Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme nach der Anzahl der Computer, auf denen sie entdeckt wurden:
1 Neu Rootkit.Win32.Agent.cvx
2 Wiedereintritt Trojan-Downloader.WMA.Wimad.n
3 Neu Packed.Win32.Black.a
4 +8 Trojan.Win32.Agent.abt
5 Neu Trojan-Downloader.HTML.IFrame.sz
6 Neu Trojan-Downloader.Win32.VB.eql
7 Neu Trojan-Downloader.JS.IstBar.cx
8 +1 Trojan.Win32.Agent.tfc
9 +1 not-a-virus:AdWare.Win32.BHO.ca
10 Neu Trojan-Downloader.Win32.Small.aacq
11 – not-a-virus:AdWare.Win32.Agent.cp
12 Neu Trojan.Win32.Obfuscated.gen
13 +1 not-a-virus:AdWare.Win32.BHO.sc
14 +1 not-a-virus:AdWare.Win32.BHO.vp
15 +3 Trojan.Win32.Chifrax.a
16 -3 Trojan-Dropper.Win32.Agent.tbd
17 +2 Trojan.RAR.Qfavorites.a
18 Neu Email-Worm.Win32.Brontok.q
19 Neu Trojan-Downloader.JS.Agent.cme
20 -12 Trojan-Downloader.JS.Agent.chk
Die IT-Sicherheitsexperten konnten im September 2008 einen Führungswechsel in der Hitliste der 20 am weitesten verbreiteten Schad- und Werbeprogramme feststellen: Der Spitzenreiter des Vormonats, Trojan.Win32.DNSChanger.ech, verschwand vollständig aus der Statistik und machte Platz für einen Schädling, mit dem keiner so recht gerechnet hätte. Ein Rootkit nämlich übernahm die Spitzenposition. Kaspersky Lab entdeckte Rootkit.Win32.Agent.cvx bereits am 28 August, und im Laufe eines Monats verbreitete sich dieses Schadprogramm derartig aktiv im Internet, dass ihm kein anderes Schadprogramm mehr den ersten Rang ablaufen konnte.
Besonders hervorzuheben ist, dass Rootkits traditionell schwer von Antiviren-Programmen zu fassen sind und zudem gerade dieses spezielle Exemplar derzeit nur von sehr wenigen AV-Lösungen erkannt wird. Diese beiden Aspekte machen deutlich, wie schwerwiegend und massiv Rootkit.Win32.Agent.cvx im September vorgegangen ist.
Die Pause von Trojan-Downloader.WMA.Wimad.n scheint vorbei zu sein: Er kehrte im September nach einmonatiger Abstinenz auf den zweiten Platz zurück. Bei diesem Trojaner handelt es sich um einen weiteren unüblichen Schädling. Er tarnt sich als Multimedia-Datei und nutzt eine Schwachstelle im Windows Media Player aus, um andere trojanische Programme ins System zu laden.
Auffällig in diesem Monat war, dass ein bedeutender Anteil der Angriffe auf Anwender-Computer auf verschiedene Skript-Downloader entfällt. In der aktuellen Hitliste finden sich gleich vier derartige Exemplare, die Angriffe des Typs “Drive-by-Download” auslösen. Übrigens funktioniert auch der bereits beschriebene Schädling Wimad.n in Verbindung mit solchen Trojan-Downloadern.
Praktisch alle Werbeprogramme aus der August-Statistik konnten sich in den Top 20 – und dabei fast auch auf den jeweiligen Positionen halten.
Neueinsteiger gab es im Monat September dafür recht wenige: Im Gegensatz zu 16 Newcomern im August konnten im ersten Herbstmonat sich nur neun Neulinge gegen die Konkurrenz durchsetzen. Unter diesen neun Neulingen befindet sich auf Platz 18 mit dem Wurm Brontok.q ein echter Viren-Veteran. Egal nach welchen Methoden und mit welchen Daten die Monatsstatistiken von Kaspersky Lab auch ermittelt werden – Brontok.q ist ein immer wiederkehrender Gast.
In den vorliegenden Top 20 sind alle Bedrohungsklassen vertreten. Nach wie vor dominiert hier die Klasse der trojanischen Programme (TrojWare), wobei sich ihr Anteil von 80 auf 70 Prozent verringert hat.
Insgesamt wurden im September auf den Anwendercomputern 35.103 schädliche und potentiell gefährliche Programme sowie Adware gefunden. Schon den zweiten Monat in Folge konnte eine Zunahme der Bedrohungen in „freier Wildbahn“ um 8.000 Exemplare pro Monat festgestellt werden.
Die zweite Liste zeigt, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren:
1 +1 Virus.Win32.Xorer.du
2 -1 Net-Worm.Win32.Nimda
3 Neu Worm.Win32.Mabezat.b
4 +2 Virus.Win32.Alman.b
5 Neu Virus.Win32.Sality.aa
6 -3 Virus.Win32.Parite.b
7 -3 Virus.Win32.Virut.n
8 +7 Virus.Win32.Small.l
9 +5 Virus.Win32.Virut.q
10 -5 Virus.Win32.Parite.a
11 -3 Email-Worm.Win32.Runouce.b
12 Wiedereintritt Virus.Win32.Sality.s
13 +3 Virus.Win32.Hidrag.a
14 Wiedereintritt Virus.Win32.Sality.z
15 Neu Trojan.Win32.Obfuscated.gen
16 -7 Worm.Win32.Fujack.k
17 +3 Virus.Win32.Tenga.a
18 -7 Trojan-Downloader.WMA.GetCodec.d
19 -9 Worm.VBS.Headtail.a
20 Neu Virus.Win32.Sality.q
Die Veränderungen in dieser Liste sind mit nur vier Neuzugängen eher unbedeutend. Allerdings gab es auch hier einen Wechsel an der Spitze: Unerwartet fiel der Vormonatssieger Nimda auf den zweiten Platz zurück und tauschte seine Spitzenposition mit dem Zweitplazierten des Vormonats, Xorer.du.
Wie gehabt tauchen immer mehr Varianten der Familie Sality in Erscheinung. In der Septemberstatistik gibt es bereits vier Vertreter, darunter Sality.aa auf Platz fünf.
Der Wurm Mabezat.b spielt mittlerweile auch eine wichtige Rolle in der Welt der Schädlinge. Erstmals im November letzten Jahres entdeckt, zeigte er keine übermäßige Aktivität. Dennoch hat er aber wohl nach und nach eine Vielzahl von Dateien und Computern infizieren können. Das Resultat ist der dritte Platz in den Top 20 des Monats September.
Insgesamt lässt sich feststellen, dass sich die Situation im Bereich der Viren und Würmer stabilisiert hat und sich nicht zum Schlechteren entwickelt. Gemäß den mit Hilfe von KSN erhobenen Daten ist es gelungen, die „Population“ praktisch aller Schadprogramme, die Dateien infizieren, innerhalb der letzten drei Monate entscheidend einzudämmen. Als Beispiel für diese Entwicklung ist der komplette Wegfall der Familien Allaple und Otwycal aus dem Ranking anzubringen.
