Microsoft Security Intelligence Report

Transcription

Microsoft Security Intelligence Report
Microsoft Security Intelligence
Report
Ausgabe 10
Juli bis Dezember 2010
Microsoft Security Intelligence Report
Dieses Dokument dient nur zu Informationszwecken. MICROSOFT SCHLIESST
FÜR DIE IN DIESEM DOKUMENT ENTHALTENEN INFORMATIONEN JEDE
GARANTIE AUS, SEI SIE AUSDRÜCKLICH ODER KONKLUDENT.
Das Dokument wird wie vorliegend bereitgestellt. Die in diesem Dokument
enthaltenen Informationen und Ansichten, einschließlich URLs und andere
Internetwebsites, können ohne vorherige Ankündigung geändert werden. Sie
verwenden die Informationen auf eigenes Risiko.
Copyright © 2011 Microsoft Corporation. Alle Rechte vorbehalten.
Die Namen der in diesem Dokument genannten Firmen und Produkte sind
Marken ihrer jeweiligen Eigentümer.
1
Autoren
Doug Cavit
Microsoft Trustworthy
Computing
Jimmy Kuo
Microsoft Malware Protection
Center
Tim Rains
Microsoft Trustworthy
Computing
Matt Thomlinson
Microsoft Security Response
Center
Joe Faulhaber
Microsoft Malware Protection
Center
Michelle Meyer
Microsoft Trustworthy
Computing
Javier Salido
Microsoft Trustworthy
Computing
Vinny Gullotto
Microsoft Malware Protection
Center
Daryl Pecelj
Microsoft IT Information
Security and Risk
Management
Christian Seifert
Bing
Jossie Tirado Arroyo
Microsoft IT Information
Security and Risk
Management
Jeff Jones
Microsoft Trustworthy
Computing
Anthony Penta
Microsoft Windows Safety
Platform
Frank Simorjay
Microsoft Trustworthy
Computing
Holly Stewart
Microsoft Malware Protection
Center
Scott Wu
Microsoft Malware Protection
Center
Jeff Williams
Microsoft Malware Protection
Center
Terry Zink
Microsoft Forefront Online
Protection for Exchange
Verfasser von Beiträgen
Lawren Ahuna
Microsoft IT Information
Security and Risk
Management
Eva Chow
Microsoft IT Information
Security and Risk
Management
Enrique Gonzalez
Microsoft Malware Protection
Center
Cristin Goodwin
Microsoft Legal and
Corporate Affairs
Satomi Hayakawa
CSS Japan Security Response
Team
Yuhui Huang
Microsoft Malware Protection
Center
CSS Japan Security
Response Team
Microsoft Japan
John Lambert
Microsoft Security
Engineering Center
Eric Leonard
Microsoft IT Information
Security and Risk
Management
Laura Lemire
Microsoft Legal and
Corporate Affairs
Ken Malcolmson
Microsoft Trustworthy
Computing
Charles McColgan
Microsoft ISD
2
Don Nguyen
Microsoft IT Information
Security and Risk
Management
Price Oden
Microsoft IT Information
Security and Risk
Management
Kathy Phillips
Microsoft Legal and
Corporate Affairs
Hilda Larina Ragragio
Microsoft Malware Protection
Center
Tareq Saade
Microsoft Malware Protection
Center
Richard Saunders
Microsoft Trustworthy
Computing
Marc Seinfeld
Microsoft Malware Protection
Center
Jasmine Sesso
Microsoft Malware Protection
Center
Norie Tamura (GOMI)
CSS Japan Security Response
Team
Gilou Tenebro
Microsoft Malware Protection
Center
Steve Wacker
Wadeware LLC
Inhaltsverzeichnis
Trustworthy Computing: Sicherheitstechniken bei Microsoft ..............................5
Sicherheitslücken ...............................................................................................6
Veröffentlichungen von Sicherheitslücken ......................................................6
Schweregrad von Sicherheitslücken ................................................................8
Komplexität von Sicherheitslücken .................................................................9
Sicherheitslücken bei Betriebssystemen, Browsern und Anwendungen .......... 11
Exploits ............................................................................................................ 12
HTML- und JScript/JavaScript-Exploits ......................................................... 13
Dokument-Exploits ...................................................................................... 15
Betriebssystem-Exploits ................................................................................ 16
Trends bei Sicherheitsverletzungen ............................................................... 18
Malware und potenziell unerwünschte Software ............................................... 21
Globale Infizierungsraten .............................................................................. 21
Infizierungsraten für Betriebssysteme ............................................................ 28
Bedrohungskategorien .................................................................................. 31
Bedrohungskategorien nach Standort ........................................................ 33
Bedrohungsfamilien ...................................................................................... 37
Bösartige Sicherheitssoftware ........................................................................ 40
Bedrohungen für private und geschäftliche Benutzer ..................................... 43
E-Mail-Bedrohungen ........................................................................................ 49
Blockierte Spamnachrichten ......................................................................... 49
Spamtypen ................................................................................................... 53
Bösartige Websites............................................................................................ 56
Phishingwebsites .......................................................................................... 57
3
Zieleinrichtungen...................................................................................... 58
Globale Verteilung von Phishingwebsites .................................................. 61
Malwarehosting-Websites ............................................................................. 62
Malwarekategorien.................................................................................... 64
Gobale Verteilung von Malware-Hosting-Websites .................................... 68
Drive-By-Downloadwebsites ......................................................................... 69
Anhang ............................................................................................................ 72
4
Trustworthy Computing:
Sicherheitstechniken bei
Microsoft
Angesichts der zunehmenden Komplexität der Bedrohungen für Computer und
der zunehmenden Durchdachtheit der kriminellen Angriffe legen Kunden mehr
als je zuvor den Schwerpunkt auf den Schutz ihrer Computingumgebungen,
sodass sie und die verbundenen Einheiten und Personen sich sicher fühlen
können. Mit weltweit mehr als einer Milliarde Systemen, auf denen
Microsoft-Produkte und -Dienste verwendet werden, versteht Microsoft die
Erwartungen der Kunden hinsichtlich einer sichereren und vertrauenswürdigeren
Computingumgebung.
Trustworthy Computing (TwC) wurde 2002 gebildet und repräsentiert
die Verpflichtung von Microsoft für die Entwicklung und Bereitstellung einer
sicheren, privaten und zuverlässigen Computingumgebung, die auf anerkannten
Geschäftsverfahren basiert. Die in diesem Bericht bereitgestellten Daten stammen
aus den Sicherheitszentren von Trustworthy Computing, die detaillierte Daten
zu Bedrohungen, Reaktionen auf Bedrohungen und Informationen zur Sicherheit
bereitstellen. Außerdem finden Sie dort Informationen von
Microsoft-Produktgruppen. Der Bericht soll unseren Kunden, unseren Partnern
und der Branche ein besseres Verständnis der Bedrohungen ermöglichen,
sodass diese sich und ihre Ressourcen besser vor kriminellen Aktivitäten
schützen können.
5
Sicherheitslücken
Sicherheitslücken sind Schwächen in einer Software, die einem Angreifer
ermöglichen, die Integrität, Verfügbarkeit oder Vertraulichkeit dieser Software
zu beeinträchtigen. Einige der gefährlichsten Sicherheitslücken ermöglichen
Angreifern die Ausführung von willkürlichem Code, Exploits, auf dem
beeinträchtigten System. Weitere Informationen zu Sicherheitslücken finden Sie
in Industry-Wide Vulnerability Disclosures (Branchenweite Veröffentlichungen
von Sicherheitslücken) im Referenzhandbuchabschnitt auf der Website für den
Security Intelligence Report.
Veröffentlichungen von Sicherheitslücken
Eine Veröffentlichung, wie im Security Intelligence Report (SIR) verwendet, ist die
Bekanntgabe einer Sicherheitslücke für die allgemeine Öffentlichkeit. Der Begriff
bezieht sich nicht auf die private Bekanntgabe oder die Bekanntgabe für eine
begrenzte Anzahl von Personen. Diese Veröffentlichungen können aus einer
Reihe von Quellen stammen, wie dem Hersteller der Software selbst, Herstellern
von Sicherheitssoftware, unabhängigen Sicherheitsanalysten und sogar von den
Entwicklern von Malware.
Die Informationen in diesem Abschnitt wurden aus Daten zur Veröffentlichung
von Sicherheitslücken zusammengetragen, die in der National Vulnerability
Database (http://nvd.nist.gov) veröffentlicht sind, der Datenbank der
US-amerikanischen Regierung mit auf Standards basierenden Verwaltungsdaten
für Sicherheitslücken.
Abbildung 1 zeigt Veröffentlichungen von Sicherheitslücken für Produkte von
Microsoft und anderen Herstellern seit 2006.
6
Abbildung 1. Veröffentlichungen von Sicherheitslücken für Produkte von Microsoft und anderen Herstellern 2006-2010

Die Zahl der Veröffentlichungen von Sicherheitslücken für das Jahr 2010
war um 17,1 Prozent niedriger als im Jahr 2009.

