+++ Cyberbendes blijven gamers in de gaten houden

Aantal geïnfecteerde P2P-bestanden voor pc-games nog steeds schrikbarend hoog

De G DATA Security Labs analyseren sinds het 3e kwartaal van 2007 patches, wallhacks, cheats en andere gaming-bestanden van de top 20 pc-spellen op schadelijke codes.

Gamers komen op verschillende manieren steeds vaker in het kruisvuur van online-criminelen terecht. Een van de meest succesvolle kanalen zijn de P2P-ruilbeurzen waar criminelen geprepareerde bestanden binnensmokkelen. Gamers gaan hier graag op zoek naar "cheat-bestanden" of andere uitbreidingen voor pc-spellen. Uit de cijfers van de analysen blijkt dat er weliswaar een lichte daling te zien is, maar dat het aandeel geïnfecteerde bestanden in het tweede kwartaal van 2008 met 63,7 procent op een erg hoog niveau ligt. Naast P2P-ruilbeurzen gebruiken daders voor het binnensluizen van schadelijke code de online-games zelf. Veel van de spelers deactiveren voor de duur van de gamesessie de firewall of zien op hun pc helemaal af van internetbeveiligingsoplossingen.

 

  + Doelgroep online-gamers

Pc-gamers beschikken over alles waar het hart van cybercriminelen sneller van gaat kloppen: hoogwaardige pc’s, lange online-tijden, snelle DSL-verbindingen en in veel gevallen gedeactiveerde security-oplossingen of niet-bijgewerkte security-pakketten.

 

+ Ontwikkeling van schadelijke code in P2P-ruilbeurzen in het tweede kwartaal 2008:

 

Checksum: 1000 gaming-bestanden van de huidige top 20 van pc-spellen

 

Infecties: 637 van 1000 samples geïnfecteerd met malware.

Procentueel aandeel:  63,7 % van alle cheats, patches, wallhacks of andere gaming-bestanden zijn dus van malware voorzien.

 

+++ Malware top vijf in gaming-bestanden in P2P-ruilbeurzen voor de spellentop 20:

 

1. 32.6%   Trojan-Downloader.Win32.Bagle.qv

2. 15.1%   P2P-Worm.Win32.P2PAdware.a

3. 9.3%    P2P-Worm.Win32.Padonak.b

4. 8.3%    Trojan-Dropper.Win32.Peerad.a

5. 3.1%    P2P-Worm.Win32.Kapucen.b

 

[TRANSLATE IN DUTCH] +++ Verlauf der letzen zwölf Monate:

3e kwartaal 2007: 30 procent

4e kwartaal 2007: 53 procent

1e kwartaal 2008: 65 procent

2e kwartaal 2008: 63,7 procent

 

 

+++ Toelichting bij de gevonden schadelijke programma’s uit P2P-ruilbeurzen:

1. Trojan-downloader.Win32.Bagle.qv

- Is de P2P-spruit van de Bagle-worm.  Hij laadt aanvullende malware, o.a. e-mailadressenverzamelaars en een backdoor (botnets).

 

2. P2P-worm.Win32.P2PAdware.a

- Geeft meldingen weer, simuleert o.a. virusbesmettingen van de pc en biedt aan de computer met vervalste antispywaresoftware te scannen. Daarna wordt de gebruiker naar een pagina gelokt waar de “volledige versie” wordt aangeboden en waar de gebruiker creditcardgegevens worden ontlokt.

 

3. P2P-worm.Win32.Padonak.b

- Installeert zich op de geïnfecteerde computer als dienst die bij elke systeemstart wordt geactiveerd. Zoekt op de computer naar directory’s van filesharing-programma’s en kopieert zichzelf met een nieuwe naam als zip- of rar-archief naar deze directory’s om zich op deze manier verder te verspreiden.

 

4. Trojan-Dropper.Win32.Peerad.a

- Laadt vanaf een server van de malware-auteur aanvullende bestanddelen en installeert deze op het systeem.

Neemt contact op met advertentieservers en genereert op deze manier kliks waarmee de auteur geld verdient.

 

5. P2P-worm.Win32.Kapucen.b

- Installeert zich op de geïnfecteerde computer als dienst die bij elke systeemstart wordt geactiveerd. Zoekt op de computer naar directory’s van filesharing-programma’s en kopieert zichzelf met een nieuwe naam als zip- of rar-archief naar deze directory’s om zich op deze manier verder te verspreiden.

 

 

 

++++++++++++++++++++++++++++++++

 

+++ Afzonderlijke bespreking van de schadelijke programma’s voor juni 2008. Aanvullende informatie over de eerste zes maanden van 2008 vindt u in het tussentijdse rapport 2008 over malware van G DATA.

