Top 10 der Malware Information Initiative (MII)

Gesamtprozent der Top 10: 12.64 %

PlatzNameProzent Verteilung innerhalb der Top 10
1Win32.Application.OpenCandy.G3.29 % Top10 Chart

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Die Schädlingsfamilie DealPly gehört zur Kategorie der Adware. Dieses Tool wird häufig im Software-Bundle mit anderer Software angeboten, sodass DealPly unter Umständen aus Versehen vom Benutzer mit installiert wird (Potentiell Unwerwünschtes Programm = PUP). Dealply installiert sich selbst als Browser Helper Object (BHO)/Erweiterung/Add-On zu den gängigen Browsern hinzu, falls einer dieser Browser installiert ist. DealPly überwacht das Surfverhalten des Nutzers und blendet über das BHO/die Erweiterung/das Add-On beim Surfen im Internet auf Seiten Werbung, beispielsweise Rabattangebote durch Coupons, ein.

Win32.Adware.OpenCandy.O ist ein potentiell unerwünschtes Programm (PUP). Das Programm wird in andere, legitime, Applikationen integriert, um dann für den Vertreiber Geld durch Werbeeinblendungen zu generieren. Die Anwendung wird von einer Firma namens OpenCandy entwickelt.
Die Applikation verändert das Browserverhalten, indem es die eingestellte Homepage und die Suchmaschine verändert. Dem Benutzer werden außerdem Werbeeinblendungen auf seinem Gerät angezeigt.

Adware.Searchprotect.AT ist die Erkennung für eine Vorinstallierte Version von Conduit Search Protect auf Lenovo Computern. Conduit Search Protect gehört in die Kategorie potentiell unerwünschter Programme (PUP).
In dieser Variante der Software kann der Benutzer Einstellungen vornehmen, wird jedoch zunächst durch das Programm mit vom Vertreiber gewünschten Einstellungen versorgt.

Adware.RelevantKnowledge.A ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

Script.Application.FusionCore.B ist die Erkennung eines Adware/PUP Installers. Er wird mit freuen Versionen von Software wie z.B. dem Freemake Video Converter ausgeliefert. Die bezahlte Version der Software enthält den Installer nicht.
Während der Installation werden verschiedene Angebote gemacht, das Angebot reicht von angeblichen Sicherheits-Toolbars bis hin zu Scareware. Der Installer merkt, ob er in einer virtuellen Maschine (VM) ausgeführt wurde oder auf einem realen Gerät. Abhängig von dieser Plattform, ändert er das Layout und die Angebote.
Wenn auf einer VM ausgeführt, sind die Angebote Opt-In und die Art der angebotenen Software ist weder betrügerisch noch aggressiv. Auf einem realen Computer werden die Angebote nach der Ausführung des Installers Opt-Out und scheinen zwingend notwendig zu sein.

Diese Erkennung zählt zur Kategorie der potentiell unerwünschten Programme (PUP). Sie beschreibt vermeintliche Systemhelferlein mit Namen wie etwa BrowserProtect, BrowserProtector, Search Protect, Browser Defender, BrowserManager, Bit Protect oder ähnliches, die ihrerseits mit potentiell unerwünschten Zusätzen verpackt werden. Häufig erhalten die Drittanbieter Geld für jede Installation ihrer eigens gepackten Softwarepakete (pay per install). Die Toolbars, in diesem Fall signiert von Conduit, verändern die Browser-Startseite sowie Suchanbieter dauerhaft und präparieren den Browser für gezielte Werbeeinblendungen. Versucht der Benutzer die Einstellungen rückgängig zu machen, wird eine Warnung ausgegeben. Eine Vielzahl der PUPs dieser Variante .AO werden mit einer manipulierten Variante von PowerISO mitinstalliert.

BrowseFox ist eine Adware-Familie, die sich in vielen verschiedenen Programmen verbirgt, z.B. SwiftBrowse, MarketResearchHelper, SmarterPower, CommonShare, MegaBrowse, SpecialBox, NetCrawl, ClearThink, JumpFlip, BringStar, SmarterPower, WiseEnhance, EnterDigital, FramedDisplay, DigiHelp, RockTurner, InfiniNet, …
Diese Programme werden üblicherweise durch Drittanbieter-Installer auf den Rechner gebracht, ohne die Zustimmung des Nutzers. Es werden Add-Ons in Microsoft Internet Explorer, Mozilla Firefox und auch Google Chrome installiert. Außerdem werden auch ein lokaler Proxy, ein Treiber und ein neuer Service installiert. BrowseFox und seine Varianten verändern die Startseite der Browser sowie deren Suchmaschine. Es werden Werbungen sowohl in Webseiten, die der Benutzer besucht als auch in die Startseiten der Browser und in angezeigte Pop-Ups.