Diese Abnahme setzt einen allgemeinen Trend zur mäßigen Abnahme
seit dem Jahr 2006 fort. Dieser Trend ist wahrscheinlich auf bessere
Entwicklungsverfahren und Qualitätskontrollen in der Branche
zurückzuführen, was zu sicherer Software und weniger Sicherheitslücken
führt. (Weitere Details und Anleitungen zu sicheren
Entwicklungsverfahren finden Sie unter Protecting Your Software
(Schutz Ihrer Software) im Abschnitt für die Verwaltung von Risiken
auf der Security Intelligence Report-Website.)

Die Veröffentlichungen von Sicherheitslücken für Microsoft-Produkte
nahmen im Jahr 2010 leicht zu, blieben jedoch im Allgemeinen über die
vergangenen Zeiträume stabil.

Die Sicherheitslücken für Microsoft-Produkte stellten 7,2 Prozent aller im
Jahr 2010 veröffentlichten Sicherheitslücken dar. Dieser Prozentsatz liegt
über dem Prozentsatz von 4,5 Prozent für das Jahr 2009. Dies liegt vor allem
an der allgemeinen Abnahme von Veröffentlichungen von Sicherheitslücken
während dieses Zeitraums.
7
Schweregrad von Sicherheitslücken
Das Common Vulnerability Scoring System (CVSS) ist ein standardisiertes,
plattformunabhängiges Bewertungssystem für IT-Sicherheitslücken. Das CVSS
weist Sicherheitslücken je nach Schweregrad einen Zahlenwert von 0 bis 10 zu,
wobei höhere Werte für einen höheren Schweregrad stehen. (Weitere
Informationen finden Sie unter Vulnerability Severity (Schweregrad von
Sicherheitslücken) im Referenzhandbuchabschnitt auf der Security Intelligence
Report-Website.)
Abbildung 2. Branchenweite Veröffentlichungen von Sicherheitslücken nach Schweregrad, 20062010
8

Obwohl die Anzahl von Veröffentlichungen für Sicherheitslücken mit
einem mittleren und hohen Schweregrad in der Regel sehr viel höher als
die Anzahl von Veröffentlichungen für Sicherheitslücken mit niedrigem
Schweregrad ist, ist der Trend im Jahr 2010 mit einem Rückgang von
17,5 Prozent bzw. 20,2 Prozent bei mittleren bzw. hohen Schweregraden
im Vergleich zum Jahr 2009 positiv.

Bei Veröffentlichungen von Sicherheitslücken mit niedrigem
Schweregrad wurde ein Anstieg von 45,8 Prozent von 190 im Jahr 2009
auf 277 im Jahr 2010 verzeichnet.

Es gilt als bewährtes Verfahren für die Sicherheit, zuerst die
Sicherheitslücken mit dem höchsten Schweregrad zu reduzieren.
Sicherheitslücken mit einem hohen Schweregrad von 9,9 oder höher
stellen 5,5 Prozent aller im Jahr 2010 veröffentlichten Sicherheitslücken
dar, wie in Abbildung 3 gezeigt. Dieser Prozentsatz liegt damit unter den
6,7 Prozent im Jahr 2009.
Abbildung 3. Branchenweite Veröffentlichungen von Softwaresicherheitslücken im Jahr 2010 nach Schweregrad
Komplexität von Sicherheitslücken
Manche Sicherheitslücken können einfacher ausgenutzt werden als andere.
Daher ist die Komplexität von Sicherheitslücken ein wichtiger Faktor, der bei der
Bestimmung des Schweregrads des Bedrohungsausmaßes einer Sicherheitslücke
zu berücksichtigen ist. Eine Sicherheitslücke mit einem hohen Schweregrad, die
nur unter sehr speziellen und seltenen Umständen ausgenutzt werden kann,
erfordert möglicherweise weniger sofortige Aufmerksamkeit als eine
Sicherheitslücke mit einem niedrigeren Schweregrad, die leichter ausgenutzt
werden kann.
9
Im CVSS erhält jede Sicherheitslücke eine Komplexitätsbewertung von „Niedrig“,
„Mittel“ oder „Hoch“. (Weitere Informationen zum CVSS-Einstufungssystem für
die Komplexität finden Sie unter Vulnerability Complexity
(Sicherheitslückenkomplexität) im Referenzhandbuchabschnitt auf der Security
Intelligence Report-Website.) Abbildung 4 zeigt die Komplexitätsmischung für die
in den Jahren seit 2006 jeweils veröffentlichten Sicherheitslücken. Beachten Sie,
dass eine niedrige Komplexität eine größere Gefahr darstellt, genauso wie ein
hoher Schweregrad eine größere Gefahr in Abbildung 3 darstellt.
Abbildung 4. Branchenweite Softwaresicherheitslücken nach Zugriffskomplexität, 2006-2010
10

Wie auch beim Schweregrad der Sicherheitslücken ist hier ein
positiver Trend zu verzeichnen. Bei Veröffentlichungen für
Softwaresicherheitslücken mit niedriger und mittlerer Komplexität
wurde ein Rückgang von 28,3 bzw. 5,0 Prozent seit dem Jahr 2009
beobachtet.

Bei Veröffentlichungen von Softwaresicherheitslücken mit hoher
Komplexität wurde ein Anstieg von 43,3 Prozent von 120 im Jahr 2009
auf 172 im Jahr 2010 verzeichnet.
Sicherheitslücken bei Betriebssystemen,
Browsern und Anwendungen
Abbildung 5 zeigt branchenweite Sicherheitslücken bei Betriebssystemen,
Browsern und Anwendungen seit dem Jahr 2006. (Eine Erklärung der
Unterscheidung von Betriebssystemen, Browsern und Sicherheitslücken finden
Sie unter Operating System and Browser Vulnerabilities (Sicherheitslücken bei
Betriebssystemen und Browsern) im Referenzhandbuchabschnitt auf der Security
Intelligence Report-Website.)
Abbildung 5. Branchenweite Sicherheitslücken bei Betriebssystemen, Browsern und Anwendungen, 2006-2010

Sicherheitslücken in Anwendungen machten auch im Jahr 2010
einen Großteil aller Sicherheitslücken aus; die Gesamtzahl von
Sicherheitslücken in Anwendungen sank jedoch seit dem Jahr 2009
um 22,2 Prozent.

