Microsoft Security Intelligence Report
Transcription
Microsoft Security Intelligence Report
Microsoft Security Intelligence Report Ausgabe 10 Juli bis Dezember 2010 Microsoft Security Intelligence Report Dieses Dokument dient nur zu Informationszwecken. MICROSOFT SCHLIESST FÜR DIE IN DIESEM DOKUMENT ENTHALTENEN INFORMATIONEN JEDE GARANTIE AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT. Das Dokument wird wie vorliegend bereitgestellt. Die in diesem Dokument enthaltenen Informationen und Ansichten, einschließlich URLs und andere Internetwebsites, können ohne vorherige Ankündigung geändert werden. Sie verwenden die Informationen auf eigenes Risiko. Copyright © 2011 Microsoft Corporation. Alle Rechte vorbehalten. Die Namen der in diesem Dokument genannten Firmen und Produkte sind Marken ihrer jeweiligen Eigentümer. 1 Autoren Doug Cavit Microsoft Trustworthy Computing Jimmy Kuo Microsoft Malware Protection Center Tim Rains Microsoft Trustworthy Computing Matt Thomlinson Microsoft Security Response Center Joe Faulhaber Microsoft Malware Protection Center Michelle Meyer Microsoft Trustworthy Computing Javier Salido Microsoft Trustworthy Computing Vinny Gullotto Microsoft Malware Protection Center Daryl Pecelj Microsoft IT Information Security and Risk Management Christian Seifert Bing Jossie Tirado Arroyo Microsoft IT Information Security and Risk Management Jeff Jones Microsoft Trustworthy Computing Anthony Penta Microsoft Windows Safety Platform Frank Simorjay Microsoft Trustworthy Computing Holly Stewart Microsoft Malware Protection Center Scott Wu Microsoft Malware Protection Center Jeff Williams Microsoft Malware Protection Center Terry Zink Microsoft Forefront Online Protection for Exchange Verfasser von Beiträgen Lawren Ahuna Microsoft IT Information Security and Risk Management Eva Chow Microsoft IT Information Security and Risk Management Enrique Gonzalez Microsoft Malware Protection Center Cristin Goodwin Microsoft Legal and Corporate Affairs Satomi Hayakawa CSS Japan Security Response Team Yuhui Huang Microsoft Malware Protection Center CSS Japan Security Response Team Microsoft Japan John Lambert Microsoft Security Engineering Center Eric Leonard Microsoft IT Information Security and Risk Management Laura Lemire Microsoft Legal and Corporate Affairs Ken Malcolmson Microsoft Trustworthy Computing Charles McColgan Microsoft ISD 2 Don Nguyen Microsoft IT Information Security and Risk Management Price Oden Microsoft IT Information Security and Risk Management Kathy Phillips Microsoft Legal and Corporate Affairs Hilda Larina Ragragio Microsoft Malware Protection Center Tareq Saade Microsoft Malware Protection Center Richard Saunders Microsoft Trustworthy Computing Marc Seinfeld Microsoft Malware Protection Center Jasmine Sesso Microsoft Malware Protection Center Norie Tamura (GOMI) CSS Japan Security Response Team Gilou Tenebro Microsoft Malware Protection Center Steve Wacker Wadeware LLC Inhaltsverzeichnis Trustworthy Computing: Sicherheitstechniken bei Microsoft ..............................5 Sicherheitslücken ...............................................................................................6 Veröffentlichungen von Sicherheitslücken ......................................................6 Schweregrad von Sicherheitslücken ................................................................8 Komplexität von Sicherheitslücken .................................................................9 Sicherheitslücken bei Betriebssystemen, Browsern und Anwendungen .......... 11 Exploits ............................................................................................................ 12 HTML- und JScript/JavaScript-Exploits ......................................................... 13 Dokument-Exploits ...................................................................................... 15 Betriebssystem-Exploits ................................................................................ 16 Trends bei Sicherheitsverletzungen ............................................................... 18 Malware und potenziell unerwünschte Software ............................................... 21 Globale Infizierungsraten .............................................................................. 21 Infizierungsraten für Betriebssysteme ............................................................ 28 Bedrohungskategorien .................................................................................. 31 Bedrohungskategorien nach Standort ........................................................ 33 Bedrohungsfamilien ...................................................................................... 37 Bösartige Sicherheitssoftware ........................................................................ 40 Bedrohungen für private und geschäftliche Benutzer ..................................... 43 E-Mail-Bedrohungen ........................................................................................ 49 Blockierte Spamnachrichten ......................................................................... 49 Spamtypen ................................................................................................... 53 Bösartige Websites............................................................................................ 56 Phishingwebsites .......................................................................................... 57 3 Zieleinrichtungen...................................................................................... 58 Globale Verteilung von Phishingwebsites .................................................. 61 Malwarehosting-Websites ............................................................................. 62 Malwarekategorien.................................................................................... 64 Gobale Verteilung von Malware-Hosting-Websites .................................... 68 Drive-By-Downloadwebsites ......................................................................... 69 Anhang ............................................................................................................ 72 4 Trustworthy Computing: Sicherheitstechniken bei Microsoft Angesichts der zunehmenden Komplexität der Bedrohungen für Computer und der zunehmenden Durchdachtheit der kriminellen Angriffe legen Kunden mehr als je zuvor den Schwerpunkt auf den Schutz ihrer Computingumgebungen, sodass sie und die verbundenen Einheiten und Personen sich sicher fühlen können. Mit weltweit mehr als einer Milliarde Systemen, auf denen Microsoft-Produkte und -Dienste verwendet werden, versteht Microsoft die Erwartungen der Kunden hinsichtlich einer sichereren und vertrauenswürdigeren Computingumgebung. Trustworthy Computing (TwC) wurde 2002 gebildet und repräsentiert die Verpflichtung von Microsoft für die Entwicklung und Bereitstellung einer sicheren, privaten und zuverlässigen Computingumgebung, die auf anerkannten Geschäftsverfahren basiert. Die in diesem Bericht bereitgestellten Daten stammen aus den Sicherheitszentren von Trustworthy Computing, die detaillierte Daten zu Bedrohungen, Reaktionen auf Bedrohungen und Informationen zur Sicherheit bereitstellen. Außerdem finden Sie dort Informationen von Microsoft-Produktgruppen. Der Bericht soll unseren Kunden, unseren Partnern und der Branche ein besseres Verständnis der Bedrohungen ermöglichen, sodass diese sich und ihre Ressourcen besser vor kriminellen Aktivitäten schützen können. 5 Sicherheitslücken Sicherheitslücken sind Schwächen in einer Software, die einem Angreifer ermöglichen, die Integrität, Verfügbarkeit oder Vertraulichkeit dieser Software zu beeinträchtigen. Einige der gefährlichsten Sicherheitslücken ermöglichen Angreifern die Ausführung von willkürlichem Code, Exploits, auf dem beeinträchtigten System. Weitere Informationen zu Sicherheitslücken finden Sie in Industry-Wide Vulnerability Disclosures (Branchenweite Veröffentlichungen von Sicherheitslücken) im Referenzhandbuchabschnitt auf der Website für den Security Intelligence Report. Veröffentlichungen von Sicherheitslücken Eine Veröffentlichung, wie im Security Intelligence Report (SIR) verwendet, ist die Bekanntgabe einer Sicherheitslücke für die allgemeine Öffentlichkeit. Der Begriff bezieht sich nicht auf die private Bekanntgabe oder die Bekanntgabe für eine begrenzte Anzahl von Personen. Diese Veröffentlichungen können aus einer Reihe von Quellen stammen, wie dem Hersteller der Software selbst, Herstellern von Sicherheitssoftware, unabhängigen Sicherheitsanalysten und sogar von den Entwicklern von Malware. Die Informationen in diesem Abschnitt wurden aus Daten zur Veröffentlichung von Sicherheitslücken zusammengetragen, die in der National Vulnerability Database (http://nvd.nist.gov) veröffentlicht sind, der Datenbank der US-amerikanischen Regierung mit auf Standards basierenden Verwaltungsdaten für Sicherheitslücken. Abbildung 1 zeigt Veröffentlichungen von Sicherheitslücken für Produkte von Microsoft und anderen Herstellern seit 2006. 6 Abbildung 1. Veröffentlichungen von Sicherheitslücken für Produkte von Microsoft und anderen Herstellern 2006-2010 Die Zahl der Veröffentlichungen von Sicherheitslücken für das Jahr 2010 war um 17,1 Prozent niedriger als im Jahr 2009. Diese Abnahme setzt einen allgemeinen Trend zur mäßigen Abnahme seit dem Jahr 2006 fort. Dieser Trend ist wahrscheinlich auf bessere Entwicklungsverfahren und Qualitätskontrollen in der Branche zurückzuführen, was zu sicherer Software und weniger Sicherheitslücken führt. (Weitere Details und Anleitungen zu sicheren Entwicklungsverfahren finden Sie unter Protecting Your Software (Schutz Ihrer Software) im Abschnitt für die Verwaltung von Risiken auf der Security Intelligence Report-Website.) Die Veröffentlichungen von Sicherheitslücken für Microsoft-Produkte nahmen im Jahr 2010 leicht zu, blieben jedoch im Allgemeinen über die vergangenen Zeiträume stabil. Die Sicherheitslücken für Microsoft-Produkte stellten 7,2 Prozent aller im Jahr 2010 veröffentlichten Sicherheitslücken dar. Dieser Prozentsatz liegt über dem Prozentsatz von 4,5 Prozent für das Jahr 2009. Dies liegt vor allem an der allgemeinen Abnahme von Veröffentlichungen von Sicherheitslücken während dieses Zeitraums. 