Konnten im September 2008 erstmalig Backdoor-Schädlinge die Trojaner vom unrühmlichen Malware-Trohn stoßen, so veröffentlichten Onlinekriminelle im Oktober wieder mehr Trojanische Pferde. Gründe hierfür sind in der Schadfunktion von Backdoors begründet, die in erster Linie zum Betrieb von Botnetzen eingesetzt werden. Die Abnahme dieser Schädlinge im Oktober zeigt, dass der September den Tätern reiche Beute beschert haben muss. Anscheinend gibt es genügend Zombie-Rechner, die jetzt per Downloader mit Schadcode (Trojanische Pferde) versorgt werden.
Ralf Benzmüller, Leiter G DATA Security Lab: „Die Herstellung und Verbreitung von Schadcode ist ein Profi-Geschäft. Die eCrime-Society denkt und agiert marktorientiert – Gewinnmaximierung kommt an erster Stelle! In den vergangenen Monaten beobachteten wir eine Konzentration auf weniger Schadcode-Familien bei gleichem Schädlingsaufkommen und eine deutlich Steigerung der Schadcodequalität. Das Aufkommen von Schadcode wird bis Ende 2008 sicherlich noch deutlich zunehmen. “
G DATA Top 5 Statistik Malware-Kategorien und Malware-Familien Oktober 2008
#Total: 80,389
Die Zählung basiert auf Malware mit gleichen Code-Eigenschaften, so wie sie auch bei Signaturen erfolgt. Das bedeutet, dass wir anstelle von einzelnen schädlichen Dateien die Malware-Typen zählen, durch die viele unterschiedliche Einzeldateien als gleiche Malware erkannt werden können
+++ Top Five Malware-Kategorien:
Malware-Samples werden anhand ihres Verbreitungsmechanismus und ihrer Schadfunktion kategorisiert. Die Zahlen zeigen, wie viele neue Malwaretypen in den zugehörigen Kategorien aufgetaucht sind.
1 (Vormonat: 2) Trojanisches Pferd: 30.3% (Im Vergleich zum Vormonat: +5,7 %)
Der Name Trojanisches Pferd ist angelehnt an das geschichtliche Vorbild und beschreibt ein Programm, das dem Anwender vorgibt, eine bestimmte und gewollte Funktion zu besitzen. Stattdessen oder zusätzlich dazu beinhalten Trojanische Pferde jedoch noch einen versteckten Programmteil, der unerwünschte und/oder schädliche Aktionen auf dem System ausführt ohne, dass der Benutzer dies bemerkt.
Trojanische Pferde haben keine eigene Verbreitungsroutine (im Gegensatz zu Viren oder Würmern). Sie werden per E-Mail verschickt oder lauern auf Webseiten oder in Tauschbörsen.
2 (Vormonat::1) Backdoor:Â 23.0% (Im Vergleich zum Vormonat: -3.0 %)
Backdoors öffnen eine Hintertür zum infizierten Rechner. So kann der Rechner von einem Angreifer ferngesteuert werden. Meist kann weitere Software installiert werden und der Rechner wird mit anderen Zombie-PCs in ein Botnetz integriert. Diese zombies werden dann verwendet um Spam zu verschicken, Daten zu stehlen, und verteilte Überlast-Angriffe (distributed denial of service attacks) durchzuführen.
3 (Vormonat: 3) Downloader: 21.4% (Im Vergleich zum Vormonat: +4.4 %)
Bei einem Downloader handelt es sich um Schadsoftware, die – wie der Name schon sagt – weitere Dateien aus dem Internet herunterlädt. Zuvor versuchen sie oft die Sicherheitseinstellungen des Systems zu reduzieren.
4 (Vormonat: 4) Spyware: 14.6% (Im Vergleich zum Vormonat: -1.9 %)
Die Kategorie „Spyware“ umfasst Schadsoftware, deren Zweck darin besteht, persönliche Informationen vom System des Opfers zu stehlen.
Dies beeinhaltet jegliche Art von persönlichen Daten, einschließlich Passwörtern, Bankdaten, oder sogar Logins zu Online-Spielen.