Die Sicherheitslücken bei Betriebssystemen und Browsern blieben im
Vergleich dazu verhältnismäßig stabil, d. h. jede einzelne Art von Risiko
machte einen kleinen Teil des Gesamtergebnisses aus.
11
Exploits
Ein Exploit ist bösartiger Code, der eine Softwarelücke für die Infizierung eines
Computers ausnutzt, ohne Zustimmung oder Wissen des Benutzers. Exploits
zielen auf Sicherheitslücken in Betriebssystemen, Webbrowsern, Anwendungen
oder Softwarekomponenten ab, die auf dem Computer installiert sind. In einigen
Fällen handelt es sich bei den Zielkomponenten um Add-Ons, die durch den
Hersteller vor dem Verkauf des Computers installiert wurden. Der betroffene
Benutzer verwendet das anfällige Add-On möglicherweise gar nicht oder ist sich
nicht bewusst, dass es installiert ist. Einige Softwareanwendungen verfügen nicht
über die Fähigkeit, sich selbst zu aktualisieren. Wenn daher der
Softwarehersteller ein Update veröffentlicht, mit dem die Sicherheitslücke
geschlossen wird, weiß der Benutzer möglicherweise nicht, dass das Update
verfügbar ist oder wie er es erhalten kann. Daher bleibt die Software offen für
einen Angriff.
Softwarelücken werden in der Common Vulnerabilities and Exposures
(CVE)-Liste aufgelistet und dokumentiert (http://cve.mitre.org), einer
standardisierten Datenbank für Informationen zu Sicherheitslücken. Hier und
im gesamten Bericht werden Exploits mittels des CVE-Kennzeichners für die
Sicherheitslücke identifiziert, wenn vorhanden. Außerdem werden Exploits,
die Sicherheitslücken in Microsoft-Software ausnutzen, mittels der MicrosoftSicherheitsbulletin-Nummer für die Sicherheitslücke identifiziert, wenn
vorhanden.1
Abbildung 6 zeigt die Verteilung der einzelnen Arten von Exploits für die
einzelnen Quartale im Jahr 2010.
Auf www.microsoft.com/technet/security/Current.aspx können Sie Microsoft-Sicherheitsbulletins finden
und lesen.
1
12
Abbildung 6. Exploits, die von Microsoft-Antimalwareprodukten für Desktops im Jahr 2010 entdeckt wurden,
nach Zielplattform oder Zieltechnologie

In Java geschriebene Malware ist bereits seit vielen Jahren bekannt.
Angreifer hatten bis vor kurzem jedoch der Ausnutzung von JavaSicherheitslücken keine hohe Aufmerksamkeit gewidmet. Im dritten
Quartal 2010 nahm die Anzahl der Java-Angriffe um das 14-fache im
Vergleich zur Anzahl der Angriffe im zweiten Quartal zu. Dies war
vor allem in der Ausnutzung zweier Sicherheitslücken in Versionen
von Sun JVM (jetzt Oracle JVM) begründet, CVE-2008-5353 und
CVE-2009-3867. Zusammen machen diese beiden Sicherheitslücken
85 Prozent der Java-Exploits für die zweite Hälfte des Jahres 2010 aus.

Exploits, die auf Dokument-Editoren und -Reader zielen, wie Microsoft
Word und Adobe Reader, nahmen im zweiten Quartal 2010 ab und
verblieben anschließend auf niedrigem Niveau.

Betriebssystem-Exploits, die einige Jahre lang weniger häufig als andere
Arten von Exploits waren, nahmen im dritten Quartal 2010 deutlich zu,
vor allem aufgrund der Ausnutzung zweier Windows-Sicherheitslücken.
HTML- und JScript/JavaScript-Exploits
Abbildung 7 zeigt die Verteilung der einzelnen Arten von HTML- und
Jscript®/JavaScript-Exploits für die einzelnen Quartale im Jahr 2010.
13
Abbildung 7. Arten von HTML- und JScript/JavaScript-Exploits, die von MicrosoftAntimalwareprodukten für Desktops im Jahr 2010 entdeckt wurden
14

Die meisten der beobachteten Exploits betrafen bösartige
HTML-Inlineframes (IFrames), die unaufgefordert in den Webbrowsern
der Benutzer Seiten öffnen, die Malware enthalten.

Exploits, die auf Windows Internet Explorer®-Sicherheitslücken zielen,
machten zwischen 19 und 36 Prozent der HTML-bezogenen Exploits pro
Quartal aus. Die meisten dieser Exploits zielten auf CVE-2010-0806 ab,
eine Sicherheitslücke, die die Internet Explorer-Versionen 6 und 7
betreffen, wenn diese auf Windows-Versionen vor Windows 7 und
Windows Server 2008 R2 ausgeführt werden. Microsoft hat das Security
Bulletin MS10-018 veröffentlicht, um diese Sicherheitslücke zu
behandeln. Weitere Informationen finden Sie im Eintrag Active
Exploitation of
CVE-2010-0806 (Aktive Ausnutzung von
CVE-2010-0806) vom 30. März 2010 auf dem MMPC-Blog
(http://blogs.technet.com/mmpc).
Dokument-Exploits
Abbildung 8 zeigt die Verteilung der einzelnen Arten von DokumentformatExploits in den einzelnen Quartalen für das Jahr 2010.2
Abbildung 8. Arten von Dokument-Exploits, die von Microsoft-Antimalwareprodukten für Desktops
im Jahr 2010 entdeckt wurden

Exploits, die sich auf Adobe Acrobat und Adobe Reader auswirken,
machten die Mehrzahl der Dokumentformat-Exploits für das Jahr 2010
aus. Beinahe alle diese Exploits enthielten die generische Exploitfamilie
Win32/Pdfjsc.

Die Anzahl der Adobe Acrobat- und Adobe Reader-Exploits nahm seit
dem ersten Quartal um mehr als die Hälfte ab und verblieb während des
restlichen Jahres in etwa auf dieser reduzierten Stufe.

Microsoft Office-Dateiformatexploits machten zwischen 0,5 und
2,8 Prozent der Dokumentformat-Exploits aus, die in den einzelnen
Quartalen für das Jahr 2010 entdeckt wurden.
Microsoft hat außerdem eine kleine Zahl von Exploits entdeckt, die JustSystems Ichitaro betreffen, ein
japanischsprachiges Textverarbeitungsprogramm. Diese Exploits betreffen weniger als 200 Computer pro
Quartal und sind in der Abbildung nicht berücksichtigt.
2
15
Betriebssystem-Exploits
Abbildung 9 zeigt die Verteilung der einzelnen Arten von Betriebssystem-Exploits
für die einzelnen Quartale im Jahr 2010.
Abbildung 9. Betriebssystem-Exploits, die von Microsoft-Antimalwareprodukten für Desktops im
Jahr 2010 entdeckt wurden
16

Einige der im Jahr 2010 am häufigsten entdeckten BetriebssystemExploits wurden von Würmern verursacht, die sich auf eine Art
ausbreiten, die zu einer großen Anzahl von Entdeckungen auf
den Computern führen, die sie zu infizieren suchen. Eine andere
Perspektive auf diese Statistik bietet daher Abbildung 9. Diese zeigt die
Anzahl der einzelnen Computer, die Exploitversuche für einige dieser
Exploits gemeldet haben, zusätzlich zur Gesamtzahl der Entdeckungen.

Betriebssystem-Exploits haben während mehrerer Jahre vor 2010
abgenommen, und die Entdeckungen betrugen in den ersten beiden
Quartalen des Jahres weniger als 200.000. Dieser Trend zur Abnahme
änderte sich im dritten Quartal 2010, als zwei Null-Tage-Exploits
(Exploits, die nicht veröffentlichte oder neu veröffentlichte
Sicherheitslücken nutzen, bevor der Hersteller Sicherheitsupdates für
diese veröffentlicht) für zwei Sicherheitslücken entdeckt wurden, die
Windows betreffen, CVE-2010-1885 und CVE-2010-2568.

CVE-2010-1885 ist eine Sicherheitslücke, die das Windows-Hilfe und
Supportcenter in Windows XP und Windows Server 2003 betrifft.
Details dieser Sicherheitslücke wurden am 10. Juni 2010 veröffentlicht,
ungefähr drei Wochen vor dem Ende des zweiten Quartals, und
Microsoft veröffentlichte am 13. Juli ein außerordentliches
Sicherheitsbulletin, MS10-042, um die Sicherheitslücke zu behandeln.
Microsoft entdeckte eine kleine Anzahl von Exploits für
CVE-2010-1885 (weniger als 14.000 weltweit) im zweiten Quartal 2010,
gefolgt von einem steilen Anstieg auf mehr als 250.000 Entdeckungen im
dritten Quartal. Bis zum Ende des Jahres hatte die Ausnutzung deutlich
abgenommen, mit weniger als 65.000 Entdeckungen im vierten
Quartal 2010.
Weitere Informationen finden Sie im Eintrag Attacks on the Windows
Help and Support Center Vulnerability (CVE-2010-1885) (Angriffe auf
die Sicherheitslücke für das Windows-Hilfe und -Supportcenter) vom
30. Juni 2010 auf dem MMPC-Blog, http://blogs.technet.com/mmpc.