7 Schweregrad von Sicherheitslücken Das Common Vulnerability Scoring System (CVSS) ist ein standardisiertes, plattformunabhängiges Bewertungssystem für IT-Sicherheitslücken. Das CVSS weist Sicherheitslücken je nach Schweregrad einen Zahlenwert von 0 bis 10 zu, wobei höhere Werte für einen höheren Schweregrad stehen. (Weitere Informationen finden Sie unter Vulnerability Severity (Schweregrad von Sicherheitslücken) im Referenzhandbuchabschnitt auf der Security Intelligence Report-Website.) Abbildung 2. Branchenweite Veröffentlichungen von Sicherheitslücken nach Schweregrad, 20062010 8 Obwohl die Anzahl von Veröffentlichungen für Sicherheitslücken mit einem mittleren und hohen Schweregrad in der Regel sehr viel höher als die Anzahl von Veröffentlichungen für Sicherheitslücken mit niedrigem Schweregrad ist, ist der Trend im Jahr 2010 mit einem Rückgang von 17,5 Prozent bzw. 20,2 Prozent bei mittleren bzw. hohen Schweregraden im Vergleich zum Jahr 2009 positiv. Bei Veröffentlichungen von Sicherheitslücken mit niedrigem Schweregrad wurde ein Anstieg von 45,8 Prozent von 190 im Jahr 2009 auf 277 im Jahr 2010 verzeichnet. Es gilt als bewährtes Verfahren für die Sicherheit, zuerst die Sicherheitslücken mit dem höchsten Schweregrad zu reduzieren. Sicherheitslücken mit einem hohen Schweregrad von 9,9 oder höher stellen 5,5 Prozent aller im Jahr 2010 veröffentlichten Sicherheitslücken dar, wie in Abbildung 3 gezeigt. Dieser Prozentsatz liegt damit unter den 6,7 Prozent im Jahr 2009. Abbildung 3. Branchenweite Veröffentlichungen von Softwaresicherheitslücken im Jahr 2010 nach Schweregrad Komplexität von Sicherheitslücken Manche Sicherheitslücken können einfacher ausgenutzt werden als andere. Daher ist die Komplexität von Sicherheitslücken ein wichtiger Faktor, der bei der Bestimmung des Schweregrads des Bedrohungsausmaßes einer Sicherheitslücke zu berücksichtigen ist. Eine Sicherheitslücke mit einem hohen Schweregrad, die nur unter sehr speziellen und seltenen Umständen ausgenutzt werden kann, erfordert möglicherweise weniger sofortige Aufmerksamkeit als eine Sicherheitslücke mit einem niedrigeren Schweregrad, die leichter ausgenutzt werden kann. 9 Im CVSS erhält jede Sicherheitslücke eine Komplexitätsbewertung von „Niedrig“, „Mittel“ oder „Hoch“. (Weitere Informationen zum CVSS-Einstufungssystem für die Komplexität finden Sie unter Vulnerability Complexity (Sicherheitslückenkomplexität) im Referenzhandbuchabschnitt auf der Security Intelligence Report-Website.) Abbildung 4 zeigt die Komplexitätsmischung für die in den Jahren seit 2006 jeweils veröffentlichten Sicherheitslücken. Beachten Sie, dass eine niedrige Komplexität eine größere Gefahr darstellt, genauso wie ein hoher Schweregrad eine größere Gefahr in Abbildung 3 darstellt. Abbildung 4. Branchenweite Softwaresicherheitslücken nach Zugriffskomplexität, 2006-2010 10 Wie auch beim Schweregrad der Sicherheitslücken ist hier ein positiver Trend zu verzeichnen. Bei Veröffentlichungen für Softwaresicherheitslücken mit niedriger und mittlerer Komplexität wurde ein Rückgang von 28,3 bzw. 5,0 Prozent seit dem Jahr 2009 beobachtet. Bei Veröffentlichungen von Softwaresicherheitslücken mit hoher Komplexität wurde ein Anstieg von 43,3 Prozent von 120 im Jahr 2009 auf 172 im Jahr 2010 verzeichnet. Sicherheitslücken bei Betriebssystemen, Browsern und Anwendungen Abbildung 5 zeigt branchenweite Sicherheitslücken bei Betriebssystemen, Browsern und Anwendungen seit dem Jahr 2006. (Eine Erklärung der Unterscheidung von Betriebssystemen, Browsern und Sicherheitslücken finden Sie unter Operating System and Browser Vulnerabilities (Sicherheitslücken bei Betriebssystemen und Browsern) im Referenzhandbuchabschnitt auf der Security Intelligence Report-Website.) Abbildung 5. Branchenweite Sicherheitslücken bei Betriebssystemen, Browsern und Anwendungen, 2006-2010 Sicherheitslücken in Anwendungen machten auch im Jahr 2010 einen Großteil aller Sicherheitslücken aus; die Gesamtzahl von Sicherheitslücken in Anwendungen sank jedoch seit dem Jahr 2009 um 22,2 Prozent. Die Sicherheitslücken bei Betriebssystemen und Browsern blieben im Vergleich dazu verhältnismäßig stabil, d. h. jede einzelne Art von Risiko machte einen kleinen Teil des Gesamtergebnisses aus. 11 Exploits Ein Exploit ist bösartiger Code, der eine Softwarelücke für die Infizierung eines Computers ausnutzt, ohne Zustimmung oder Wissen des Benutzers. Exploits zielen auf Sicherheitslücken in Betriebssystemen, Webbrowsern, Anwendungen oder Softwarekomponenten ab, die auf dem Computer installiert sind. In einigen Fällen handelt es sich bei den Zielkomponenten um Add-Ons, die durch den Hersteller vor dem Verkauf des Computers installiert wurden. Der betroffene Benutzer verwendet das anfällige Add-On möglicherweise gar nicht oder ist sich nicht bewusst, dass es installiert ist. Einige Softwareanwendungen verfügen nicht über die Fähigkeit, sich selbst zu aktualisieren. Wenn daher der Softwarehersteller ein Update veröffentlicht, mit dem die Sicherheitslücke geschlossen wird, weiß der Benutzer möglicherweise nicht, dass das Update verfügbar ist oder wie er es erhalten kann. Daher bleibt die Software offen für einen Angriff. Softwarelücken werden in der Common Vulnerabilities and Exposures (CVE)-Liste aufgelistet und dokumentiert (http://cve.mitre.org), einer standardisierten Datenbank für Informationen zu Sicherheitslücken. Hier und im gesamten Bericht werden Exploits mittels des CVE-Kennzeichners für die Sicherheitslücke identifiziert, wenn vorhanden. Außerdem werden Exploits, die Sicherheitslücken in Microsoft-Software ausnutzen, mittels der MicrosoftSicherheitsbulletin-Nummer für die Sicherheitslücke identifiziert, wenn vorhanden.1 Abbildung 6 zeigt die Verteilung der einzelnen Arten von Exploits für die einzelnen Quartale im Jahr 2010. Auf www.microsoft.com/technet/security/Current.aspx können Sie Microsoft-Sicherheitsbulletins finden und lesen. 1 12 Abbildung 6. Exploits, die von Microsoft-Antimalwareprodukten für Desktops im Jahr 2010 entdeckt wurden, nach Zielplattform oder Zieltechnologie In Java geschriebene Malware ist bereits seit vielen Jahren bekannt. Angreifer hatten bis vor kurzem jedoch der Ausnutzung von JavaSicherheitslücken keine hohe Aufmerksamkeit gewidmet. Im dritten Quartal 2010 nahm die Anzahl der Java-Angriffe um das 14-fache im Vergleich zur Anzahl der Angriffe im zweiten Quartal zu. Dies war vor allem in der Ausnutzung zweier Sicherheitslücken in Versionen von Sun JVM (jetzt Oracle JVM) begründet, CVE-2008-5353 und CVE-2009-3867. Zusammen machen diese beiden Sicherheitslücken 85 Prozent der Java-Exploits für die zweite Hälfte des Jahres 2010 aus. Exploits, die auf Dokument-Editoren und -Reader zielen, wie Microsoft Word und Adobe Reader, nahmen im zweiten Quartal 2010 ab und verblieben anschließend auf niedrigem Niveau. Betriebssystem-Exploits, die einige Jahre lang weniger häufig als andere Arten von Exploits waren, nahmen im dritten Quartal 2010 deutlich zu, vor allem aufgrund der Ausnutzung zweier Windows-Sicherheitslücken. HTML- und JScript/JavaScript-Exploits Abbildung 7 zeigt die Verteilung der einzelnen Arten von HTML- und Jscript®/JavaScript-Exploits für die einzelnen Quartale im Jahr 2010. 13 Abbildung 7. Arten von HTML- und JScript/JavaScript-Exploits, die von MicrosoftAntimalwareprodukten für Desktops im Jahr 2010 entdeckt wurden 14 Die meisten der beobachteten Exploits betrafen bösartige HTML-Inlineframes (IFrames), die unaufgefordert in den Webbrowsern der Benutzer Seiten öffnen, die Malware enthalten. Exploits, die auf Windows Internet Explorer®-Sicherheitslücken zielen, machten zwischen 19 und 36 Prozent der HTML-bezogenen Exploits pro Quartal aus. Die meisten dieser Exploits zielten auf CVE-2010-0806 ab, eine Sicherheitslücke, die die Internet Explorer-Versionen 6 und 7 betreffen, wenn diese auf Windows-Versionen vor Windows 7 und Windows Server 2008 R2 ausgeführt werden. Microsoft hat das Security Bulletin MS10-018 veröffentlicht, um diese Sicherheitslücke zu behandeln. Weitere Informationen finden Sie im Eintrag Active Exploitation of CVE-2010-0806 (Aktive Ausnutzung von CVE-2010-0806) vom 30. März 2010 auf dem MMPC-Blog (http://blogs.technet.com/mmpc). Dokument-Exploits Abbildung 8 zeigt die Verteilung der einzelnen Arten von DokumentformatExploits in den einzelnen Quartalen für das Jahr 2010.2 Abbildung 8. Arten von Dokument-Exploits, die von Microsoft-Antimalwareprodukten für Desktops im Jahr 2010 entdeckt wurden Exploits, die sich auf Adobe Acrobat und Adobe Reader auswirken, machten die Mehrzahl der Dokumentformat-Exploits für das Jahr 2010 aus. Beinahe alle diese Exploits enthielten die generische Exploitfamilie Win32/Pdfjsc. Die Anzahl der Adobe Acrobat- und Adobe Reader-Exploits nahm seit dem ersten Quartal um mehr als die Hälfte ab und verblieb während des restlichen Jahres in etwa auf dieser reduzierten Stufe. Microsoft Office-Dateiformatexploits machten zwischen 0,5 und 2,8 Prozent der Dokumentformat-Exploits aus, die in den einzelnen Quartalen für das Jahr 2010 entdeckt wurden. Microsoft hat außerdem eine kleine Zahl von Exploits entdeckt, die JustSystems Ichitaro betreffen, ein japanischsprachiges Textverarbeitungsprogramm. Diese Exploits betreffen weniger als 200 Computer pro Quartal und sind in der Abbildung nicht berücksichtigt. 