2Script.Application.InstallCore.HL1.74 % Top10 Chart
3Win32.Application.DownloadSponsor.R1.43 % Top10 Chart
4Script.Adware.DealPly.G1.41 % Top10 Chart
5Win32.Application.OpenCandy.O0.92 % Top10 Chart
6Adware.Searchprotect.AT0.91 % Top10 Chart
7Adware.RelevantKnowledge.A0.86 % Top10 Chart
8Script.Application.FusionCore.B0.84 % Top10 Chart
9Win32.Application.SearchProtect.AO0.66 % Top10 Chart
10Gen:Adware.BrowseFox.10.58 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Vorrausetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 18.33 %

PlatzNameProzent Verteilung innerhalb der Top 10
1Win32.Application.OpenCandy.G4.47 % Top10 Chart

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Die Schädlingsfamilie DealPly gehört zur Kategorie der Adware. Dieses Tool wird häufig im Software-Bundle mit anderer Software angeboten, sodass DealPly unter Umständen aus Versehen vom Benutzer mit installiert wird (Potentiell Unwerwünschtes Programm = PUP). Dealply installiert sich selbst als Browser Helper Object (BHO)/Erweiterung/Add-On zu den gängigen Browsern hinzu, falls einer dieser Browser installiert ist. DealPly überwacht das Surfverhalten des Nutzers und blendet über das BHO/die Erweiterung/das Add-On beim Surfen im Internet auf Seiten Werbung, beispielsweise Rabattangebote durch Coupons, ein.

Diese Erkennung zählt zur Kategorie der potentiell unerwünschten Programme (PUP). Sie beschreibt vermeintliche Systemhelferlein mit Namen wie etwa BrowserProtect, BrowserProtector, Search Protect, Browser Defender, BrowserManager, Bit Protect oder ähnliches, die ihrerseits mit potentiell unerwünschten Zusätzen verpackt werden. Häufig erhalten die Drittanbieter Geld für jede Installation ihrer eigens gepackten Softwarepakete (pay per install). Die Toolbars, in diesem Fall signiert von Conduit, verändern die Browser-Startseite sowie Suchanbieter dauerhaft und präparieren den Browser für gezielte Werbeeinblendungen. Versucht der Benutzer die Einstellungen rückgängig zu machen, wird eine Warnung ausgegeben. Eine Vielzahl der PUPs dieser Variante .AO werden mit einer manipulierten Variante von PowerISO mitinstalliert.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Diese Erkennung zählt zur Kategorie der potentiell unerwünschten Programme (PUP). Sie beschreibt vermeintliche Systemhelferlein mit Namen wie etwa BrowserProtect, BrowserProtector, Search Protect, Brower Defender, BrowserManager, Bit Protect oder ähnliches, die ihrerseits mit potentiell unerwünschten Zusätzen verpackt werden. Häufig erhalten die Drittanbieter Geld für jede Installation ihrer eigens gepackten Softwarepakete (pay per install). Die Toolbars, in diesem Fall signiert von Conduit, verändern die Browser-Startseite sowie Suchanbieter dauerhaft und präparieren den Browser für gezielte Werbeeinblendungen. Häufig ist die Software Teil von kostenlos angebotenen Softwarepaketen, die nicht vom eigentlichen Hersteller, sondern von Drittanbieter-Seiten geladen werden.

Adware.Searchprotect.AT ist die Erkennung für eine Vorinstallierte Version von Conduit Search Protect auf Lenovo Computern. Conduit Search Protect gehört in die Kategorie potentiell unerwünschter Programme (PUP).
In dieser Variante der Software kann der Benutzer Einstellungen vornehmen, wird jedoch zunächst durch das Programm mit vom Vertreiber gewünschten Einstellungen versorgt.