CVE-2010-2568 ist eine Sicherheitslücke, die die Art und Weise betrifft,
wie die Windows Shell Verknüpfungsdateien behandelt. Diese
Sicherheitslücke wurde zuerst Mitte Juli 2010 entdeckt, aufgrund einer
Analyse des Win32/Stuxnet-Wurms, der die Sicherheitslücke als Mittel
der Verbreitung nutzt. Microsoft veröffentlichte am 2. August ein
außerordentliches Sicherheitsbulletin, MS10-046, um die
Sicherheitslücke zu behandeln. Zunächst war Stuxnet die einzige
Familie, von der bekannt war, dass sie die CVE-2010-2568Sicherheitslücke in wesentlichem Maß ausnutzt. Die Zahl der
Entdeckungen und Ausnutzungen nahm jedoch zu, als die Autoren
anderer Malwarefamilien, darunter Win32/Vobfus und Win32/Sality,
neue Varianten veröffentlichten, die diese Sicherheitslücke ausnutzen.
Weitere Informationen finden Sie im Eintrag Stuxnet, malicious .LNKs,
...and then there was Sality (Stuxnet, bösartige LNKs… und Sality) vom
30. Juli 2010 auf dem MMPC-Blog, http://blogs.technet.com/mmpc.
CVE-2010-2568-Exploits betrafen im dritten Quartal 2010 ungefähr so
viele Computer wie CVE-2010-1885-Ausnutzungen, die Anzahl der
Entdeckungen pro infiziertem Computer war jedoch sehr viel höher
(12,9 Entdeckungen pro infiziertem Computer im Vergleich zu 1,5 für
CVE-2010-1885). Der Stuxnet-Wurm verwendet USB-Speichersysteme
als primären Übertragungsvektor, und die Art der
Verknüpfungssicherheitslücke führte dazu, dass einige Computer eine
17
große Zahl von Entdeckungen protokollierten, da die Windows Shell
wiederholt versuchte, die gleiche bösartige Verknüpfungsdatei zu
verarbeiten.

CVE-2006-3439 ist eine Sicherheitslücke, die den Serverdienst
in Windows 2000, Windows XP vor Service Pack 3 und Windows
Server 2003 vor Service Pack 2 betrifft. Microsoft veröffentlichte
im August 2006 das Sicherheitsbulletin MS06-040, um die
Sicherheitslücke zu behandeln.
In diesem Fall war die Anzahl der tatsächlich betroffenen Computer
vergleichsweise klein, obwohl Microsoft eine erhebliche Anzahl von
Infizierungsversuchen für CVE-2006-3439 entdeckte (weniger als 3.000
weltweit pro Quartal; diese sind in Abbildung 9 nicht enthalten).
Exploits für Netzwerkdienste wie den Serverdienst können eine große
Anzahl von Entdeckungen durch Echtzeit-Antimalwareprodukte
generieren: Ein Wurm, der ein Netzwerk durchquert, unternimmt
möglicherweise wiederholte Versuche, einen einzelnen Computer mittels
des Exploits zu infizieren. Jeder nicht erfolgreiche Versuch wird als
separate Entdeckung protokolliert.
Im allgemeinen sollten erfolgreiche Ausnutzungen von BetriebssystemSicherheitslücken mit dem Alter von CVE 2006 3439 selten sein, da die
ursprünglich betroffenen Windows-Installationen seitdem durch die
entsprechenden Sicherheitsupdates aktualisiert oder durch neuere
Versionen von Windows ersetzt wurden, die nicht von der
Sicherheitslücke betroffen sind. Die Entdeckungen von CVE-2006-3439
im Jahr 2010 standen in deutlichem Zusammenhang mit der seltenen
Trojanerfamilie Win32/ServStart. Dies macht eine Verbindung zwischen
ihnen wahrscheinlich.
Trends bei Sicherheitsverletzungen
In den vergangenen Jahren wurden in einigen Rechtsprechungen auf der ganzen
Welt Gesetze herausgegeben, die besagen, dass Einzelpersonen benachrichtigt
werden müssen, wenn ein Unternehmen die Kontrolle über personenbezogene
Informationen verliert, die ihm anvertraut wurden. Diese obligatorischen
Benachrichtigungen zeigen auf einzigartige Weise, warum Bemühungen im
Hinblick auf die Informationssicherheit Probleme im Zusammenhang mit
Fahrlässigkeit sowie Technologie beinhalten müssen.
18
Die Informationen in diesem Abschnitt wurden aus weltweiten Berichten
über Sicherheitsverletzungen aus Nachrichtenkanälen und anderen
Informationsquellen zusammengetragen, die Freiwillige in der Data Loss
Database (DataLossDB) unter http://datalossdb.org aufgezeichnet haben.
(Unter Security Breach Trends (Trends bei Sicherheitsverletzungen) im
Referenzhandbuchabschnitt auf der Security Intelligence Report-Website
erhalten Sie weitere Informationen zu DataLossDB und den Arten von
Sicherheitsverletzungen, auf die hier verwiesen wird.)
Abbildung 10. Sicherheitsverletzungen nach Vorfalltyp, 3. Quartal 2009
bis 4. Quartal 2010

Die größte einzelne Kategorie von Vorfällen in jedem der letzten
6 Quartale betraf gestohlene Geräte. Die Bandbreite reicht von
34,5 Prozent für das 3. Quartal 2009 bis 18,6 Prozent für das
4. Quartal 2010.

Böswillige Vorfälle (beispielsweise Hacking, Malware und Betrug)
machen in der Regel weniger als die Hälfte der durch Fahrlässigkeit
entstandenen Vorfälle (verlorene, gestohlene oder fehlende Geräte,
versehentliche Offenlegung oder unsachgemäße Entsorgung) aus, wie
in Abbildung 11 dargestellt.
19

Die unsachgemäße Entsorgung von Geschäftsunterlagen macht einen
wesentlichen Anteil an den Vorfällen aus und kann von Unternehmen
verhältnismäßig einfach behoben werden, indem effektive Richtlinien
bezüglich der Entsorgung bzw. Löschung von Papier- und
elektronischen Datensätzen mit vertraulichen Informationen entwickelt
und umgesetzt werden.
Abbildung 11. Sicherheitsverletzungen aufgrund von Angriffen und Fahrlässigkeit, 3. Quartal 2009 bis
4. Quartal 2010
20
Malware und potenziell
unerwünschte Software
Außer wenn angegeben, wurden die Daten für diesen Abschnitt aus
Telemetriedaten zusammengestellt, die von mehr als 600 Millionen Computern
weltweit sowie einigen der am häufigsten verwendeten Internet-Onlinedienste
generiert wurden.
Globale Infizierungsraten
Die von Microsoft®-Sicherheitsprodukten generierten Telemetriedaten von
Benutzern, die der Datensammlung zustimmen, umfassen Informationen zum
Standort der Computer, der anhand der Einstellung der Registerkarte Standort
oder des Menüs Regions- und Spracheinstellungen in der Systemsteuerung
festgelegt ist. Anhand dieser Daten können die Infizierungsraten, Muster und
Trends an unterschiedlichen Orten auf der Welt verglichen werden.
21
Abbildung 12. Die Standorte mit den meisten durch Antimalware-Desktopprodukte
von Microsoft entdeckten und behandelten Computern im Jahr 2010.
Land/Region
2. Quartal 2010
3. Quartal 2010
4. Quartal 2010
Änd. Vom
3. zum 4.
Quartal
Änderung 2010
11.025.811
9.609.215
11.340.751
11.817.437
4,2 % ▲
7,2 % ▲
2.026.578
2.168.810
2.354.709
1.943.154
2.985.999
2.059.052
2.922.695
1.882.460
-2,1 % ▼
-8,6 % ▼
18,9 %
▲
12,1 %
▲
56,8 %
▲
-3,9 % ▼
41,3 %
▲
10,6 %
▲
10,8 %
▲
44,2 % ▲
-13,2 % ▼
2
3
Vereinigte
Staaten
Brasilien
China
5
Großbritannien
1.490.594
1.285.570
1.563.102
1.857.905
4
Frankreich
1.943.841
1.510.857
1.601.786
1.794.953
7
Korea
962.624
1.015.173
1.070.163
1.678.368
6
Spanien
1.358.584
1.348.683
1.588.712
1.526.491
9
Russland
700.685
783.210
928.066
1.311.665
8
Deutschland
949.625
925.332
1.177.414
1.302.406
10
Italien
836.593
794.099
900.964
998.458
1