2 15 Betriebssystem-Exploits Abbildung 9 zeigt die Verteilung der einzelnen Arten von Betriebssystem-Exploits für die einzelnen Quartale im Jahr 2010. Abbildung 9. Betriebssystem-Exploits, die von Microsoft-Antimalwareprodukten für Desktops im Jahr 2010 entdeckt wurden 16 Einige der im Jahr 2010 am häufigsten entdeckten BetriebssystemExploits wurden von Würmern verursacht, die sich auf eine Art ausbreiten, die zu einer großen Anzahl von Entdeckungen auf den Computern führen, die sie zu infizieren suchen. Eine andere Perspektive auf diese Statistik bietet daher Abbildung 9. Diese zeigt die Anzahl der einzelnen Computer, die Exploitversuche für einige dieser Exploits gemeldet haben, zusätzlich zur Gesamtzahl der Entdeckungen. Betriebssystem-Exploits haben während mehrerer Jahre vor 2010 abgenommen, und die Entdeckungen betrugen in den ersten beiden Quartalen des Jahres weniger als 200.000. Dieser Trend zur Abnahme änderte sich im dritten Quartal 2010, als zwei Null-Tage-Exploits (Exploits, die nicht veröffentlichte oder neu veröffentlichte Sicherheitslücken nutzen, bevor der Hersteller Sicherheitsupdates für diese veröffentlicht) für zwei Sicherheitslücken entdeckt wurden, die Windows betreffen, CVE-2010-1885 und CVE-2010-2568. CVE-2010-1885 ist eine Sicherheitslücke, die das Windows-Hilfe und Supportcenter in Windows XP und Windows Server 2003 betrifft. Details dieser Sicherheitslücke wurden am 10. Juni 2010 veröffentlicht, ungefähr drei Wochen vor dem Ende des zweiten Quartals, und Microsoft veröffentlichte am 13. Juli ein außerordentliches Sicherheitsbulletin, MS10-042, um die Sicherheitslücke zu behandeln. Microsoft entdeckte eine kleine Anzahl von Exploits für CVE-2010-1885 (weniger als 14.000 weltweit) im zweiten Quartal 2010, gefolgt von einem steilen Anstieg auf mehr als 250.000 Entdeckungen im dritten Quartal. Bis zum Ende des Jahres hatte die Ausnutzung deutlich abgenommen, mit weniger als 65.000 Entdeckungen im vierten Quartal 2010. Weitere Informationen finden Sie im Eintrag Attacks on the Windows Help and Support Center Vulnerability (CVE-2010-1885) (Angriffe auf die Sicherheitslücke für das Windows-Hilfe und -Supportcenter) vom 30. Juni 2010 auf dem MMPC-Blog, http://blogs.technet.com/mmpc. CVE-2010-2568 ist eine Sicherheitslücke, die die Art und Weise betrifft, wie die Windows Shell Verknüpfungsdateien behandelt. Diese Sicherheitslücke wurde zuerst Mitte Juli 2010 entdeckt, aufgrund einer Analyse des Win32/Stuxnet-Wurms, der die Sicherheitslücke als Mittel der Verbreitung nutzt. Microsoft veröffentlichte am 2. August ein außerordentliches Sicherheitsbulletin, MS10-046, um die Sicherheitslücke zu behandeln. Zunächst war Stuxnet die einzige Familie, von der bekannt war, dass sie die CVE-2010-2568Sicherheitslücke in wesentlichem Maß ausnutzt. Die Zahl der Entdeckungen und Ausnutzungen nahm jedoch zu, als die Autoren anderer Malwarefamilien, darunter Win32/Vobfus und Win32/Sality, neue Varianten veröffentlichten, die diese Sicherheitslücke ausnutzen. Weitere Informationen finden Sie im Eintrag Stuxnet, malicious .LNKs, ...and then there was Sality (Stuxnet, bösartige LNKs… und Sality) vom 30. Juli 2010 auf dem MMPC-Blog, http://blogs.technet.com/mmpc. CVE-2010-2568-Exploits betrafen im dritten Quartal 2010 ungefähr so viele Computer wie CVE-2010-1885-Ausnutzungen, die Anzahl der Entdeckungen pro infiziertem Computer war jedoch sehr viel höher (12,9 Entdeckungen pro infiziertem Computer im Vergleich zu 1,5 für CVE-2010-1885). Der Stuxnet-Wurm verwendet USB-Speichersysteme als primären Übertragungsvektor, und die Art der Verknüpfungssicherheitslücke führte dazu, dass einige Computer eine 17 große Zahl von Entdeckungen protokollierten, da die Windows Shell wiederholt versuchte, die gleiche bösartige Verknüpfungsdatei zu verarbeiten. CVE-2006-3439 ist eine Sicherheitslücke, die den Serverdienst in Windows 2000, Windows XP vor Service Pack 3 und Windows Server 2003 vor Service Pack 2 betrifft. Microsoft veröffentlichte im August 2006 das Sicherheitsbulletin MS06-040, um die Sicherheitslücke zu behandeln. In diesem Fall war die Anzahl der tatsächlich betroffenen Computer vergleichsweise klein, obwohl Microsoft eine erhebliche Anzahl von Infizierungsversuchen für CVE-2006-3439 entdeckte (weniger als 3.000 weltweit pro Quartal; diese sind in Abbildung 9 nicht enthalten). Exploits für Netzwerkdienste wie den Serverdienst können eine große Anzahl von Entdeckungen durch Echtzeit-Antimalwareprodukte generieren: Ein Wurm, der ein Netzwerk durchquert, unternimmt möglicherweise wiederholte Versuche, einen einzelnen Computer mittels des Exploits zu infizieren. Jeder nicht erfolgreiche Versuch wird als separate Entdeckung protokolliert. Im allgemeinen sollten erfolgreiche Ausnutzungen von BetriebssystemSicherheitslücken mit dem Alter von CVE 2006 3439 selten sein, da die ursprünglich betroffenen Windows-Installationen seitdem durch die entsprechenden Sicherheitsupdates aktualisiert oder durch neuere Versionen von Windows ersetzt wurden, die nicht von der Sicherheitslücke betroffen sind. Die Entdeckungen von CVE-2006-3439 im Jahr 2010 standen in deutlichem Zusammenhang mit der seltenen Trojanerfamilie Win32/ServStart. Dies macht eine Verbindung zwischen ihnen wahrscheinlich. Trends bei Sicherheitsverletzungen In den vergangenen Jahren wurden in einigen Rechtsprechungen auf der ganzen Welt Gesetze herausgegeben, die besagen, dass Einzelpersonen benachrichtigt werden müssen, wenn ein Unternehmen die Kontrolle über personenbezogene Informationen verliert, die ihm anvertraut wurden. Diese obligatorischen Benachrichtigungen zeigen auf einzigartige Weise, warum Bemühungen im Hinblick auf die Informationssicherheit Probleme im Zusammenhang mit Fahrlässigkeit sowie Technologie beinhalten müssen. 18 Die Informationen in diesem Abschnitt wurden aus weltweiten Berichten über Sicherheitsverletzungen aus Nachrichtenkanälen und anderen Informationsquellen zusammengetragen, die Freiwillige in der Data Loss Database (DataLossDB) unter http://datalossdb.org aufgezeichnet haben. (Unter Security Breach Trends (Trends bei Sicherheitsverletzungen) im Referenzhandbuchabschnitt auf der Security Intelligence Report-Website erhalten Sie weitere Informationen zu DataLossDB und den Arten von Sicherheitsverletzungen, auf die hier verwiesen wird.) Abbildung 10. Sicherheitsverletzungen nach Vorfalltyp, 3. Quartal 2009 bis 4. Quartal 2010 Die größte einzelne Kategorie von Vorfällen in jedem der letzten 6 Quartale betraf gestohlene Geräte. Die Bandbreite reicht von 34,5 Prozent für das 3. Quartal 2009 bis 18,6 Prozent für das 4. Quartal 2010. Böswillige Vorfälle (beispielsweise Hacking, Malware und Betrug) machen in der Regel weniger als die Hälfte der durch Fahrlässigkeit entstandenen Vorfälle (verlorene, gestohlene oder fehlende Geräte, versehentliche Offenlegung oder unsachgemäße Entsorgung) aus, wie in Abbildung 11 dargestellt. 19 Die unsachgemäße Entsorgung von Geschäftsunterlagen macht einen wesentlichen Anteil an den Vorfällen aus und kann von Unternehmen verhältnismäßig einfach behoben werden, indem effektive Richtlinien bezüglich der Entsorgung bzw. Löschung von Papier- und elektronischen Datensätzen mit vertraulichen Informationen entwickelt und umgesetzt werden. Abbildung 11. Sicherheitsverletzungen aufgrund von Angriffen und Fahrlässigkeit, 3. Quartal 2009 bis 4. Quartal 2010 20 Malware und potenziell unerwünschte Software Außer wenn angegeben, wurden die Daten für diesen Abschnitt aus Telemetriedaten zusammengestellt, die von mehr als 600 Millionen Computern weltweit sowie einigen der am häufigsten verwendeten Internet-Onlinedienste generiert wurden. Globale Infizierungsraten Die von Microsoft®-Sicherheitsprodukten generierten Telemetriedaten von Benutzern, die der Datensammlung zustimmen, umfassen Informationen zum Standort der Computer, der anhand der Einstellung der Registerkarte Standort oder des Menüs Regions- und Spracheinstellungen in der Systemsteuerung festgelegt ist. Anhand dieser Daten können die Infizierungsraten, Muster und Trends an unterschiedlichen Orten auf der Welt verglichen werden. 21 Abbildung 12. Die Standorte mit den meisten durch Antimalware-Desktopprodukte von Microsoft entdeckten und behandelten Computern im Jahr 2010. Land/Region 2. Quartal 2010 3. Quartal 2010 4. Quartal 2010 Änd. Vom 3. zum 4. Quartal Änderung 2010 11.025.811 9.609.215 11.340.751 11.817.437 4,2 % ▲ 7,2 % ▲ 2.026.578 2.168.810 2.354.709 1.943.154 2.985.999 2.059.052 2.922.695 1.882.460 -2,1 % ▼ -8,6 % ▼ 18,9 % ▲ 12,1 % ▲ 56,8 % ▲ -3,9 % ▼ 41,3 % ▲ 10,6 % ▲ 10,8 % ▲ 44,2 % ▲ -13,2 % ▼ 2 3 Vereinigte Staaten Brasilien China 5 Großbritannien 1.490.594 1.285.570 1.563.102 1.857.905 4 Frankreich 1.943.841 1.510.857 1.601.786 1.794.953 7 Korea 962.624 1.015.173 1.070.163 1.678.368 6 Spanien 1.358.584 1.348.683 1.588.712 1.526.491 9 Russland 700.685 783.210 928.066 1.311.665 8 Deutschland 949.625 925.332 1.177.414 1.302.406 10 Italien 836.593 794.099 900.964 998.458 1 22 1. Quartal 2010 Die Entdeckungen in Korea stiegen vom 3. zum 4. Quartal 2010 um 56,8 Prozent, wobei drei Familien – Win32/Onescan, Win32/Parite und Win32/Nbar – 77 Prozent der Steigerung im 3. Quartal ausmachten. Onescan, eine koreanischsprachige bösartige Sicherheitssoftwarefamilie, die im 4. Quartal des Jahres 2010 zum ersten Mal entdeckt wurde, war für beinahe 32 Prozent aller Entdeckungen in Korea verantwortlich. (Weitere Informationen finden Sie unter Bösartige Sicherheitssoftware auf Seite 40.) 24,6 % ▲ -7,7 % ▼ 74,4 % ▲ 12,4 % ▲ 87,2 % ▲ 37,1 % ▲ 19,3 % ▲ Abbildung 13. Betrügerische Malwareentdeckung durch Win32/Onescan, eine bösartige koreanischsprachige Sicherheitssoftwarefamilie. Die Entdeckungen in Russland stiegen zwischen dem 3. und dem 4. Quartal um 41,3 Prozent und zwischen dem 1. und dem 4. Quartal um 87,2 Prozent, vor allem aufgrund einer erheblichen Zunahme der Anzahl von Computern, auf denen Microsoft Security Essentials ausgeführt wird. In absoluten Zahlen waren die Standorte mit der höchsten Anzahl von Computern mit gemeldeten Entdeckungen Standorte mit einer großen Bevölkerungsdichte und einer großen Anzahl von Computern. Um diesen Effekt zu beseitigen, zeigt Abbildung 14 die Infizierungsraten für die Standorte weltweit mittels einer Metrik namens Computer Cleaned per Mille (tausend) oder CCM (Anzahl der bereinigten Computer pro Tausend) an, die die Anzahl der in einem Quartal bereinigten Computer für jeweils 1.000 Ausführungen des Microsoft Windows® Malicious Software Removal Tool (MSRT) angibt.3 (Weitere Informationen zur CCM-Metrik finden Sie auf der Microsoft Security Intelligence Report-Website.) Für die Diagramme in Abbildung 14 wird jeweils der Durchschnitt der CCM-Gesamtzahlen für die ersten und die letzten beiden Quartale 2010 ermittelt, um die CCM-Gesamtzahlen für die erste und zweite Hälfte des Jahres 2010 zu erhalten. 