BrowseFox ist eine Adware-Familie, die sich in vielen verschiedenen Programmen verbirgt, z.B. SwiftBrowse, MarketResearchHelper, SmarterPower, CommonShare, MegaBrowse, SpecialBox, NetCrawl, ClearThink, JumpFlip, BringStar, SmarterPower, WiseEnhance, EnterDigital, FramedDisplay, DigiHelp, RockTurner, InfiniNet, …
Diese Programme werden üblicherweise durch Drittanbieter-Installer auf den Rechner gebracht, ohne die Zustimmung des Nutzers. Es werden Add-Ons in Microsoft Internet Explorer, Mozilla Firefox und auch Google Chrome installiert. Außerdem werden auch ein lokaler Proxy, ein Treiber und ein neuer Service installiert. BrowseFox und seine Varianten verändern die Startseite der Browser sowie deren Suchmaschine. Es werden Werbungen sowohl in Webseiten, die der Benutzer besucht als auch in die Startseiten der Browser und in angezeigte Pop-Ups.

Adware.RelevantKnowledge.A ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

Diese Erkennung steht für einen Teil einer Backdoor, die Angreifern langfristig Zugriff auf das infizierte System des Opfers sichern soll. Das Schadprogramm schaltet die Microsoft-Windows-LUA-Einstellungen auf "aus". Das bedeutet, dass es weitere Komponenten nachladen und mit erweiterten Rechten installieren kann, ohne dass der Benutzer über die Ausführung gewarnt wird. Außerdem fügt sich der Schädling als Service zum System und erstellt auch einen passenden Autostart-Eintrag, damit er im System persistent ist - also z.B. Neustarts überlebt. Dabei tarnt sich die Schadsoftware als populäres Programm, z.B. durch ein iTunes Icon, oder als Windows Systemdatei.

2Script.Application.InstallCore.HL2.50 % Top10 Chart
3Script.Adware.DealPly.G2.48 % Top10 Chart
4Win32.Application.SearchProtect.AO1.66 % Top10 Chart
5Win32.Application.DownloadSponsor.R1.53 % Top10 Chart
6Application.SearchProtect.BS1.33 % Top10 Chart
7Adware.Searchprotect.AT1.21 % Top10 Chart
8Gen:Adware.BrowseFox.11.18 % Top10 Chart
9Adware.RelevantKnowledge.A1.04 % Top10 Chart
10Gen:Variant.Graftor.97180.93 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Vorrausetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 12.16 %

PlatzNameProzent Verteilung innerhalb der Top 10
1Win32.Application.OpenCandy.G2.72 % Top10 Chart

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Die Schädlingsfamilie DealPly gehört zur Kategorie der Adware. Dieses Tool wird häufig im Software-Bundle mit anderer Software angeboten, sodass DealPly unter Umständen aus Versehen vom Benutzer mit installiert wird (Potentiell Unwerwünschtes Programm = PUP). Dealply installiert sich selbst als Browser Helper Object (BHO)/Erweiterung/Add-On zu den gängigen Browsern hinzu, falls einer dieser Browser installiert ist. DealPly überwacht das Surfverhalten des Nutzers und blendet über das BHO/die Erweiterung/das Add-On beim Surfen im Internet auf Seiten Werbung, beispielsweise Rabattangebote durch Coupons, ein.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

BrowseFox ist eine Adware-Familie, die sich in vielen verschiedenen Programmen verbirgt, z.B. SwiftBrowse, MarketResearchHelper, SmarterPower, CommonShare, MegaBrowse, SpecialBox, NetCrawl, ClearThink, JumpFlip, BringStar, SmarterPower, WiseEnhance, EnterDigital, FramedDisplay, DigiHelp, RockTurner, InfiniNet, …
Diese Programme werden üblicherweise durch Drittanbieter-Installer auf den Rechner gebracht, ohne die Zustimmung des Nutzers. Es werden Add-Ons in Microsoft Internet Explorer, Mozilla Firefox und auch Google Chrome installiert. Außerdem werden auch ein lokaler Proxy, ein Treiber und ein neuer Service installiert. BrowseFox und seine Varianten verändern die Startseite der Browser sowie deren Suchmaschine. Es werden Werbungen sowohl in Webseiten, die der Benutzer besucht als auch in die Startseiten der Browser und in angezeigte Pop-Ups.

