Top 10 der Malware Information Initiative (MII)

Gesamtprozent der Top 10: 17.46 %

PlatzNameProzentVerteilung innerhalb der Top 10
1Application.BitCoinMiner.SX5.33 % Top10 Chart

BitCoinMiner nutzen unbemerkt und unerlaubt die Rechenleistung des Rechners, um BitCoins zu schürfen. In den meisten Fällen werden sie über Webseiten ausgeliefert.

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Generische Erkennung für Trojanische Pferde, die Ordner-Icons missbrauchen, um ausgeführt zu werden. Je nach Variante können Funktionen von Würmern oder Backdoors enthalten sein oder es kann weitere Malware nachgeladen werden.

Diese Erkennung zählt zur Kategorie der potentiell unerwünschten Programme (PUP). Sie beschreibt vermeintliche Systemhelferlein mit Namen wie etwa BrowserProtect, BrowserProtector, Search Protect, Brower Defender, BrowserManager, Bit Protect oder ähnliches, die ihrerseits mit potentiell unerwünschten Zusätzen verpackt werden. Häufig erhalten die Drittanbieter Geld für jede Installation ihrer eigens gepackten Softwarepakete (pay per install). Die Toolbars, in diesem Fall signiert von Conduit, verändern die Browser-Startseite sowie Suchanbieter dauerhaft und präparieren den Browser für gezielte Werbeeinblendungen. Häufig ist die Software Teil von kostenlos angebotenen Softwarepaketen, die nicht vom eigentlichen Hersteller, sondern von Drittanbieter-Seiten geladen werden.

Win32.Adware.OpenCandy.O ist ein potentiell unerwünschtes Programm (PUP). Das Programm wird in andere, legitime, Applikationen integriert, um dann für den Vertreiber Geld durch Werbeeinblendungen zu generieren. Die Anwendung wird von einer Firma namens OpenCandy entwickelt.
Die Applikation verändert das Browserverhalten, indem es die eingestellte Homepage und die Suchmaschine verändert. Dem Benutzer werden außerdem Werbeeinblendungen auf seinem Gerät angezeigt.

Generische Erkennung von NSIS-basierten (De-)Installationsprogrammen für Bundler mit Potentiell Unerwünschte Programmen (PUP). Das umfasst viele PUP, die ohne Einverständnis des Nutzers installiert werden.

Adware.Searchprotect.AT ist die Erkennung für eine Vorinstallierte Version von Conduit Search Protect auf Lenovo Computern. Conduit Search Protect gehört in die Kategorie potentiell unerwünschter Programme (PUP).
In dieser Variante der Software kann der Benutzer Einstellungen vornehmen, wird jedoch zunächst durch das Programm mit vom Vertreiber gewünschten Einstellungen versorgt.

BitCoinMiner nutzen unbemerkt und unerlaubt die Rechenleistung des Rechners, um BitCoins zu schürfen. In den meisten Fällen werden sie über Webseiten ausgeliefert.

2Win32.Application.OpenCandy.G2.15 % Top10 Chart
3Script.Application.InstallCore.HL2.15 % Top10 Chart
4Win32.Application.DownloadSponsor.R1.31 % Top10 Chart
5Gen:Variant.Graftor.278201.24 % Top10 Chart
6Application.SearchProtect.BS1.20 % Top10 Chart
7Win32.Application.OpenCandy.O1.18 % Top10 Chart
8Zum.Androm.11.03 % Top10 Chart
9Adware.Searchprotect.AT0.97 % Top10 Chart
10Application.BitCoinMiner.UB0.90 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Voraussetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 14.58 %

PlatzNameProzentVerteilung innerhalb der Top 10
1Script.Application.InstallCore.HL2.58 % Top10 Chart

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Generische Erkennung von NSIS-basierten (De-)Installationsprogrammen für Bundler mit Potentiell Unerwünschte Programmen (PUP). Das umfasst viele PUP, die ohne Einverständnis des Nutzers installiert werden.

Es handelt sich hier um einen Installer für Software-Bundles, der mit Täuschungen und Tricks versucht, äußerst aggressive PUP zu installieren.

Generische Erkennung für Trojanische Pferde, die Ordner-Icons missbrauchen, um ausgeführt zu werden. Je nach Variante können Funktionen von Würmern oder Backdoors enthalten sein oder es kann weitere Malware nachgeladen werden.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Win32.Adware.OpenCandy.O ist ein potentiell unerwünschtes Programm (PUP). Das Programm wird in andere, legitime, Applikationen integriert, um dann für den Vertreiber Geld durch Werbeeinblendungen zu generieren. Die Anwendung wird von einer Firma namens OpenCandy entwickelt.
Die Applikation verändert das Browserverhalten, indem es die eingestellte Homepage und die Suchmaschine verändert. Dem Benutzer werden außerdem Werbeeinblendungen auf seinem Gerät angezeigt.

Adware.Searchprotect.AT ist die Erkennung für eine Vorinstallierte Version von Conduit Search Protect auf Lenovo Computern. Conduit Search Protect gehört in die Kategorie potentiell unerwünschter Programme (PUP).
In dieser Variante der Software kann der Benutzer Einstellungen vornehmen, wird jedoch zunächst durch das Programm mit vom Vertreiber gewünschten Einstellungen versorgt.

