Kaspersky Lab hat auch für den letzten Monat des vergangenen Jahres mit Hilfe des Kaspersky Security Network (KSN) zwei Top-20-Listen der häufigsten Schädlinge errechnet. Die gewonnenen Daten basieren auf Rückmeldungen der Heimanwenderprogramme Kaspersky Anti-Virus 2009 und Kaspersky Internet Security 2009. Die Viren-Analysten des IT-Sicherheitsspezialisten untersuchen zum einen die am weitesten verbreiteten Schad- und Werbeprogramme und zum anderen, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.
Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme nach der Anzahl der Computer, auf denen sie entdeckt wurden:
Position Positionsveränderung Schadprogramm
1 0 Virus.Win32.Sality.aa
2 0 Packed.Win32.Krap.b
3 2 Trojan-Downloader.Win32.VB.eql
4 0 Worm.Win32.AutoRun.dui
5 Neu Trojan.HTML.Agent.ai
6 -3 Trojan-Downloader.WMA.GetCodec.c
7 +10 Virus.Win32.Alman.b
8 +12 Trojan.Win32.AutoIt.ci
9 -2 Packed.Win32.Black.a
10 Neu Worm.Win32.AutoIt.ar
11 +3 Worm.Win32.Mabezat.b
12 +3 Worm.Win32.AutoRun.eee
13 Neu Trojan-Downloader.JS.Agent.czm
14 Wiedereintritt Trojan.Win32.Obfuscated.gen
15 +1 Email-Worm.Win32.Brontok.q
16 -3 Virus.Win32.VB.bu
17 -6 Trojan.Win32.Agent.abt
18 -8 Trojan-Downloader.JS.IstBar.cx
19 -1 Worm.VBS.Autorun.r
20 Neu Trojan-Downloader.WMA.GetCodec.r
Die Spitzenreiter vom November – Virus.Win32.Sality.aa und Packed.Win32.Krap.b – konnten ihre vorderen Plätze halten. Die übrigen Programme des Ratings haben ihre Positionen nur geringfügig verändert.
Die Neulinge des vergangenen Monats – die Würmer Mabezat.b und AutoRun.eee – erhöhten ihre Platzierungen im Dezember um jeweils drei Plätze. Das bedeutet, dass die Verbreitung über Wechseldatenträger, aber auch über klassische Methoden wie öffentliche Netzressourcen, weiterhin steigt – ein Beweis für die Effektivität dieser Verbreitungsstrategien. Im Fall des Wurms Mabezat.b erfolgt zusätzlich die Infektion von Dateien. Mit ähnlichen Verbreitungsmethoden war bereits der Virus Sality.aa an die Spitze gelangt, jetzt sammelt Mabezat.b auf diese Art Punkte.
Interessant ist der Sprung von Virus.Win32.Alman.b, der gleich um zehn Ränge nach oben rutschte. Eine Funktion dieses Schadprogramms ist der Diebstahl von Passwörtern verschiedener Online Spiele. Dass die Aktivität der Gamer in den Wintermonaten naturgemäß erheblich ansteigt, erklärt diesen massiven Sprung nach oben.
Die zwei weiteren Neulinge Trojan.HTML.Agent.ai und Trojan-Downloader.JS.Agent.czm sind gewöhnliche Skript-Downloader.
In der letzten Zeit verzeichnen die Virenanalysten von Kaspersky Lab einen hohen Prozentsatz an Schadprogrammen, die mit der Skriptsprache „AutoIt“ erstellt werden. Diese Programmiersprache ist leicht zu erlernen und die Programme sind einfach zu schreiben. Der steile Aufstieg von Trojan.Win32.AutoIt.ci und das Erscheinen des Debütanten Worm.Win32.AutoIt.ar, der sich ähnlich wie die bereits erwähnten Würmer Mabezat.b und AutoRun.eee über Wechseldatenträger verbreiten, bestätigen diese Beobachtung.