Diese Erkennung zählt zur Kategorie der potentiell unerwünschten Programme (PUP). Sie beschreibt vermeintliche Systemhelferlein mit Namen wie etwa BrowserProtect, BrowserProtector, Search Protect, Brower Defender, BrowserManager, Bit Protect oder ähnliches, die ihrerseits mit potentiell unerwünschten Zusätzen verpackt werden. Häufig erhalten die Drittanbieter Geld für jede Installation ihrer eigens gepackten Softwarepakete (pay per install). Die Toolbars, in diesem Fall signiert von Conduit, verändern die Browser-Startseite sowie Suchanbieter dauerhaft und präparieren den Browser für gezielte Werbeeinblendungen. Häufig ist die Software Teil von kostenlos angebotenen Softwarepaketen, die nicht vom eigentlichen Hersteller, sondern von Drittanbieter-Seiten geladen werden.

Diese Erkennung steht für einen Teil einer Backdoor, die Angreifern langfristig Zugriff auf das infizierte System des Opfers sichern soll. Das Schadprogramm schaltet die Microsoft-Windows-LUA-Einstellungen auf "aus". Das bedeutet, dass es weitere Komponenten nachladen und mit erweiterten Rechten installieren kann, ohne dass der Benutzer über die Ausführung gewarnt wird. Außerdem fügt sich der Schädling als Service zum System und erstellt auch einen passenden Autostart-Eintrag, damit er im System persistent ist - also z.B. Neustarts überlebt. Dabei tarnt sich die Schadsoftware als populäres Programm, z.B. durch ein iTunes Icon, oder als Windows Systemdatei.

Win32.Adware.InstallCore.GF ist der Signaturname für installCore Bundle-Installer, die von verschiedenen Drittanbietern verteilt werden.
Sie geben in der Regel vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein, kommen jedoch mit meist unerwünschten Zusätzen.
Ihr Hauptanliegen ist es, die im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Gen:Application.Imonetize.2 ist eine Signatur, die bei betrügerischen Installern anschlägt. Die versuchen, den Benutzer mit gewünschter Software oder anderem Inhalt zu ködern, nur um dann potentiell unerwünschte Programme (PUP) zu installieren. Die Dateien haben häufig Dateinamen im Format "__<4-Ziffern>_il<4-Ziffern>.exe"
Abhängig von der aktuellen Kampagne oder aber dem Ablaufdatum der Aktion kann es sogar passieren, dass gar kein versprochener Inhalt geliefert wird. Trotzdem werden dann PUP installiert, mit unzureichender oder gar ganz ohne Zustimmung des Benutzers.

Win32.Adware.IObit.A gibt sich als Spyware Entfernungs-Tool aus. Der Autor des Tools versucht, den Benutzer zum Kauf der Vollversion des Tools zu bewegen. Um einzuschüchtern, zeigt die Anwendung Pop-Ups, die dem Benutzer suggerieren, sein PC wäre mit mehreren Malware-Familien infiziert, obwohl der PC sauber ist. Der Benutzer müsste die Vollversion des Tools kaufen, um die angebliche Malware loszuwerden.

2Script.Adware.DealPly.G1.90 % Top10 Chart
3Script.Application.InstallCore.HL1.58 % Top10 Chart
4Win32.Application.DownloadSponsor.R1.47 % Top10 Chart
5Gen:Adware.BrowseFox.10.86 % Top10 Chart
6Application.SearchProtect.BS0.81 % Top10 Chart
7Gen:Variant.Graftor.97180.80 % Top10 Chart
8Win32.Adware.InstallCore.GF0.71 % Top10 Chart
9Gen:Application.Imonetize.20.68 % Top10 Chart
10Win32.Adware.IObit.A0.63 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Vorrausetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 19.91 %

PlatzNameProzent Verteilung innerhalb der Top 10
1Win32.Application.DownloadSponsor.R4.23 % Top10 Chart

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

BrowseFox ist eine Adware-Familie, die sich in vielen verschiedenen Programmen verbirgt, z.B. SwiftBrowse, MarketResearchHelper, SmarterPower, CommonShare, MegaBrowse, SpecialBox, NetCrawl, ClearThink, JumpFlip, BringStar, SmarterPower, WiseEnhance, EnterDigital, FramedDisplay, DigiHelp, RockTurner, InfiniNet, …
Diese Programme werden üblicherweise durch Drittanbieter-Installer auf den Rechner gebracht, ohne die Zustimmung des Nutzers. Es werden Add-Ons in Microsoft Internet Explorer, Mozilla Firefox und auch Google Chrome installiert. Außerdem werden auch ein lokaler Proxy, ein Treiber und ein neuer Service installiert. BrowseFox und seine Varianten verändern die Startseite der Browser sowie deren Suchmaschine. Es werden Werbungen sowohl in Webseiten, die der Benutzer besucht als auch in die Startseiten der Browser und in angezeigte Pop-Ups.