5 (Vormonat: 5) Adware: 4.3 % (Im Vergleich zum Vormonat: -3.5 %)
Adware zeichnet die Aktivitäten und Prozesse auf einem Rechner wie z.B. das Surfverhalten auf.
Bei passender Gelegenheit werden dann gezielte Werbebotschaften eingeblendet oder die Ergebnisse von Suchanfragen werden manipuliert, um das Opfer auf bestimmte Produkte oder Dienstleistungen aufmerksam zu machen und damit Geld zu verdienen. In den meisten Fällen erfolgt das ohne Wissen und Zustimmung durch den Nutzer.
+++ Top Five der Schadcodefamilien im Oktober 2008
1 (Vormonat: 1) Hupigon :Â 8.9% (Im Vergleich zum Vormonat: -2.7%)
Die Ur-Variante, Hupigon.a, schreibt bei einer Infektion des Systems die Dateien winreg.exe und notepod.exe in das Systemverzeichnis. Darüberhinaus werden in der Registry Einträge vorgenommen, die dafür sorgen, dass winreg.exe bei jedem Systemstart automatisch ausgeführt wird.
2 (Vormonat: 4) Monder : 5.7% (Im Vergleich zum Vormonat: +1.6 %)
Die unzähligen Monder-Varianten sind Trojanische Pferde, die auf dem infizierten System Sicherheitseinstellungen manipulieren und das System somit anfällig für weitere Attacken machen können.
Zusätzlich kann eine Infektion mit Adware folgen, die unerwünschte Werbeeinblendungen auf dem infizierten System anzeigt, insbesondere für gefälschte Sicherheitssoftware. Dem Opfer wird suggeriert, dass das System auf Infektionen unterchsucht wird. Um diese angeblichen Infektionen zu beseitigen, wird das Opfer gedrängt, die „Vollversion“ zu erwerben und dazu seine Kreditkarteninformationen auf einen speziellen Webseite preiszugeben.
Einige Varianten laden weitere Schadsoftware herunter und übermitteln an den Angreifer Informationen über das Surfverhalten des Opfers, ohne den Anwender hierüber zu informieren.
3 (Vormonat: 2) Onlinegames:Â 3.9% (Im Vergleich zum Vormonat: -3.9 %)
Die Mitglieder der OnlineGames-Familie stehlen vorrangig die Zugangsdaten von Online-Spielen. Dazu werden bestimmte Dateien und Registryeinträge durchsucht und/oder ein Keylogger installiert. Im letzteren Fall werden dann nicht nur die Daten von Spielen gestohlen. Die Angriffe zielen überwiegend auf Spiele, die in Asien populär sind.
4 (Vormonat: 3) Monderb:Â 3.8% (Im Vergleich zum Vormonat: -1.7 %)
Monderb ist eine zusätzliche Variante der Monder-Familie (siehe Beschreibung „Monder“)
5 (unverändert) Magania: 3.3% (-, unverändert)
Trojaner der aus China stammenden Magania-Familie haben sich auf den Diebstahl von Gaming-Accountdaten der taiwanesischen Softwareschmiede Gamania spezialisiert.
In der Regel werden Magania-Exemplare per Mail verteilt, in der sich ein mehrfach gepacktes verschachteltes RAR-Archiv befindet.
Beim Ausführen der Schadsoftware wird zur Ablenkung zunächst ein Bild angezeigt, während im Hintergrund weitere Dateien
Geringe Produktivität bei den größten Malware-Familien:
* Die Spyware OnlineGames hat ca. 4.563 weniger Varianten erzeugt
* Die Backdoor Hupigon ist zwar immer noch die produktivste Familie, hat aber im Vergleich zum Vormonat fast 4.300 Exemplare weniger produziert
* Für die Adware Virtumonde gab es 2775 Varianten weniger als im Vormonat
* Dem Trojanischen Pferd Monderb fehlen 2374 Varianten gegenüber dem Vormonat
Diese konnten durch neue Familien wie z.B. Backdoor Tdss (+990) nicht kompensiert werden.