+++ Gamer weiterhin im Fadenkreuz der Cyber-Banden

Zahl infizierter P2P-Dateien für PC-Games weiterhin erschreckend hoch

Die G DATA Security Labs analysieren seit dem 3. Quartal 2007 Patches, Wallhacks, Cheats und andere Gaming-Dateien der Top 20 PC-Spiele nach Schadcode.

Gamer geraten in unterschiedlicher Form immer stärker ins Kreuzfeuer der Online-Kriminellen. Einer der erfolgreichen Kanäle sind P2P-Tauschbörsen, wo Kriminelle präparierte Dateien einschleusen. Gamer machen sich dort gerne auf die Suche nach „Schummel-Dateien“ oder andere Erweiterung für PC-Spiele. Die Zahlen der aktuellen Analysen zeigen, dass zwar eine leichte Abnahme zu registrieren ist, jedoch der Anteil infizierter Dateien mit 63,7 Prozent im  zweiten Quartal 2008 sich auf einem enorm hohen Niveau befindet. Neben P2P-Tauschbörsen nutzen die Täter für das Einspeisen von Schadcode die Online-Games selbst. Viele der Spieler deaktivieren für die Dauer der Game-Session die Firewall oder verzichten auf ihren Rechnern gänzlich auf Internet-Sicherheitspakete.

 

 + Zielgruppe Online-Gamer

 PC-Spieler verfügen über alles, was das Herz der Online-Kriminellen höher schlagen lässt: High End  PCs, lange Online-Zeiten, schnelle DSL-Leitungen und häufig deaktivierte Security-Lösungen oder nicht aktuelle Security-Pakete.

 

+ Entwicklung von Schadcode in P2P-Tauschbörsen im zweiten Quartal 2008:

 

Prüfsumme: 1000 Gaming-Dateien der aktuellen Top 20 der PC-Spiele-Verkaufscharts

 

Infektionen: 637 von 1000 Samples mit Malware verseucht.

Prozentualer Anteil:  63.7% aller Cheats, Patches, Wallhacks oder andere Gaming-Dateien sind somit mit  Malware präpariert.

 

+++ Malware Top Five in Gaming-Dateien in P2P-Tauschbörsen für die Top 20 Games:

 

1. 32.6%   Trojan-Downloader.Win32.Bagle.qv

2. 15.1%   P2P-Worm.Win32.P2PAdware.a

3. 9.3%    P2P-Worm.Win32.Padonak.b

4. 8.3%    Trojan-Dropper.Win32.Peerad.a

5. 3.1%    P2P-Worm.Win32.Kapucen.b

 

+++ Verlauf der letzen zwölf Monate:

3 Quartal 2007: 30 Prozent

4. Quartal 2007: 53 Prozent

1. Quartal 2008: 65 Prozent

2. Quartal 2008: 63,7 Prozent

 

 

+++ Erläuterung zu den gefundenen Schädlingen aus P2P-Tauschbörsen:

1. Trojan-Downloader.Win32.Bagle.qv

- Ist der P2P Ableger des Bagle Wurms. Er lädt weitere Malware nach u.a. Mailadressensammler und eine Backdoor (Botnetze).

 

2. P2P-Worm.Win32.P2PAdware.a

- Blendet Anzeigen ein, täuscht u.U. Virenbefall auf dem Rechner vor und bietet an, den Rechner mit einer gefälschten Antispyware-Software zu scannen. Danach wird der Anwender auf eine Seite gelockt, die den Kauf der "Vollversion" anbietet und dem Anwender Kreditkartendaten entlockt.

 

3. P2P-Worm.Win32.Padonak.b

- Installiert sich auf der befallenen Maschine als Dienst, um bei jedem Systemstart zu starten. Durchsucht dann den Rechner nach Verzeichnissen von Filesharing-Programmen und kopiert sich selbst mit neuem Namen als ZIP oder RAR Archiv in diese Verzeichnisse um sich weiterzuverbreiten.

 

4. Trojan-Dropper.Win32.Peerad.a

- Lädt von einem Server des Malwareautors weitere Bestandteile nach und installiert diese auf dem System.

Kontaktiert Anzeigen-Server und generiert somit Clicks, die dem Autor Geld bringen.

 

5. P2P-Worm.Win32.Kapucen.b

- Installiert sich auf der befallenen Maschine als Dienst, um bei jedem Systemstart zu starten. Durchsucht dann den Rechner nach Verzeichnissen von Filesharing-Programmen und kopiert sich selbst mit neuem Namen als ZIP oder RAR Archiv in diese Verzeichnisse um sich weiterzuverbreiten.

 

 

 

++++++++++++++++++++++++++++++++

 

+++ Einzelbetrachtung der Schädlinge für Juni 2008. Weitere Informationen bezogen auf das erste Halbjahr 2008 finden Sie im G DATA Malware Halbjahresbericht 2008.

