Business-IT

Trojaner erpresst Lösegelder für Dateien

von - 14.04.2010
Im März 2010 waren die Windows- und Browser-Blocker auf dem Rückzug, dafür drohen bereits neue Gefahren, sagt der monatliche Virenreport des Security-Spezialisten Doctor Web.
Die verschiedenen Versionen der Malware treten dabei unterschiedlich auf. Trojan.Encoder.67 verschlüsselt alle Daten, ausgenommen einiger Ordner, die in einem bestimmten Verzeichnis abgelegt sind und manchmal das gesamte System lahmlegen. Die Version 68 hingegen platziert Daten des Nutzers in passwortgeschützten ZIP-Ordnern. Die Passworte für die Archive bestehen aus insgesamt 47 Symbolen und sind einzigartig für jedes infizierte System. 
Die Infektionen durch Blocker für Browser und Windows-Rechner waren im März rückläufig und entsprechen aktuell wieder dem Niveau von Oktober 2009. Doch gibt es noch immer mehr als 10.000 Infektionen täglich, pro Woche sind es sogar 100.000. Die Blocker machen beim russischen Antivirus-Hersteller aus zwei Gründen noch immer einen Großteil der Support-Anfragen aus: Erstens ist Selbsthilfe für die Nutzer verhältnismäßig schwierig, da die Malware die Reaktionsmöglichkeiten stark einschränkt. Zweitens sind die Blocker, anders als beispielsweise Trojaner, dafür konzipiert, aufzufallen.  
Botnetze, also über das Internet verbundene Rechner, die mit einer ferngesteuerten Malware infiziert wurden, haben sich auch im März stark verbreitet. Trojan.Oficla, auch als myLoader bekannt, ermöglicht beispielsweise Botnetz-Gründern, ihre Software als Windows.exe-Datei im Microsoft Word-System zu verstecken. Der Trojaner verbreitet sich über Spam-Mails und Sicherheitslücken von Webbrowsern. Rechner, die von Trojan.Oficla infiziert wurden, können wie Zombies durch den Besitzer des Botnetzes fremdgesteuert werden und weiteren Schadprogrammen Tür und Tor öffnen. 
Doctor Web registrierte mehr als 100.000 Infektionen der Malware in einer einzigen Woche. Der Trojaner verbreitet sich vor allem durch E-Mails und nutzt Sicherheitslücken in Web-Browsern. Weitere Verbreitungswege sind nicht ausgeschlossen, denn der Fantasie der Hacker sind dabei keine Grenzen gesetzt.
Auch der Bereich Online-Banking war betroffen, wenn auch größtenteils in Russland. Der Trojaner PWS.Ibank ist ein Schädling, der sehr leicht der Aufmerksamkeit der meisten Nutzer entgeht. Seine zahlreichen Varianten sind darauf ausgerichtet, die Kontodaten von Bankkunden großer, russischer Institute zu erfassen. Der Trojaner nutzt die Schwachstellen der Online-Banking-Software aus und schickt die erbeuteten Daten an Kriminelle. Das Vorgehen der Software ähnelt der von Keyloggern, denn sie zeichnet sämtliche Eingaben der Nutzer auf. Der Schädling verbreitet sich in Angriffswellen.
Die Angriffsmethoden von gefälschten Antivirus-Programmen zeigen sich in völlig neuen Erscheinungsformen. Die Programme ähneln immer mehr IT-Sicherheitsanwendungen und verbreiten sich mit Techniken des Social Engineerings, das menschliche Eigenschaften ausnutzt, um an Informationen zu gelangen. Gegen Ende des Monats stoppte der Strom von Support-Anfragen zu gefälschten, russischen Antivirus-Programmen abrupt. Die Infektionen durch klassische Varianten der Malware-Familie, wie Trojan.Fakealert, bleiben jedoch konstant bei 30 Millionen pro Monat.
Verwandte Themen