Obwohl Conficker weiterhin die Viren-Topliste anführt, ist die Autorun-Malware zur Überraschung der Experten wieder zurückgekehrt und hat sich auf Anhieb auf den zweiten Platz erkämpft.
ESET erstellt jeden Monat eine Top-Liste der sich in Ungarn verbreitenden Computerviren, aus der wir entnehmen können, welche Malware derzeit die Computer ungarischer Benutzer bedroht. Die Liste wird seit mehr als einem Jahr vom Conficker-Wurm getrieben, aber auch Autorun war im Januar wieder auf dem zweiten Platz und gehörte im Dezember nicht zu den Top-10-Viren.
Autorun wird durch die Tatsache erleichtert, dass es sich auf externen Medien verbreitet, wodurch es an den unerwartetsten Stellen auftauchen kann. So können nicht nur USB-Stick, Speicherkarte, externe Festplatte, Kamera oder MP3-Player zu Medien werden, auch in Australien und Deutschland haben sich beispielsweise mehrere öffentliche Fotobearbeitungsmaschinen infiziert. So wurden Benutzer, die auf der Straße oder in Einkaufszentren Fotos von ihren USB-Sticks oder Speicherkarten auf diese Geräte hochgeladen haben, zusätzlich zu den abgerufenen Papierbildern sofort mit einem Virus auf ihren Medien reicher.
Virus-Topliste - Januar 2011
Laut dem statistischen System von ESET, das auf Rückmeldungen von Hunderttausenden ungarischer Benutzer basiert, verbreiteten sich im Januar 2011 die folgenden 10 Schädlinge in der größten Zahl und waren mitverantwortlich für 22,71 % aller Infektionen.
1. Win32 / Conficker-Wurm
Prävalenz der Januar-Infektionen: 5,72%
Bisherige monatliche Rangliste: 1.
Funktion: Win32 / Conficker ist ein Netzwerkwurm, der sich über Exploit-Code verbreitet, der ein im Microsoft Windows Security Bulletin MS08-067 beschriebenes Problem ausnutzt. Aufbauend auf der RPC-Schwachstelle (Remote Procedure Call) kann ein Remote-Angreifer eine Aktion ohne entsprechende Autorität ausführen. Conficker lädt zuerst eine DLL-Datei über den SVCHost-Prozess und kontaktiert dann entfernte Server, um zusätzlichen bösartigen Code von ihnen herunterzuladen. Darüber hinaus verändert der Wurm die Host-Datei und macht die Websites vieler Antiviren-Unternehmen auf dem infizierten Computer unzugänglich. So gelangen Sie zu Ihrem Computer: Je nach Version installiert der Benutzer ihn selbst, installiert ihn automatisch durch eine Sicherheitslücke oder startet automatisch aufgrund einer infizierten Autorun-Datei auf einem externen Laufwerk.
2. INF / Autorun-Virus
Prävalenz der Januar-Infektionen: 3,31%
Vorherige monatliche Rangliste: -
Funktion: Die INF / Autorun ist der Sammelname für Malware, die die automatisch ausführbare Programmdatei autorun.inf verwendet. Ein Zeichen für eine Malware-Infektion ist, dass Ihr Computer drastisch langsamer wird. So gelangen Sie auf Ihren Computer: Verbreitet sich auf infizierten Medien (sogar MP3-Playern).
3. Win32 / HackMS-Trojaner
Prävalenz der Januar-Infektionen: 2,72%
Bisherige monatliche Rangliste: 3.
So funktioniert es: Win32 / HackMS war ursprünglich ein Tool zur Erzeugung von raubkopierten Schlüsseln, enthält jedoch auch Malware. Wenn Sie das Programm installieren, erstellt es auch versteckte Dateien und Registrierungseinträge, die heimlich Netzwerkeinstellungen und Suchergebnisse auf Ihrem Computer ändern. So gelangen Sie zum Computer: Der Benutzer installiert es selbst.
4. Win32 / PSW.OnLineGames-Trojaner
Prävalenz der Januar-Infektionen: 2,33%
Bisherige monatliche Rangliste: 2.
Funktionsweise: Diese Malware-Familie besteht aus Trojanern, die versuchen, einen Keylogger auf Ihrem Computer zu installieren. Die dazugehörige Malware besitzt auch Rootkit-Komponenten, mit deren Hilfe sie versuchen, ihre Dateien und ihre Funktion auf dem infizierten Rechner zu verschleiern. Die Aktionen der Malware-Familie konzentrieren sich typischerweise darauf, Passwörter aus Online-Spielen zu stehlen und dann heimlich Passwortinformationen weiterzugeben. Kriminelle können diese Methode verwenden, um eine beträchtliche Menge gestohlener Passwörter zu erhalten, die dann über Unterweltkanäle weiterverkauft werden. So gelangen Sie zum Computer: Der Benutzer installiert es selbst.