 

Anzahl der neuen Schädlinge im Juni 2008: 65529

Gesamtzahl neuer Schädlinge im ersten Halbjahr 2008: 318.261

 

++ Juni 2008

Welche Virenkategorien war am weitesten verbreitet?

 

Platz 1: Backdoor  mit  22.4%

 

(Erklärung: Backdoors öffnen eine Hintertür zum infizierten Rechner. So kann der Rechner von einem Angreifer ferngesteuert werden. Meist kann weitere Software installiert werden und der Rechner wird mit anderen Zombie-PCs in ein Botnetz integriert.)

 

Platz 2: Trojanische Pferde mit 19,7 %

 

(Erklärung: Der Name Trojanisches Pferd ist angelehnt an das geschichtliche Vorbild und beschreibt ein Programm, das dem Anwender vorgibt, eine bestimmte und gewollte Funktion zu besitzen. Zusätzlich dazu beinhalten Trojaner jedoch noch einen versteckten Programmteil, der gleichsam eine Hintertür zum befallenen Rechner öffnet und so nahezu vollen Zugriff auf das betroffene System gewähren kann ohne, dass der Benutzer dies bemerkt.)

 

Platz 3: Trojan-downloader mit 16,7 %

 

(Erklärung: Downloader und Dropper haben die Aufgabe eine Datei auf den infizierten Rechner zu laden oder zu kopieren. Zuvor versuchen sie oft die Sicherheitseinstellungen des Systems zu reduzieren.)

 

Platz 4: Trojan-psw mit 13,6 %

 

(Erklärung: Diese Trojaner-Unterkategorie durchsucht das befallene System gezielt nach gespeicherten Passörten und übermittelt diese an den Angreifer.)

 

Platz 5: Adware mit 7,1 %

 

(Erklärung: Adware zeichnet die Aktivitäten und Prozesse auf einem Rechner wie z.B. das Surfverhalten auf. Bei passender Gelegenheit werden dann Werbebotschaften eingeblendet. Oder die Ergebnisse von Suchanfragen werden manipuliert.)

 

 

++ Aktivste Virenfamilien im Juni 2008:

 

Platz 1: Hupigon           9.2%

Die Urform, Hupigon.a installiert sich auf einem befallenen System als Dienst, so dass der Schädling bei jedem

Systemstart zur Ausführung kommt. Zusätzlich wird die Registry so manipuliert, dass beim Aufruf ausführbarer Dateien

sowie beim Öffnen von Textdateien der Schädling ebenfalls unbemerkt im Hintergrund ausgeführt wird. Auf dem befallenen

System wird der UDP-Port 8310 sowie diverse zufällig gewählte TCP-Ports geöffnet, die dem Angreifer Zugriff auf den befallenen

Rechner ermöglichen.

 

Platz 2: Onlinegames              8,3 %

 

In der Familie der "Onlinegames"-Trojaner sind alle Varianten zusammengefasst, welche Accountdaten für auf dem befallenen

Rechner installierte Online-Spiele stehlen und diese an den Angreifer schicken. In der Regel sind sog. MMORPGs

(Massively Multiplayer Online Role-Playing Games) wie z.B. World of Warcraft betroffen, da sich mit die erbeuteten Accountdaten

oder einzelne Ausrüstungsgegenstände wie Schwerter etc. gewinnbringend auf dem Schwarzmarktweiterverkaufen lassen.

 

Platz 3: Obfuscated     3.6%

Vertreter der Obfuscated-Familie geben nach Ausführung auf dem Rechner gefälschte Fehlermeldungen aus, die dem Anwender vortäuschen,

sein System sei defekt und könne durch bestimmte Reparatur-Programme, die der Anwender käuflich erwerben könne, wieder in einen

lauffähigen Zustand versetzt werden.

 

Platz 4: Magania                       3,3 %

Die Familie der Magania-Trojaner umfasst eine Vielzahl von Schädlingen, die sich auf den Diebstahl von Accountdaten von Online-Spielen

des Taiwanesischen Softwareherstellers Gamania spezialisiert haben. Nach Infektion klinkt sich der Schädling in die Internetverbindung

ein und kann somit die Kommunikation zwischen dem befallenen Rechner und dem Gaming-Server mitlesen.

 

Platz 5: Virtumonde      2.7%

Die Virtumonde-Familie repräsentiert Adware-Schädlinge. Diese blenden beim Surfen im Internet Werbung insbesondere für gefälschte

Anti-Spyware-Produkte ein. Hierbei wird dem Opfer vorgegaukelt, sein Rechner werde auf Schädlinge gescannt. Um die vorgeblichen

Schädlinge zu entfernen, wird der Anwender dazu gedrängt, auf einer Webseite die "Vollversion" zu erwerben und dazu seine

Kreditkartendaten preiszugeben.