Nemucod ist der Familienname eines Trojan Downloaders, der üblicherweise per Mail versendet wird. Die Signatur JS.Nemucod.1.Gen erkennt jedoch auch verschleierten Code in gekaperten (hijacked) Webseiten. Der bösartige Code in einer Seite leitet den Benutzer unbemerkt auf eine manipulierte und bösartige Webseite um.

Diese Erkennung steht für einen Teil einer Backdoor, die Angreifern langfristig Zugriff auf das infizierte System des Opfers sichern soll. Das Schadprogramm schaltet die Microsoft-Windows-LUA-Einstellungen auf "aus". Das bedeutet, dass es weitere Komponenten nachladen und mit erweiterten Rechten installieren kann, ohne dass der Benutzer über die Ausführung gewarnt wird. Außerdem fügt sich der Schädling als Service zum System und erstellt auch einen passenden Autostart-Eintrag, damit er im System persistent ist - also z.B. Neustarts überlebt. Dabei tarnt sich die Schadsoftware als populäres Programm, z.B. durch ein iTunes Icon, oder als Windows Systemdatei.

Bei dieser Erkennung handelt es sich um einen Installer der Firma Freemium GmbH. Die Firma bietet Bundling von Software mit Zusatzprodukten an. Der resultierende Installer bringt dem Kunden dann nicht nur das eigentliche Programm auf den Rechner, sondern auch potentiell unerwünschte Programme als Zusatz.

Win32.Adware.IObit.A gibt sich als Spyware Entfernungs-Tool aus. Der Autor des Tools versucht, den Benutzer zum Kauf der Vollversion des Tools zu bewegen. Um einzuschüchtern, zeigt die Anwendung Pop-Ups, die dem Benutzer suggerieren, sein PC wäre mit mehreren Malware-Familien infiziert, obwohl der PC sauber ist. Der Benutzer müsste die Vollversion des Tools kaufen, um die angebliche Malware loszuwerden.

Adware.RelevantKnowledge.A ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

Script.Application.InstallCore.FE ist der Signatrname für Bundle-Installer, die von verschiedenen Drittanbietern verteilt werden. Sie geben in der Regel vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Ihr Hauptanliegen ist es, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, ohne Einwilligung des Benutzers. Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

2Win32.Application.OpenCandy.G3.98 % Top10 Chart
3Script.Application.InstallCore.HL2.60 % Top10 Chart
4Gen:Adware.BrowseFox.12.01 % Top10 Chart
5JS.Nemucod.1.Gen1.38 % Top10 Chart
6Gen:Variant.Graftor.97181.24 % Top10 Chart
7Gen:Variant.Application.Bundler.DownloadGuide.241.15 % Top10 Chart
8Win32.Adware.IObit.A1.10 % Top10 Chart
9Adware.RelevantKnowledge.A1.08 % Top10 Chart
10Script.Application.InstallCore.FE1.00 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Vorrausetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 19.11 %

PlatzNameProzent Verteilung innerhalb der Top 10
1Win32.Application.DownloadSponsor.R4.94 % Top10 Chart

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Die Schädlingsfamilie DealPly gehört zur Kategorie der Adware. Dieses Tool wird häufig im Software-Bundle mit anderer Software angeboten, sodass DealPly unter Umständen aus Versehen vom Benutzer mit installiert wird (Potentiell Unwerwünschtes Programm = PUP). Dealply installiert sich selbst als Browser Helper Object (BHO)/Erweiterung/Add-On zu den gängigen Browsern hinzu, falls einer dieser Browser installiert ist. DealPly überwacht das Surfverhalten des Nutzers und blendet über das BHO/die Erweiterung/das Add-On beim Surfen im Internet auf Seiten Werbung, beispielsweise Rabattangebote durch Coupons, ein.

