hat, so bedeutet dies nicht, dass schädliche Programme eine Sommerpause eingelegt haben.
Rückkauf der eigenen Daten
Eine neue Modifikation von Trojan.Encoder.19, den Doctor Web bereits in früheren News beschrieben hat, trat im August auf. Der Encoder verschlüsselt Benutzerdaten, löscht sich selbst und bietet dann dem geschädigten User die Möglichkeit gegen einen Geldbetrag ein Entschlüsselungs-Tool an. Auf diese neue Bedrohung reagierte Doctor Web prompt mit der Bereitstellung eines kostenlosen Entschlüsselungs-Programms.
Vermehrter Versand von Links statt schädlicher Datei-Anhänge
E-Mail ist und bleibt das Transportmittel für Malware. Insbesondere über Dateianhänge oder neuerdings vermehrt über Links in Serienmails gelangt Malware auf die Rechner. Die Links verweisen auf Web-Seiten oder direkt auf schädliche Dateien, deren eingebettete Skripts ein automatisches Herunterladen von Malware initiieren oder den Benutzer zum Herunterladen verführen. In aller Regel erhält der Benutzer einen Link zu Adult-Seiten, häufig im Zusammenhang mit interessanten Prominenten oder die Malware gelangt als so genannter Sturm-Spam auf den Rechner. Eine solche Spam-Mail informiert einen Benutzer über die neuesten Nachrichten, häufig von einer angesehenen Nachrichtenagentur und bietet einen Link zu einem Video im Zusammenhang mit dieser Nachricht an.
Neue polymorphe Packer-Generation
Diese verlinkten Dateien sind ausführbar und mit einer neuen Packer-Generation versehen (auch polymorphe Packer genannt), die ständig variieren und daher schwieriger zu erkennen sind. Diese schädigenden Programme werden von Dr.Web als Modifikationen der Trojan.Fakealert, Trojan.DownLoad oder Trojan.Packed identifiziert. Je nach Intention der Virus-Programmierer können sie weitere Malware herunterladen und starten oder lancieren andere Malware auf dem Computer.
Südossetien als politischer Aufhänger
Politische Ereignisse, die ein weltweites Echo hervorrufen, bleiben auch im Web nie unbemerkt. Im August nutzten Virenschreiber Ereignisse im Zusammenhang mit dem Konflikt in Südossetien aus. Ein Beispiel hierfür ist ein Mailing mit der Betreffzeile "Journalists shot in Georgia" mit dem Anhang Georgia.zip. Der Inhalt des Archivs wird von 'Dr.Web Anti-Virus' als Trojan.Packed.151 identifiziert.
Tarnung als kostenlose Antivirus-Programme
Missetäter nutzen auch den verständlichen Wunsch der Nutzer nach Sicherheit ihrer Informationen aus. Angebote, die das beste kostenlose Anti-Virus-Programm oder ein kritisches Update anbieten, sind mittlerweile einer der beliebtesten Wege bei der Verbreitung von Trojanern. Eines der jüngsten Beispiele ist ein Mailing-Angebot zum Download von Anti-Viren-XP 2008. Sollte ein Benutzer dieses Programm herunterladen und starten, so wird er sicherlich einen Trojaner erhalten, den Doctor Web als Trojan.Fakealert.995 identifiziert hat.
Heutzutage ist ein schädlicher Code im Attachment ein eher seltener Fall. Allerdings wurden im August mehrere Mails mit infizierten Anhängen verschickt, die von Dr.Web als Trojan.Click.19861 und Trojan.Click.19769 identifiziert wurden. An manchen Tagen machten solche Mails 90 Prozent des gesamten malignen E-Mail-Verkehrs aus.
Ein bemerkenswertes Virus
Laut der Doctor Web Virus-Labs entstand Ende August eine neue Variation von Backdoor.Haxdoor, das BackDoor.Haxdoor.559. Diese neue Variante des Backdoor-Virus stiehlt Zertifikate und Passwörter über die Banking-Software KETEFinance sowie von einer beliebten russischen Internet-Banking-Ressource factura.ru, die mit 134 russischen Banken zusammenarbeitet.
Das Virus verbreitet sich über ICQ als GIF-Datei getarnt, die ein verschlüsseltes Skript trägt. Durch das Öffnen der Datei wird automatisch der Download von Komponenten des schädlichen Programms gestartet.