Diese Erkennung zählt zur Kategorie der potentiell unerwünschten Programme (PUP). Sie beschreibt vermeintliche Systemhelferlein mit Namen wie etwa BrowserProtect, BrowserProtector, Search Protect, Brower Defender, BrowserManager, Bit Protect oder ähnliches, die ihrerseits mit potentiell unerwünschten Zusätzen verpackt werden. Häufig erhalten die Drittanbieter Geld für jede Installation ihrer eigens gepackten Softwarepakete (pay per install). Die Toolbars, in diesem Fall signiert von Conduit, verändern die Browser-Startseite sowie Suchanbieter dauerhaft und präparieren den Browser für gezielte Werbeeinblendungen. Häufig ist die Software Teil von kostenlos angebotenen Softwarepaketen, die nicht vom eigentlichen Hersteller, sondern von Drittanbieter-Seiten geladen werden.

BrowseFox ist eine Adware-Familie, die sich in vielen verschiedenen Programmen verbirgt, z.B. SwiftBrowse, MarketResearchHelper, SmarterPower, CommonShare, MegaBrowse, SpecialBox, NetCrawl, ClearThink, JumpFlip, BringStar, SmarterPower, WiseEnhance, EnterDigital, FramedDisplay, DigiHelp, RockTurner, InfiniNet, …
Diese Programme werden üblicherweise durch Drittanbieter-Installer auf den Rechner gebracht, ohne die Zustimmung des Nutzers. Es werden Add-Ons in Microsoft Internet Explorer, Mozilla Firefox und auch Google Chrome installiert. Außerdem werden auch ein lokaler Proxy, ein Treiber und ein neuer Service installiert. BrowseFox und seine Varianten verändern die Startseite der Browser sowie deren Suchmaschine. Es werden Werbungen sowohl in Webseiten, die der Benutzer besucht als auch in die Startseiten der Browser und in angezeigte Pop-Ups.

2Win32.Application.OpenCandy.G2.20 % Top10 Chart
3Zum.Androm.11.66 % Top10 Chart
4Gen:Variant.Application.Bundler.Softonic.11.64 % Top10 Chart
5Gen:Variant.Graftor.278201.63 % Top10 Chart
6Win32.Application.DownloadSponsor.R1.36 % Top10 Chart
7Win32.Application.OpenCandy.O0.97 % Top10 Chart
8Adware.Searchprotect.AT0.88 % Top10 Chart
9Application.SearchProtect.BS0.83 % Top10 Chart
10Gen:Adware.BrowseFox.10.83 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Voraussetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 15.01 %

PlatzNameProzentVerteilung innerhalb der Top 10
1Win32.Application.OpenCandy.G2.45 % Top10 Chart

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Generische Erkennung für Trojanische Pferde, die Ordner-Icons missbrauchen, um ausgeführt zu werden. Je nach Variante können Funktionen von Würmern oder Backdoors enthalten sein oder es kann weitere Malware nachgeladen werden.

Adware.Searchprotect.AT ist die Erkennung für eine Vorinstallierte Version von Conduit Search Protect auf Lenovo Computern. Conduit Search Protect gehört in die Kategorie potentiell unerwünschter Programme (PUP).
In dieser Variante der Software kann der Benutzer Einstellungen vornehmen, wird jedoch zunächst durch das Programm mit vom Vertreiber gewünschten Einstellungen versorgt.

Win32.Adware.OpenCandy.O ist ein potentiell unerwünschtes Programm (PUP). Das Programm wird in andere, legitime, Applikationen integriert, um dann für den Vertreiber Geld durch Werbeeinblendungen zu generieren. Die Anwendung wird von einer Firma namens OpenCandy entwickelt.
Die Applikation verändert das Browserverhalten, indem es die eingestellte Homepage und die Suchmaschine verändert. Dem Benutzer werden außerdem Werbeeinblendungen auf seinem Gerät angezeigt.

Adware.RelevantKnowledge.A ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Generische Erkennung von NSIS-basierten (De-)Installationsprogrammen für Bundler mit Potentiell Unerwünschte Programmen (PUP). Das umfasst viele PUP, die ohne Einverständnis des Nutzers installiert werden.

Script.Application.FusionCore.B ist die Erkennung eines Adware/PUP Installers. Er wird mit freuen Versionen von Software wie z.B. dem Freemake Video Converter ausgeliefert. Die bezahlte Version der Software enthält den Installer nicht.
Während der Installation werden verschiedene Angebote gemacht, das Angebot reicht von angeblichen Sicherheits-Toolbars bis hin zu Scareware. Der Installer merkt, ob er in einer virtuellen Maschine (VM) ausgeführt wurde oder auf einem realen Gerät. Abhängig von dieser Plattform, ändert er das Layout und die Angebote.
Wenn auf einer VM ausgeführt, sind die Angebote Opt-In und die Art der angebotenen Software ist weder betrügerisch noch aggressiv. Auf einem realen Computer werden die Angebote nach der Ausführung des Installers Opt-Out und scheinen zwingend notwendig zu sein.

Diese Signatur erfasst Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

2Script.Application.InstallCore.HL2.30 % Top10 Chart
3Gen:Variant.Graftor.278202.24 % Top10 Chart
4Adware.Searchprotect.AT1.44 % Top10 Chart
5Win32.Application.OpenCandy.O1.38 % Top10 Chart
6Adware.RelevantKnowledge.A1.17 % Top10 Chart
7Win32.Application.DownloadSponsor.R1.12 % Top10 Chart
8Zum.Androm.11.10 % Top10 Chart
9Script.Application.FusionCore.B0.91 % Top10 Chart
10Script.Application.InstallCore.IP0.90 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Voraussetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 15.25 %

PlatzNameProzentVerteilung innerhalb der Top 10
1Win32.Application.OpenCandy.G2.50 % Top10 Chart

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Application.BitCoinMiner.IJ ist die Erkennung für einen Bitcoin Miner, der, in aller Regel unerwünscht, durch ein gefälschtes Java Runtime Environment Update installiert wird.
Sogenannte Miner nutzen oder aber missbrauchen die CPU des (infizierten) Geräts, um umfangreiche Berechnungen zum Abbauen (engl.: mining) von Kryptowährungen durchzuführen.

