Das “Vertrauen-Phänomen” verursacht jährlich ca. fünf Millionen PC-Infektionen
17. Februar 2011 – Experten von avast! Virenlabor werden auf der kommenden RSA-Konferenz in ihrer Präsentation besonders darauf eingehen wie das “Vertrauen-Phänomen” in Kombination mit den Neuerungen von Cyberkriminellen zum Wachstum der drei ausgeprägtesten Malware-Gruppen beitragen.
Die Gefahr liegt im Bekannten, jeden Tag vertrauten Plätzen im Internet, die ein Teil unserer täglichen Routine sind, wie der Morgenkaffee“ sagte Jiri Sejtko, avast! Senior Virenanalyst. “Anwender nehmen an, dass eine Webseite sicher ist, weil Sie Ihnen bekannt ist oder Sie diese wiederkehrend eine langen Zeitraum besucht haben und besuchen.“
Indem Cyberkriminelle das „Vertrauen-Phänomen“ und innovative Malware-Gruppen nutzen, fokussieren Sie sich genau auf diese „sicheren“ Zonen im Internet. Diese bewegen sich augenscheinlich fern von dem für gewöhnlich als verdächtig eingestufte Webseiten mit pornografischen Inhalten, Warez – oder illegalen Downloadseiten. Das avast! Virenlabor errechnete, dass für die Infektion von vier bis fünf Millionen Rechnern nur drei Malware-Gruppen verantwortlich sind.
Übergehen ist die typische Reaktion, wenn ein Antivirus-Programm eine vertraute Seite blockiert oder einen Warnton mit dem Hinweis auf Malware erklingt.
- “www.***.de ist eine Fußball-Fanseite, die ich seit Jahren besuche. Ich glaube einfach nicht, dass diese von heute auf morgen nicht mehr vertrauenswürdig ist.”
- „Würdest Du bitte aufhören dieses als ein Virus zu betrachten. Ich habe nicht viel Zeit und diese Unterbrechungen kosten mich diese Zeit.“
- „Ich bezweifele doch sehr, dass mir Google einen Trojaner senden würde…“
„Das sind Kommentare von Anwendern, die uns gesendet wurden als avast! einen der drei Malware-Gruppen auf dem betreffenden Rechner entdeckt hat. Genau auf diese Gruppen werden wir in unserer Präsentation eingehen“ ergänzte Sejtko. „Uns erreichen oft Beschwerden über eine „positive Falschmeldungen“ und wenn anschließend der Antivirusschutz ausgeschaltet wird, um die gewünschten Bereiche zu erreichen, wünschen sich die Anwender, dass Sie es nicht getan hätten.“
1. Die Ill-Gruppe (“port 8080”-Infektion)
- Lenkt Anwender auf Seiten um, die Malware zu verbreiten
- Technisch entwickelt zwischen Script-Tags, Iframes und Verschleierungstaktik
- Umfasst mehr als 3500 Domains, die Malware verbreiten und 200.000 infizierte Domains
„Wir haben mehr als 3000 Webseiten identifiziert, die mit fünf oder mehr Varianten der Ill*-Gruppe infiziert sind. Das bedeutet mit hoher Wahrscheinlichkeit, dass Menschen nicht wissen, dass ihre Identitätsdaten gestohlen wurden und ihre Webseiten dazu genutzt wurden, um die Infektion weiter zu verbreiten“ sagte Sejtko.
2. Kroxxu
- Ein sich selber produzierendes Botnet, das auf gefährdete Webseiten und Server basiert
- Fortgeschrittene „Indirect Cross Infection“ mit untereinander austauschbaren Komponenten
- Verbreitet“ Passwort-Diebe“
“Wir haben 300 Verteiler-Domains identifiziert, die mit Kroxxu befallen sind. Die durchschnittliche Infektion bestand drei Monate. Diese Zahl ist ungewöhnlich hoch und zeigt, dass auch Administratoren sich anscheinend einer Infektion nicht bewusst sind“ strich Sejtko hervor.
3. JS:Prontexi
- Wird eingesetzt, um Rogue-Antiviren-Programme zu verbreiten
- Wird hauptsächlich durch Ad-Ons und Suchmaschinenergebnisse verbreitete
- Betrifft viele der anerkannten Ad-Services
- Über fünf Millionen Fake-Ads nachgewiesen
Das sind drei technologisch sehr unterschiedliche, aber sehr effektive Ansätze, um Malware-Attacken durchzuführen. „Die Bösen geben den Takt an, indem sie neue Varianten mit dem Wissen der vorgegangenen Generation erschaffen“ erklärte Sejtko. „Wenn man ein Warnsignal von seinem Antivirus-Programm erhält, sollte man es nicht ignorieren.“
„Wir sind mittlerweile an einem Punkt angekommen an dem Menschen annehmen, dass Antiviren-Scanner falsch arbeiten und das Vertrauen in „gute“ Seiten mehr gilt. Das ist ein Bereich in dem wir als Hersteller mehr Anwender und Administratoren von Webseiten aufklären müssen“ sagte Sejtko.