[Security] Die Top 10 E-Threat-Infektionen im Januar 2010

[C11H15NO2]

Die „Herrschaft“ des Adobe-Infektors Exploit.PDF-JS.Gen war nur von kurzer Dauer. Im aktuellen BitDefender E-Threat-Report fällt der Spitzenreiter des Vormonats auf Rang 4 zurück. Auf den ersten drei Plätzen postiert sich wieder das bekannte Trio Clicker, AutorunINF und Conficker. Insgesamt tauchen im Januar sechs Trojaner, zwei Würmer, ein Exploit und ein Virus in den BitDefender Top 10 auf. Viele davon verstecken sich auf Websites, die illegale Software oder Videos zum Download anbieten.

Clicker erreicht zu Jahresbeginn mit 8,30 Prozent weltweiter Infektionsrate Rang 1. Dieser Trojaner ist meist auf File-Sharing-Websites wie Torrent-Portale, „Warez"-Communities etc. zu finden. Der Schädling erzeugt Werbeanzeigen mit teilweise pornografischen Inhalten innerhalb des Browsers. Mit einem Anteil von 8,17 Prozent liegt Trojan.AutorunInf.Gen knapp dahinter auf Platz 2. Er verbreitet weitere Malware über Wechseldatenträger wie USB-Sticks, Speicherkarten oder externe Festplattenlaufwerke. Auch der drittplatzierte Win32.Worm.Downadup – besser bekannt als Conficker (6,18 Prozent) – und der erst kürzlich für Aufsehen erregende Zimuse-Wurm Zimuse Removal Tool nutzen diese Taktik, um andere Systeme zu infizieren.

„Verlierer des Monats“ ist Exploit.PDF-JS.Gen mit 5,76 Prozent an weltweiten Infektionen. Im Dezember noch belegte der PDF-infizierende Exploit unerwartet mit 12,04 Prozent Rang 1. Einen Monat später reicht es nur noch für Position 4. Trotzdem bleibt er weiterhin durch das Ausnutzen von Sicherheitslücken im Javascript-Engine des Adobe PDF-Readers gefährlich. Die Top 5 beschließt mit 4,30 Prozent Trojan.Wimad.Gen.1. Auch dieser Threat ist meist auf Torrent-Websites zu finden. Statt des Downloads seiner Lieblings-TV-Serie beispielsweise aktiviert der User den als Fake-Video getarnten Wimad-Trojaner. Hat sich der Schädling erst einmal auf dem PC eingenistet, lädt er weitere – häufig als Codec-Datei getarnte – Malware herunter.

Win32.Sality.OG ist im Januar für 2,73 Prozent aller weltweiten Infektionen verantwortlich und belegt Rang 6. Der polymorphe Datei-Infektor hängt seinen verschlüsselten, bösartigen Code an exe-Dateien und scr-Binaries an. Die Sality-Familie verändert ständig ihren Code. Die Rootkit-Komponente dieses Threats versucht zudem, andere auf dem PC befindliche Antiviren-Programme zu deaktivieren. Auf Position 7 folgt Trojan.Autorun.AET (2,01). Der Trojaner verbreitet seinen Code über in Windows freigegebene Ordner sowie über Wechseldatenträger. Der Name verrät bereits, dass er dazu die Autorun-Funktion in Windows ausnutzt. Ähnlich geht Worm.Autorun.VHG vor. Der Internet/Netzwerk-Wurm hat mit 1,69 Prozent Platz 8 inne. Er verwendet die Windows-Schwachstelle MS08-067 und wird über Fernzugriff über einen speziellen Remote Procedure Call (RPC) von seinem Programmierer aktiviert.

Das Ranking beschließen gleichauf mit 1,40 Prozent die einzigen beiden Neueinsteiger in den BitDefender Januar-Top 10: Trojan.Script.254568 und Trojan.JS.QAF. Bei Ersterem handelt es sich um einen JavaScript-Code, der nach dem Cookie „CoreBeta“ sucht. Das Cookie signalisiert dem Schädling, dass das System erfolgreich infiziert wurde. Anschließend befällt er verschiedene Webpages, die dem User fortan nur noch als „about:blank“-Seiten angezeigt werden. Auch Trojan.JS.QAF ist ein JavaScript-Schädling, dessen schwierig zu entschlüsselnder Code den Trojaner nur schwer auffindbar macht. (BitDefender)

Top Ten des BitDefender-E-Threat-Report im Januar 2010

Position	Name	Anteil in Prozent (Vormonat) in Prozent
1	Trojan.Clicker.CM	8,30 (7,90)
2	Trojan.AutorunINF.Gen	8,17 (8,15)
3	Win32.Worm.Downadup.Gen	6,18 (5,85)
4	Exploit.PDF-JS.Gen	5,76 (12,04)
5	Trojan.Wimad.Gen.1	4,30 (4,57)
6	Win32.Sality.OG	2,73 (2,65)
7	Trojan.Autorun.AET	2,01 (1,97)
8	Worm.Autorun.VHG	1,69 (1,65)
9	Trojan.Script.254568	1,40 (Neueinsteiger)
10	Trojan.JS.QAF	1,40 (Neueinsteiger)
-	Andere	58,01 (52,85)