BrowseFox ist eine Adware-Familie, die sich in vielen verschiedenen Programmen verbirgt, z.B. SwiftBrowse, MarketResearchHelper, SmarterPower, CommonShare, MegaBrowse, SpecialBox, NetCrawl, ClearThink, JumpFlip, BringStar, SmarterPower, WiseEnhance, EnterDigital, FramedDisplay, DigiHelp, RockTurner, InfiniNet, …
Diese Programme werden üblicherweise durch Drittanbieter-Installer auf den Rechner gebracht, ohne die Zustimmung des Nutzers. Es werden Add-Ons in Microsoft Internet Explorer, Mozilla Firefox und auch Google Chrome installiert. Außerdem werden auch ein lokaler Proxy, ein Treiber und ein neuer Service installiert. BrowseFox und seine Varianten verändern die Startseite der Browser sowie deren Suchmaschine. Es werden Werbungen sowohl in Webseiten, die der Benutzer besucht als auch in die Startseiten der Browser und in angezeigte Pop-Ups.

Diese Erkennung steht für einen Teil einer Backdoor, die Angreifern langfristig Zugriff auf das infizierte System des Opfers sichern soll. Das Schadprogramm schaltet die Microsoft-Windows-LUA-Einstellungen auf "aus". Das bedeutet, dass es weitere Komponenten nachladen und mit erweiterten Rechten installieren kann, ohne dass der Benutzer über die Ausführung gewarnt wird. Außerdem fügt sich der Schädling als Service zum System und erstellt auch einen passenden Autostart-Eintrag, damit er im System persistent ist - also z.B. Neustarts überlebt. Dabei tarnt sich die Schadsoftware als populäres Programm, z.B. durch ein iTunes Icon, oder als Windows Systemdatei.

Bei dieser Erkennung handelt es sich um einen Installer der Firma Freemium GmbH. Die Firma bietet Bundling von Software mit Zusatzprodukten an. Der resultierende Installer bringt dem Kunden dann nicht nur das eigentliche Programm auf den Rechner, sondern auch potentiell unerwünschte Programme als Zusatz.

Bei dieser Erkennung handelt es sich um einen Installer der Firma Freemium GmbH. Die Firma bietet Bundling von Software mit Zusatzprodukten an. Der resultierende Installer bringt dem Kunden dann nicht nur das eigentliche Programm auf den Rechner, sondern auch potentiell unerwünschte Programme als Zusatz.

Win32.Adware.IObit.A gibt sich als Spyware Entfernungs-Tool aus. Der Autor des Tools versucht, den Benutzer zum Kauf der Vollversion des Tools zu bewegen. Um einzuschüchtern, zeigt die Anwendung Pop-Ups, die dem Benutzer suggerieren, sein PC wäre mit mehreren Malware-Familien infiziert, obwohl der PC sauber ist. Der Benutzer müsste die Vollversion des Tools kaufen, um die angebliche Malware loszuwerden.

Win32.Application.DownloadSponsor.Q ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

2Win32.Application.OpenCandy.G3.07 % Top10 Chart
3Script.Application.InstallCore.HL2.22 % Top10 Chart
4Script.Adware.DealPly.G1.98 % Top10 Chart
5Gen:Adware.BrowseFox.11.52 % Top10 Chart
6Gen:Variant.Graftor.97181.21 % Top10 Chart
7Gen:Variant.Application.Bundler.DownloadGuide.481.20 % Top10 Chart
8Gen:Variant.Application.Bundler.DownloadGuide.241.15 % Top10 Chart
9Win32.Adware.IObit.A0.99 % Top10 Chart
10Win32.Application.DownloadSponsor.Q0.83 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Vorrausetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 21.33 %

PlatzNameProzent Verteilung innerhalb der Top 10
1Win32.Application.OpenCandy.G3.50 % Top10 Chart

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Die Schädlingsfamilie DealPly gehört zur Kategorie der Adware. Dieses Tool wird häufig im Software-Bundle mit anderer Software angeboten, sodass DealPly unter Umständen aus Versehen vom Benutzer mit installiert wird (Potentiell Unwerwünschtes Programm = PUP). Dealply installiert sich selbst als Browser Helper Object (BHO)/Erweiterung/Add-On zu den gängigen Browsern hinzu, falls einer dieser Browser installiert ist. DealPly überwacht das Surfverhalten des Nutzers und blendet über das BHO/die Erweiterung/das Add-On beim Surfen im Internet auf Seiten Werbung, beispielsweise Rabattangebote durch Coupons, ein.

