Schadcodeschreiber setzen auf schlechtes Update-Verhalten der Anwender. Alte Sicherheitslücken stehen bei Onlinekriminellen hoch im Kurs.

1.Onlinekriminelle profitieren bei der Infektion von PCs zunehmend von nicht installierten Updates der eingesetzten Browser und deren Komponenten. Dabei liegen gerade nicht geschlossene Sicherheitslücken in Browser-Plugins nach Analysen der G Data SecurityLabs bei Cyberbanden voll im Trend. Von den Tätern werden bei diesem Verbreitungskonzept keinesfalls nur aktuelle Sicherheitslücken ausgenutzt - dies belegen die aktuellen Schadcode-Analysen für den Monat Mai 2011.

2.Allein im Vormonat hatten es vier von zehn Computerschädlinge der Top 10 auf Java-Sicherheitslücken abgesehen, für die Oracle bereits seit März 2010 ein Update anbietet. Ein weiteres Wachstum verzeichnet der deutsche IT-Security Hersteller bei Schadprogrammen die Adware installiert oder Anwender zur Installation gefälschter Virenschutzprogramme verleiten sollen.
Informationen zu den Computerschädlingen der G Data Malware Top10

3.Die Funktionsweisen der Programme sind unterschiedlich und reichen von ungewollten Werbeeinblendungen, Installation von Spyware bis hin zur Vermarktung gefälschten Virenschutzprogramme (Scareware). Trojan.FakeAlert.CJM zum Beispiel gaukelt Anwendern im Browser eine Infektion des Computers vor. Lediglich das zum Kauf beworbene „Schutzprogramm“ sei in der Lage das System wieder zu desinfizieren. Opfer, die auf diese Masche hereinfallen, erwerben eine vollkommen nutzlose und oftmals gefährliche Software, die statt zu schützen nur weiteren Schadcode herunterlädt, installiert und persönliche Daten stiehlt.

4.Worm.Autorun.VHG: Bei diesem Schädling handelt es sich um einen Wurm, der sich mit Hilfe der autorun.inf Funktion auf Windows Betriebssystemen verbreitet. Er benutzt Wechseldatenträger, wie z.B. USB-Sticks oder mobile Festplatten. Er ist ein Internet- und Netzwerkwurm und nutzt die Windows Schwachstelle CVE-2008-4250 aus.

5.Java.Trojan.Downloader.OpenConnection.AI: Dieser Trojan Downloader ist in manipulierten Java-Applets, auf Webseiten, zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware sein. Der Downloader nutzt die Schwachstelle CVE-2010-0840 aus, um die Java-Sandbox zu umgehen und so lokal Daten schreiben zu können.

6.Trojan.AutorunINF.Gen: Dies ist eine generische Erkennung, die bekannte und auch unbekannte schädliche autorun.inf Dateien erkennt. Autorun.inf Dateien sind Autostart-Dateien, die auf USB-Geräten, Wechseldatenträgern, CD und DVDs als Verbreitungsmechanismen für Computerschädlinge missbraucht werden.

7.Java.Trojan.Downloader.OpenConnection.AN: Dieser Trojan Downloader ist in manipulierten Java-Applets, auf Webseiten, zu finden. Wenn das Applet geladen wird, generiert es aus den Applet-Parametern eine URL und der Downloader lädt von dort eine schädliche, ausführbare Datei auf den Computer des Benutzers und führt sie aus. Diese Dateien können jegliche Art von Schadsoftware sein. Der Downloader nutzt die Sicherheitslücke CVE-2010-0840 aus, um aus der Java-Sandbox auszubrechen und Daten auf dem System zu schreiben.

8.Java:Agent-DU [Expl]: Diese Java-basierte Malware ist ein Download-Applet, das durch eine Sicherheitslücke (CVE-2010-0840) versucht, Sandbox-Schutzmechanismen zu umgehen, um weitere Schädlinge auf den Rechner nachzuladen. Dadurch, dass das Applet die Sandbox austrickst, kann es zum Beispiel nachgeladene .EXE Dateien direkt ausführen, was ein einfaches Applet nicht könnte, da die Java-Sandbox dies eigentlich unterbinden würde.

9.Trojan.FakeAlert.CJM: Dieser Schädling versucht Computerbenutzer zum Download gefälschter Virenschutzprogramme (Fake AV-software) der eigentlichen FakeAV zu verleiten. Die Webseite ahmt dabei den Windows Explorer des Computernutzers nach und zeigt unzählige angebliche Infektionen an. Sobald der Benutzer irgendeinen Punkt auf der Webseite anklickt, wird eine Datei zum Download angeboten und diese beinhaltet dann die eigentliche FakeAV, z.B. eine Variante von „System Tool“.

10.HTMLownloader-AU [Expl]: Diese Java-basierte Malware ist ein Applet, das eine HTML Seite lädt. Diese präparierte HTML-Seite versucht durch eine Sicherheitslücke (beschrieben in CVE-2010-4452) eine Java-Klasse von einer URL in die anfällige Java-VM zu laden. Damit will der Angreifer die VM-Schutzmechanismen umgehen und so die Möglichkeit eröffnen, nahezu beliebige Aktionen auf dem Rechner zu ermöglichen.

Quelle: G Data