Kaspersky Lab setzt seine Tradition auch im neuen Jahr fort und hat mit Hilfe des Kaspersky Security Network (KSN) zwei Top-20-Listen der häufigsten Schädlinge erstellt. Die gewonnenen Daten basieren auf Rückmeldungen der Heimanwenderprogramme Kaspersky Anti-Virus 2009 und Kaspersky Internet Security 2009. Die Viren-Analysten des IT-Sicherheitsspezialisten untersuchen zum einen die am weitesten verbreiteten Schad- und Werbeprogramme und zum anderen, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.
Die erste Hitliste zeigt die am weitesten verbreiteten Schad- und Werbeprogramme nach der Anzahl der Computer, auf denen sie entdeckt wurden:
Position Positionsveränderung Name
1 0 Virus.Win32.Sality.aa
2 0 Packed.Win32.Krap.b
3 1 Worm.Win32.AutoRun.dui
4 -1 Trojan-Downloader.Win32.VB.eql
5 3 Trojan.Win32.Autoit.ci
6 0 Trojan-Downloader.WMA.GetCodec.c
7 2 Packed.Win32.Black.a
8 -1 Virus.Win32.Alman.b
9 5 Trojan.Win32.Obfuscated.gen
10 10 Trojan-Downloader.WMA.GetCodec.r
11 Neu Exploit.JS.Agent.aak
12 -1 Worm.Win32.Mabezat.b
13 -3 Worm.Win32.AutoIt.ar
14 1 Email-Worm.Win32.Brontok.q
15 Neu Virus.Win32.Sality.z
16 Neu Net-Worm.Win32.Kido.ih
17 Wiedereintritt Trojan-Downloader.WMA.Wimad.n
18 -2 Virus.Win32.VB.bu
19 -2 Trojan.Win32.Agent.abt
20 Neu Worm.Win32.AutoRun.vnq
Für den Monat Januar sind in diesen Top 20 keine bedeutenden Veränderungen zu verzeichnen.
Trojan.HTML.Agent.ai und Trojan-Downloader.JS.Agent.czm, die im Dezember-Rating noch vertreten waren, wurden von der Modifikation Exploit.JS.Agent.aak abgelöst. Der Wurm AutoRun.eee ist nun ganz aus dem Rating verschwunden und wurde durch den Schädling Win32.AutoRun.vnq ersetzt. Nach Angaben der Experten von Kaspersky Lab war dieser Schritt vorherzusehen, da es bezeichnend für diese Art von Schadprogramm ist, ihre Modifikationen oft zu wechseln.
Trojan-Downloader WMA.Wimad.n, der im November aus dem Rating fiel, ist wieder zurück. Damit sind jetzt drei nicht standardisierte Downloader gleichzeitig in der Bewertung vertreten. Dies bestätigt die Massenverbreitung dieser Art von trojanischen Programmen und die leichtsinnige Einstellung, mit der Anwender multimedialen Dateien vertrauen. Zudem hat sich der Ausbreitungsmechanismus von Schadprogrammen via Peer-to-peer-Netzwerken und Multimedia-Downloadern – beschrieben in den Top 20 vom Dezember – als besonders effizient erwiesen. Der große Sprung von Trojan-Downloader WMA.GetCodec.r über zehn Plätze bestätigt dies.
Sality ist die am weitesten verbreitete und schädlichste Malware-Familie der letzten Zeit: Die .aa-Version des Sality-Virus befindet sich noch immer auf Platz eins. Zudem ist neuerdings auch die Version .z in dieser Bewertung anzutreffen.
In der Bewertung befinden sich auch Vertreter der berüchtigten Kido-Familie. Diese Netzwerkwürmer benutzen eine kritische Schwachstelle in Microsoft Windows, um ihre Opfer zu infizieren. Angesichts der Verbreitungsmethode, die außerordentlichen quantitativen und dynamischen Indikatoren sowie der Anzahl der potential gefährdeten Computer, war die aktuelle Epidemie und das Erscheinen der Vertreter in dieser Top-20-Liste zu erwarten.