3 23 Abbildung 14. Infizierungsraten nach Land/Region im 1. Quartal 2010 (oben) und im 2. Quartal 2010 (unten), per CCM 24 Unter den Orten mit mindestens 100.000 Ausführungen des MSRT im 4. Quartal 2010 wurde mit 40,3 bereinigten Computern pro 1.000 Ausführungen des MSRT in Korea die höchste Infizierungsrate verzeichnet. Auf Korea folgen Spanien (33,2), Türkei (32,8), Taiwan (24,3) und Brasilien (20,8). Für das gesamte Jahr hatte die Türkei mit 36,8 den höchsten durchschnittlichen vierteljährlichen CCM, gefolgt von Spanien (36,1), Korea (34,8), Taiwan (29,7) und Brasilien (24,7). Diese fünf Standorte weisen die konsistent höchsten Infizierungsraten unter den großen Ländern und Regionen in den meisten der letzten sechs Quartale auf, wie in Abbildung 15 auf Seite 26 gezeigt. Die Standorte mit niedrigen Infizierungsraten sind z. B. die Mongolei (durchschnittlicher CCM-Wert für 2010: 1,3), Bangladesch (1,4) und Belarus (1,6). Große Länder und Regionen mit niedrigen Infizierungsraten sind z. B. die Philippinen (3,1), Österreich (3,4), Indien (3,8) und Japan (4.4). Entdeckungen und Entfernungen in den einzelnen Ländern/Regionen können von Zeitraum zu Zeitraum sehr unterschiedlich ausfallen. Eine Zunahme der Anzahl der Computer mit Entdeckungen kann nicht nur durch die erhöhte Verbreitung von Malware in diesem Land, sondern auch von Verbesserungen in der Erkennung von Malware durch Antimalware-Lösungen von Microsoft verursacht werden. Eine große Anzahl neuer Antimalware-Installationen an einem Standort steigert in der Regel auch die Anzahl der bereinigten Computer an diesem Standort führen. Die nächsten beiden Abbildungen zeigen die Trends für die einzelnen Quartale des Jahres 2010 hinsichtlich der Infizierungsraten für bestimmte Standorte weltweit im Vergleich zu den Trends für alle Standorte mit mindestens 100.000 MSRT-Ausführungen. (Zusätzliche Details finden Sie unter Infection Trends Worldwide (Weltweite Infizierungstrends) im Abschnitt zu den wesentlichen Ergebnissen auf der Security Intelligence Report-Website.) 25 Abbildung 15. Trends für die fünf Standorte mit den höchsten Infizierungsraten im 4. Quartal 2010 per CCM (mindestens 100.000-MSRT-Ausführungen pro Quartal im Jahr 2010) 26 Korea war in den letzten Quartalen konstanten Angriffen ausgesetzt. Dies gipfelte in einem dramatischen Aufstieg von Platz 4 für das dritte Quartal 2010 zum Spitzenplatz für das 4. Quartal 2010. Der CCM-Wert für Korea stieg von 23,6 für das 4. Quartal 2009 auf 40,3 ein Jahr später, ein Anstieg um 16,7 Punkte oder 71,1 Prozent – der größte derartige Anstieg im letzten Jahr. (Weitere Informationen zu Bedrohungen für Korea finden Sie im Abschnitt Global Threat Assessment (Bewertung globaler Bedrohungen) auf der Security Intelligence Report-Website.) Korea, Spanien, die Türkei, Taiwan und Brasilien belegten die obersten fünf Plätze unter den großen Ländern und Regionen mit den höchsten Infizierungsraten in allen außer einem der letzten sechs Quartale (die einzige Ausnahme bildet das 4. Quartal 2009, als Portugal Korea vom 5. Platz verdrängte.) Abbildung 16. Infizierungsratentrends für die fünf Standorte mit der größten Verbesserung zwischen dem 4. Quartal 2009 und dem 4. Quartal 2010, per CCM (mindestens 100.000 MSRT-Ausführungen im 4. Quartal 2010) Die Standorte mit den größten Verbesserungen sind Standorte, die die größte Abnahme zwischen dem 4. Quartal 2009 und dem 4. Quartal 2010 aufweisen. Brasilien gehört zwar weiterhin zu den Standorten mit der höchsten Infizierungsrate, weist jedoch während der letzten sechs Quartale wesentliche Verbesserungen auf. Der CCM-Wert fiel von 30,1 für das 3. Quartal 2009 auf 20,8 für das 4. Quartal 2010. Die Abnahmen für Win32/Frethog und Win32/Hamweq waren für diese Verbesserung hauptsächlich verantwortlich, gefolgt von Abnahmen für Win32/Conficker und Win32/Rimecud. (Weitere Informationen zu diesen und anderen Malwarefamilien finden Sie unter Bedrohungsfamilien auf der Seite 37.) Obwohl die Gesamtzahl der Entdeckungen und Entfernungen in Russland während des Jahres 2010 zunahm, wie auf Seite 23 erklärt, nahm die tatsächliche Infizierungsrate erheblich ab, von einem CCM-Wert von 17,3 für das 3. Quartal 2009 auf 10,1 für das 4. Quartal 2010. Diese Abnahme wurde primär durch die Abnahme der Infizierungen mit Conficker, Hamweq und Win32/Taterf verursacht. 27 Die Infizierungsraten in Portugal und Bahrain schwankten in den letzten sechs Quartalen. Beide Standorte zeigten jedoch am Ende des 4. Quartals 2010 deutliche Verbesserungen im Vergleich zum 3. Quartal 2009. Für Portugal änderte sich der CCM-Wert von 25,0 auf 15,6, eine Abnahme um 37,6 Prozent. Der CCM-Wert für Bahrain fiel von 13,6 auf 9,0, eine Abnahme um 33,8 Prozent. Der CCM-Wert für China nahm von 9,5 im 3. Quartal 2009 auf 2,9 im 4. Quartal 2010 ab. Obwohl China hierdurch per CCM zu einem der Standorte mit der niedrigsten Infizierungsrate weltweit wurde, müssen im Falle Chinas einige Faktoren für die Bewertung der Computersicherheit berücksichtigt werden, die nur auf dieses Land zutreffen. Die Malwarelandschaft in China wird von einer Reihe chinesischsprachiger Bedrohungen dominiert, die es nirgendwo sonst gibt. Die CCM-Zahlen werden anhand von Telemetriedaten aus dem MSRT berechnet, das auf global vertretene Malwarefamilien zielt. Das MSRT entdeckt die meisten der wichtigsten chinesischsprachigen Malwarefamilien nicht. Beispielsweise wären im Jahr 2010 92 bis 94 Prozent der Bedrohungen, die von Computern mit Microsoft Security Essentials für China gemeldet wurden, nicht durch das MSRT entdeckt worden. Detailliertere Informationen zu den Bedrohungen in China finden Sie im Abschnitt „Global Threat Assessment“ (Bewertung globaler Bedrohungen) auf der Security Intelligence Report-Website. Infizierungsraten für Betriebssysteme Die Funktionen und Updates, die für die verschiedenen Versionen des Windows-Betriebssystems verfügbar sind, zusammen mit den Unterschieden bei der Verwendung der einzelnen Versionen durch Menschen und Organisationen, wirken sich auf die Infizierungsraten für die einzelnen Versionen und Service Packs aus. Abbildung 17 zeigt die Infizierungsraten für die einzelnen Windows-Betriebssystem/Service Pack-Kombinationen, die für jeweils mindestens 0,1 Prozent aller MSRT-Ausführungen im Jahr 2010 verantwortlich waren. 28 Abbildung 17. Durchschnittliche vierteljährliche Infizierungsrate per CCM pro Betriebssystem und Service Pack für das Jahr 2010 „32“ = 32-Bit; „64“ = 64-Bit. Systeme mit einem Anteil von mindestens 0,1 Prozent an der Gesamtzahl der Ausführungen. Wie auch in früheren Zeiträumen sind die Infizierungsraten für kürzlich veröffentlichte Betriebssysteme und Service Packs durchweg niedriger als bei älteren Versionen, sowohl bei Client- als auch bei Serverplattformen. Windows 7 und Windows Server® 2008 R2 sind die aktuell veröffentlichten Versionen des Windows-Clients und -Servers und weisen die niedrigsten Infizierungsraten im Diagramm auf. Die Infizierungsraten für die 64-Bit-Versionen von Windows Vista® und Windows 7 sind niedriger als die der entsprechenden 32-Bit-Versionen dieser Betriebssysteme. Ein Grund hierfür könnte sein, dass 64-Bit-Versionen von Windows (trotz eines gestiegenen Absatzes von 64-Bit-Windows-Versionen unter der allgemeinen Bevölkerung, die Computer nutzt) nach wie vor eine technisch versiertere Zielgruppe als ihre 32-Bit-Entsprechungen ansprechen. Kernel Patch Protection (KPP), eine Funktion der 64-Bit-Versionen von Windows, die den Kernel vor nicht autorisierten Modifizierungen schützt, trägt möglicherweise ebenfalls zu diesem Unterschied bei, da die Ausführung bestimmter Arten von Malware verhindert wird. 29 Abbildung 18. CCM-Trends für 32-Bit-Versionen von Windows XP, Windows Vista und Windows 7, 3. Quartal 2009 bis 4. Quartal 2010 30 Abbildung 18 zeigt, dass Windows 7 die konsistent niedrigste Infizierungsrate aller 32-Bit-Clientbetriebssystem/Service Pack-Kombinationen in den letzten 6 Quartalen aufweist. Bedrohungskategorien Das Microsoft Malware Protection Center (MMPC) klassifiziert die einzelnen Bedrohungen auf der Grundlage mehrerer Faktoren, beispielsweise, wie sich die Bedrohung verbreitet und wofür sie entwickelt wurde. Zur einfacheren Darstellung dieser Informationen und zum besseren Verständnis werden diese Typen im Security Intelligence Report basierend auf Ähnlichkeiten im Hinblick auf Funktion und Zweck in 10 Kategorien gruppiert. (Weitere Informationen zu den in diesem Bericht verwendeten Bedrohungstypen finden Sie im Referenzhandbuchabschnitt auf der Security Intelligence Report-Website. Abbildung 19. Entdeckungen nach Bedrohungskategorie für die einzelnen Quartale des Jahres 2010, in Prozent aller meldenden Computer Die Summen für jeden Zeitraum überschreiten möglicherweise 100 Prozent, da bei einigen Computern in jedem Zeitraum mehrere Bedrohungskategorien erkannt und entfernt werden. Die Kategorie für verschiedene Trojaner besteht aus allen Trojanern, die nicht als trojanische Download- und Droptools kategorisiert wurden. Diese Kategorie war die am häufigsten vertretene Kategorie im Jahr 2010. Die Entdeckungen machten 20 Prozent aller infizierten Computer für das 4. Quartal 2010 aus, von 22,7 Prozent für das 1. Quartal 2010. 