22
1. Quartal 2010
Die Entdeckungen in Korea stiegen vom 3. zum 4. Quartal 2010
um 56,8 Prozent, wobei drei Familien – Win32/Onescan, Win32/Parite
und Win32/Nbar – 77 Prozent der Steigerung im 3. Quartal ausmachten.
Onescan, eine koreanischsprachige bösartige Sicherheitssoftwarefamilie,
die im 4. Quartal des Jahres 2010 zum ersten Mal entdeckt wurde, war
für beinahe 32 Prozent aller Entdeckungen in Korea verantwortlich.
(Weitere Informationen finden Sie unter Bösartige Sicherheitssoftware
auf Seite 40.)
24,6 % ▲
-7,7 % ▼
74,4 % ▲
12,4 % ▲
87,2 % ▲
37,1 % ▲
19,3 % ▲
Abbildung 13. Betrügerische Malwareentdeckung durch Win32/Onescan, eine bösartige
koreanischsprachige Sicherheitssoftwarefamilie.

Die Entdeckungen in Russland stiegen zwischen dem 3. und
dem 4. Quartal um 41,3 Prozent und zwischen dem 1. und dem
4. Quartal um 87,2 Prozent, vor allem aufgrund einer erheblichen
Zunahme der Anzahl von Computern, auf denen Microsoft Security
Essentials ausgeführt wird.
In absoluten Zahlen waren die Standorte mit der höchsten Anzahl von
Computern mit gemeldeten Entdeckungen Standorte mit einer großen
Bevölkerungsdichte und einer großen Anzahl von Computern. Um diesen Effekt
zu beseitigen, zeigt Abbildung 14 die Infizierungsraten für die Standorte weltweit
mittels einer Metrik namens Computer Cleaned per Mille (tausend) oder CCM
(Anzahl der bereinigten Computer pro Tausend) an, die die Anzahl der in einem
Quartal bereinigten Computer für jeweils 1.000 Ausführungen des Microsoft
Windows® Malicious Software Removal Tool (MSRT) angibt.3 (Weitere
Informationen zur CCM-Metrik finden Sie auf der Microsoft Security Intelligence
Report-Website.)
Für die Diagramme in Abbildung 14 wird jeweils der Durchschnitt der CCM-Gesamtzahlen für die ersten und
die letzten beiden Quartale 2010 ermittelt, um die CCM-Gesamtzahlen für die erste und zweite Hälfte des
Jahres 2010 zu erhalten.
3
23
Abbildung 14. Infizierungsraten nach Land/Region im 1. Quartal 2010 (oben)
und im 2. Quartal 2010 (unten), per CCM
24

Unter den Orten mit mindestens 100.000 Ausführungen des MSRT im
4. Quartal 2010 wurde mit 40,3 bereinigten Computern pro 1.000
Ausführungen des MSRT in Korea die höchste Infizierungsrate
verzeichnet. Auf Korea folgen Spanien (33,2), Türkei (32,8), Taiwan
(24,3) und Brasilien (20,8).

Für das gesamte Jahr hatte die Türkei mit 36,8 den höchsten
durchschnittlichen vierteljährlichen CCM, gefolgt von Spanien (36,1),
Korea (34,8), Taiwan (29,7) und Brasilien (24,7). Diese fünf Standorte
weisen die konsistent höchsten Infizierungsraten unter den großen
Ländern und Regionen in den meisten der letzten sechs Quartale auf, wie
in Abbildung 15 auf Seite 26 gezeigt.

Die Standorte mit niedrigen Infizierungsraten sind z. B. die Mongolei
(durchschnittlicher CCM-Wert für 2010: 1,3), Bangladesch (1,4)
und Belarus (1,6). Große Länder und Regionen mit niedrigen
Infizierungsraten sind z. B. die Philippinen (3,1), Österreich (3,4), Indien
(3,8) und Japan (4.4).
Entdeckungen und Entfernungen in den einzelnen Ländern/Regionen können
von Zeitraum zu Zeitraum sehr unterschiedlich ausfallen. Eine Zunahme der
Anzahl der Computer mit Entdeckungen kann nicht nur durch die erhöhte
Verbreitung von Malware in diesem Land, sondern auch von Verbesserungen in
der Erkennung von Malware durch Antimalware-Lösungen von Microsoft
verursacht werden. Eine große Anzahl neuer Antimalware-Installationen an
einem Standort steigert in der Regel auch die Anzahl der bereinigten Computer
an diesem Standort führen.
Die nächsten beiden Abbildungen zeigen die Trends für die einzelnen Quartale
des Jahres 2010 hinsichtlich der Infizierungsraten für bestimmte Standorte
weltweit im Vergleich zu den Trends für alle Standorte mit mindestens
100.000 MSRT-Ausführungen. (Zusätzliche Details finden Sie unter Infection
Trends Worldwide (Weltweite Infizierungstrends) im Abschnitt zu den
wesentlichen Ergebnissen auf der Security Intelligence Report-Website.)
25
Abbildung 15. Trends für die fünf Standorte mit den höchsten Infizierungsraten
im 4. Quartal 2010 per CCM (mindestens 100.000-MSRT-Ausführungen pro Quartal im Jahr 2010)
26

Korea war in den letzten Quartalen konstanten Angriffen ausgesetzt. Dies
gipfelte in einem dramatischen Aufstieg von Platz 4 für das dritte
Quartal 2010 zum Spitzenplatz für das 4. Quartal 2010. Der CCM-Wert
für Korea stieg von 23,6 für das 4. Quartal 2009 auf 40,3 ein Jahr später,
ein Anstieg um 16,7 Punkte oder 71,1 Prozent – der größte derartige
Anstieg im letzten Jahr. (Weitere Informationen zu Bedrohungen für
Korea finden Sie im Abschnitt Global Threat Assessment (Bewertung
globaler Bedrohungen) auf der Security Intelligence Report-Website.)

Korea, Spanien, die Türkei, Taiwan und Brasilien belegten die obersten
fünf Plätze unter den großen Ländern und Regionen mit den höchsten
Infizierungsraten in allen außer einem der letzten sechs Quartale
(die einzige Ausnahme bildet das 4. Quartal 2009, als Portugal Korea
vom 5. Platz verdrängte.)
Abbildung 16. Infizierungsratentrends für die fünf Standorte mit der größten Verbesserung zwischen
dem 4. Quartal 2009 und dem 4. Quartal 2010, per CCM (mindestens 100.000 MSRT-Ausführungen
im 4. Quartal 2010)

Die Standorte mit den größten Verbesserungen sind Standorte, die die
größte Abnahme zwischen dem 4. Quartal 2009 und dem
4. Quartal 2010 aufweisen.

