Freitag, 2. Juni 2006

Mai Viren-Top-10

PayPal wieder an der Spitze. Chase Bank nicht mehr Hauptziel der Verfasser von Phishing-Emails.

IT-Sicherheitspionier Avira gibt heute die monatliche Malware-Rangliste bekannt, die auf speziellen Quellen und den Einschätzungen unserer Fachleute beruht. Wie man sieht, gibt es in diesem Monat nur zwei Neuzugänge in unserer Tabelle: Worm/Lovgate.AU.2 und Worm/Mytob.U.

Worm/Mytob.U wurde am 4. April 2005 entdeckt und belegt mit 2,3 % aller Infektionsmeldungen des Monats den vorletzten Rang. Mytob.U nutzt folgende Verbreitungsmöglichkeiten: Email-Systeme und lokale Netzwerke. Um die Verbreitung zu gewährleisten, unternimmt die Malware Verbindungsversuche zu anderen Rechnern und nutzt dabei das Exploit MS04-011 (LSASS-Schwachstelle). Auf dem betroffenen Rechner generiert der Wurm ein FTP-Skript mit der Absicht, die Malware am Remote-Standort herunterzuladen.

Während der Vormonat von der Netsky Familie dominiert wurde, die mehr als die Hälfte der Top-10 des Monats April belegte und damit ihre Hartnäckigkeit unter Beweis stellte, entdeckten wir im Mai mehr Mytob-Varianten. Zwar verbreitet sich die Mytob-Familie weiterhin beträchtlich, jedoch kann von einer erhöhten Aktivität nicht die Rede sein, da es sich bei 28,7 Prozent aller Meldungen im Mai um Versionen des berühmt-berüchtigten Netsky.P handelte.

Der Neuzugang des Monats April – Worm/Bagz.C.2 – nahm um 2,3 % zu und schaffte es im Mai auf den dritten Rang, während Netsky.X, in der letzten Malware-Rangliste noch an zweiter Stelle, auf den fünften Platz zurückfiel.

Die Anzahl der Varianten des Bagle-Wurms, die nach wie vor als “Worm/Bagle.gen” abgefangen oder erkannt werden, nimmt weiter zu. In diesem Monat gab es insgesamt 11,8 Prozent Bagle-Meldungen. Da es sich jedoch um keine versionsspezifische sondern um eine generische Erkennung handelt, gibt es keine Platzierung in der Malware-Rangliste.

Bemerkenswert ist, dass immer noch etwa 0,5% aller Beiträge mit File Infectors behaftet sind, und zwar wie folgt: 0,4% mit W32/Funlove.4099 und die verbleibenden 0,1% mit W32/Parite, W32/Xorala.3.B, W32/Xorala, W95/Kriz.4608, W32/Stanit, W32/Elkern.C und W95/Tenrobit.B.
 
Am 21. Mai 2006 wurde eine neue Microsoft Word Sicherheitslücke entdeckt. Beim Öffnen eines modifizierten Dokuments führt der Exploit-Code eine eingebettete und verschlüsselte Datei aus.

Avira gehörte zu den ersten IT-Sicherheitsanbietern, die ihre Scan-Engine um die generische Erfassung des Word-Exploit-Codes erweiterten. Allerdings ist den Avira Virenexperten bislang kein Exemplar ins Netz gegangen, das das 0-Day Word Exploit enthält.

Und schließlich entdeckten die Avira Virenanalytiker am 30. Mai den Trojan TR/Drop.Sinowal.U. Der Trojaner besitzt keine eigene Verbreitungsroutine, sondern kommt als Email des Microsoft Supports getarnt daher, in der ein Windows Update angeboten wird. Die Malware vertraut auf das Social Engineering und hat den folgenden Betreff: „Achtung! Wichtige Nachrichten von Microsoft Windows Update!“

Hier eine erste Aufstellung unserer Viren-Top-10 für den Monat Mai:
Worm/NetSky.P 28,7 %
Worm/Lovgate.W 4,8 %
Worm/Bagz.C.2 4,0 %
Worm/NetSky.AA 3,2 %
Worm/NetSky.X  2,9 %
Worm/Mytob.AD 2,9 %
Worm/Mytob.IN.2 2,7 %
Worm/Lovgate.AU.2 2,4 %
Worm/Mytob.U 2,3 %
Worm/Mytob.AT 2,2 %
Sonstige 43,9 %


Technische Informationen zu diesen Würmern finden Sie in den detaillierten Beschreibungen auf der Avira Webseite. Es sei auch darauf hingewiesen, dass Avira Nutzer grundsätzlich vor all diesen Bedrohungen geschützt sind. Versäumen Sie nicht, Avira regelmäßig zu aktualisieren, um vor Malware geschützt zu bleiben.



Was die Phishing-Situation im Mai angeht, stehen die Phishing-Angriffe auf die Chase Bank nicht mehr im Zentrum der Phishing-Authoren.