31 32 Die Entdeckungen von Adware stiegen während der zweiten Hälfte des Jahres erheblich, von 8,9 Prozent der infizierten Computer im 2. Quartal 2010 auf 15,1 Prozent der infizierten Computer im 4. Quartal 2010. Diese Zunahme wurde beinahe vollständig durch das Auftreten zwei neuer Adware-Familien im dritten Quartal verursacht, JS/Pornpop und Win32/ClickPotato. (Weitere Informationen zu diesen und anderen Familien finden Sie unter Bedrohungsfamilien auf Seite 37.) Nach einer Zunahme vom 1. auf das 2. Quartal 2010 nahm die Anzahl der entdeckten Würmer deutlich bis zum Ende des Jahres ab. Der Höhepunkt im zweiten Quartal lag bei 19,2 Prozent der infizierten Computer, der Tiefpunkt im 4. Quartal 2010 bei 13,5 Prozent. Eine Zunahme von 61,3 Prozent bei den Entdeckungen und Entfernungen der Wurmfamilie Win32/Hamweq zwischen dem 1. Quartal 2010 und dem 4. Quartal 2010 ist für diese Abnahme teilweise verantwortlich, zusammen mit Zunahmen in anderen Kategorien. (Hamweq wurde dem MSRT im Dezember 2009 hinzugefügt und wurde bis zum Ende des 1. Quartals 2010 auf mehr als 1 Million Computer entdeckt. Bis zum Ende des Jahres hatte die Ausnutzung deutlich abgenommen, mit weniger als 300.000 Entdeckungen im vierten Quartal 2010. Die Kategorien für verschiedene potenziell unerwünschte Software und trojanische Download- und Droptools waren zu Beginn des Jahres in etwa gleich stark vertreten und entwickelten sich in der Folge auseinander. Der Anteil der verschiedenen potenziell unerwünschten Softwareanwendungen stieg von 16,1 Prozent der infizierten Computer auf 18,1 Prozent. Die Entdeckungen der potenziell unerwünschten Softwarefamilien Win32/Zwangi und Win32/Keygen machten einen großen Teil der Zunahme aus (die Zunahme an Entdeckungen für die zuletzt genannte Familie wurde eher durch eine verbesserte Entdeckung als durch ein häufigeres Vorkommen verursacht). Die Zahl der trojanischen Download- und Droptools nahm von 14,7 Prozent auf 11,6 Prozent ab. Teilweise lag dies an der Abnahme der Entdeckungen von Win32/Renos, einer konsistent häufig auftretenden Familie. Alle anderen Kategorien wurden auf weniger als 10 Prozent der infizierten Computer entdeckt. Die Zahl der Tools für Kennwortdiebstahl und die Überwachung nahm im 4. Quartal 2010 auf 6,6 Prozent der infizierten Computer ab, entsprechend der Abnahme der Entdeckungen von Win32/Frethog, einem Tool, das auf Kennwörter für Onlinegames zielt. Die Zahl der Spyware, die bisher noch nie sehr stark verbreitet war, nahm im Jahr 2010 sogar noch weiter ab, auf 0,2 Prozent der infizierten Computer im vierten Quartal. Bedrohungskategorien nach Standort Im Hinblick auf die Bedrohungsarten, die Benutzer in unterschiedlichen Teilen der Welt betreffen, gibt es enorme Unterschiede. Die Verbreitung und Effektivität von Malware ist neben den Methoden, die für die Verbreitung verwendet werden, stark von der Sprache sowie von kulturellen Faktoren abhängig. Manche Bedrohungen werden mithilfe von Techniken verbreitet, die auf Menschen abzielen, die eine bestimmte Sprache sprechen oder Dienste nutzen, die es nur in einer bestimmten geografischen Region gibt. Andere Bedrohungen zielen auf Sicherheitslücken von Betriebssystemkonfigurationen und Anwendungen, die weltweit nicht gleichmäßig verteilt sind. Abbildung 20 zeigt die relative Verbreitung der verschiedenen Kategorien von Malware und potenziell unerwünschter Software für verschiedene Standorte für das Jahr 2010 an. 33 Abbildung 20. Weltweite Verbreitung von Bedrohungskategorien sowie für neun einzelne Standorte für das Jahr 2010 Kategorie 34 Welt USA Brasilien China Großbritannien Frankreich Spanien Russland Deutschland Korea Verschiedene Trojaner 31.60% 43.40% 23.20% 28.00% 36.50% 21.60% 20.10% 40.30% 28.40% 17.30% Verschiedene potenziell unerwünschte Software 25.50% 22.60% 31.20% 52.10% 23.60% 24.30% 22.60% 33.80% 24.50% 10.30% Würmer 24.40% 16.60% 35.60% 13.50% 11.80% 21.00% 40.20% 32.80% 14.40% 40.10% Trojanische Downloadund Droptools 20.10% 20.20% 26.20% 18.80% 20.30% 19.70% 16.90% 17.00% 28.90% 8.00% Adware 17.40% 21.40% 9.40% 3.40% 29.30% 33.00% 10.70% 8.20% 16.30% 12.10% Tools für Kennwortdiebstahl und Überwachung 11.70% 6.10% 27.90% 10.70% 7.50% 9.20% 20.50% 10.30% 9.30% 14.70% Exploits 7.10% 9.60% 10.50% 13.50% 7.30% 2.70% 3.00% 8.00% 5.70% 3.30% Backdoors 6.60% 5.30% 5.70% 10.30% 4.20% 4.40% 8.40% 8.20% 5.10% 7.10% Viren 5.90% 5.10% 10.30% 6.10% 3.40% 3.30% 3.70% 12.10% 3.20% 13.80% Spyware 0.60% 0.70% 0.20% 2.30% 0.40% 0.30% 0.20% 0.50% 0.70% 0.50% Innerhalb der einzelnen Zeilen von Abbildung 20 zeigt eine dunklere Farbe an, dass die Kategorie am angegebenen Standort häufiger als an den anderen Standorten ist. Eine hellere Farbe zeigt an, dass die Kategorie weniger häufig ist. In den USA und Großbritannien, zwei Ländern, in denen vornehmlich Englisch gesprochen wird und die eine Vielzahl kultureller Ähnlichkeiten aufweisen, gibt es in den meisten Kategorien ähnliche Bedrohungsverteilungen. Ausnahmen bilden hier Adware, die in Großbritannien häufiger ist, und Würmer, die in den USA häufiger sind. In Brasilien lässt sich eine ungewöhnlich hohe Konzentration von Tools für Kennwortdiebstahl und Überwachung beobachten. Dies liegt vor allem an der Verbreitung von Win32/Bancos, das auf Kunden brasilianischer Banken zielt. China weist eine vergleichsweise hohe Konzentration für die Kategorien verschiedene potenziell unerwünschte Software, Exploits, Backdoors und Spyware sowie eine vergleichsweise niedrige Konzentration von Würmern und Adware auf. China zeigt regelmäßig eine Bedrohungsmischung, die sich sehr von derjenigen anderer großer Länder und Regionen unterscheidet. Zwei der häufigsten Bedrohungen in China, Win32/BaiduSobar und Win32/Sogou, sind Familien chinesischsprachiger potenziell unerwünschter Softwarefamilien, die anderswo selten sind. Zu den häufigsten in China vorkommenden Familien zählen auch zwei Exploits, JS/CVE-2010-0806 und JS/ShellCode, die anderswo seltener sind. Adware dominiert in Frankreich, angeführt von Win32/ClickPotato. Würmer und Backdoors sind in Spanien ungewöhnlich häufig. Die wichtigsten sechs Familien, die im Jahr 2010 in Spanien entdeckt wurden, waren Würmer. 35 36 Die Bedrohungsmischung in Russland ist der derjenigen für den Rest der Welt vergleichbar. Eine Ausnahme bildet die ungewöhnlich niedrige Konzentration von Adware. Dies liegt vielleicht an der hohen Sprachabhängigkeit der Onlinewerbung. In Deutschland waren trojanische Download- und Droptools beinahe zweimal so häufig wie im Rest der Welt, angeführt von Win32/Renos. Korea kennt eine hohe Konzentration von Viren, angeführt von Win32/Parite, und Würmern. Viren und Würmer sind seit langem in Korea ungewöhnlich häufig. Dies liegt vielleicht an der Beliebtheit öffentlicher Internetgamingcenter und daran, dass Viren leicht zwischen Computern und Wechselmedien übertragen werden können. Bedrohungsfamilien Abbildung 21 zeigt die wichtigsten 10 Malwarefamilien und Familien potenziell unerwünschter Software, die in der zweiten Hälfte des Jahres 2010 von Microsoft-Desktopsicherheitsprodukten auf Computern entdeckt wurden. Abbildung 21. Vierteljährliche Trends für die wichtigsten 10 Malwarefamilien und Familien potenziell unerwünschter Software, die in der zweiten Jahreshälfte von Microsoft-AntimalwareDesktopprodukten entdeckt wurden Familie Wichtigste Kategorie 1 JS/Pornpop Adware 2 Win32/Autorun Würmer 1.256.649 1.646.532 3 Win32/Taterf 1.496.780 4 Win32/Zwangi 5 Win32/Renos 6 Win32/Rimecud Würmer Verschiedene potenziell unerwünschte Software Trojanische Downloadund Droptools Würmer 7 Win32/Conficker 8 Win32/FakeSpypro 9 Win32/Hotbar Würmer Verschiedene Trojaner Adware 10 Win32/ClickPotato Adware 1. Quartal 2010 3. Quartal 2010 4. Quartal 2010 2.660.061 3.860.365 2.805.585 3.314.092 2.323.750 2.338.517 1.615.649 542.534 860.747 1.638.398 2.299.210 2.693.093 1.889.680 2.109.631 1.655.865 1.809.231 1.749.708 1.674.975 1.892.919 1.498.256 1.664.941 1.649.934 1.744.986 1.244.903 1.424.152 1.897.420 889.277 1.015.659 1.483.289 942.281 1.640.238 451.660 2.110.117 — — 2. Quartal 2010 — — 37 Abbildung 22. Die Familien mit den größte Zunahmen hinsichtlich der Verbreitung im Jahr 2010 JS/Pornpop, die im 4. Quartal 2010 am häufigsten entdeckte Familie, ist eine Entdeckung für speziell erstellte JavaScript-fähige Objekte, die versuchen, Pop-Under-Werbung in den Webbrowsern von Benutzern anzuzeigen, in der Regel mit pornografischen Inhalten. Pornpop ist eine der am schnellsten an Verbreitung zunehmenden Malwarefamilien, die in den letzten Jahren entdeckt wurden. Zuerst entdeckt im August 2010 nahm die Verbreitung schnell zu, sodass dies die am zweithäufigsten vorkommende Familie für das 3. Quartal 2010 und die am häufigsten vorkommende Familie im 4. Quartal 2010 und für die zweite Jahreshälfte insgesamt ist. 38 Entdeckungen und Entfernungen von Win32/Autorun, einer generischen Entdeckung für Würmer, die mittels der Autorun-Funktion von Windows zwischen installierten Laufwerken verbreitet wird, nahmen im 4. Quartal 2010 deutlich zu. Dennoch fiel Autorun aufgrund der Zunahme von Pornpop auf den zweiten Platz zurück. Win32/Taterf, die häufigste Bedrohung im 2. Quartal 2010, fiel bis zum 4. Quartal auf den dritten Platz zurück. Taterf gehört in eine Kategorie von Bedrohungen, die so konzipiert sind, dass Kennwörter für beliebte Onlinecomputerspiele gestohlen und an die Angreifer übermittelt werden. Weitere Informationen zu diesen Bedrohungen finden Sie auf Seite 62 von Microsoft Security Intelligence Report, Ausgabe 5 (Januar bis Juni 2008). Win32/Renos, die am weitesten verbreitete Bedrohung im 1. Quartal 2010, fiel bis zum 4. Quartal 2010 auf den fünften Platz zurück. Renos ist eine Familie von Downloader-Trojanern, die häufig zur Installation von bösartiger Sicherheitssoftware verwendet wird. Seit 2006 war Renos eine der am häufigsten von MicrosoftAntimalware-Desktopprodukten- und -diensten erkannten und entfernten Bedrohungen. Die potenziell unerwünschte Softwarefamilie Win32/Zwangi stieg vom zehnten Platz im 2. Quartal 2010 auf den vierten Platz im 4. Quartal 2010 auf. Zwangi ist ein Programm, das einen Dienst im Hintergrund ausführt und die Webbrowsereinstellungen so modifiziert, dass eine bestimmte Website besucht wird. Die Adwarefamilie Win32/ClickPotato, die zuerst im August 2010 entdeckt wurde, wurde schnell zur zehnthäufigsten Familie im 4. Quartal 2010. ClickPotato ist ein Programm, das Popups und Anzeigen in Form von Benachrichtigungen anzeigt, je nach den Surfgewohnheiten des Benutzers. 