Besonders hervorheben sind zwei Vertreter der Familie Trojan-Downloader.WMA.GetCodec. Einer erschien bereits im November-Rating und landete sofort auf Platz drei. Im Dezember jedoch musste er gleich 17 Positionen einbüßen. Das zweite Exemplar dieser Familie – Trojan-Downloader.WMA.GetCodec.r – ist ein ziemlich interessanter Fund. Während des Abspielens einer infizierten Multimedia-Datei wird mit P2P-Worm.Win32.Nugg.w eine als Codec getarnte Datei heruntergeladen. Startet man diese Datei, werden aus dem Netz mehrere Archive mit ausführbaren und multimedialen Dateien heruntergeladen. Wie Bei den ausführbaren Dateien handelt es sich um diverse Wurmversionen des P2P-Worm.Win32.Nugg und die Multimedia-Dateien sind bereits mit verschiedenen Trojanern der Familie Trojan-Downloader.WMA.Getcodec infiziert. Der Wurm verändert die Bezeichnungen dieser Dateien in „keygen RELOADED.zip“, „(hot remix).mp3“ und andere interessant klingende Bezeichnungen. Gleichzeitig öffnet er ihnen den Zugang zum Peer-to-Peer- Computernetzwerk Gnutella, wo nichts ahnende Anwender die infizierten Dateien herunterladen und eine Ketteninfektion initiieren. Die Experten von Kaspersky Lab raten, in Zukunft Multimedia-Dateien zunächst sehr misstrauisch zu betrachten und nicht jeder x-beliebiger Aufforderung der Art „Codec downloaden“ zu folgen.
Alle Schadprogramme, die im ersten Rating vertreten sind, kann man in drei Gruppen einteilen: TrojWare ist mit 45 Prozent vertreten, VirWare mit 45 Prozent und MalWare mit zehn Prozent. Im Vergleich zu den Vormonaten haben sich die prozentualen Anteile nur unbedeutend verändert.
Insgesamt wurden auf den Anwender-PCs im Dezember 38.190 Schadprogramme sowie potentiell gefährliche Programme registriert. Somit kann man insgesamt einen geringfügigen Rückgang der Bedrohungen „in freier Wildbahn“ verzeichnen: Es gab im Dezember 7.500 Schadprogramme weniger als noch im November.
Die zweite Hitliste zeigt, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.
Position Positionsveränderung Schadprogramm
1 +1 Virus.Win32.Sality.aa
2 -1 Worm.Win32.Mabezat.b
3 +1 Virus.Win32.Xorer.du
4 Neu Trojan-Downloader.HTML.Agent.ml
5 -2 Net-Worm.Win32.Nimda
6 +1 Virus.Win32.Alman.b
7 -2 Virus.Win32.Parite.b
8 -2 Virus.Win32.Virut.n
9 -1 Virus.Win32.Sality.z
10 +1 Virus.Win32.Virut.q
11 +1 Virus.Win32.Parite.a
12 -2 Email-Worm.Win32.Runouce.b
13 +1 Worm.Win32.Otwycal.g
14 +2 P2P-Worm.Win32.Bacteraloh.h
15 +3 Trojan.Win32.Obfuscated.gen
16 Neu Worm.Win32.Fujack.cf
17 0 Worm.VBS.Headtail.a
18 -3 Virus.Win32.Hidrag.a
19 -6 Worm.Win32.Fujack.k
20 -11 Virus.Win32.Small.l
Im Vergleich zum Vormonat blieb das zweite Rating ziemlich stabil. Einer der Neulinge ist der Downloader Agent.ml. Er enthält einen schädlichen iframe-Block, der an das Ende von Webseiten gesetzt wird. Somit wird beim Laden einer infizierten Seite auch ein schädliches Javascript geladen, das in diesem iframe enthalten ist.
Ebenfalls neu in der zweiten Tabelle ist im Dezember der Wurm Fujack.cf – eine spätere Version dieser Wurmfamilie. Bereits im Oktober erschien auf Platz 19 Fujack.bd, verschwand dann jedoch im November.