• TrojWare – 35 Prozent
• VirWare – 50 Prozent
• MalWare – 15 Prozent
Alle Schadprogramme, die im ersten Rating vertreten sind, kann man in drei Gruppen einteilen: TrojWare ist mit 35 Prozent vertreten, VirWare mit 50 Prozent und MalWare mit 15 Prozent. Im Vergleich zum Vormonat sind die prozentualen Anteile der Trojaner um zehn Prozent gesunken. Dafür stieg der Anteil der sich selbst reproduzierenden Programme von 45 Prozent auf 50 Prozent, die der Malware von zehn auf 15 Prozent an.
Insgesamt wurden auf den Anwender-PCs im Januar 46.014 Schadprogramme sowie potentiell gefährliche Programme registriert. Die Weihnachtszeit hat also nicht die erwartete Ruhe gebracht. Insgesamt konnte ein Anstieg der Bedrohungen „in freier Wildbahn“ um 7.800 Schadprogramme verzeichnet werden.
Die zweite Hitliste zeigt, mit welchen Schadprogrammen die Anwendercomputer am häufigsten infiziert waren.
Position Positionsveränderung Name
1 0 Virus.Win32.Sality.aa
2 0 Worm.Win32.Mabezat.b
3 2 Net-Worm.Win32.Nimda
4 -1 Virus.Win32.Xorer.du
5 1 Virus.Win32.Alman.b
6 3 Virus.Win32.Sality.z
7 0 Virus.Win32.Parite.b
8 2 Virus.Win32.Virut.q
9 -5 Trojan-Downloader.HTML.Agent.ml
10 -2 Virus.Win32.Virut.n
11 1 Email-Worm.Win32.Runouce.b
12 1 Worm.Win32.Otwycal.g
13 1 P2P-Worm.Win32.Bacteraloh.h
14 4 Virus.Win32.Hidrag.a
15 5 Virus.Win32.Small.l
16 -5 Virus.Win32.Parite.a
17 Wiedereintritt Worm.Win32.Fujack.bd
18 Neu P2P-Worm.Win32.Deecee.a
19 -4 Trojan.Win32.Obfuscated.gen
20 Neu Virus.Win32.Sality.y
In den ersten Top 20 hieß der neue Repräsentant von Virus.Win32.Sality Sality.z. In den zweiten Top 20 erscheint allerdings Sality.y. Dieser Schädling zeigt nun schon zum neunten Mal, wie aktiv diese Familie der sich selbst reproduzierenden Programme ist.
Ein interessanter Neuling in den zweiten Top 20 war P2P-Worm.Win32.Deecee.a. Dieser Wurm verbreitet sich via des DC++ Peer-to-peer-Netzwerks und besitzt die Fähigkeit, schädliche Dateien runterzuladen. Der Schädling gelangte in dieses Rating, da er sich selbst beim Installieren mehrfach kopiert. Es ging bei der Bewertung nicht so sehr um die Anzahl der infizierten Rechner, als um die Anzahl der Kopien auf den infizierten Rechnern. Sobald er installiert ist, macht der Wurm die Schadkopien öffentlich zugänglich. Die Namen der ausführbaren Dateien, die sich auf diese Art verbreiten, haben folgende Struktur: Das Präfix beginnt etwa mit “(CRACK)”und “(PATCH)”, dann folgt der Name einer anderen beliebten Software wie etwa “ADOBE ILLUSTRATOR (alle Versionen)”, “GTA SAN ANDREAS ACTION 1 DVD” und desgleichen.
Der Schädling Worm.VBS.Headtail.a, der im November wieder auftauchte, ist nun erneut aus dem Rating gefallen. Damit wurde die Annahme der Virenexperten von Kaspersky Lab bezüglich der Instabilität seines Verhaltens voll bestätigt.