39 Bösartige Sicherheitssoftware Bösartige Sicherheitssoftware ist mittlerweile eine der häufigsten Methoden geworden, die Angreifer für die Erschwindlung von Geld verwenden. Bei bösartiger Sicherheitssoftware, die auch als Scareware bezeichnet wird, handelt es sich um Software, die vom Standpunkt der Sicherheit aus betrachtet nützlich zu sein scheint, jedoch nur eingeschränkte oder keine Sicherheit bietet, falsche oder irreführende Warnungen generiert oder versucht, Benutzer zur Teilnahme an betrügerischen Transaktionen zu überreden. Diese Programme imitieren in der Regel das Aussehen und Verhalten rechtmäßiger Sicherheitssoftware und geben vor, eine große Anzahl nicht vorhandener Bedrohungen zu erkennen, während der Benutzer dazu gedrängt wird, die Vollversion der Software zu erwerben, um die Bedrohungen zu entfernen. Bösartige Sicherheitssoftwareprogramme werden von Angreifern üblicherweise über Exploits oder andere Malware bzw. durch Social Engineering installiert, um Benutzer davon zu überzeugen, dass Programme rechtmäßig und nützlich sind. Manche Versionen ahmen das Verhalten des Windows Security Center nach oder verwenden Markenzeichen und Symbole unrechtmäßig, um einen falschen Anschein zu erwecken. (Weitere Informationen zu dieser Art von Bedrohungen finden Sie unter Rogue Security Software (Bösartige Sicherheitssoftware) im Referenzhandbuchabschnitt auf der Security Intelligence Report-Website. Informieren Sie sich auch auf www.microsoft.com/security/antivirus/rogue.aspx in einer informativen Videoserie zu bösartiger Sicherheitssoftware, die sich an ein allgemeines Zielpublikum richtet.) Abbildung 23. Einige der „Marken“, die von unterschiedlichen Versionen der bösartigen Sicherheitssoftwarefamilie Win32/FakeXPA verwendet werden Abbildung 24 zeigt die Entdeckungstrends für die häufigsten bösartigen Softwarefamilien, die im Jahr 2010 entdeckt wurden. 40 Abbildung 24. Trends für die am häufigsten entdeckten bösartigen Softwarefamilien, die im Jahr 2010 entdeckt wurden; nach Quartal Win32/FakeSpypro war mit insgesamt mehr als doppelt so vielen Entdeckungen und Entfernungen für die einzelnen Quartale des Jahres 2010 die am häufigsten entdeckte bösartige Sicherheitssoftwarefamilie. Zu den Namen, unter denen FakeSpypro verbreitet wird, gehören AntispywareSoft, Spyware Protect 2009 und Antivirus System PRO. Im Juli 2009 wurde das MSRT durch Erkennungen von FakeSpypro ergänzt. Win32/FakeXPA, die im Jahr 2010 insgesamt am zweithäufigsten entdeckte bösartige Softwarefamilie, war im 1. Quartal 2010 beinahe gleichauf mit FakeSpypro und fiel im 4. Quartal 2010 auf den sechsten Platz an. FakeXPA ist eine permanente, häufig aktualisierte Bedrohung, bei der unterschiedliche Techniken verwendet werden, um die Entdeckung und Entfernung durch legitime Sicherheitsprodukte zu vermeiden. Sie wird unter vielen verschiedenen Namen verbreitet; einige davon sind in Abbildung 23 aufgeführt. Im Dezember 2008 wurde das MSRT durch Erkennungen von FakeXPA ergänzt. 41 Win32/FakePAV wurde erstmals im 3. Quartal 2010 entdeckt und verbreitete sich schnell, sodass sie im 4. Quartal 2010 die am zweithäufigsten entdeckte bösartige Sicherheitssoftwarefamilie wurde. FakePAV ist eine von mehreren Familien bösartiger Sicherheitssoftware, die sich als Microsoft Security Essentials tarnen. Die Software zeigt ein Dialogfeld an, das einer Security Essentials-Warnung ähnelt und in dem eine oder mehrere nicht vorhandene Infizierungen aufgelistet werden, von denen sie behauptet, sie könne sie entfernen. Anschließend bietet die Software an, eine Testversion eines anderen Sicherheitsprogramms zu „installieren“ (bei der es sich um einen anderen Teil von FakePAV handelt). Anschließend verfährt die Software auf ähnliche Weise wie andere bösartige Sicherheitssoftware. Abbildung 25. Eine genuine Microsoft Security Essentials-Warnung (oben) und eine gefälschte Warnung, die von Win32/FakePAV generiert wurde (unten). 42 Die Namen, unter denen FakePAV verteilt wird, sind z. B. Red Cross Antivirus, Peak Protection 2010, AntiSpy Safeguard, Major Defense Kit, Pest Detector, ThinkPoint, Privacy Guard 2010, Palladium Pro und andere. Die Entdeckung von FakePAV wurde dem MSRT im November 2010 hinzugefügt. Weitere Informationen finden Sie im Eintrag MSRT Tackles Fake Microsoft Security Essentials (MSRT adressiert gefälschtes Microsoft Security Essentials) vom 9. November 2010) auf dem MMPCBlog, http://blogs.technet.com/mmpc. Bedrohungen für private und geschäftliche Benutzer Die Verwendungsmuster von privaten und geschäftlichen Benutzern sind in der Regel sehr verschieden. Geschäftliche Benutzer verwenden Computer in der Regel für die Durchführung geschäftlicher Aufgaben, während sie mit dem Netzwerk verbunden sind, und unterliegen möglicherweise Beschränkungen hinsichtlich ihrer Nutzung des Internets und von E-Mails. Private Benutzer stellen wahrscheinlich eine Verbindung mit dem Internet über den Heimrouter her und verwenden ihre Computer zu Unterhaltungszwecken, wie Spiele, Videos und die Kommunikation mit Freunden. Diese unterschiedlichen Verwendungsmuster bedeuten, dass private Benutzer einer anderen Mischung von Computerbedrohungen als geschäftliche Benutzer ausgesetzt sind. 43 Die Infizierungstelemetrie, die von den Antimalwareprodukten und -tools von Microsoft für Desktops generiert wird, enthält Daten dazu, ob der infizierte Computer zu einer Active Directory®-Domäne gehört. Domänen werden beinahe ausschließlich in Unternehmensumgebungen verwendet, und Computer, die zu keiner Domäne gehören, werden wahrscheinlich privat oder in anderen Kontexten außerhalb von Unternehmen verwendet. Ein Vergleich der Bedrohungen für Domänencomputer und Computer außerhalb von Domänen kann Einsichten in die unterschiedlichen Arten bereitstellen, wie Angreifer auf geschäftliche und private Benutzer zielen und welche Bedrohungen in welcher Umgebung wahrscheinlich Aussichten auf Erfolg haben. Abbildung 26 und Abbildung 27 listen die wichtigsten 10 Familien auf, die auf Domänencomputern und Computern außerhalb von Domänen im 4. Quartal 2010 entdeckt wurden. 44 Abbildung 26. Die wichtigsten 10 Familien, die auf Domänencomputern im Jahr 2010 entdeckt wurden, in Prozent aller infizierten Domänencomputer Familie Wichtigste Kategorie 1. Quartal 201 0 2. Quartal 201 0 3. Quartal 201 0 4. Quartal 2010 Win32/Confick er Würmer 21,3 % 22,0 % 19,6 % 18,9 % Win32/Autorun Win32/Rimecu d Würmer 7,3 % 8,3 % 10,0 % 10,0 % Würmer 9,0 % 9,8 % 8,0 % 8,3 % 4 Win32/Taterf Würmer 4,1 % 6,9 % 5,9 % 4,1 % 5 Win32/RealVN C Verschiedene potenziell unerwünschte Software 5,6 % 5,4 % 4,9 % 4,3 % 6 Win32/Hamwe q Würmer 7,0 % 5,3 % 3,2 % 2,4 % 6,5 % 6,0 % 2,8 % 2,4 % 5,2 % 3,4 % 4,0 % 2,8 % 2,7 % 2,4 % 2,8 % 1,8 % 2,3 % 3,0 % 2,8 % 0,9 % 1 2 3 7 Win32/Frethog 8 Win32/Renos 9 Win32/Alureon 1 0 Win32/ FakeSpypro Tools für Kennwortdiebstah l und Überwachung Trojanische Download- und Droptools Verschiedene Trojaner Verschiedene Trojaner 45 Abbildung 27. Die wichtigsten 10 Familien, die auf Computern außerhalb von Domänen im Jahr 2010 entdeckt wurden, in Prozent aller infizierten Computer außerhalb von Domänen 46 Familie Kategorie 1. Quartal 2010 2. Quartal 2010 3. Quartal 2010 1 Win32/Autorun Würmer 3.8% 5.4% 7.8% 2 Win32/Renos Trojanische Downloadund Droptools 8.8% 6.6% 6.1% 3 Win32/Taterf Würmer 4.8% 8.0% 6.7% 4 Win32/Rimecud Würmer 5,6 % 5,7 % 4,6 % 5 JS/Pornpop Adware 0,0 % 0,0 % 7,8 % 6 Win32/Frethog Tools für den Kennwortdiebstahl und Überwachung 6,4 % 6,9 % 3,6 % 7 Win32/FakeSpypr o Verschiedene Trojaner 4.1% 4.9% 5.6% 8 Win32/Zwangi Verschiedene potenziell unerwünschte Software 1.8% 3.1% 4.9% 9 Win32/Conficker Würmer 3.8% 4.7% 3.9% 1 0 Win32/Hotbar Adware 3.4% 5.3% 2.8% 4. Quartal Sieben Familien kommen in beiden Listen vor, auch wenn sie sich an unterschiedlichen Stellen befinden und in unterschiedlichen Anteilen vorliegen. Die Wurmfamilie Win32/Conficker, die Verbreitungsmethoden verwendet, die in einer typischen Unternehmensnetzwerkumgebung effektiver als im öffentlichen Internet sind, führt die Liste für die Domänencomputer mit deutlichem Vorsprung an. Sie befindet sich auf der Liste für Computer außerhalb von Domänen jedoch nur auf dem neunten Platz. Würmer stellen fünf der 10 häufigsten Familien dar, die auf Domänencomputern entdeckt wurden. Einige dieser Würmer, darunter Conficker, Win32/Autorun und Win32/Taterf, wurden für die Verbreitung über Netzwerkverzeichnisse entwickelt, wie sie in Domänenumgebungen häufig verwendet werden. 47 48 Auf den Computern außerhalb von Domänen war JS/Pornpop die am häufigsten entdeckte Familie im 4. Quartal 2010 und die insgesamt am vierthäufigsten entdeckte Familie im Jahr 2010. Im Gegensatz dazu wurde diese Familie sehr viel weniger häufig auf Domänencomputern entdeckt. Pornpop ist eine Adwarefamilie, die versucht, Pop-UnderWerbung in den Webbrowsern von Benutzern anzuzeigen, in der Regel mit pornografischen Inhalten. Sie ist häufig auf Websites anzutreffen, die illegale oder unerwünschte Inhalte enthalten, auf die Benutzer in Domänenumgebungen häufig aufgrund einer Unternehmensrichtlinie oder von Blockiersoftware nicht zugreifen können. Taterf und Win32/Frethog sind zwei miteinander verwandte Familien, die für den Diebstahl von Kennwörtern von Benutzern entwickelt wurden, die Massively Multiplayer Online Role-Playing Games (MMORPGs) spielen. Solche Spiele werden am Arbeitsplatz sehr selten gespielt. Dennoch wurden beide Familien mit einer vergleichbaren Häufigkeit sowohl auf Domänencomputern als auch auf Computern außerhalb von Domänen entdeckt. Taterf und Frethog sind beide für ihre Verbreitung in sehr hohem Maß von Wechselmedien abhängig. Diese Technik wurde wahrscheinlich entwickelt, um ihre Verbreitung in Internetcafés und öffentlichen Gamingcentern zu fördern, hatte jedoch den Effekt, dass sie auch in Unternehmensumgebungen effizient verbreitet wurden. Dies war wahrscheinlich nicht erwartet worden. E-Mail-Bedrohungen Fast alle über das Internet gesendeten E-Mail-Nachrichten sind unerwünscht. Diese unerwünschten E-Mail-Nachrichten strapazieren nicht nur die Postfächer der Empfänger und die Ressourcen von E-Mail-Anbietern, sondern schaffen auch eine Umgebung, in der sich per E-Mail empfangene Malwareangriffe und Phishingversuche problemlos verbreiten können. E-Mail-Anbieter, soziale Netzwerke und andere Onlinecommunitys haben sich die Blockierung von Spam-, Phishing- und anderen E-Mail-Bedrohungen zur obersten Priorität gemacht. Blockierte Spamnachrichten Die Informationen in diesem Abschnitt wurden aus Telemetriedaten zusammengestellt, die von Microsoft Forefront® Online Protection for Exchange (FOPE) bereitgestellt wurden, einem Dienst, der Spam-, Phishing- und Malwarefilterdienste für Tausende von Unternehmenskunden und Milliarden von Nachrichten pro Monat bietet. (Weitere Informationen hierzu finden Sie unter Spam Trends (Spamtrends) im Referenzhandbuchabschnitt auf der Security Intelligence Report-Website.) 