Trojaner dominieren Malware-Landschaft

Ein Drittel aller durch G Data im März registrierten Schadcode-Samples sind Trojaner

04/02/2009 | Bochum 

Die Malware-Landschaft wurde im März deutlich von Trojanischen Pferden dominiert. Das belegen die aktuellen Zahlen der G Data Security Labs. Mit einem Anteil von 33 Prozent erzielten die trügerischen Schädlinge einen mehr als deutlichen Spitzenplatz innerhalb der monatlichen Schadcode-Top 5.

Auf dem zweiten Platz folgten mit knapp 26 Prozent Downloader, die weiteren Schadcode nachladen. Backdoors landen mit einem Anteil von 14  Prozent mit deutlichem Abstand auf Platz drei.

 


Die Top-3 der Malware-Schädlinge

 

Anzahl neuer Malware-Typen: 113046

Methodik:
Die Zählung basiert auf Malware mit gleichen Code-Eigenschaften, so wie sie auch bei Signaturen erfolgt. G Data zählt und kategorisiert bei dieser Methodik nicht die einzelnen schädlichen Dateien, sondern zählt die Malware-Typen,  durch die viele unterschiedliche Einzeldateien als gleiche Malware erkannt werden können.

Top 5 Malware-Kategorien:
Malware-Samples werden anhand ihres Verbreitungsmechanismus und ihrer Schadfunktion kategorisiert. Die Zahlen zeigen, wie viele neue Malwaretypen in den zugehörigen Kategorien aufgetaucht sind.

1. Trojan:  33.0 %
Der Name Trojanisches Pferd ist angelehnt an das geschichtliche Vorbild und beschreibt ein Programm, das dem Anwender vorgibt, eine bestimmte und gewollte Funktion zu besitzen. Stattdessen oder zusätzlich dazu beinhalten Trojanische Pferde jedoch noch einen versteckten Programmteil, der unerwünschte und/oder schädliche Aktionen auf dem System ausführt, ohne dass der Benutzer dies bemerkt.
Trojanische Pferde haben keine eigene Verbreitungsroutine (im Gegensatz zu Viren oder Würmern). Sie werden per E-Mail verschickt oder lauern auf Webseiten oder in Tauschbörsen.

2. Downloader: 25.7 %
Bei einem Downloader handelt es sich um Schadsoftware, die – wie der Name schon sagt – weitere Dateien aus dem Internet herunterlädt. Zuvor versuchen sie oft die Sicherheitseinstellungen des Systems zu reduzieren.

3. Backdoor:    14.2 %
Backdoors öffnen eine Hintertür zum infizierten Rechner. So kann der Rechner von einem Angreifer fern gesteuert werden. Meist kann weitere Software installiert werden und der Rechner wird mit anderen Zombie-PCs in ein Botnetz integriert. Diese Zombies werden dann verwendet, um Spam zu verschicken, Daten zu stehlen, und verteilte Angriffe (distributed denial of service attacks) durchzuführen.

4. Spyware:  12.6 %
Die Kategorie „Spyware“ enthält Schadsoftware, deren Zweck darin besteht, persönliche Informationen vom System des Opfers zu stehlen. Dies beeinhaltet jegliche Art von persönlichen Daten, einschließlich Passwörtern, Bankdaten oder sogar Logins zu Online-Spielen.

5. Adware:  7.8 %
Adware zeichnet die Aktivitäten und Prozesse auf einem Rechner, wie z. B. das Surfverhalten, auf. Bei passender Gelegenheit werden dann gezielte Werbebotschaften eingeblendet oder die Ergebnisse von Suchanfragen werden manipuliert, um das Opfer auf bestimmte Produkte oder Dienstleistungen aufmerksam zu machen und damit Geld zu verdienen. In den meisten Fällen erfolgt das ohne Wissen und Zustimmung durch den Nutzer.

Top Five der Virus-Familien:
Anhand von Ähnlichkeiten im Programmcode wird Malware in Familien eingeteilt. Die Zahlen zeigen die produktivsten Malwarefamilien.

1. Monder :  7.0 %
Die unzähligen Monder-Varianten sind Trojanische Pferde, die auf dem infizierten System Sicherheitseinstellungen manipulieren und das System somit anfällig für weitere Attacken machen können.
Zusätzlich kann eine Infektion mit Adware folgen, die unerwünschte Werbeeinblendungen auf dem infizierten System anzeigt, insbesondere für gefälschte Sicherheitssoftware. Dem Opfer wird suggeriert, dass das System auf Infektionen untersucht wird. Um diese angeblichen Infektionen zu beseitigen, wird das Opfer gedrängt, die „Vollversion“ zu erwerben und dazu seine Kreditkarteninformationen auf einer speziellen Webseite preiszugeben.
Einige Varianten laden weitere Schadsoftware herunter und übermitteln an den Angreifer Informationen über das Surfverhalten des Opfers, ohne den Anwender hierüber zu informieren.

2. Obfuscated: 5.5 %
Diese Familie ist dadurch gekennzeichnet, dass der Code des Programms in einer für Malware typischen Art verschleiert ist.
Beispielsweise kann schädlicher Javascript-Quellcode mittels mathematischer Funktionen verschleiert und erst bei der Ausführung wieder in den eigentlichen Programmcode zurückgeführt werden.

3. Superjuan: 4.7 %
Bei Superjuan handelt es sich um Adware, die sich mittels Browser Helper Object (BHO) in den Internet-Browser einklinkt.
Neben der Einblendung unerwünschter Werbe-Popups und der gezielten Umleitung der aktuellen Surf-Session stehen Mitglieder der Superjuan im Zusammenhang mit sog. Scareware/Rogueware.
Dem Opfer wird suggeriert, dass das System auf Infektionen untersucht wird. Um diese angeblichen Infektionen zu beseitigen, wird das Opfer gedrängt, die „Vollversion“ zu erwerben und dazu seine Kreditkarteninformationen auf einer speziellen Webseite
preiszugeben.

4. Hupigon: 4.6 %
Die Ur-Variante Hupigon.a, schreibt bei einer Infektion des Systems die Dateien winreg.exe und notepod.exe in das Systemverzeichnis. Darüber hinaus werden in der Registry Einträge vorgenommen, die dafür sorgen, dass winreg.exe bei jedem Systemstart automatisch ausgeführt wird.
Ergänzend öffnen Mitglieder der Hupigon-Familie TCP-Ports zum Zwecke der Fernsteuerung und des Zugriffs auf das Dateisystem und ermöglichen dem Angreifer das Mitschneiden von Tastatureingaben, Einschalten der Webcam etc., um Daten vom System des Opfers zu stehlen.

5. Swizzor: 4.1 %
Die unzähligen Swizzor-Varianten zählen zur Kategorie Adware und erzeugen durch Manipulation des Internet-Browsers unerwünschte Werbe-Einblendungen.


Thorsten Urbanski