Malware im Februar

Malware-Downloads werden in CSS-Daten versteckt

Freitag den 04.03.2011 um 16:41 Uhr

von Frank Ziemann

Im Februar hat die Nutzung eines neuen Verstecks für Script-Code Raum gegriffen, der bei Drive-by Downloads schädlicher Dateien zum Einsatz kommt. Code-Teile werden in Cascading Stylesheets (CSS) verborgen, wo ihn viele Schutzprogramme nicht so leicht finden.
Malware-Charts für Februar
Vergrößern Malware-Charts für Februar
© 2014

Der Antivirushersteller Kaspersky Lab hat seine Malware-Charts für den Februar veröffentlicht. Die Daten stammen von mit Kaspersky-Software geschützten Rechnern. Daraus haben die Malware-Fachleute errechnet, dass ihre Software 70 Millionen Web-Angriffe abgewehrt und 250 Millionen schädliche Dateien auf den Rechnern entdeckt und entfernt hat.

Die Kaspersky-Experten haben im Februar eine relativ neue Methode beobachtet, mit der schädlicher Code in Web-Seiten vor Antivirus-Software versteckt wird. Die Mehrzahl der Drive-by Angriffe im Web nutzt die an sich für das Layout der Seiten vorgesehenen CSS-Daten, um darin Code für Download-Scripte zu verbergen. Damit wird dann wie gehabt Exploit-Code geladen, der Sicherheitslücken auf den Rechnern der Anwender ausnutzen soll.

XP-Hilfecenter-Exploit
Vergrößern XP-Hilfecenter-Exploit
© 2014

Es werden überwiegend zwei Schwachstellen ausgenutzt: die im letzten Juli in Microsofts Security Bulletin MS10-042 behandelte Lücke im Hilfecenter von Windows XP sowie eine relativ neue Java-Lücke. Letztere hat Oracle erst im Februar mit dem neuesten Update der Java Laufzeitumgebung ( JRE 6 Update 24 ) beseitigt. Erstere findet neben Russland vor allem in Deutschland unverhältnismäßig viele Opfer, wie die nebenstehende Karte zeigt.

Präparierte Web-Seiten und darin enthaltener Exploit-Code, der diese Schwachstellen für heimliche Malware-Downloads nutzt, haben es im Februar bis in Top 20 der Malware-Ranglisten von Kaspersky Lab geschafft. Auch PDF-Exploits sind vertreten. Sie nutzen aus, dass viele Internet-Nutzer ihre Browser-Erweiterungen, hier Adobe Reader , zu selten oder gar nicht aktualisieren.

In der Rangliste für Schädlinge in Internet gibt es im Februar eine ganze Reihe Neueinsteiger, darunter die oben erwähnten Exploit-Scripte. Mit Trojan-SMS.J2ME.Agent.cd ist auch ein Handy-Schädling bis in die Top 20 vorgedrungen. Auf Anwender-PCs hat sich am Lagebild hingegen weniger geändert. Es dominieren weiterhin die lange bekannten Schädlinge Kido (Alias: Conficker, Downadup) und Sality . Dahinter gibt es vor allem Positionswechsel.

Freitag den 04.03.2011 um 16:41 Uhr

von Frank Ziemann

Kommentieren Kommentare zu diesem Artikel (0)
803699