49 Abbildung 28. Von FOPE blockierte Nachrichten für die einzelnen Monate des Jahres 2010 Nachdem die Anzahl der Spamnachrichten während der ersten acht Monate des Jahres 2010 langsam zunahm und eine gewisse Stufe erreichte, fiel die Anzahl der empfangenen und von FOPE blockierten Spamnachrichten im September und erneut im Dezember plötzlich ab. Diese Abnahmen können direkt mit Ereignissen in Zusammenhang gebracht werden, die zwei der weltweit wichtigsten Botnets betrafen, von denen aus Spamnachrichten versendet werden: o 50 Während der letzten Augustwoche leiteten Spezialisten des Sicherheitsunternehmens LastLine einen koordinierten Takedown von Command-and-Control (C&C)-Servern des Win32/CutwailSpambots an. In den Tagen nach dem Takedown verzeichnete FOPE einen erheblichen Abfall bezüglich der Zahl der durchschnittlich pro Tag blockierten Nachrichten. o Um den 25. Dezember herum verzeichneten Spamanalysten aus der ganzen Welt ein beinahe vollständiges Versiegen von Spamnachrichten, die vom großen Rustock-Botnet gesendet wurden. Einige Spamanalysten berichteten über eine Abnahme der weltweiten Spamrate von 50 Prozent oder mehr. Während der letzten Dezemberwoche wurden beinahe 30 Prozent weniger Nachrichten von FOPE als in der Woche zuvor blockiert, verglichen mit einer Abnahme von weniger als zwei Prozent zwischen den letzten beiden Wochen des Jahres 2009. Das Rustock-Botnet begann Mitte Januar wieder mit der Versendung von Spamnachrichten, und die Anzahl der von FOPE blockierten Nachrichten ist entsprechend gestiegen. Die Gründe für diese Unterbrechung werden noch gesucht. Bei FOPE erfolgt die Spamfilterung in zwei Schritten. Der Großteil des Spams wird von Servern am Netzwerkrand blockiert. Dabei werden Reputation Filtering und andere nicht inhaltsbasierte Regeln zur Blockierung von Spam oder anderen nicht erwünschten Nachrichten verwendet. Nachrichten, die nicht im ersten Schritt blockiert werden, werden mit inhaltsbasierten Regeln gescannt, die viele weitere E-Mail-Bedrohungen, darunter Anlagen mit Malware, erkennen und filtern können. Abbildung 29. Prozentsatz eingehender Nachrichten, die von FOPE mithilfe einer Blockierung am Netzwerkrand und der Inhaltsfilterung im Jahr 2010 blockiert wurden 51 52 Im Jahr 2010 gelangte insgesamt nur etwa eine von 38,5 eingehenden Nachrichten in die Postfächer der Empfänger. Die restlichen Nachrichten wurden am Netzwerkrand oder über die Inhaltsfilterung blockiert. Ungefähr 95,3 Prozent aller eingehenden Nachrichten wurden am Netzwerkrand blockiert, was bedeutet, dass nur für 4,7 Prozent der eingehenden Nachrichten der ressourcenintensivere Inhaltsfilterungsprozess angewendet werden musste. Die Effektivität von Filterungstechniken am Netzwerkrand, z. B. der Überprüfung der Zuverlässigkeit von IP-Adressen, der SMTPVerbindungsanalyse und der Empfängerüberprüfung, nahm über die vergangenen Jahre deutlich zu, sodass E-Mail-Filterdienste Endbenutzern heute, da die Anzahl unerwünschter Nachrichten über das Internet sehr hoch ist, einen besseren Schutz bieten können. Spamtypen Die FOPE-Inhaltsfilter erkennen verschiedene häufige Arten von Spamnachrichten. Abbildung 30 zeigt die relative Häufigkeit dieser Spamtypen für das Jahr 2010. Abbildung 30. Von FOPE-Filtern im Jahr 2010 blockierte eingehende Nachrichten, nach Kategorie Werbung für nicht potenzsteigernde Pharmazeutika machte 32,4 Prozent aller Spamnachrichten aus, die im Jahr 2010 von FOPE-Inhaltsfiltern blockiert wurden. Zusammen mit Werbung für nicht pharmazeutische Produkte (18,3 Prozent der Gesamtmenge) und Werbung für potenzsteigernde Produkte (3,3 Prozent) machte die Produktwerbung 54,0 Prozent aller Spamnachrichten im Jahr 2010 aus und liegt damit unter dem Wert von 69,2 Prozent im Vorjahr. Um den Inhaltsfiltern zu entgehen, senden Spammer häufig Nachrichten, die nur aus einem oder zwei Bildern bestehen, ohne dass Text enthalten ist. Spamnachrichten mit nur Bildern machten 8,7 Prozent der Gesamtzahl der Spamnachrichten im Jahr 2010 aus, verglichen mit 6,3 Prozent im Jahr 2009. 53 Abbildung 31. Von FOPE-Inhaltsfiltern in den einzelnen Monaten des Jahres 2010 blockierte eingehende Nachrichten, nach Kategorie 54 Werbung für nicht potenzsteigernde Pharmazeutika und nicht pharmazeutische Produkte war schon immer eine der mit weitem Vorsprung häufigsten Kategorien in unterschiedlichen Zeiträumen, und auch das Jahr 2010 war keine Ausnahme. Wie in Abbildung 31 dargestellt, können Spamkategorien von Monat zu Monat erheblich variieren, da Spammer zeitlich begrenzte Kampagnen durchführen, genauso wie rechtmäßige Werbetreibende. Spamnachrichten, in denen für betrügerische Universitätsabschlüsse geworben wird, eine Kategorie mit normalerweise niedrigem Aufkommen, hat sich zwischen Februar und März fast versechsfacht und machte damit die drittmeistverbreitete Kategorie im März und April aus, bevor sie im Juni auf den letzten Platz fiel. Ähnlich nahm die Anzahl von Werbung, die nur Bilder enthält und die bis Mai nur für einen kleinen und abnehmenden Anteil verantwortlich war, im Juni plötzlich auffällig zu. Diese Art von Spam war im August häufiger als Werbung für nicht pharmazeutische Produkte und kehrte anschließend bis zum Ende des Jahres zu eher zu erwartenden Zahlen zurück. 55 Bösartige Websites Angreifer verwenden häufig Websites, um Phishingangriffe durchzuführen oder Malware zu verbreiten. Bösartige Websites sehen in der Regel vollkommen rechtmäßig aus und weisen nach außen hin keine Anzeichen für ihre bösartige Natur auf, auch nicht für erfahrene Computerbenutzer. Um Benutzer vor bösartigen Webseiten zu schützen, haben Microsoft und andere Browseranbieter Filter entwickelt, die Websites überwachen, auf denen Malware und Phishingangriffe gehostet werden, und auffällige Warnungen anzeigen, wenn Benutzer versuchen, zu diesen Websites zu navigieren. Die Informationen in diesem Abschnitt wurden aus einer Vielzahl interner und externer Quellen zusammengetragen, einschließlich Telemetriedaten, die vom SmartScreen®-Filter (in Windows Internet Explorer 8 und 9), dem Phishingfilter (in Internet Explorer 7), von einer Datenbank mit bekannten aktiven Phishingund Malware-Hosting-Websites, die von Benutzern von Internet Explorer und anderen Microsoft-Produkten und -Diensten gemeldet wurden, sowie von durch Microsoft-Antimalware-Technologien bereitgestellten Malwaredaten generiert wurden. (Weitere Informationen finden Sie unter Phishing (Phishing) und Malware Hosts (Malwarehosts) im Referenzhandbuchabschnitt auf der Security Intelligence Report-Website.) 56 Abbildung 32. Der SmartScreen-Filter in Internet Explorer 8 und 9 blockiert gemeldete Phishing- und Malwareverbreitungssites. Phishingwebsites Abbildung 33 vergleicht das Aufkommen aktiver Phishingwebsites in der SmartScreen-Datenbank jeden Monat mit dem Aufkommen von so genannten Phishingaufrufen, die von Internet Explorer aufgezeichnet werden. Als Phishingaufruf wird der einmalige Versuch eines Benutzers bezeichnet, eine bekannte Phishingwebsite mit Internet Explorer aufzurufen, der blockiert wird. 57 Abbildung 33. Von Januar bis Dezember 2010 jeden Monat aufgezeichnete Phishingwebsites und -aufrufe, relativ zum jeweils monatlichen Durchschnitt Plötzlich auftretende Spitzen bei Aufrufen, wie beispielsweise im Juni, sind nicht ungewöhnlich. Phisher führen häufig separate Kampagnen durch, mit denen mehr Verkehr auf die einzelnen Phishingseiten geleitet werden soll, ohne dass dabei notwendigerweise die Gesamtzahl aktiver Phishingseiten, die gleichzeitig gepflegt werden, ansteigt. In diesem Fall ist der Anstieg im Juni nicht unbedingt mit einem Anstieg bei einer bestimmten Art von Zielinstitution gekoppelt. Phishingaufrufe und aktive Phishingseiten weisen nur selten eine starke Wechselbeziehung zueinander auf. Die Gesamtzahl der von Microsoft überwachten aktiven Phishingseiten blieb über die Monate hinweg sehr stabil; in keinem Monat war eine Abweichung von mehr als ca. 15 Prozent von dem über sechs Monate errechneten Durchschnitt zu verzeichnen. Zieleinrichtungen Abbildung 34 und Abbildung 35 zeigen den Prozentsatz von Phishingaufrufen bzw. aktiven Phishingwebsites, die für die am häufigsten betroffenen Typen von Institutionen in den einzelnen Monaten des Jahres 2010 monatlich von Microsoft aufgezeichnet wurden. 58 Abbildung 34. Monatliche Aufrufe für jeden Typ von Phishingwebsite von Januar bis Dezember 2010 Abbildung 35. Monatlich aufgezeichnete Phishingwebsites von Januar bis Dezember 2010, nach Typ des Ziels 59 60 Phisher zielten traditionell auf Finanzwebsites und weniger auf andere Arten von Websites. Im Jahr 2010 zeichnete sich jedoch eine Verschiebung hin zu sozialen Netzwerken ab. Im Januar erhielten Websites, die auf soziale Netzwerke zielen, nur 8,3 Prozent aller Phishingaufrufe, während diese im Dezember 84,5 Prozent der Phishingaufrufe erhielten. Insbesondere zeigen die letzten vier Monate des Jahres Anzeichen einer verstärkten und konsistenten Phishingkampagne, die auf soziale Netzwerke zielt. Zu einem früheren Zeitpunkt des Jahres 2010 zeigten Phisher Anzeichen, häufiger auf Onlinegamingwebsites zu zielen. Dieser Trend hat angesichts der zunehmenden Angriffe auf soziale Netzwerke anscheinend nachgelassen. Im Juni erhielten Websites, die auf Gamingwebsites zielen, 16,7 Prozent aller Phishingaufrufe, während diese im Dezember normalere 2,1 Prozent der Phishingaufrufe erhielten. Phishingwebsites, die auf soziale Netzwerke abzielen, erzielen in der Regel die höchste Anzahl von Aufrufen pro aktiver Phishingwebsite. Der Prozentsatz der aktiven Phishingwebsites, die auf soziale Netzwerke zielen, nahm während der letzten Monate des Jahres zu, machte jedoch weiterhin nur 4,2 Prozent aller aktiven Websites im Dezember aus, auch wenn diese Websites 84,5 Prozent aller Aufrufe in diesem Monat erhielten. Dennoch blieb die Anzahl der aktiven Websites, die auf Gamingwebsites zielen, während der zweiten Hälfte des Jahres