Win32.Application.Agent.I7PJG3 ist die Erkennung eines Downloaders, der nicht nur eine legitime Software herunterlädt, sondern zusätzlich potentiell unerwünschte Programme (PUP) im Gepäck hat.
Diese sollen auf dem Rechner mitinstalliert werden, meist ohne explizite Einwilligung des Benutzer, um für die Betreiber Geld durch Werbeeinblendungen oder ähnliches zu generieren.

BrowseFox ist eine Adware-Familie, die sich in vielen verschiedenen Programmen verbirgt, z.B. SwiftBrowse, MarketResearchHelper, SmarterPower, CommonShare, MegaBrowse, SpecialBox, NetCrawl, ClearThink, JumpFlip, BringStar, SmarterPower, WiseEnhance, EnterDigital, FramedDisplay, DigiHelp, RockTurner, InfiniNet, …
Diese Programme werden üblicherweise durch Drittanbieter-Installer auf den Rechner gebracht, ohne die Zustimmung des Nutzers. Es werden Add-Ons in Microsoft Internet Explorer, Mozilla Firefox und auch Google Chrome installiert. Außerdem werden auch ein lokaler Proxy, ein Treiber und ein neuer Service installiert. BrowseFox und seine Varianten verändern die Startseite der Browser sowie deren Suchmaschine. Es werden Werbungen sowohl in Webseiten, die der Benutzer besucht als auch in die Startseiten der Browser und in angezeigte Pop-Ups.

Diese Erkennung steht für einen Teil einer Backdoor, die Angreifern langfristig Zugriff auf das infizierte System des Opfers sichern soll. Das Schadprogramm schaltet die Microsoft-Windows-LUA-Einstellungen auf "aus". Das bedeutet, dass es weitere Komponenten nachladen und mit erweiterten Rechten installieren kann, ohne dass der Benutzer über die Ausführung gewarnt wird. Außerdem fügt sich der Schädling als Service zum System und erstellt auch einen passenden Autostart-Eintrag, damit er im System persistent ist - also z.B. Neustarts überlebt. Dabei tarnt sich die Schadsoftware als populäres Programm, z.B. durch ein iTunes Icon, oder als Windows Systemdatei.

Bei dieser Erkennung handelt es sich um einen Installer der Firma Freemium GmbH. Die Firma bietet Bundling von Software mit Zusatzprodukten an. Der resultierende Installer bringt dem Kunden dann nicht nur das eigentliche Programm auf den Rechner, sondern auch potentiell unerwünschte Programme als Zusatz.

Bei dieser Erkennung handelt es sich um einen Installer der Firma Freemium GmbH. Die Firma bietet Bundling von Software mit Zusatzprodukten an. Der resultierende Installer bringt dem Kunden dann nicht nur das eigentliche Programm auf den Rechner, sondern auch potentiell unerwünschte Programme als Zusatz.

Win32.Adware.IObit.A gibt sich als Spyware Entfernungs-Tool aus. Der Autor des Tools versucht, den Benutzer zum Kauf der Vollversion des Tools zu bewegen. Um einzuschüchtern, zeigt die Anwendung Pop-Ups, die dem Benutzer suggerieren, sein PC wäre mit mehreren Malware-Familien infiziert, obwohl der PC sauber ist. Der Benutzer müsste die Vollversion des Tools kaufen, um die angebliche Malware loszuwerden.

Adware.RelevantKnowledge.A ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

2Script.Application.InstallCore.HL3.06 % Top10 Chart
3Script.Adware.DealPly.G2.88 % Top10 Chart
4Win32.Application.Agent.I7PJG32.27 % Top10 Chart
5Gen:Adware.BrowseFox.12.11 % Top10 Chart
6Gen:Variant.Graftor.97182.06 % Top10 Chart
7Gen:Variant.Application.Bundler.DownloadGuide.241.68 % Top10 Chart
8Gen:Variant.Application.Bundler.DownloadGuide.111.60 % Top10 Chart
9Win32.Adware.IObit.A1.17 % Top10 Chart
10Adware.RelevantKnowledge.A1.00 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Vorrausetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.