Nach zwei Monaten als Spitzenreiter wird die Chase Bank nun von PayPal abgelöst. Das Unternehmen verbucht mehr als 41,28 % aller Phishing-Angriffe.

PayPal 41,28 %
Ebay 14,86 %
Chase
11,92 %
Volksbank 7,13 %
Wells Fargo 5,16 %
Sonstige 19,66 %
In diesem Monat ereignen sich wahrhaft erstaunliche Dinge im Malware-Bereich. Wir haben eine Vielzahl neuer Phishing-Ziele festgestellt. Einige Beispiele: Washington Mutual Bank, American National Bank of Texas, E-gold, Evergreen Credit Union und viele andere.



Kleinere und zielgerichtete Angriffe sind auf dem Vormarsch, was unterstreicht, dass die Verfasser von Phishing-Emails stets auf der Suche nach neuen Opfern sind.

Im Mai wurde nicht nur eine Phishing-Welle auf Banken und anderen Institutionen gesichtet. Zum ersten Mal überhaupt haben wir eine Phishing-Seite entdeckt, welche eine Flash Animation anstatt eines HTML-Clones. Die Phisher haben an dieser Stelle einen klaren Vorteil, da sie keine Referenzen ändern müssen und die Phishing-Seite schneller online stellen können. Unabhängig davon ist es ein neuer Trick, der die Erkennung für konventionelle Filter-Technologien erschwert.

Avira empfiehlt allen Benutzern nachdrücklich, bei verdächtigen Emails und unerwarteten Dateianhängen auf der Hut zu sein – ganz gleich, wie verlockend ihr Inhalt auch erscheinen mag – und den Virenschutz regelmäßig zu aktualisieren.

Wenn Sie mehr über diese Form von Internetkriminalität wissen möchten, sehen Sie nach auf unserer Webseite unter:
http://www.avira.com/de/threats/index.html

Wenn Sie wie wissen möchten, wie man Phishing-Betrug erkennt, studieren Sie unsere Sonderseite unter:
http://www.avira.com/en/threats/what_is_phishing.html

Unsere Aufgabe ist es, Ihnen bei der Bekämpfung von Malware-Bedrohungen zur Seite zu stehen. Räumen Sie Zweifel im Hinblick auf verdächtige Dateien aus. Schicken Sie sie zur Analyse an virus@avira.com. Nehmen Sie sich einen Augenblick Zeit, um zu erfahren, wie man Malware meldet, und folgen Sie dann unserer Anleitung zum Übermitteln verdächtiger Dateien:
http://original.avira.com/en/pages/How_to_submit_malware.html


Über Avira

Avira (vormals H+BEDV) gehört zu den Pionieren im Bereich IT-Sicherheit. Schon seit 1988 entwickelt der deutsche Security-Spezialist unter dem Markennamen AntiVir systemübergreifende Sicherheitslösungen für den Geschäfts- und Privatkundenbereich. Zu den Kunden zählen führende nationale und internationale Unternehmen, diverse Bildungseinrichtungen sowie öffentliche Auftraggeber.

Mit einem umfangreichen Portfolio bietet Avira professionelle Sicherheitslösungen für Workstations, File-, Web- und Mailserver sowie für PDAs und Smartphones. Neben einem leistungsstarken Angebot im Windows-Umfeld zählt Avira zu den Technologieführern im UNIX-Markt. Ferner brachte das Unternehmen 2005 die weltweit erste SAP-zertifizierte Virenschutzlösung für SAP NetWeaver auf den Markt.

Die Virenschutzlösung Avira AntiVir wird regelmäßig mit dem VB 100% Award ausgezeichnet und besitzt ein aktuelles TÜV-Zertifikat. Die hohe Kompetenz des Unternehmens in Bereich IT-Sicherheit wird auch durch die enge Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) dokumentiert.

Die Avira Sicherheitslösungen sind bei zahlreichen Avira-Händlern in Europa und im außereuropäischen Ausland erhältlich.

Webseite: www.avira.de

Über Avira

Avira schützt Menschen in der vernetzten Welt ‒ und gibt allen die Möglichkeit, ihr digitales Leben zu verwalten, zu schützen und zu optimieren. Aviras Angebot erstreckt sich auf ein Portfolio aus Sicherheits- und Leistungsanwendungen für Windows, Android, Mac und iOS. Unsere Schutztechnologien ergänzen wir außerdem durch OEM-Partnerschaften. Immer wieder stehen unsere Sicherheitslösungen an der Spitze von unabhängigen Tests zur Erkennung, Leistung und Benutzerfreundlichkeit. Avira ist ein Unternehmen in Familienbesitz mit 500 Mitarbeitern. Hauptsitz ist Tettnang am Bodensee mit weiteren Niederlassungen in Rumänien, Indien, Singapur, China, Japan und den USA. Ein Teil der Einnahmen von Avira kommt der Auerbach Stiftung zugute, die Bildungsinitiativen sowie Kinder und Familien in Not unterstützt. Weitere Informationen zu Avira finden Sie unter www.avira.de