auf hohem Niveau. Dies lässt vermuten, dass weitere Kampagnen geplant sind. Wie auch in früheren Zeiträumen machten Phishingwebsites, die auf Finanzinstitutionen zielen, mit 78 bis 91 Prozent jeden Monat den Großteil der aktiven Phishingwebsites aus. Finanzinstitutionen, auf die von Phishern abgezielt wird, gehen in die Hunderte, und für jede einzelne Institution sind spezielle Phishingansätze erforderlich. Im Gegensatz dazu sind es nur einige wenige beliebte Websites, die die große Masse der Nutzung von sozialen Netzwerken und Onlinediensten im Internet ausmacht; Phisher können daher pro Site effektiv auf viel mehr Menschen abzielen. Die Möglichkeit, direkten unerlaubten Zugriff auf die Bankkonten von Opfern zu erlangen, bedeutet, dass Finanzinstitutionen immer beliebte Ziele für Phishingangriffe bleiben werden und diese weiterhin die zweithöchste Zahl von Phishingaufrufen pro Monat erhalten werden. Globale Verteilung von Phishingwebsites Phishingwebsites werden auf der ganzen Welt auf kostenlosen Hosting-Websites, auf kompromittierten Webservern und in zahlreichen anderen Kontexten gehostet. Mithilfe geografischer Suchen von IP-Adressen in der Datenbank gemeldeter Phishingwebsites können Karten erstellt werden, auf denen die geografische Verteilung von Websites dargestellt ist und mit denen Muster analysiert werden können. Abbildung 36. Phishingwebsites pro 1.000 Internethosts für Standorte auf der ganzen Welt im 1. Halbjahr 2010 (oben) und im 2. Halbjahr 2010 (unten) 61 Die weltweite Verteilung von Phishingwebsites ist zwischen der ersten und der zweiten Jahreshälfte zum großen Teil gleich. Phishingwebsites konzentrieren sich an einigen wenigen Orten, wurden bisher aber auf jedem bewohnten Kontinent erkannt. An Orten mit geringerer Bevölkerung und weniger Internethosts ist die Konzentration von Phishingseiten tendenziell höher, in absoluten Zahlen sind die meisten Phishingwebsites jedoch in großen, industrialisierten Ländern/Regionen mit einer großen Anzahl von Internethosts zu finden. Malwarehosting-Websites Der SmartScreen-Filter in Internet Explorer 8 und 9 bietet Schutz vor Websites, auf denen bekanntermaßen Malware gehostet wird, und auch vor Phishingwebsites. Die Antimalware-Funktion von SmartScreen verwendet URLZuverlässigkeitsdaten sowie Antimalware-Technologien von Microsoft, um zu bestimmen, ob diese Server unsicheren Inhalt verbreiten. Wie auch bei Phishingwebsites, wird von Microsoft aufgezeichnet, wie viele Personen die einzelnen Malware-Hosting-Websites besuchen; diese Informationen werden zur Verbesserung des SmartScreen-Filters und zur besseren Bekämpfung von Malware verwendet. (Weitere Informationen finden Sie unter Malware Hosts (Malwarehosts) im Referenzhandbuchabschnitt auf der Security Intelligence Report-Website.) 62 Abbildung 37. Der SmartScreen-Filter in Internet Explorer 8 (oben) und Internet Explorer 9 (unten) zeigt eine Warnung an, wenn ein Benutzer versucht, eine nicht sichere Datei herunterzuladen 63 Abbildung 38 vergleicht das Aufkommen aktiver Malwarehosting-Websites in der SmartScreen-Datenbank jeden Monat mit dem Aufkommen von so genannten Malwareaufrufen, die von Internet Explorer aufgezeichnet werden. Abbildung 38. Von Januar bis Dezember 2010 jeden Monat aufgezeichnete Malwarewebsites und aufrufe, relativ zum jeweils monatlichen Durchschnitt Die Anzahl der aktiven Malwarehosting-Websites, die für jeden Monat aufgezeichnet wurden, stieg während des Jahres allmählich an. Dies lag vor allem an der verbesserten Entdeckung. Nach dem ansteigenden Trend während der ersten fünf Monate nahm die Anzahl der Malwareaufrufe für jeden Monat des restlichen Jahres ab. Der Malwarehostschutz in Browsern ist eine vergleichsweise neue Entwicklung im Vergleich zum Phishingschutz. Es ist möglich, dass Angreifer hierauf reagieren, indem sie andere Angriffstechniken verwenden. Malwarekategorien Abbildung 39 und Abbildung 40 zeigen die Arten von Bedrohungen, die unter URLs gehostet werden, die vom SmartScreen-Filter in der 2. Hälfte des Jahres 2010 blockiert wurden. 64 Abbildung 39. Bedrohungen, die unter URLs gehostet werden, die vom SmartScreen-Filter im Jahr 2010 blockiert wurden, nach Kategorie 65 Abbildung 40. Die wichtigsten 10 Malwarefamilien, die auf Websites gehostet werden, die vom SmartScreen-Filter in der 1. und 2. Hälfte des Jahres 2010 blockiert wurden 1. Hälfte 2010 – Rang Prozent 2. Hälfte 2010 – Rang Bedrohungsname Wichtigste Kategorie Verschiedene potenziell unerwünschte Software 61.1 1 Win32/MoneyTree Verschiedene potenziell unerwünschte Software 47.3 Win32/FakeXPA Verschiedene Trojaner 3.3 2 Win32/Small Trojanische Downloadund Droptools 5.8 3 Win32/VBInject Verschiedene potenziell unerwünschte Software 2.3 3 Win32/Delf Trojanische Downloadund Droptools 5.1 4 Win32/Winwebsec Verschiedene Trojaner 2.0 4 Win32/Startpage Verschiedene Trojaner 4.2 5 Win32/Obfuscator Verschiedene potenziell unerwünschte Software 1.9 5 Win32/Obfuscator Verschiedene potenziell unerwünschte Software 3.2 6 Win32/Banload Win32/Pdfjsc Exploits 1.4 Trojanische Downloadund Droptools 2.8 6 7 Win32/Small Trojanische Downloadund Droptools 1.3 7 Win32/Bancos Tools für Kennwortdiebstahl und Überwachung 2.0 8 Win32/Bancos Tools für Kennwortdiebstahl und Überwachung 1.3 8 Win32/Agent Verschiedene Trojaner 1.1 9 Win32/Microjoin Win32/Swif Verschiedene Trojaner 1.2 Trojanische Downloadund Droptools 1.1 9 10 Win32/Ciucio Trojanische Downloadund Droptools 1.0 WinNT/Citeary Verschiedene potenziell unerwünschte Software Bedrohungsname Wichtigste Kategorie 1 Win32/MoneyTree 2 10 66 1.1 Insgesamt machten Websites, auf denen die wichtigsten 10 Familien gehostet werden, 76,9 Prozent aller Malwareaufrufe während der ersten und 71,6 Prozent während der zweiten Jahreshälfte aus. Die Kategorie für verschiedene potenziell unerwünschter Software machte durchgängig zwischen zwei Dritteln und drei Vierteln aller Malwareaufrufe für die meisten Zeiträume aus, hauptsächlich aufgrund von Win32/MoneyTree. MoneyTree ist die Malwarefamilie, die für die größte Anzahl von Malwareaufrufen während aller Sechs-MonatsZeiträume seit der ersten Jahreshälfte 2009 verantwortlich ist. Prozent Die Anzahl der Downloads von Dokumenten-Exploits, die vom SmartScreen-Filter blockiert wurden, nahm von 1,9 Prozent für die erste Jahreshälfte 2010 auf 0,96 Prozent für die zweite Jahreshälfte ab. Diese Abnahme entspricht der Abnahme der Entdeckungen von DokumentExploits zugunsten von Java-Exploits, wie in Abbildung 6 auf Seite 13 gezeigt. Win32/VBInject, Win32/Obfuscator, Win32/Pdfjsc, Win32/Small, Win32/Startpage und Win32/Swif sind sämtlich generische Entdeckungen für Auflistungen nicht verwandter Bedrohungen, die bestimmte identifizierbare Merkmale gemeinsam haben. 67 Gobale Verteilung von Malware-Hosting-Websites Abbildung 41zeigt die geografische Verteilung von Malwarehosting-Websites, die Microsoft im Jahr 2010 gemeldet wurden. Abbildung 41. Malwareverbreitungs-Websites pro 1.000 Internethosts für Standorte auf der ganzen Welt für die 1. Jahreshälfte 2010 (oben) und die 2. Jahreshälfte 2010 (unten) 68 Wie im Fall von Phishingwebsites blieb die weltweite Verteilung von Malwarehosting-Websites zwischen den Zeiträumen in etwa gleich. Drive-By-Downloadwebsites Eine Drive-By-Downloadwebsite ist eine Website, auf der einer oder mehrere Exploits gehostet werden, die auf Sicherheitslücken in Webbrowsern und Browser-Add-Ons zielen. Benutzer mit anfälligen Computern können durch bloßes Aufrufen einer solchen Website mit Malware infiziert werden, ohne dass sie dabei versuchen, etwas herunterzuladen. Bei Suchmaschinen wie Microsoft Bing™ wurde eine Reihe von Maßnahmen ergriffen, um Benutzer vor Drive-By-Downloads zu schützen. Bing analysiert Websites bei der Indizierung auf Exploits und zeigt Warnmeldungen an, wenn Auflistungen für Drive-By-Downloadseiten in der Liste der Suchergebnisse angezeigt werden. (Weitere Informationen zur Funktionsweise von Drive-By-Downloadwebsites und die Schritte, die Bing zum Schutz der Benutzer unternimmt, finden Sie unter Drive-By Download Sites (Drive-By-Downloadwebsites) im Referenzhandbuchabschnitt auf der Security Intelligence Report-Website.) Die Informationen in diesem Abschnitt wurden aus einer Analyse der länderspezifischen Top-Level-Domänen (ccTLDs) der Websites im Bing-Index zusammengestellt, auf denen im Jahr 2010 Drive-By-Downloads gehostet wurden. 69 Abbildung 42. Prozentsatz von Websites in den einzelnen länderspezifischen Top-Level-Domänen (ccTLD), auf denen in der 2. Jahreshälfte 2010 (oben) und in der 4. Jahreshälfte 2010 (unten) Drive-By-Downloads gehostet wurden. 70 In der 2. Jahreshälfte 2010 beliefen sich Drive-By-Downloadseiten auf etwa 2,4 pro 1.000 Suchergebnisseiten, die während dieses Zeitraums für Benutzer angezeigt wurden. Insgesamt handelte es sich bei den am stärksten infizierten ccTLDs um kleine Domänen. Kleine länderspezifische Top-Level-Domänen sind aufgrund ihrer Größe anfällig für hohe Infizierungsraten. Wenn beispielsweise ein großer Internetdienstanbieter in einem kleinen Land oder einer kleinen Region einem Angreifer zum Opfer fällt, kann sich dies auf einen hohen Prozentsatz der Domänen in der zugehörigen ccTLD auswirken. Abbildung 42 stellt nicht die physischen Orte gehosteter Websites dar; nicht alle ccTLD-Websites werden an den Orten gehostet, denen die ccTLDs selbst zugewiesen sind. Die meisten ccTLD-Websites zielen jedoch auf Internetbenutzer in einem bestimmen Land/einer bestimmten Region ab und werden in der Regel in einer entsprechenden Sprache geschrieben; Abbildung 42 kann daher als realistische Anzeige dafür betrachtet werden, wie Benutzer in unterschiedlichen Teilen der Welt mehr oder weniger stark von Drive-By-Downloadseiten betroffen sind. 71 Anhang Besuchen Sie http://www.microsoft.com/sir, und laden Sie die englischsprachige Version des Security Intelligence Report herunter, um die folgenden Materialien zu lesen: 72 Anhang A: Namenskonventionen für Bedrohungen Anhang B: Datenquellen Anhang C: Weltweite Infizierungsraten Glossar Bedrohungsfamilien, die in diesem Bericht genannt werden One Microsoft Way Redmond, WA 98052-6399 microsoft.com/security 73