Win32.Adware.OpenCandy.O ist ein potentiell unerwünschtes Programm (PUP). Das Programm wird in andere, legitime, Applikationen integriert, um dann für den Vertreiber Geld durch Werbeeinblendungen zu generieren. Die Anwendung wird von einer Firma namens OpenCandy entwickelt.
Die Applikation verändert das Browserverhalten, indem es die eingestellte Homepage und die Suchmaschine verändert. Dem Benutzer werden außerdem Werbeeinblendungen auf seinem Gerät angezeigt.

Generische Erkennung von NSIS-basierten (De-)Installationsprogrammen für Bundler mit Potentiell Unerwünschte Programmen (PUP). Das umfasst viele PUP, die ohne Einverständnis des Nutzers installiert werden.

Generische Erkennung für Trojanische Pferde, die Ordner-Icons missbrauchen, um ausgeführt zu werden. Je nach Variante können Funktionen von Würmern oder Backdoors enthalten sein oder es kann weitere Malware nachgeladen werden.

Adware.Searchprotect.AT ist die Erkennung für eine Vorinstallierte Version von Conduit Search Protect auf Lenovo Computern. Conduit Search Protect gehört in die Kategorie potentiell unerwünschter Programme (PUP).
In dieser Variante der Software kann der Benutzer Einstellungen vornehmen, wird jedoch zunächst durch das Programm mit vom Vertreiber gewünschten Einstellungen versorgt.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Script.Application.FusionCore.B ist die Erkennung eines Adware/PUP Installers. Er wird mit freuen Versionen von Software wie z.B. dem Freemake Video Converter ausgeliefert. Die bezahlte Version der Software enthält den Installer nicht.
Während der Installation werden verschiedene Angebote gemacht, das Angebot reicht von angeblichen Sicherheits-Toolbars bis hin zu Scareware. Der Installer merkt, ob er in einer virtuellen Maschine (VM) ausgeführt wurde oder auf einem realen Gerät. Abhängig von dieser Plattform, ändert er das Layout und die Angebote.
Wenn auf einer VM ausgeführt, sind die Angebote Opt-In und die Art der angebotenen Software ist weder betrügerisch noch aggressiv. Auf einem realen Computer werden die Angebote nach der Ausführung des Installers Opt-Out und scheinen zwingend notwendig zu sein.

2Script.Application.InstallCore.HL2.26 % Top10 Chart
3Application.BitCoinMiner.IJ1.93 % Top10 Chart
4Win32.Application.OpenCandy.O1.52 % Top10 Chart
5Zum.Androm.11.48 % Top10 Chart
6Gen:Variant.Graftor.278201.23 % Top10 Chart
7Adware.Searchprotect.AT1.15 % Top10 Chart
8Win32.Application.DownloadSponsor.R1.13 % Top10 Chart
9Win32.Application.DownloadSponsor.S1.05 % Top10 Chart
10Script.Application.FusionCore.B1.00 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Voraussetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 14.11 %

PlatzNameProzentVerteilung innerhalb der Top 10
1Win32.Application.OpenCandy.G2.84 % Top10 Chart

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Application.BitCoinMiner.IJ ist die Erkennung für einen Bitcoin Miner, der, in aller Regel unerwünscht, durch ein gefälschtes Java Runtime Environment Update installiert wird.
Sogenannte Miner nutzen oder aber missbrauchen die CPU des (infizierten) Geräts, um umfangreiche Berechnungen zum Abbauen (engl.: mining) von Kryptowährungen durchzuführen.

Es handelt sich hier um einen Installer für Software-Bundles, der mit Täuschungen und Tricks versucht, äußerst aggressive PUP zu installieren.

Script.Application.FusionCore.B ist die Erkennung eines Adware/PUP Installers. Er wird mit freuen Versionen von Software wie z.B. dem Freemake Video Converter ausgeliefert. Die bezahlte Version der Software enthält den Installer nicht.
Während der Installation werden verschiedene Angebote gemacht, das Angebot reicht von angeblichen Sicherheits-Toolbars bis hin zu Scareware. Der Installer merkt, ob er in einer virtuellen Maschine (VM) ausgeführt wurde oder auf einem realen Gerät. Abhängig von dieser Plattform, ändert er das Layout und die Angebote.
Wenn auf einer VM ausgeführt, sind die Angebote Opt-In und die Art der angebotenen Software ist weder betrügerisch noch aggressiv. Auf einem realen Computer werden die Angebote nach der Ausführung des Installers Opt-Out und scheinen zwingend notwendig zu sein.

Generische Erkennung von NSIS-basierten (De-)Installationsprogrammen für Bundler mit Potentiell Unerwünschte Programmen (PUP). Das umfasst viele PUP, die ohne Einverständnis des Nutzers installiert werden.

Adware.RelevantKnowledge.A ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

Diese Signatur erfasst Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Adware.Searchprotect.AT ist die Erkennung für eine Vorinstallierte Version von Conduit Search Protect auf Lenovo Computern. Conduit Search Protect gehört in die Kategorie potentiell unerwünschter Programme (PUP).
In dieser Variante der Software kann der Benutzer Einstellungen vornehmen, wird jedoch zunächst durch das Programm mit vom Vertreiber gewünschten Einstellungen versorgt.