Brasilien gehört zwar weiterhin zu den Standorten mit der höchsten
Infizierungsrate, weist jedoch während der letzten sechs Quartale
wesentliche Verbesserungen auf. Der CCM-Wert fiel von 30,1 für
das 3. Quartal 2009 auf 20,8 für das 4. Quartal 2010. Die Abnahmen
für Win32/Frethog und Win32/Hamweq waren für diese Verbesserung
hauptsächlich verantwortlich, gefolgt von Abnahmen für
Win32/Conficker und Win32/Rimecud. (Weitere Informationen zu
diesen und anderen Malwarefamilien finden Sie
unter Bedrohungsfamilien auf der Seite 37.)

Obwohl die Gesamtzahl der Entdeckungen und Entfernungen in
Russland während des Jahres 2010 zunahm, wie auf Seite 23
erklärt, nahm die tatsächliche Infizierungsrate erheblich ab, von einem
CCM-Wert von 17,3 für das 3. Quartal 2009 auf 10,1 für das
4. Quartal 2010. Diese Abnahme wurde primär durch die Abnahme der
Infizierungen mit Conficker, Hamweq und Win32/Taterf verursacht.
27

Die Infizierungsraten in Portugal und Bahrain schwankten in den letzten
sechs Quartalen. Beide Standorte zeigten jedoch am Ende des 4. Quartals
2010 deutliche Verbesserungen im Vergleich zum 3. Quartal 2009. Für
Portugal änderte sich der CCM-Wert von 25,0 auf 15,6, eine Abnahme
um 37,6 Prozent. Der CCM-Wert für Bahrain fiel von 13,6 auf 9,0, eine
Abnahme um 33,8 Prozent.

Der CCM-Wert für China nahm von 9,5 im 3. Quartal 2009 auf 2,9 im
4. Quartal 2010 ab. Obwohl China hierdurch per CCM zu einem der
Standorte mit der niedrigsten Infizierungsrate weltweit wurde, müssen
im Falle Chinas einige Faktoren für die Bewertung der
Computersicherheit berücksichtigt werden, die nur auf dieses
Land zutreffen. Die Malwarelandschaft in China wird von einer Reihe
chinesischsprachiger Bedrohungen dominiert, die es nirgendwo sonst
gibt. Die CCM-Zahlen werden anhand von Telemetriedaten aus dem
MSRT berechnet, das auf global vertretene Malwarefamilien zielt. Das
MSRT entdeckt die meisten der wichtigsten chinesischsprachigen
Malwarefamilien nicht. Beispielsweise wären im Jahr 2010 92 bis
94 Prozent der Bedrohungen, die von Computern mit Microsoft Security
Essentials für China gemeldet wurden, nicht durch das MSRT entdeckt
worden. Detailliertere Informationen zu den Bedrohungen in China
finden Sie im Abschnitt „Global Threat Assessment“ (Bewertung globaler
Bedrohungen) auf der Security Intelligence Report-Website.
Infizierungsraten für Betriebssysteme
Die Funktionen und Updates, die für die verschiedenen Versionen des
Windows-Betriebssystems verfügbar sind, zusammen mit den Unterschieden
bei der Verwendung der einzelnen Versionen durch Menschen und
Organisationen, wirken sich auf die Infizierungsraten für die einzelnen Versionen
und Service Packs aus. Abbildung 17 zeigt die Infizierungsraten für die einzelnen
Windows-Betriebssystem/Service Pack-Kombinationen, die für jeweils mindestens
0,1 Prozent aller MSRT-Ausführungen im Jahr 2010 verantwortlich waren.
28
Abbildung 17. Durchschnittliche vierteljährliche Infizierungsrate per CCM pro Betriebssystem und
Service Pack für das Jahr 2010
„32“ = 32-Bit; „64“ = 64-Bit. Systeme mit einem Anteil von mindestens 0,1 Prozent an der Gesamtzahl
der Ausführungen.

Wie auch in früheren Zeiträumen sind die Infizierungsraten für kürzlich
veröffentlichte Betriebssysteme und Service Packs durchweg niedriger als
bei älteren Versionen, sowohl bei Client- als auch bei Serverplattformen.
Windows 7 und Windows Server® 2008 R2 sind die aktuell
veröffentlichten Versionen des Windows-Clients und -Servers und
weisen die niedrigsten Infizierungsraten im Diagramm auf.

Die Infizierungsraten für die 64-Bit-Versionen von Windows Vista® und
Windows 7 sind niedriger als die der entsprechenden 32-Bit-Versionen
dieser Betriebssysteme. Ein Grund hierfür könnte sein, dass
64-Bit-Versionen von Windows (trotz eines gestiegenen Absatzes von
64-Bit-Windows-Versionen unter der allgemeinen Bevölkerung, die
Computer nutzt) nach wie vor eine technisch versiertere Zielgruppe als
ihre 32-Bit-Entsprechungen ansprechen. Kernel Patch Protection (KPP),
eine Funktion der 64-Bit-Versionen von Windows, die den Kernel vor
nicht autorisierten Modifizierungen schützt, trägt möglicherweise
ebenfalls zu diesem Unterschied bei, da die Ausführung bestimmter
Arten von Malware verhindert wird.
29
Abbildung 18. CCM-Trends für 32-Bit-Versionen von Windows XP, Windows Vista und
Windows 7, 3. Quartal 2009 bis 4. Quartal 2010

30
Abbildung 18 zeigt, dass Windows 7 die konsistent niedrigste
Infizierungsrate aller 32-Bit-Clientbetriebssystem/Service
Pack-Kombinationen in den letzten 6 Quartalen aufweist.
Bedrohungskategorien
Das Microsoft Malware Protection Center (MMPC) klassifiziert die einzelnen
Bedrohungen auf der Grundlage mehrerer Faktoren, beispielsweise, wie sich die
Bedrohung verbreitet und wofür sie entwickelt wurde. Zur einfacheren
Darstellung dieser Informationen und zum besseren Verständnis werden diese
Typen im Security Intelligence Report basierend auf Ähnlichkeiten im Hinblick auf
Funktion und Zweck in 10 Kategorien gruppiert. (Weitere Informationen zu den
in diesem Bericht verwendeten Bedrohungstypen finden Sie im
Referenzhandbuchabschnitt auf der Security Intelligence Report-Website.
Abbildung 19. Entdeckungen nach Bedrohungskategorie für die einzelnen Quartale des
Jahres 2010, in Prozent aller meldenden Computer

Die Summen für jeden Zeitraum überschreiten möglicherweise
100 Prozent, da bei einigen Computern in jedem Zeitraum
mehrere Bedrohungskategorien erkannt und entfernt werden.

Die Kategorie für verschiedene Trojaner besteht aus allen Trojanern, die
nicht als trojanische Download- und Droptools kategorisiert wurden.
Diese Kategorie war die am häufigsten vertretene Kategorie im Jahr 2010.
Die Entdeckungen machten 20 Prozent aller infizierten Computer für das
4. Quartal 2010 aus, von 22,7 Prozent für das 1. Quartal 2010.
31
32

Die Entdeckungen von Adware stiegen während der zweiten Hälfte des
Jahres erheblich, von 8,9 Prozent der infizierten Computer im
2. Quartal 2010 auf 15,1 Prozent der infizierten Computer im
4. Quartal 2010. Diese Zunahme wurde beinahe vollständig durch das
Auftreten zwei neuer Adware-Familien im dritten Quartal
verursacht, JS/Pornpop und Win32/ClickPotato. (Weitere Informationen
zu diesen und anderen Familien finden Sie unter Bedrohungsfamilien auf
Seite 37.)

Nach einer Zunahme vom 1. auf das 2. Quartal 2010 nahm die Anzahl
der entdeckten Würmer deutlich bis zum Ende des Jahres ab. Der
Höhepunkt im zweiten Quartal lag bei 19,2 Prozent der infizierten
Computer, der Tiefpunkt im 4. Quartal 2010 bei 13,5 Prozent. Eine
Zunahme von 61,3 Prozent bei den Entdeckungen und Entfernungen der
Wurmfamilie Win32/Hamweq zwischen dem 1. Quartal 2010 und dem
4. Quartal 2010 ist für diese Abnahme teilweise verantwortlich,
zusammen mit Zunahmen in anderen Kategorien. (Hamweq wurde dem
MSRT im Dezember 2009 hinzugefügt und wurde bis zum Ende des
1. Quartals 2010 auf mehr als 1 Million Computer entdeckt. Bis zum
Ende des Jahres hatte die Ausnutzung deutlich abgenommen, mit
weniger als 300.000 Entdeckungen im vierten Quartal 2010.

