Kaspersky Lab präsentiert für den September seine zwei Top-20-Listen der häufigsten Schädlinge. Die mit Hilfe des Kaspersky Security Network (KSN) gewonnenen Daten basieren auf Rückmeldungen der Heimanwender-Programme Kaspersky Anti-Virus und Kaspersky Internet Security. Untersucht werden zum einen die am weitesten verbreiteten Schad- und Werbeprogramme ermittelt und zum anderen untersucht, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.
Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme (Malware und Adware), die auf Anwendercomputern entdeckt wurden:
|
Position |
Positionveränderung |
Name |
Die Anzahl der infizierten Computer |
| 1 |
 0 |
Net-Worm.Win32.Kido.ih |
41033 |
| 2 |
0 |
Virus.Win32.Sality.aa |
18027 |
| 3 |
0 |
not-a-virus:AdWare.Win32.Boran.z |
12470 |
| 4 |
 Neu |
Net-Worm.Win32.Kido.ir |
11384 |
| 5 |
 -1 |
Trojan-Downloader.Win32.VB.eql |
6433 |
| 6 |
-1 |
Trojan.Win32.Autoit.ci |
6168 |
| 7 |
 3 |
Virus.Win32.Induc.a |
5947 |
| 8 |
-2 |
Virus.Win32.Virut.ce |
5433 |
| 9 |
Neu |
P2P-Worm.Win32.Palevo.jdb |
5169 |
| 10 |
-2 |
Net-Worm.Win32.Kido.jq |
4288 |
| 11 |
Neu |
Worm.Win32.FlyStudio.cu |
4104 |
| 12 |
-5 |
Worm.Win32.AutoRun.dui |
4071 |
| 13 |
-4 |
Virus.Win32.Sality.z |
4056 |
| 14 |
6 |
P2P-Worm.Win32.Palevo.jaj |
3564 |
| 15 |
-4 |
Worm.Win32.Mabezat.b |
2911 |
| 16 |
Neu |
Exploit.JS.Pdfka.ti |
2823 |
| 17 |
Neu |
Trojan-Downloader.WMA.Wimad.y |
2544 |
| 18 |
0 |
Trojan-Dropper.Win32.Flystud.yo |
2513 |
| 19 |
Neu |
P2P-Worm.Win32.Palevo.jcn |
2480 |
| 20 |
Neu |
Trojan.Win32.Refroso.bpk |
2387 |
Kido alias Conficker ist also nach wie vor aktiv. Neben dem Spitzenreiter der vergangenen Monate, Kido.ih, tauchte im September auch die Variante Kido.ir auf. Unter diesem Namen werden alle autorun.inf-Dateien erkannt, die Kido bei der Verbreitung über Wechseldatenträger erstellt.
Ein weiterer interessanter Neueinsteiger ist der Wurm Palevo. Im September tauchten gleich zwei neue Versionen dieses Schädlings in der Hitliste auf: Palevo.jdb und Palevo.jcn. Dabei verbesserte sich der Neueinsteiger des Vormonats – Palevo.jaj – von Platz 20 auf Position 14. Die starke Verbreitung der Palevo-Würmer mittels mobiler Datenträger zeigt, dass diese Verbreitungsart immer noch zu den effektivsten überhaupt gehört. Der Wurm FlyStudio.cu – auf Position 18 zu finden – verbreitet sich im Übrigen ebenfalls über Wechseldatenträger.
Unter den Neueinsteigern im September findet sich auch eine neue Version des bereits bekannten Multimedia-Downloaders Wimad: Trojan-Downloader.WMA.Wimad.y. Im Prinzip unterscheidet sich diese Version nicht von seinen Vorgängern: Beim Start erfolgt die Aufforderung zum Download der schädlichen Datei. In diesem Fall handelt es sich um not-a-virus:AdWare.Win32.PlayMP3z.a.