Win32.Adware.OpenCandy.O ist ein potentiell unerwünschtes Programm (PUP). Das Programm wird in andere, legitime, Applikationen integriert, um dann für den Vertreiber Geld durch Werbeeinblendungen zu generieren. Die Anwendung wird von einer Firma namens OpenCandy entwickelt.
Die Applikation verändert das Browserverhalten, indem es die eingestellte Homepage und die Suchmaschine verändert. Dem Benutzer werden außerdem Werbeeinblendungen auf seinem Gerät angezeigt.

2Script.Application.InstallCore.HL2.76 % Top10 Chart
3Application.BitCoinMiner.IJ1.63 % Top10 Chart
4Gen:Variant.Application.Bundler.Softonic.11.09 % Top10 Chart
5Script.Application.FusionCore.B1.05 % Top10 Chart
6Zum.Androm.11.03 % Top10 Chart
7Adware.RelevantKnowledge.A0.99 % Top10 Chart
8Script.Application.InstallCore.IP0.97 % Top10 Chart
9Adware.Searchprotect.AT0.88 % Top10 Chart
10Win32.Application.OpenCandy.O0.87 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Voraussetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 14.23 %

PlatzNameProzentVerteilung innerhalb der Top 10
1Script.Application.InstallCore.HL2.69 % Top10 Chart

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Application.BitCoinMiner.IJ ist die Erkennung für einen Bitcoin Miner, der, in aller Regel unerwünscht, durch ein gefälschtes Java Runtime Environment Update installiert wird.
Sogenannte Miner nutzen oder aber missbrauchen die CPU des (infizierten) Geräts, um umfangreiche Berechnungen zum Abbauen (engl.: mining) von Kryptowährungen durchzuführen.

Generische Erkennung von NSIS-basierten (De-)Installationsprogrammen für Bundler mit Potentiell Unerwünschte Programmen (PUP). Das umfasst viele PUP, die ohne Einverständnis des Nutzers installiert werden.

Script.Application.FusionCore.B ist die Erkennung eines Adware/PUP Installers. Er wird mit freuen Versionen von Software wie z.B. dem Freemake Video Converter ausgeliefert. Die bezahlte Version der Software enthält den Installer nicht.
Während der Installation werden verschiedene Angebote gemacht, das Angebot reicht von angeblichen Sicherheits-Toolbars bis hin zu Scareware. Der Installer merkt, ob er in einer virtuellen Maschine (VM) ausgeführt wurde oder auf einem realen Gerät. Abhängig von dieser Plattform, ändert er das Layout und die Angebote.
Wenn auf einer VM ausgeführt, sind die Angebote Opt-In und die Art der angebotenen Software ist weder betrügerisch noch aggressiv. Auf einem realen Computer werden die Angebote nach der Ausführung des Installers Opt-Out und scheinen zwingend notwendig zu sein.

Diese Signatur erfasst Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Es handelt sich hier um einen Installer für Software-Bundles, der mit Täuschungen und Tricks versucht, äußerst aggressive PUP zu installieren.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Adware.Searchprotect.AT ist die Erkennung für eine Vorinstallierte Version von Conduit Search Protect auf Lenovo Computern. Conduit Search Protect gehört in die Kategorie potentiell unerwünschter Programme (PUP).
In dieser Variante der Software kann der Benutzer Einstellungen vornehmen, wird jedoch zunächst durch das Programm mit vom Vertreiber gewünschten Einstellungen versorgt.

Adware.RelevantKnowledge.A ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

2Win32.Application.OpenCandy.G2.53 % Top10 Chart
3Application.BitCoinMiner.IJ1.57 % Top10 Chart
4Zum.Androm.11.33 % Top10 Chart
5Script.Application.FusionCore.B1.25 % Top10 Chart
6Script.Application.InstallCore.IP1.11 % Top10 Chart
7Gen:Variant.Application.Bundler.Softonic.11.07 % Top10 Chart
8Win32.Application.DownloadSponsor.R0.96 % Top10 Chart
9Adware.Searchprotect.AT0.88 % Top10 Chart
10Adware.RelevantKnowledge.A0.84 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Voraussetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 12.25 %

PlatzNameProzentVerteilung innerhalb der Top 10
1Win32.Application.OpenCandy.G2.61 % Top10 Chart

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Application.BitCoinMiner.IJ ist die Erkennung für einen Bitcoin Miner, der, in aller Regel unerwünscht, durch ein gefälschtes Java Runtime Environment Update installiert wird.
Sogenannte Miner nutzen oder aber missbrauchen die CPU des (infizierten) Geräts, um umfangreiche Berechnungen zum Abbauen (engl.: mining) von Kryptowährungen durchzuführen.

Script.Application.FusionCore.B ist die Erkennung eines Adware/PUP Installers. Er wird mit freuen Versionen von Software wie z.B. dem Freemake Video Converter ausgeliefert. Die bezahlte Version der Software enthält den Installer nicht.
Während der Installation werden verschiedene Angebote gemacht, das Angebot reicht von angeblichen Sicherheits-Toolbars bis hin zu Scareware. Der Installer merkt, ob er in einer virtuellen Maschine (VM) ausgeführt wurde oder auf einem realen Gerät. Abhängig von dieser Plattform, ändert er das Layout und die Angebote.
Wenn auf einer VM ausgeführt, sind die Angebote Opt-In und die Art der angebotenen Software ist weder betrügerisch noch aggressiv. Auf einem realen Computer werden die Angebote nach der Ausführung des Installers Opt-Out und scheinen zwingend notwendig zu sein.

Diese Signatur erfasst Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Generische Erkennung von NSIS-basierten (De-)Installationsprogrammen für Bundler mit Potentiell Unerwünschte Programmen (PUP). Das umfasst viele PUP, die ohne Einverständnis des Nutzers installiert werden.

