Schadcode-Barometer zeigt auf Sturm

(openPR) Bochum (Deutschland), 05. November 2010 - Onlinekriminelle setzen für die Verbreitung von Schadcode stärker als in den vergangenen Monaten auf Sicherheitslücken in Java. Zu diesem Ergebnis kommen die Experten der G Data SecurityLabs nach Analysen des Vormonats und verzeichnen erstmals seit Februar eine Veränderung an der Spitze der Malware-Top-Ten. Stellten bisher PDF-Schwachstellen die größte Bedrohung dar, wurden diese jetzt durch einen Java-Exploit abgelöst. Java.Trojan.Exploit.Bytverify.N ist auf gehackten Webseiten zu finden und versucht mit manipulierten Java-Applets Windows-Rechner per Drive-by-Dowload zu infizieren. G Data empfiehlt neben einem unverzichtbaren Echtzeitschutz des PCs auch zwingend die Aktualisierung jeglicher installierter Software.

„Das Ausnutzen von Sicherheitslücken in Computerprogrammen gehört zu den effektivsten Methoden der Malware-Industrie, um Rechner unter ihre Kontrolle zu bringen. Der Besuch einer manipulierten Internetseite mit einem ungeschützten Rechner reicht dabei bereits aus, um diesen umgehend mit Schadcode zu infizieren“, so Ralf Benzmüller, Leiter der G Data SecurityLabs. „Aktuell beobachten wir einen Anstieg bei Angriffen, die Sicherheitslücken in Java-Versionen ausnutzen. Besonders gefährdet sind Anwender, die die eingesetzte Version nicht auf dem aktuellsten Stand halten.“

Die Empfehlung des G Data Sicherheitsexperten: Neben der Installation einer leistungsstarken Sicherheitslösung sollten PC-Nutzer das Betriebssystem, den eingesetzten Browser und seine Komponenten immer auf dem aktuellsten Stand halten. Programm-Updates und Sicherheits-Patches sollten daher umgehend installiert werden, um vorhandene Lücken zu schließen.

Mögliche Gründe für die aktuelle Dominanz von Angriffen auf Java: Sicherheitslücken in Java bieten den Tätern technisch viel Potenzial und die Herstellung und Verbreitung von Schadcode ist im Vergleich zu anderen Infektionsformen deutlich einfacher. Die Warnmeldungen der vergangenen Monate zum Thema PDF-Lücken haben auf Anwenderseite zudem zu einer gestiegenen Sensibilisierung geführt und die Hersteller der PDF-Reader haben Dank der Vielzahl der Sicherheits-Updates die Entwicklung lauffähiger Schadprogramme deutlich erschwert.

Computerschädlinge im Oktober 2010
1. Java.Trojan.Exploit.Bytverify.N - Anteil: 2,12 % - neu im Ranking
2. Worm.Autorun.VHG - Anteil: 1,32 % - Trend: gleich geblieben
3. JS:Pdfka-OE [Expl] - Anteil: 1,14 % - Trend: gefallen
4. WMA:Wimad [Drp] - Anteil: 1,05 % - Trend: gefallen
5. Application.Keygen.BI- Anteil: 0,87 % - Trend: gestiegen
6. Win32:Enistery [Susp]- Anteil: 0,85 % - neu im Ranking
7. JS:Downloader-AEY [Trj] - Anteil: 0,67 % - neu im Ranking
8. Win32.Sality.OG- Anteil: 0,51 % - Trend: gestiegen
9. JS:Downloader-AFR [Trj] - Anteil: 0,42 % - neu im Ranking
10. JS:Downloader-AEU [Trj] - Anteil: 0,36 % - neu im Ranking

JavaScript-basierte Downloader vom Typ JS:Downloader, sind aktuell ebenfalls äußerst aktiv und werden von den Malware-Autoren ständig weiter entwickelt. Drei Versionen dieses Trojanischen Pferdes haben es im Oktober 2010 in die Top 10 geschafft.


Informationen zu den Computerschädlingen:

Java.Trojan.Exploit.Bytverify.N
Diese Bedrohung nutzt eine Sicherheitslücke im Java Bytecode Verifier aus und ist in manipulierten Java-Applets, z.B. auf Webseiten, zu finden. Durch die Ausnutzung der Sicherheitslücke kann bösartiger Code ausgeführt werden, der dann z.B. den Download von Trojanischen Pferden auslöst. Der Angreifer kann so das System des Opfers übernehmen.

Worm.Autorun.VHG
Ein Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

JS:Pdfka-OE [Expl]
Dies ist ein Exploit, der versucht, aus Schwachstellen in der JavaScript Engine von PDF Programmen Kapital zu schlagen. Der Benutzer muss ein PDF öffnen, um den Exploit zu starten. Ist die Attacke auf den Rechner des Opfers erfolgreich, wird weiterer Schadcode auf den PC nachgeladen.

WMA:Wimad [Drp]
WMA:Wimad [Drp] ist ein Dropper, der ein Trojanisches Pferd auf den PC nachlädt. Der Dropper gibt vor, eine normale .wma Audiodatei zu sein, welche aber zum Abspielen der Multimedia-Datei die Installation eines Codecs/Decoders fordert. Lädt der User diesen angeblichen Codec/Decoder herunter, erhält er stattdessen Schadsoftware. Diese infizierten Audiodateien verbreiten sich hauptsächlich über P2P-Tauschbörsen.

Application.Keygen.BI
Hierbei handelt es sich um einen Key-Generator. Sie sind sehr beliebt in P2P-Tauschbörsen und Warez-Seiten, weil man damit angeblich lizenzpflichtige Software freischalten kann. Dort findet man diese Programme am häufigsten. Ein Ausführen der Applikation ist nicht nur rechtlich bedenklich, sondern birgt auch weitere Sicherheitsrisiken.

JS:Downloader-AEY [Trj]
Dieser Schädling tritt überwiegend in Webseiten auf. Es handelt sich um ein Trojanisches Pferd, das in JavaScript geschrieben wurde. Wenn ein User auf eine Webseite surft, die das schädliche JavaScript enthält, wird dieses ausgeführt und lädt weitere Dateien auf den PC des Opfers herunter. Diese Dateien können jegliche Art von Schadsoftware sein.

Win32.Sality.OG
Ein polymorpher Datei-Infektor, der ausführbare Dateien (.exe, .scr) modifiziert und sich per Rootkit im infizierten System versteckt. Sality.OG verbreitet sich über Netzwerkfreigaben und Wechseldatenträger indem er die Datei Autorun.inf im Root-Verzeichnis es jeweiligen Mediums anlegt. Infizierte Systeme zeigen einen BlueScreen beim Starten im SafeMode.

JS:Downloader-AFR [Trj]
Die Schadfunktion dieses Downloaders verhält sich analog zu JS:Downloader-AEY [Trj] &
.JS:Download – AEU [Trj]. Die Schadcodefunktion und Verbreitung ist wie bei JS:Downloader-AEY.

JS:Downloader-AEU [Trj]
Bei deisem Schädling handelt sich wie bei JS:Downloader-AEY [Trj] und JS:Downloader-AFR [Trj] um ein Trojanischers Pferd, das Sicherheitslücken in JavaScript ausnutzt, um weiteren Schadcode herunterzuladen.

Methodik
Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G Data Sicherheitslösungen kann daran teilnehmen. Vorrausetzung hierfür: Er muss diese Funktion in seinem G Data Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G Data SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G Data SecurityLabs gesammelt und statistisch ausgewertet.