Die zweite Hitliste zeigt, mit welchen Schadprogrammen Anwender ihre PCs beim Surfen im Internet am häufigsten infiziert haben.
|
Position |
Positionveränderung |
Name |
Anzahl der Downloadversuche |
| 1 |
0 |
not-a-virus:AdWare.Win32.Boran.z |
17624 |
| 2 |
1 |
Trojan.JS.Redirector.l |
16831 |
| 3 |
-1 |
Trojan-Downloader.HTML.IFrame.sz |
6586 |
| 4 |
Neu |
Exploit.JS.Pdfka.ti |
3834 |
| 5 |
Neu |
Trojan-Clicker.HTML.Agent.aq |
3424 |
| 6 |
4 |
Trojan-Downloader.JS.Major.c |
2970 |
| 7 |
-3 |
Trojan-Downloader.JS.Gumblar.a |
2583 |
| 8 |
Neu |
Exploit.JS.ActiveX.as |
2434 |
| 9 |
-1 |
Trojan-Downloader.JS.LuckySploit.q |
2224 |
| 10 |
-3 |
Trojan-GameThief.Win32.Magania.biht |
1627 |
| 11 |
Neu |
Exploit.JS.Agent.ams |
1502 |
| 12 |
4 |
Trojan-Downloader.JS.IstBar.bh |
1476 |
| 13 |
Neu |
Trojan-Downloader.JS.Psyme.gh |
1419 |
| 14 |
Neu |
Exploit.JS.Pdfka.vn |
1396 |
| 15 |
 Wiedereintritt |
Exploit.JS.DirektShow.a |
1388 |
| 16 |
-10 |
Exploit.JS.DirektShow.k |
1286 |
| 17 |
Wiedereintritt |
not-a-virus:AdWare.Win32.Shopper.l |
1268 |
| 18 |
Wiedereintritt |
not-a-virus:AdWare.Win32.Shopper.v |
1247 |
| 19 |
Neu |
Trojan-Clicker.JS.Agent.jb |
1205 |
| 20 |
Neu |
Exploit.JS.Sheat.f |
1193 |
Wie so oft, wartet das zweite Ranking mit vielen Überraschungen auf. Schon auf den ersten Blick stechen zwei Vertreter der Familie Exploit.JS.Pdfka ins Auge: Unter diesem Namen werden JavaScript-Dateien erkannt, die in PDF-Dokumenten enthalten sind und verschiedene Sicherheitslücken in den Adobe-Produkten ausnutzen (in diesem Fall im Adobe Reader).
Pdfka.ti nutzt eine populäre Schwachstelle aus, die schon seit zwei Jahren in der Funktion Collab.collectEmailInfo besteht (cve.mitre.org). Pdfka.vn missbraucht dagegen eine aktuellere Sicherheitslücke, und zwar in der Funktion getIcon desselben Collab-Objekts (cve.mitre.org).
Adobe-Schwachstellen, von denen in den vergangenen Jahren sehr viele entdeckt wurden, bleiben weiterhin ein beliebte Angriffsziel für Cyberkriminelle, unabhängig von der Produktversion. Der Grund: Dadurch dass viele Anwender ihre Adobe-Produkte nicht regelmäßig aktualisieren, sind zahlreiche Angriffe auf diese Programme auch von Erfolg gekrönt. An dieser Stelle sei nochmals erwähnt, dass Anwender ihre Programme regelmäßig aktualisieren sollten.
Fazit: Kaspersky Lab beobachtet eine Fortsetzung der Trends, die sich schon in den vergangenen Monaten abzeichneten. Die Anzahl von Web-Paketen schädlicher Programme, die alle nur erdenklichen Sicherheitslücken in komplexen Produkten ausnutzen, steigt weiter an und eröffnet Online-Kriminellen ein weites Feld für ihre Aktivitäten. Einfache iframe-Klicker, platziert auf legalen Webseiten, fördern deren Ausbreitung. Zugriff auf diese Webseiten erhalten die Cyberbetrüger, indem sie diese mit Schadcode infizieren und so an vertrauliche Anwenderdaten gelangen.
Länder, von denen aus die meisten Versuche gestartet wurden, um Internet-Anwender mit Schadcode zu infizieren:
