Das Testlabor AV-Test verzeichnete heute morgen um 6:06 CET den 50-millionsten Neuzugang. Es handelte sich dabei um eine PDF-Datei, die eine Sicherheitslücke in Adobes Reader ausnutzte, um Windows-Systeme zu infizieren. Einen Namen hat der Schädling mangels spezifischer Erkennung noch nicht. Bislang meldeten lediglich die Heuristiken von Authentium, Eset, F-Prot, Kaspersky und McAfee etwas Allgemeines wie: "HEUR:Exploit.Script.Generic". Bei anderen Antivirus-Programmen bleibt einmal mehr nur die Hoffnung, dass beim Öffnen der Datei die Verhaltenserkennung zuschlägt. Die unterschiedlichen Erkennungsmethoden erklärt übrigens das Antivirus-Lexikon auf den Erste-Hilfe-Seiten von heise Security.

Der Schädling bestätigt den Trend, dass mittlerweile nicht mehr so sehr Sicherheitslücken in Betriebssystemen oder Browser als Einfallstor dienen, um PCs zu infizieren. Stattdessen konzentrieren sich die Malware-Autoren auf Anwendungen von Drittherstellern. Neben dem Adobe Reader stehen besonders Flash-Plugins und Java unter Beschuss. Hat man von einem dieser Programme eine veraltete Version mit bekannten Sicherheitslücken installiert, ist der Rechner leichte Beute. Der Update-Check überprüft, ob die wichtigsten Programme auf dem aktuellen Stand sind.

Die absoluten Zahlen als solche sind etwas irreführend, weil sie sich auf so genannte "Unique Samples" beziehen. Eine Datei, an der nur ein einziges Bit verändert wurde, zählt somit gleich als neues Exemplar, auch wenn sich am Verhalten des Schädlings nichts ändert. Da geringfügige Modifikationen oft genügen, die signaturbasierte Erkennung auszutricksen, überschwemmen die Schädlingsmacher das Netz geradezu mit Variationen, die sich bei den Funktionen nicht unterscheiden. (ju)

Quelle: Heise.de