Adware.RelevantKnowledge.A ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

BrowseFox ist eine Adware-Familie, die sich in vielen verschiedenen Programmen verbirgt, z.B. SwiftBrowse, MarketResearchHelper, SmarterPower, CommonShare, MegaBrowse, SpecialBox, NetCrawl, ClearThink, JumpFlip, BringStar, SmarterPower, WiseEnhance, EnterDigital, FramedDisplay, DigiHelp, RockTurner, InfiniNet, …
Diese Programme werden üblicherweise durch Drittanbieter-Installer auf den Rechner gebracht, ohne die Zustimmung des Nutzers. Es werden Add-Ons in Microsoft Internet Explorer, Mozilla Firefox und auch Google Chrome installiert. Außerdem werden auch ein lokaler Proxy, ein Treiber und ein neuer Service installiert. BrowseFox und seine Varianten verändern die Startseite der Browser sowie deren Suchmaschine. Es werden Werbungen sowohl in Webseiten, die der Benutzer besucht als auch in die Startseiten der Browser und in angezeigte Pop-Ups.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Gen:Variant.Adware.RelevantKnowledge.2 ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

2Script.Application.InstallCore.HL2.20 % Top10 Chart
3Application.BitCoinMiner.IJ1.63 % Top10 Chart
4Script.Application.FusionCore.B1.10 % Top10 Chart
5Script.Application.InstallCore.IP0.93 % Top10 Chart
6Zum.Androm.10.93 % Top10 Chart
7Adware.RelevantKnowledge.A0.82 % Top10 Chart
8Gen:Adware.BrowseFox.10.71 % Top10 Chart
9Win32.Application.DownloadSponsor.R0.66 % Top10 Chart
10Gen:Variant.Adware.RelevantKnowledge.20.66 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Voraussetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 12.37 %

PlatzNameProzentVerteilung innerhalb der Top 10
1Win32.Application.OpenCandy.G2.94 % Top10 Chart

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Script.Application.FusionCore.B ist die Erkennung eines Adware/PUP Installers. Er wird mit freuen Versionen von Software wie z.B. dem Freemake Video Converter ausgeliefert. Die bezahlte Version der Software enthält den Installer nicht.
Während der Installation werden verschiedene Angebote gemacht, das Angebot reicht von angeblichen Sicherheits-Toolbars bis hin zu Scareware. Der Installer merkt, ob er in einer virtuellen Maschine (VM) ausgeführt wurde oder auf einem realen Gerät. Abhängig von dieser Plattform, ändert er das Layout und die Angebote.
Wenn auf einer VM ausgeführt, sind die Angebote Opt-In und die Art der angebotenen Software ist weder betrügerisch noch aggressiv. Auf einem realen Computer werden die Angebote nach der Ausführung des Installers Opt-Out und scheinen zwingend notwendig zu sein.

Generische Erkennung von NSIS-basierten (De-)Installationsprogrammen für Bundler mit Potentiell Unerwünschte Programmen (PUP). Das umfasst viele PUP, die ohne Einverständnis des Nutzers installiert werden.

Diese Signatur erfasst Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Diese Signatur erfasst Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt. In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein. In diesem Fall handelt es sich um Bundles mit polnischen PUP von Axel Springer. Die Inhalte der Schadfunktionen sind
verschleiert.

Application.BitCoinMiner.IJ ist die Erkennung für einen Bitcoin Miner, der, in aller Regel unerwünscht, durch ein gefälschtes Java Runtime Environment Update installiert wird.
Sogenannte Miner nutzen oder aber missbrauchen die CPU des (infizierten) Geräts, um umfangreiche Berechnungen zum Abbauen (engl.: mining) von Kryptowährungen durchzuführen.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

BrowseFox ist eine Adware-Familie, die sich in vielen verschiedenen Programmen verbirgt, z.B. SwiftBrowse, MarketResearchHelper, SmarterPower, CommonShare, MegaBrowse, SpecialBox, NetCrawl, ClearThink, JumpFlip, BringStar, SmarterPower, WiseEnhance, EnterDigital, FramedDisplay, DigiHelp, RockTurner, InfiniNet, …
Diese Programme werden üblicherweise durch Drittanbieter-Installer auf den Rechner gebracht, ohne die Zustimmung des Nutzers. Es werden Add-Ons in Microsoft Internet Explorer, Mozilla Firefox und auch Google Chrome installiert. Außerdem werden auch ein lokaler Proxy, ein Treiber und ein neuer Service installiert. BrowseFox und seine Varianten verändern die Startseite der Browser sowie deren Suchmaschine. Es werden Werbungen sowohl in Webseiten, die der Benutzer besucht als auch in die Startseiten der Browser und in angezeigte Pop-Ups.

Win32.Adware.OpenCandy.O ist ein potentiell unerwünschtes Programm (PUP). Das Programm wird in andere, legitime, Applikationen integriert, um dann für den Vertreiber Geld durch Werbeeinblendungen zu generieren. Die Anwendung wird von einer Firma namens OpenCandy entwickelt.
Die Applikation verändert das Browserverhalten, indem es die eingestellte Homepage und die Suchmaschine verändert. Dem Benutzer werden außerdem Werbeeinblendungen auf seinem Gerät angezeigt.

