Rückblick und Analyse der Bedrohungen im Monat September
Vermeintliche Antiviren-Programme und Trojaner mit täglich mehreren Modifikationen auf dem Vormarsch
Druckfähiges Bildmaterial zur Presse-Meldung:
Hanau/Moskau, 6. Oktober 2008
Im ersten Herbstmonat plagten neue verschlüsselte Trojaner und Massen-Mailings mit Links zu bösartigen Codes sowie vermeintliche 'Anti-Viren'-Programme die PC-Benutzer.
Gleich zu Beginn des Monats traten zwei neue Modifikationen des Erpresser-Trojaners auf. Diese Programme verschlüsseln Dokumente auf Computern und fordern dann eine Gebühr für deren Rückgabe. Doctor Web berichtete in diesem Zusammenhang bereits im vergangenen Monat über die Varianten Trojan.Encoder.20 und Trojan.Encoder.21. Die Entwickler des Security-Unternehmens reagierten schnell auf diese neue Bedrohung und entwickelten ein Entschlüsselungs-Utility, das jedermann kostenlos zur Verfügung steht.
Tendenz im September – Scriptsprache AutoIt wird verstärkt zum Schreiben von Viren missbraucht
Immer häufiger wurde im September die Programmiersprache AutoIt zum Schreiben von Viren benutzt beziehungsweise missbraucht. Das Open Source-Programm erfreut sich wachsender Popularität und wurde entwickelt, um Tasks in Windows zu automatisieren. Seine neuesten Versionen haben zahlreiche Optionen wie die Möglichkeit TCP / UDP-Verbindungen aufzubauen, ausführbare Dateien in eine kompilierte Datei aufzunehmen, die beim deren Start extrahiert werden kann, oder eine Option die Tastatur-Tasten loggen kann. Diese Optionen sowie die Benutzerfreundlichkeit macht diese Sprache bei zahlreichen Virus-Schreibern immer beliebter.
Neues Internet Explorer-Plug-in führt zahlreiche System-Änderungen durch
Als Plug-in für den Internet Explorer trat ein weiteres gefährliches Erpresser-Programm im vergangenen Monat auf - mit dramatisch zunehmender Häufigkeit. Das Plug-in erscheint im Internet Explorer und verdeckt den größten Teil des Bildschirms. Anschließend fordert die Malware vom Benutzer, eine SMS-Nachricht von seinem Handy zu schicken, um Anweisungen für die Deinstallation zu erhalten. Doctor Web Virus-Analysten klassifizieren diesen Schädling als Trojan.Blackmailer. Durch den Eintrag von Trojan.Blackmailer.origin in der Doctor Web Virus-Datenbank können zahlreiche Änderungen die durch das Erpresser-Plug-in vorgenommen wurden aus einem infizierten System entfernt werden.
Vermeintliche Antiviren-Programme auf dem Vormarsch
Neue vermeintliche Antiviren-Programme wurden im September verbreitet. Solche Programme installieren sich selbst und zeigen eine Nachricht, dass angeblich ein Virus erkannt worden sei. Um das angebliche Virus zu entfernen, wird der Benutzer aufgefordert die volle Version eines 'Anti-Virus'-Programms herunter zu laden. Das Virus Trojan.Fakealert deaktiviert anschließend einige Funktionen der Standard-Windows-Fenster und das Ändern von Bildern auf dem Desktop wird unmöglich, da solche vermeintlichen 'Infektions-Warnungen mit Hilfe just solcher Bilder angezeigt werden.
Trojaner erstellen mehrere Modifikationen pro Tag
Am häufigsten versprachen im September verbreitete Spam-Mails erotische Filme von berühmten Stars, die der Empfänger über URLs herunter laden solle, sich aber dann als Trojaner-Programme erwiesen, die von Doctor Web als Trojan.DownLoad.4419 erkannt wurden. Aber nicht nur Links zu erotischen Filmen wurden den Spam-Empfängern schmackhaft gemacht, auch Links auf durchaus bekannte Websites führten zu anderen, Trojaner-verseuchten Seiten. Die Trojaner verändern häufig Packer und Inhalt und erstellten zudem mehrere Modifikationen pro Tag. Zahlreiche Einträge wurden dazu in der Doctor Web Virus-Datenbank vorgenommen, um Trojaner dieser Kategorie zu erkennen. Hierzu gehören beispielsweise die Trojaner Trojan.Packed.628, Trojan.Packed.642 und Trojan.Packed.648.
Angebliche Schulden oder Preislisten sammeln E-Mail-Adressen
Im September erhöhte sich die Anzahl von Spam-Distributionen mit Datei-Anhängen. In der Regel enthalten sie ZIP-Dateien. Diese Mails enthalten eine kurze Erklärung, die die Benutzer dazu anregen, den Anhang zu öffnen. In einigen Fällen waren es eine Auflistung von Schulden, die sofort getilgt werden sollten sowie andere Tricks. Diese Anhänge werden von Dr.Web als eine Modifikation der Trojan.Inject oder Tro-jan.PWS.GoldSpy identifiziert.