Dr.Web AV-Desk Top 20 der Viren im August
Top 20 der Viren die in E-Mail-Traffic gefunden wurden:
| 01.08.2008 00:00 - 01.09.2008 00:00 | ||
| 1 | Trojan.Click.19861 | 229735 (44.54%) |
| 2 | Trojan.Click.19769 | 68445 (13.27%) |
| 3 | Win32.HLLM.Beagle | 37641 (7.30%) |
| 4 | Trojan.MulDrop.16727 | 19324 (3.75%) |
| 5 | Win32.HLLM.MyDoom.based | 15435 (2.99%) |
| 6 | Trojan.MulDrop.18335 | 15234 (2.95%) |
| 7 | Win32.Virut | 12030 (2.33%) |
| 8 | Trojan.MulDrop.18280 | 11368 (2.20%) |
| 9 | Win32.Alman | 8601 (1.67%) |
| 10 | Trojan.MulDrop.13408 | 8401 (1.63%) |
| 11 | Win32.HLLM.Netsky.35328 | 7891 (1.53%) |
| 12 | Program.RemoteAdmin | 7227 (1.40%) |
| 13 | Trojan.Proxy.3747 | 6314 (1.22%) |
| 14 | Win32.HLLM.Alaxala | 3771 (0.73%) |
| 15 | Win32.HLLM.MyDoom.33808 | 3359 (0.65%) |
| 16 | Trojan.MulDrop.18290 | 3217 (0.62%) |
| 17 | Trojan.MulDrop.18402 | 3066 (0.59%) |
| 18 | Trojan.Starman.100 | 3014 (0.58%) |
| 19 | Trojan.MulDrop.17530 | 2735 (0.53%) |
| 20 | Trojan.DownLoad.3580 | 2523 (0.49%) |
Top 20 der Viren die auf PCs gefunden wurden:
| 01.08.2008 00:00 - 01.09.2008 00:00 | ||
| 1 | Win32.HLLW.Gavir.ini | 1225356 (21.80%) |
| 2 | Win32.HLLM.Generic.440 | 400789 (7.13%) |
| 3 | Win32.Alman | 252514 (4.49%) |
| 4 | Trojan.MulDrop.6474 | 151756 (2.70%) |
| 5 | Win32.HLLW.Autoruner.437 | 149373 (2.66%) |
| 6 | Win32.HLLP.Whboy | 140085 (2.49%) |
| 7 | BackDoor.IRC.Sdbot.55 | 134476 (2.39%) |
| 8 | VBS.Generic.548 | 124833 (2.22%) |
| 9 | Win32.HLLW.Autoruner.1874 | 118801 (2.11%) |
| 10 | Win32.HLLP.Jeefo.36352 | 110430 (1.96%) |
| 11 | Win32.HLLW.Krepper | 105703 (1.88%) |
| 12 | Win32.HLLW.Whboy | 103159 (1.83%) |
| 13 | BackDoor.Bulknet.233 | 99968 (1.78%) |
| 14 | Win32.HLLM.Lovgate.2 | 93992 (1.67%) |
| 15 | Win32.HLLP.Neshta | 77261 (1.37%) |
| 16 | Win32.HLLW.Autoruner.2339 | 71152 (1.27%) |
| 17 | Win32.HLLM.Limar.2536 | 70664 (1.26%) |
| 18 | Trojan.Siggen.172 | 66007 (1.17%) |
| 19 | Win32.HLLW.Autoruner.1469 | 60004 (1.07%) |
| 20 | Trojan.Starter.217 | 54101 (0.96%) |
Erkennen und säubern mit dem kostenlosen Dr.Web-Tool
Windows-Benutzern stellt das Sicherheitsunternehmen kostenlos die Software Dr.Web CureIt! zur Verfügung, die Malware im aufgetretenen Notfall erkennt und befallene Dateien nicht nur löschen sondern auch desinfizieren kann. Dazu muss eine bestehende Antivirus-Lösung auf dem jeweiligen Computer nicht deinstalliert werden. Das Programm steht im Internet unter www.freedrweb.com zum Download bereit.
Weitere Informationen und druckfähiges Bildmaterial zu
Dr.Web Antivirus finden Sie hier
|
|
|
zur Prolog Communications Homepage |