2Script.Application.InstallCore.HL2.08 % Top10 Chart
3Script.Application.FusionCore.B1.39 % Top10 Chart
4Zum.Androm.11.11 % Top10 Chart
5Script.Application.InstallCore.IP1.06 % Top10 Chart
6Win32.Adware.InstallCore.GO0.96 % Top10 Chart
7Application.BitCoinMiner.IJ0.85 % Top10 Chart
8Win32.Application.DownloadSponsor.R0.78 % Top10 Chart
9Gen:Adware.BrowseFox.10.60 % Top10 Chart
10Win32.Application.OpenCandy.O0.60 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Voraussetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 11.74 %

PlatzNameProzentVerteilung innerhalb der Top 10
1Win32.Application.OpenCandy.G3.15 % Top10 Chart

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Script.Application.FusionCore.B ist die Erkennung eines Adware/PUP Installers. Er wird mit freuen Versionen von Software wie z.B. dem Freemake Video Converter ausgeliefert. Die bezahlte Version der Software enthält den Installer nicht.
Während der Installation werden verschiedene Angebote gemacht, das Angebot reicht von angeblichen Sicherheits-Toolbars bis hin zu Scareware. Der Installer merkt, ob er in einer virtuellen Maschine (VM) ausgeführt wurde oder auf einem realen Gerät. Abhängig von dieser Plattform, ändert er das Layout und die Angebote.
Wenn auf einer VM ausgeführt, sind die Angebote Opt-In und die Art der angebotenen Software ist weder betrügerisch noch aggressiv. Auf einem realen Computer werden die Angebote nach der Ausführung des Installers Opt-Out und scheinen zwingend notwendig zu sein.

Adware.RelevantKnowledge.A ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

Diese Signatur erfasst Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Generische Erkennung von NSIS-basierten (De-)Installationsprogrammen für Bundler mit Potentiell Unerwünschte Programmen (PUP). Das umfasst viele PUP, die ohne Einverständnis des Nutzers installiert werden.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Es handelt sich hier um einen Installer für Software-Bundles, der mit Täuschungen und Tricks versucht, äußerst aggressive PUP zu installieren.

Adware.Searchprotect.AT ist die Erkennung für eine Vorinstallierte Version von Conduit Search Protect auf Lenovo Computern. Conduit Search Protect gehört in die Kategorie potentiell unerwünschter Programme (PUP).
In dieser Variante der Software kann der Benutzer Einstellungen vornehmen, wird jedoch zunächst durch das Programm mit vom Vertreiber gewünschten Einstellungen versorgt.

Gen:Variant.Adware.RelevantKnowledge.2 ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

2Script.Application.InstallCore.HL2.00 % Top10 Chart
3Script.Application.FusionCore.B1.64 % Top10 Chart
4Adware.RelevantKnowledge.A0.85 % Top10 Chart
5Script.Application.InstallCore.IP0.82 % Top10 Chart
6Zum.Androm.10.77 % Top10 Chart
7Win32.Application.DownloadSponsor.R0.74 % Top10 Chart
8Gen:Variant.Application.Bundler.Softonic.10.63 % Top10 Chart
9Adware.Searchprotect.AT0.62 % Top10 Chart
10Gen:Variant.Adware.RelevantKnowledge.20.52 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Voraussetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 12.64 %

PlatzNameProzentVerteilung innerhalb der Top 10
1Win32.Application.OpenCandy.G3.29 % Top10 Chart

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Die Schädlingsfamilie DealPly gehört zur Kategorie der Adware. Dieses Tool wird häufig im Software-Bundle mit anderer Software angeboten, sodass DealPly unter Umständen aus Versehen vom Benutzer mit installiert wird (Potentiell Unwerwünschtes Programm = PUP). Dealply installiert sich selbst als Browser Helper Object (BHO)/Erweiterung/Add-On zu den gängigen Browsern hinzu, falls einer dieser Browser installiert ist. DealPly überwacht das Surfverhalten des Nutzers und blendet über das BHO/die Erweiterung/das Add-On beim Surfen im Internet auf Seiten Werbung, beispielsweise Rabattangebote durch Coupons, ein.

Win32.Adware.OpenCandy.O ist ein potentiell unerwünschtes Programm (PUP). Das Programm wird in andere, legitime, Applikationen integriert, um dann für den Vertreiber Geld durch Werbeeinblendungen zu generieren. Die Anwendung wird von einer Firma namens OpenCandy entwickelt.
Die Applikation verändert das Browserverhalten, indem es die eingestellte Homepage und die Suchmaschine verändert. Dem Benutzer werden außerdem Werbeeinblendungen auf seinem Gerät angezeigt.

Adware.Searchprotect.AT ist die Erkennung für eine Vorinstallierte Version von Conduit Search Protect auf Lenovo Computern. Conduit Search Protect gehört in die Kategorie potentiell unerwünschter Programme (PUP).
In dieser Variante der Software kann der Benutzer Einstellungen vornehmen, wird jedoch zunächst durch das Programm mit vom Vertreiber gewünschten Einstellungen versorgt.

Adware.RelevantKnowledge.A ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

Script.Application.FusionCore.B ist die Erkennung eines Adware/PUP Installers. Er wird mit freuen Versionen von Software wie z.B. dem Freemake Video Converter ausgeliefert. Die bezahlte Version der Software enthält den Installer nicht.
Während der Installation werden verschiedene Angebote gemacht, das Angebot reicht von angeblichen Sicherheits-Toolbars bis hin zu Scareware. Der Installer merkt, ob er in einer virtuellen Maschine (VM) ausgeführt wurde oder auf einem realen Gerät. Abhängig von dieser Plattform, ändert er das Layout und die Angebote.
Wenn auf einer VM ausgeführt, sind die Angebote Opt-In und die Art der angebotenen Software ist weder betrügerisch noch aggressiv. Auf einem realen Computer werden die Angebote nach der Ausführung des Installers Opt-Out und scheinen zwingend notwendig zu sein.