Die Kategorien für verschiedene potenziell unerwünschte Software und
trojanische Download- und Droptools waren zu Beginn des Jahres in
etwa gleich stark vertreten und entwickelten sich in der Folge
auseinander. Der Anteil der verschiedenen potenziell unerwünschten
Softwareanwendungen stieg von 16,1 Prozent der infizierten Computer
auf 18,1 Prozent. Die Entdeckungen der potenziell unerwünschten
Softwarefamilien Win32/Zwangi und Win32/Keygen machten einen
großen Teil der Zunahme aus (die Zunahme an Entdeckungen für die
zuletzt genannte Familie wurde eher durch eine verbesserte Entdeckung
als durch ein häufigeres Vorkommen verursacht). Die Zahl der
trojanischen Download- und Droptools nahm von 14,7 Prozent auf
11,6 Prozent ab. Teilweise lag dies an der Abnahme der Entdeckungen
von Win32/Renos, einer konsistent häufig auftretenden Familie.

Alle anderen Kategorien wurden auf weniger als 10 Prozent der
infizierten Computer entdeckt. Die Zahl der Tools für Kennwortdiebstahl
und die Überwachung nahm im 4. Quartal 2010 auf 6,6 Prozent der
infizierten Computer ab, entsprechend der Abnahme der Entdeckungen
von Win32/Frethog, einem Tool, das auf Kennwörter für Onlinegames
zielt. Die Zahl der Spyware, die bisher noch nie sehr stark verbreitet war,
nahm im Jahr 2010 sogar noch weiter ab, auf 0,2 Prozent der infizierten
Computer im vierten Quartal.
Bedrohungskategorien nach Standort
Im Hinblick auf die Bedrohungsarten, die Benutzer in unterschiedlichen Teilen
der Welt betreffen, gibt es enorme Unterschiede. Die Verbreitung und Effektivität
von Malware ist neben den Methoden, die für die Verbreitung verwendet
werden, stark von der Sprache sowie von kulturellen Faktoren abhängig. Manche
Bedrohungen werden mithilfe von Techniken verbreitet, die auf Menschen
abzielen, die eine bestimmte Sprache sprechen oder Dienste nutzen, die es nur in
einer bestimmten geografischen Region gibt. Andere Bedrohungen zielen auf
Sicherheitslücken von Betriebssystemkonfigurationen und Anwendungen, die
weltweit nicht gleichmäßig verteilt sind. Abbildung 20 zeigt die relative
Verbreitung der verschiedenen Kategorien von Malware und potenziell
unerwünschter Software für verschiedene Standorte für das Jahr 2010 an.
33
Abbildung 20. Weltweite Verbreitung von Bedrohungskategorien sowie für neun einzelne Standorte
für das Jahr 2010
Kategorie
34
Welt
USA
Brasilien
China
Großbritannien
Frankreich
Spanien
Russland
Deutschland
Korea
Verschiedene
Trojaner
31.60%
43.40%
23.20%
28.00%
36.50%
21.60%
20.10%
40.30%
28.40%
17.30%
Verschiedene
potenziell
unerwünschte
Software
25.50%
22.60%
31.20%
52.10%
23.60%
24.30%
22.60%
33.80%
24.50%
10.30%
Würmer
24.40%
16.60%
35.60%
13.50%
11.80%
21.00%
40.20%
32.80%
14.40%
40.10%
Trojanische
Downloadund
Droptools
20.10%
20.20%
26.20%
18.80%
20.30%
19.70%
16.90%
17.00%
28.90%
8.00%
Adware
17.40%
21.40%
9.40%
3.40%
29.30%
33.00%
10.70%
8.20%
16.30%
12.10%
Tools für
Kennwortdiebstahl und
Überwachung
11.70%
6.10%
27.90%
10.70%
7.50%
9.20%
20.50%
10.30%
9.30%
14.70%
Exploits
7.10%
9.60%
10.50%
13.50%
7.30%
2.70%
3.00%
8.00%
5.70%
3.30%
Backdoors
6.60%
5.30%
5.70%
10.30%
4.20%
4.40%
8.40%
8.20%
5.10%
7.10%
Viren
5.90%
5.10%
10.30%
6.10%
3.40%
3.30%
3.70%
12.10%
3.20%
13.80%
Spyware
0.60%
0.70%
0.20%
2.30%
0.40%
0.30%
0.20%
0.50%
0.70%
0.50%

Innerhalb der einzelnen Zeilen von Abbildung 20 zeigt eine dunklere
Farbe an, dass die Kategorie am angegebenen Standort häufiger als an
den anderen Standorten ist. Eine hellere Farbe zeigt an, dass die
Kategorie weniger häufig ist.

In den USA und Großbritannien, zwei Ländern, in denen vornehmlich
Englisch gesprochen wird und die eine Vielzahl kultureller Ähnlichkeiten
aufweisen, gibt es in den meisten Kategorien ähnliche
Bedrohungsverteilungen. Ausnahmen bilden hier Adware, die in
Großbritannien häufiger ist, und Würmer, die in den USA häufiger sind.

In Brasilien lässt sich eine ungewöhnlich hohe Konzentration von Tools
für Kennwortdiebstahl und Überwachung beobachten. Dies liegt vor
allem an der Verbreitung von Win32/Bancos, das auf Kunden
brasilianischer Banken zielt.

China weist eine vergleichsweise hohe Konzentration für die Kategorien
verschiedene potenziell unerwünschte Software, Exploits, Backdoors und
Spyware sowie eine vergleichsweise niedrige Konzentration von
Würmern und Adware auf. China zeigt regelmäßig eine
Bedrohungsmischung, die sich sehr von derjenigen anderer großer
Länder und Regionen unterscheidet. Zwei der häufigsten Bedrohungen
in China, Win32/BaiduSobar und Win32/Sogou, sind Familien
chinesischsprachiger potenziell unerwünschter Softwarefamilien, die
anderswo selten sind. Zu den häufigsten in China vorkommenden
Familien zählen auch zwei Exploits, JS/CVE-2010-0806 und
JS/ShellCode, die anderswo seltener sind.

Adware dominiert in Frankreich, angeführt von Win32/ClickPotato.

Würmer und Backdoors sind in Spanien ungewöhnlich häufig. Die
wichtigsten sechs Familien, die im Jahr 2010 in Spanien entdeckt
wurden, waren Würmer.
35
36

Die Bedrohungsmischung in Russland ist der derjenigen für den Rest der
Welt vergleichbar. Eine Ausnahme bildet die ungewöhnlich niedrige
Konzentration von Adware. Dies liegt vielleicht an der hohen
Sprachabhängigkeit der Onlinewerbung.

In Deutschland waren trojanische Download- und Droptools beinahe
zweimal so häufig wie im Rest der Welt, angeführt von Win32/Renos.