 

Aantal nieuwe schadelijke programma’s in juni 2008: 65529

Totaal aantal nieuwe schadelijke programma’s in de eerste zes maanden van 2008: 318.261

 

++ Juni 2008

Welke viruscategorie was het sterkst vertegenwoordigd?

 

1e plaats: backdoor met 22,4%

 

(Toelichting: Backdoors openen een achterdeur die toegang geeft tot de geïnfecteerde computer. Op deze manier kan de computer door de aanvaller op afstand worden bestuurd. Meestal kan aanvullende software worden geïnstalleerd en wordt de computer met andere zombie-pc’s in een botnet geïntegreerd).

 

2e plaats: Trojaanse paarden met 19,7 %

 

(Toelichting: De naam Trojaans paard is afgeleid van het historische voorbeeld en beschrijft een programma die voorwend dat het een bepaalde en gewenste functie bezit. Daarnaast bevatten trojanen een verborgen programma-onderdeel, waardoor de besmette computer als het ware toegankelijk wordt via de achterdeur en dus volledige toegang tot het systeem biedt zonder dat de gebruiker dat in de gaten heeft).

 

3e plaats: Trojan-downloader met 16,7 %

 

(Toelichting: Downloaders en droppers hebben de taak een bestand op de geïnfecteerde computer te laden of te kopiëren. Eerst proberen zij vaak de veiligheidsinstellingen van het systeem te verlagen).

 

4e plaats: Trojan-psw met 13,6 %

 

(Toelichting: Deze subcategorie binnen de trojanen doorzoekt het geïnfecteerde systeem gericht op opgeslagen wachtwoorden en geeft deze door aan de aanvaller).

 

5e plaats: Adware met 7,1 %

 

(Toelichting: Adware registreert de activiteiten en processen op een computer, zoals het surfgedrag. Op een geschikt moment worden vervolgens reclameboodschappen weergegeven. Of de resultaten van zoekopdrachten worden gemanipuleerd).

 

 

++ De meest actieve virusfamilies in juni 2008:

 

1e plaats: Hupigon           9,2 %

De oervorm, Hupigon.a, installeert zich op een geïnfecteerd systeem als dienst, zodat het schadelijke programma bij elke

systeemstart wordt uitgevoerd. Daarnaast wordt de Registry zodanig gemanipuleerd dat bij het opvragen van uitvoerbare bestanden

en het openen van tekstbestanden de schadelijke code eveneens ongemerkt op de achtergrond wordt uitgevoerd. Op het geïnfecteerde

systeem worden de UDP-poort 8310 en diverse willekeurig geselecteerde TCP-poorten geopend die de aanvaller toegang tot de geïnfecteerde

computer verschaffen.

 

2e plaats: Online-games              8,3 %

 

In de familie van de trojanen voor online-games zijn alle varianten samengevat die accountgegevens voor op de geïnfecteerde

computer geïnstalleerde online-spellen stelen en deze aan de aanvaller sturen. Doorgaans zijn zogenoemde MMORPG’s

(Massively Multiplayer Online Role-Playing Games) zoals World of Warcraft hierbij betrokken aangezien met de verkregen accountgegevens

of afzonderlijke uitrustingen, zoals zwaarden enz. op de zwarte markt veel geld kan worden verdiend.

 

3e plaats: Obfuscated     3,6 %

Vertegenwoordigers van de obfuscated-familie geven na uitvoering op de computer vervalste foutmeldingen weer, die de gebruiker wijsmaken

dat zijn systeem defect is en met behulp van bepaalde reparatieprogramma's, die de gebruiker kan kopen, weer kan

worden gerepareerd.

 

4e plaats 4: Magania                       3,3 %

De familie van de magania-trojanen omvat talrijke schadelijke programma’s die zich hebben gespecialiseerd op de diefstal van accountgegevens van online-spellen

van de Taiwanese softwareproducent Gamania. Na de infectie koppelt het schadelijke programma zich aan de internetverbinding

en kan op deze manier de hele communicatie tussen de geïnfecteerde computer en de gaming-server meelezen.

 

5e plaats: Virtumonde      2,7 %

De virtumonde-familie vertegenwoordigt schadelijke adwareprogramma’s. Deze geven tijdens het surfen op het internet reclame weer, in het bijzonder voor vervalste

antispywareproducten. Hierbij wordt de gebruiker voorgespiegeld dat zijn computer op schadelijke code wordt gecontroleerd. Om de vermeende

schadelijke programma’s te verwijderen, wordt er bij de gebruiker op aangedrongen op een website de “volledige versie” te kopen en hiervoor zijn

creditcardgegevens op te geven.