Diese Erkennung zählt zur Kategorie der potentiell unerwünschten Programme (PUP). Sie beschreibt vermeintliche Systemhelferlein mit Namen wie etwa BrowserProtect, BrowserProtector, Search Protect, Browser Defender, BrowserManager, Bit Protect oder ähnliches, die ihrerseits mit potentiell unerwünschten Zusätzen verpackt werden. Häufig erhalten die Drittanbieter Geld für jede Installation ihrer eigens gepackten Softwarepakete (pay per install). Die Toolbars, in diesem Fall signiert von Conduit, verändern die Browser-Startseite sowie Suchanbieter dauerhaft und präparieren den Browser für gezielte Werbeeinblendungen. Versucht der Benutzer die Einstellungen rückgängig zu machen, wird eine Warnung ausgegeben. Eine Vielzahl der PUPs dieser Variante .AO werden mit einer manipulierten Variante von PowerISO mitinstalliert.

BrowseFox ist eine Adware-Familie, die sich in vielen verschiedenen Programmen verbirgt, z.B. SwiftBrowse, MarketResearchHelper, SmarterPower, CommonShare, MegaBrowse, SpecialBox, NetCrawl, ClearThink, JumpFlip, BringStar, SmarterPower, WiseEnhance, EnterDigital, FramedDisplay, DigiHelp, RockTurner, InfiniNet, …
Diese Programme werden üblicherweise durch Drittanbieter-Installer auf den Rechner gebracht, ohne die Zustimmung des Nutzers. Es werden Add-Ons in Microsoft Internet Explorer, Mozilla Firefox und auch Google Chrome installiert. Außerdem werden auch ein lokaler Proxy, ein Treiber und ein neuer Service installiert. BrowseFox und seine Varianten verändern die Startseite der Browser sowie deren Suchmaschine. Es werden Werbungen sowohl in Webseiten, die der Benutzer besucht als auch in die Startseiten der Browser und in angezeigte Pop-Ups.

2Script.Application.InstallCore.HL1.74 % Top10 Chart
3Win32.Application.DownloadSponsor.R1.43 % Top10 Chart
4Script.Adware.DealPly.G1.41 % Top10 Chart
5Win32.Application.OpenCandy.O0.92 % Top10 Chart
6Adware.Searchprotect.AT0.91 % Top10 Chart
7Adware.RelevantKnowledge.A0.86 % Top10 Chart
8Script.Application.FusionCore.B0.84 % Top10 Chart
9Win32.Application.SearchProtect.AO0.66 % Top10 Chart
10Gen:Adware.BrowseFox.10.58 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Voraussetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.

Gesamtprozent der Top 10: 18.33 %

PlatzNameProzentVerteilung innerhalb der Top 10
1Win32.Application.OpenCandy.G4.47 % Top10 Chart

Win32.Application.OpenCandy.G ist ein Potentiell Unerwünschtes Programm (PUP). Es wird neben legitimer Freeware wie verschiedenen DVD Playern, PDF Readern, Archivierungsprogrammen und mehr installiert, die mit dem unerwünschten Extra zusammen verpackt wurden. Die Software, die als Win32.Application.OpenCandy.G erkannt wird, wird von SweetLabs entwickelt, einer Firma aus San Diego, USA. Dieses PUP verändert das Browserverhalten, indem es die Startseite und auch die Suchmaschineneinstellungen verändert. Es leitet den Benutzer auf potentiell unerwünschte Webseiten um und zeigt außerdem Pop-Ups an. Der Grund für all diese Veränderungen: Generierung von Profit durch die Anzeige von Werbeeinblendungen.

Script.Application.InstallCore.HL ist der Signaturname für Adware-Installer von installCore Bundles, die "Inno Setup" benutzen. Sie werden von verschiedenen Drittanbietern verteilt.
In der Regel geben die Bundles vor, legitime Installer für bekannte Software, Medien oder Cracks zu sein.
Das Hauptanliegen ist aber, im Bundle mitgelieferte Adware/PUP auf dem Rechner zu installieren, meist ohne Einwilligung des Benutzers.
Die mitgelieferte Software hängt dabei von der aktuell gefahrenen Kampagne ab und kann von echten Sicherheitsprodukten bis hin zu Fake Security Software reichen.

Die Schädlingsfamilie DealPly gehört zur Kategorie der Adware. Dieses Tool wird häufig im Software-Bundle mit anderer Software angeboten, sodass DealPly unter Umständen aus Versehen vom Benutzer mit installiert wird (Potentiell Unwerwünschtes Programm = PUP). Dealply installiert sich selbst als Browser Helper Object (BHO)/Erweiterung/Add-On zu den gängigen Browsern hinzu, falls einer dieser Browser installiert ist. DealPly überwacht das Surfverhalten des Nutzers und blendet über das BHO/die Erweiterung/das Add-On beim Surfen im Internet auf Seiten Werbung, beispielsweise Rabattangebote durch Coupons, ein.

Diese Erkennung zählt zur Kategorie der potentiell unerwünschten Programme (PUP). Sie beschreibt vermeintliche Systemhelferlein mit Namen wie etwa BrowserProtect, BrowserProtector, Search Protect, Browser Defender, BrowserManager, Bit Protect oder ähnliches, die ihrerseits mit potentiell unerwünschten Zusätzen verpackt werden. Häufig erhalten die Drittanbieter Geld für jede Installation ihrer eigens gepackten Softwarepakete (pay per install). Die Toolbars, in diesem Fall signiert von Conduit, verändern die Browser-Startseite sowie Suchanbieter dauerhaft und präparieren den Browser für gezielte Werbeeinblendungen. Versucht der Benutzer die Einstellungen rückgängig zu machen, wird eine Warnung ausgegeben. Eine Vielzahl der PUPs dieser Variante .AO werden mit einer manipulierten Variante von PowerISO mitinstalliert.

