Virusreport von Doctor Web - Rückblick September 2008

Im ersten Herbstmonat plagten neue verschlüsselte Trojaner und Massen-Mailings mit Links zu bösartigen Codes sowie vermeintliche 'Anti-Viren'-Programme die PC-Benutzer. Gleich zu Beginn des Monats traten zwei neue Modifikationen des Erpresser-Trojaners auf. Diese Programme verschlüsseln Dokumente auf Computern und fordern dann eine Gebühr für deren Rückgabe. Doctor Web berichtete in diesem Zusammenhang bereits im vergangenen Monat über die Varianten Trojan.Encoder.20 und Trojan.Encoder.21. Die Entwickler des Security-Unternehmens reagierten schnell auf diese neue Bedrohung und

entwickelten ein Entschlüsselungs-Utility, das jedermann kostenlos zur Verfügung steht.

Tendenz im September – Scriptsprache AutoIt wird verstärkt zum Schreiben von Viren missbraucht. Immer häufiger wurde im September die Programmiersprache AutoIt zum Schreiben von Viren benutzt beziehungsweise missbraucht. Das Open Source-Programm erfreut sich wachsender Popularität und wurde entwickelt, um Tasks in Windows zu automatisieren. Seine neuesten Versionen haben zahlreiche Optionen wie die Möglichkeit TCP / UDP-Verbindungen aufzubauen, ausführbare Dateien in eine kompilierte Datei aufzunehmen, die beim deren Start extrahiert werden kann, oder eine Option die Tastatur-Tasten loggen kann. Diese Optionen sowie die Benutzerfreundlichkeit macht diese Sprache bei zahlreichen Virus-Schreibern immer beliebter.

Neues Internet Explorer-Plug-in führt zahlreiche System-Änderungen durch. Als Plug-in für den Internet Explorer trat ein weiteres gefährliches Erpresser-Programm im vergangenen Monat auf - mit dramatisch zunehmender Häufigkeit. Das Plug-in erscheint im Internet Explorer und verdeckt den größten Teil des Bildschirms. Anschließend fordert die Malware vom Benutzer, eine SMS-Nachricht von seinem Handy zu schicken, um Anweisungen für die Deinstallation zu erhalten. Doctor Web Virus-Analysten klassifizieren diesen Schädling als Trojan.Blackmailer. Durch den Eintrag von Trojan.Blackmailer.origin in der Doctor Web Virus-Datenbank können zahlreiche Änderungen die durch das Erpresser-Plug-in vorgenommen wurden aus einem infizierten System entfernt werden.

Vermeintliche Antiviren-Programme auf dem Vormarsch. Neue vermeintliche Antiviren-Programme wurden im September verbreitet. Solche Programme installieren sich selbst und zeigen eine Nachricht, dass angeblich ein Virus erkannt worden sei. Um das angebliche Virus zu entfernen, wird der Benutzer aufgefordert die volle Version eines 'Anti-Virus'-Programms herunter zu laden. Das Virus Trojan.Fakealert deaktiviert anschließend einige Funktionen der Standard-Windows-Fenster und das Ändern von Bildern auf dem Desktop wird unmöglich, da solche vermeintlichen 'Infektions-Warnungen mit Hilfe just solcher Bilder angezeigt werden.