5. HTML / ScrInject-Trojaner
Prävalenz der Januar-Infektionen: 1,94%
Bisherige monatliche Rangliste: 7.
Funktion: Der HTML / ScrInject Trojaner ist eine vom RAR-Dienstprogramm komprimierte Datei, die während der Installation eine leere Datei (c: windowsblank.html) im Browser des infizierten Computers anzeigt. Es öffnet eine Hintertür auf dem angegriffenen System und versucht im Hintergrund weitere bösartige JavaScript-Dateien herunterzuladen. So gelangen Sie zum Computer: Der Benutzer installiert es selbst.
6. Win32 / Shutdowner-Trojaner
Prävalenz der Januar-Infektionen: 1,78%
Bisherige monatliche Rangliste: 5.
Funktion: Win32 / Shutdowner modifiziert im Falle einer Trojaner-Infektion einen Autorun-Schlüssel in der Registry, damit die Malware bei jedem Booten ausgeführt werden kann. Es hat auch eine Rootkit-Komponente, so dass es Dateien während des Betriebs vor Dateiverwaltungsanwendungen versteckt, auch wenn diese Dateien kein verstecktes Attribut haben. Seine wichtigste und offensichtlichste Wirkung ist, dass seine kriminelle Routine das gerade laufende Windows-System herunterfährt, die Arbeit stört, aber sogar zu Datenverlust führen kann. So gelangen Sie zum Computer: Der Benutzer lädt es herunter und führt es aus.
7. Win32 / Tifaut-Trojaner
Prävalenz der Januar-Infektionen: 1,60%
Bisherige monatliche Rangliste: 4.
So funktioniert es: Wind32 / Tifaut erstellt Dateien im Ordner C: WindowsSystem32 namens csrcs.exe und autorun.inf. Es erstellt auch einen separaten Eintrag in der Registrierung, um die schädliche EXE-Datei automatisch auszuführen. Dabei versucht es, sich mit mehreren verschiedenen Websites zu verbinden und lädt von diesen zusätzlichen Schadcode herunter. So gelangen Sie zum Computer: Der Benutzer installiert es selbst.
8. Win32 / VB-Wurm
Prävalenz der Januar-Infektionen: 1,44%
Bisherige monatliche Rangliste: 6.
Funktionsweise: Der Wurm VB.EL (auch bekannt als VBWorm, SillyFDC) verbreitet sich auf tragbaren Speichergeräten und Netzlaufwerken. Im Falle einer Infektion versuchen Sie, zusätzlichen Schadcode von 123a321a.com herunterzuladen. Außerdem wird der Eintrag HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun in der Windows-Registrierung so geändert, dass er automatisch ausgeführt wird. Das Erscheinen von sal.xls.exe im Stammverzeichnis von C: und allen anderen Netzlaufwerken kann ein verräterisches Zeichen sein. So gelangen Sie auf Ihren Computer: Die Verbreitung erfolgt durch Anschließen eines infizierten Datenträgers (USB-Stick, externe Festplatte etc.).
9. Win32 / Mebroot-Trojaner
Prävalenz der Januar-Infektionen: 0,98%
Bisherige monatliche Rangliste: 8.
Betrieb: Der Hauptzweck des Trojaners Win32 / Mebroot.K besteht darin, zusätzliche Computer zu infizieren. Dazu erstellen Sie eine Datei namens .tmp im Ordner Temporär (Temp) und Sie erstellen und ändern viele Einträge in der Registrierung, wenn sie bereits vorhanden sind. Sie werden auch versuchen, eine Verbindung zu google.com herzustellen. Während des Betriebs zerstört es die Partitionstabelle der Festplatte. So gelangen Sie zum Computer: Der Benutzer installiert es selbst.
10. Win32 / RegistryBooster-Trojaner
Prävalenz der Januar-Infektionen: 0,89%
Bisherige monatliche Rangliste: 9.
Wie es funktioniert: Win32 / RegistryBooster versucht, wie gefälschte Antivirenprogramme, Benutzer mit gefälschten Warnungen dazu zu bringen, eine kostenpflichtige Version des "Programms" zu kaufen. So gelangen Sie zu Ihrem Computer: Er wird von einer infizierten Website installiert oder vom Benutzer installiert.