Win32.Application.DownloadSponsor.R ist eine Erkennung eines potentiell unerwünschten Programms (PUP), das als Bundle Installer daher kommt. Die Verbreiter nehmen sich legitime, kostenlose Software und verpacken es zum Zwecke der Monetarisierung mit ihrem PUP Installer. Die Angebote und Angebotsdialoge werden dabei dynamisch von den DownloadSponsor Servern geladen. Jede einzelne Werbeanzeige resultiert in Gewinnen für die Verbreiter der manipulierten Software.

Diese Erkennung zählt zur Kategorie der potentiell unerwünschten Programme (PUP). Sie beschreibt vermeintliche Systemhelferlein mit Namen wie etwa BrowserProtect, BrowserProtector, Search Protect, Brower Defender, BrowserManager, Bit Protect oder ähnliches, die ihrerseits mit potentiell unerwünschten Zusätzen verpackt werden. Häufig erhalten die Drittanbieter Geld für jede Installation ihrer eigens gepackten Softwarepakete (pay per install). Die Toolbars, in diesem Fall signiert von Conduit, verändern die Browser-Startseite sowie Suchanbieter dauerhaft und präparieren den Browser für gezielte Werbeeinblendungen. Häufig ist die Software Teil von kostenlos angebotenen Softwarepaketen, die nicht vom eigentlichen Hersteller, sondern von Drittanbieter-Seiten geladen werden.

Adware.Searchprotect.AT ist die Erkennung für eine Vorinstallierte Version von Conduit Search Protect auf Lenovo Computern. Conduit Search Protect gehört in die Kategorie potentiell unerwünschter Programme (PUP).
In dieser Variante der Software kann der Benutzer Einstellungen vornehmen, wird jedoch zunächst durch das Programm mit vom Vertreiber gewünschten Einstellungen versorgt.

BrowseFox ist eine Adware-Familie, die sich in vielen verschiedenen Programmen verbirgt, z.B. SwiftBrowse, MarketResearchHelper, SmarterPower, CommonShare, MegaBrowse, SpecialBox, NetCrawl, ClearThink, JumpFlip, BringStar, SmarterPower, WiseEnhance, EnterDigital, FramedDisplay, DigiHelp, RockTurner, InfiniNet, …
Diese Programme werden üblicherweise durch Drittanbieter-Installer auf den Rechner gebracht, ohne die Zustimmung des Nutzers. Es werden Add-Ons in Microsoft Internet Explorer, Mozilla Firefox und auch Google Chrome installiert. Außerdem werden auch ein lokaler Proxy, ein Treiber und ein neuer Service installiert. BrowseFox und seine Varianten verändern die Startseite der Browser sowie deren Suchmaschine. Es werden Werbungen sowohl in Webseiten, die der Benutzer besucht als auch in die Startseiten der Browser und in angezeigte Pop-Ups.

Adware.RelevantKnowledge.A ist ein potentiell unerwünschtes Programm (PUP). Der Zweck der Applikation ist die Analyse der Browser-Aktivitäten des infizierten Nutzers. Die erhobenen Daten werden dann an die Drahtzieher hinter dem PUP gesendet und von ihnen an Dritte verkauft. Üblicherweise kommt RelevantKnowledge als Zusatz gepackt zu legitimen Programmen, die aber häufig von Drittanbieterseiten geladen wurden und nicht vom eigentlichen Hersteller. Das Programm fügt ein Icon zur Taskleiste des infizierten Computers hinzu.

Diese Erkennung steht für einen Teil einer Backdoor, die Angreifern langfristig Zugriff auf das infizierte System des Opfers sichern soll. Das Schadprogramm schaltet die Microsoft-Windows-LUA-Einstellungen auf "aus". Das bedeutet, dass es weitere Komponenten nachladen und mit erweiterten Rechten installieren kann, ohne dass der Benutzer über die Ausführung gewarnt wird. Außerdem fügt sich der Schädling als Service zum System und erstellt auch einen passenden Autostart-Eintrag, damit er im System persistent ist - also z.B. Neustarts überlebt. Dabei tarnt sich die Schadsoftware als populäres Programm, z.B. durch ein iTunes Icon, oder als Windows Systemdatei.

2Script.Application.InstallCore.HL2.50 % Top10 Chart
3Script.Adware.DealPly.G2.48 % Top10 Chart
4Win32.Application.SearchProtect.AO1.66 % Top10 Chart
5Win32.Application.DownloadSponsor.R1.53 % Top10 Chart
6Application.SearchProtect.BS1.33 % Top10 Chart
7Adware.Searchprotect.AT1.21 % Top10 Chart
8Gen:Adware.BrowseFox.11.18 % Top10 Chart
9Adware.RelevantKnowledge.A1.04 % Top10 Chart
10Gen:Variant.Graftor.97180.93 % Top10 Chart

Methodik

Die Malware Information Initiative (MII) setzt auf die Kraft der Online-Community und jeder Kunde von G DATA Sicherheitslösungen kann daran teilnehmen. Voraussetzung hierfür: Er muss diese Funktion in seinem G DATA Programm aktiviert haben. Wird ein Angriff eines Computerschädlings abgewehrt, so wird dieser Vorfall vollkommen anonym an die G DATA SecurityLabs übermittelt. Die Informationen über die Schädlinge werden in den G DATA SecurityLabs gesammelt und statistisch ausgewertet.