Eine weitere nennenswerte Spam-Distribution enthielt eine gezippte Preisliste, wie sie von Kunden häufig angefordert werden. Geöffnet sah das Dokument aus wie eine reine Spam-Nachricht, aber in der Tat es enthielt es ein Makro, das automatisch gestartet wurde. Das Makro stellt eine ausführbare Datei her, die in einen temporären Ordner geschrieben, und anschließend ausgeführt wird. Diese Malware, Trojan.EmailSpy.136, sammelt Informationen über gespeicherte E-Mails auf dem Computer und sendet diese E-Mails zu dem Programmierer des Virus. Die dadurch gesammelten E-Mail-Adressen werden zur Verteilung von Spam verwendet.
Dr.Web AV-Desk Top 20 der Viren im September
Top 20 der Viren die in E-Mail-Traffic gefunden wurden:
| 01.09.2008 00:00 Uhr - 01.10.2008 00:00 Uhr | ||
| 1 | Trojan.Recycle | 131718 (17.07%) |
| 2 | Win32.HLLW.Autoruner.2640 | 78433 (10.16%) |
| 3 | Win32.HLLO.Black.2 | 69899 (9.06%) |
| 4 | Win32.Alman | 46045 (5.97%) |
| 5 | Win32.HLLM.Beagle | 23793 (3.08%) |
| 6 | Trojan.Inject.3763 | 21415 (2.78%) |
| 7 | Win32.HLLW.Gavir.ini | 19981 (2.59%) |
| 8 | Win32.HLLM.MyDoom.based | 16084 (2.08%) |
| 9 | VBS.Autoruner.8 | 15813 (2.05%) |
| 10 | Trojan.Kllem.1 | 15410 (2.00%) |
| 11 | Trojan.PWS.GoldSpy.2268 | 13000 (1.68%) |
| 12 | Win32.HLLM.Lovgate.2 | 12651 (1.64%) |
| 13 | Trojan.Fakealert.1264 | 12411 (1.61%) |
| 14 | Win32.Sector.20480 | 11778 (1.53%) |
| 15 | Win32.Virut | 11156 (1.45%) |
| 16 | Trojan.PWS.GoldSpy.2259 | 10954 (1.42%) |
| 17 | Trojan.Click.19624 | 9253 (1.20%) |
| 18 | Program.RemoteAdmin | 8935 (1.16%) |
| 19 | Win32.HLLP.Sector | 8393 (1.09%) |
| 20 | Win32.Sector.28682 | 7964 (1.03%) |
Top 20 der Viren die auf PCs gefunden wurden:
| 01.09.2008 00:00 Uhr - 01.10.2008 00:00 Uhr | ||
| 1 | Win32.HLLW.Gavir.ini | 1385449 (21.47%) |
| 2 | Win32.HLLM.Generic.440 | 425750 (6.60%) |
| 3 | Trojan.DownLoader.62844 | 250612 (3.88%) |
| 4 | Trojan.DownLoader.46199 | 215546 (3.34%) |
| 5 | Win32.HLLP.Whboy | 196865 (3.05%) |
| 6 | Win32.HLLW.Autoruner.2339 | 172038 (2.67%) |
| 7 | Win32.HLLO.Black.2 | 162074 (2.51%) |
| 8 | Win32.Alman | 145801 (2.26%) |
| 9 | Win32.HLLP.Jeefo.36352 | 124307 (1.93%) |
| 10 | Trojan.MulDrop.6474 | 121329 (1.88%) |
| 11 | Trojan.DownLoader.22881 | 113971 (1.77%) |
| 12 | Trojan.Starman | 100355 (1.56%) |
| 13 | VBS.Autoruner.10 | 94128 (1.46%) |
| 14 | Win32.HLLP.Neshta | 92017 (1.43%) |
| 15 | Trojan.Recycle | 83549 (1.29%) |
| 16 | BackDoor.Bulknet.233 | 76660 (1.19%) |
| 17 | Win32.HLLW.Autoruner.2688 | 75273 (1.17%) |
| 18 | Win32.HLLW.Autoruner.1236 | 64908 (1.01%) |
| 19 | Win32.HLLM.Lovgate.2 | 60629 (0.94%) |
| 20 | Win32.Sector.20480 | 51266 (0.79%) |
Erkennen und säubern mit dem kostenlosen Dr.Web-Tool
Windows-Benutzern stellt das Sicherheitsunternehmen kostenlos die Software Dr.Web CureIt! zur Verfügung, die Malware im aufgetretenen Notfall erkennt und befallene Dateien nicht nur löschen sondern auch desinfizieren kann. Dazu muss eine bestehende Antivirus-Lösung auf dem jeweiligen Computer nicht deinstalliert werden. Das Programm steht im Internet unter www.freedrweb.com zum Download bereit.
Weitere Informationen und druckfähiges Bildmaterial zu
Dr.Web Antivirus finden Sie hier
|
|
|
zur Prolog Communications Homepage |