Korea kennt eine hohe Konzentration von Viren, angeführt
von Win32/Parite, und Würmern. Viren und Würmer sind seit langem in
Korea ungewöhnlich häufig. Dies liegt vielleicht an der Beliebtheit
öffentlicher Internetgamingcenter und daran, dass Viren leicht zwischen
Computern und Wechselmedien übertragen werden können.
Bedrohungsfamilien
Abbildung 21 zeigt die wichtigsten 10 Malwarefamilien und Familien potenziell
unerwünschter Software, die in der zweiten Hälfte des Jahres 2010 von
Microsoft-Desktopsicherheitsprodukten auf Computern entdeckt wurden.
Abbildung 21. Vierteljährliche Trends für die wichtigsten 10 Malwarefamilien und Familien potenziell
unerwünschter Software, die in der zweiten Jahreshälfte von Microsoft-AntimalwareDesktopprodukten entdeckt wurden
Familie
Wichtigste
Kategorie
1
JS/Pornpop
Adware
2
Win32/Autorun
Würmer
1.256.649
1.646.532
3
Win32/Taterf
1.496.780
4
Win32/Zwangi
5
Win32/Renos
6
Win32/Rimecud
Würmer
Verschiedene
potenziell
unerwünschte
Software
Trojanische
Downloadund
Droptools
Würmer
7
Win32/Conficker
8
Win32/FakeSpypro
9
Win32/Hotbar
Würmer
Verschiedene
Trojaner
Adware
10
Win32/ClickPotato
Adware
1. Quartal 2010
3. Quartal 2010
4. Quartal 2010
2.660.061
3.860.365
2.805.585
3.314.092
2.323.750
2.338.517
1.615.649
542.534
860.747
1.638.398
2.299.210
2.693.093
1.889.680
2.109.631
1.655.865
1.809.231
1.749.708
1.674.975
1.892.919
1.498.256
1.664.941
1.649.934
1.744.986
1.244.903
1.424.152
1.897.420
889.277
1.015.659
1.483.289
942.281
1.640.238
451.660
2.110.117
—
—
2. Quartal 2010
—
—
37
Abbildung 22. Die Familien mit den größte Zunahmen hinsichtlich der Verbreitung im Jahr 2010

JS/Pornpop, die im 4. Quartal 2010 am häufigsten entdeckte Familie,
ist eine Entdeckung für speziell erstellte JavaScript-fähige Objekte, die
versuchen, Pop-Under-Werbung in den Webbrowsern von Benutzern
anzuzeigen, in der Regel mit pornografischen Inhalten.
Pornpop ist eine der am schnellsten an Verbreitung zunehmenden
Malwarefamilien, die in den letzten Jahren entdeckt wurden. Zuerst
entdeckt im August 2010 nahm die Verbreitung schnell zu, sodass dies
die am zweithäufigsten vorkommende Familie für das 3. Quartal 2010
und die am häufigsten vorkommende Familie im 4. Quartal 2010 und
für die zweite Jahreshälfte insgesamt ist.

38
Entdeckungen und Entfernungen von Win32/Autorun, einer generischen
Entdeckung für Würmer, die mittels der Autorun-Funktion von
Windows zwischen installierten Laufwerken verbreitet wird, nahmen
im 4. Quartal 2010 deutlich zu. Dennoch fiel Autorun aufgrund der
Zunahme von Pornpop auf den zweiten Platz zurück.

Win32/Taterf, die häufigste Bedrohung im 2. Quartal 2010, fiel bis zum
4. Quartal auf den dritten Platz zurück. Taterf gehört in eine Kategorie
von Bedrohungen, die so konzipiert sind, dass Kennwörter für beliebte
Onlinecomputerspiele gestohlen und an die Angreifer übermittelt
werden. Weitere Informationen zu diesen Bedrohungen finden Sie
auf Seite 62 von Microsoft Security Intelligence Report, Ausgabe 5
(Januar bis Juni 2008).

Win32/Renos, die am weitesten verbreitete Bedrohung im
1. Quartal 2010, fiel bis zum 4. Quartal 2010 auf den fünften
Platz zurück. Renos ist eine Familie von Downloader-Trojanern,
die häufig zur Installation von bösartiger Sicherheitssoftware verwendet
wird. Seit 2006 war Renos eine der am häufigsten von MicrosoftAntimalware-Desktopprodukten- und -diensten erkannten und
entfernten Bedrohungen.

Die potenziell unerwünschte Softwarefamilie Win32/Zwangi stieg vom
zehnten Platz im 2. Quartal 2010 auf den vierten Platz im
4. Quartal 2010 auf. Zwangi ist ein Programm, das einen Dienst im
Hintergrund ausführt und die Webbrowsereinstellungen so modifiziert,
dass eine bestimmte Website besucht wird.

Die Adwarefamilie Win32/ClickPotato, die zuerst im August 2010
entdeckt wurde, wurde schnell zur zehnthäufigsten Familie im
4. Quartal 2010. ClickPotato ist ein Programm, das Popups und
Anzeigen in Form von Benachrichtigungen anzeigt, je nach den
Surfgewohnheiten des Benutzers.
39
Bösartige Sicherheitssoftware
Bösartige Sicherheitssoftware ist mittlerweile eine der häufigsten Methoden
geworden, die Angreifer für die Erschwindlung von Geld verwenden. Bei
bösartiger Sicherheitssoftware, die auch als Scareware bezeichnet wird, handelt es
sich um Software, die vom Standpunkt der Sicherheit aus betrachtet nützlich zu
sein scheint, jedoch nur eingeschränkte oder keine Sicherheit bietet, falsche oder
irreführende Warnungen generiert oder versucht, Benutzer zur Teilnahme an
betrügerischen Transaktionen zu überreden. Diese Programme imitieren in der
Regel das Aussehen und Verhalten rechtmäßiger Sicherheitssoftware und geben
vor, eine große Anzahl nicht vorhandener Bedrohungen zu erkennen, während
der Benutzer dazu gedrängt wird, die Vollversion der Software zu erwerben, um
die Bedrohungen zu entfernen. Bösartige Sicherheitssoftwareprogramme werden
von Angreifern üblicherweise über Exploits oder andere Malware bzw. durch
Social Engineering installiert, um Benutzer davon zu überzeugen, dass
Programme rechtmäßig und nützlich sind. Manche Versionen ahmen das
Verhalten des Windows Security Center nach oder verwenden Markenzeichen
und Symbole unrechtmäßig, um einen falschen Anschein zu erwecken. (Weitere
Informationen zu dieser Art von Bedrohungen finden Sie unter Rogue Security
Software (Bösartige Sicherheitssoftware) im Referenzhandbuchabschnitt auf
der Security Intelligence Report-Website. Informieren Sie sich auch
auf www.microsoft.com/security/antivirus/rogue.aspx in einer informativen
Videoserie zu bösartiger Sicherheitssoftware, die sich an ein allgemeines
Zielpublikum richtet.)
Abbildung 23. Einige der „Marken“, die von unterschiedlichen Versionen der bösartigen
Sicherheitssoftwarefamilie Win32/FakeXPA verwendet werden
Abbildung 24 zeigt die Entdeckungstrends für die häufigsten bösartigen
Softwarefamilien, die im Jahr 2010 entdeckt wurden.
40
Abbildung 24. Trends für die am häufigsten entdeckten bösartigen Softwarefamilien,
die im Jahr 2010 entdeckt wurden; nach Quartal

Win32/FakeSpypro war mit insgesamt mehr als doppelt so
vielen Entdeckungen und Entfernungen für die einzelnen Quartale des
Jahres 2010 die am häufigsten entdeckte bösartige
Sicherheitssoftwarefamilie. Zu den Namen, unter denen FakeSpypro
verbreitet wird, gehören AntispywareSoft, Spyware Protect 2009 und
Antivirus System PRO. Im Juli 2009 wurde das MSRT durch
Erkennungen von FakeSpypro ergänzt.

Win32/FakeXPA, die im Jahr 2010 insgesamt am zweithäufigsten
entdeckte bösartige Softwarefamilie, war im 1. Quartal 2010 beinahe
gleichauf mit FakeSpypro und fiel im 4. Quartal 2010 auf den sechsten
Platz an. FakeXPA ist eine permanente, häufig aktualisierte Bedrohung,
bei der unterschiedliche Techniken verwendet werden, um die
Entdeckung und Entfernung durch legitime Sicherheitsprodukte zu
vermeiden. Sie wird unter vielen verschiedenen Namen verbreitet; einige
davon sind in Abbildung 23 aufgeführt. Im Dezember 2008 wurde das
MSRT durch Erkennungen von FakeXPA ergänzt.
41

Win32/FakePAV wurde erstmals im 3. Quartal 2010 entdeckt und
verbreitete sich schnell, sodass sie im 4. Quartal 2010 die am
zweithäufigsten entdeckte bösartige Sicherheitssoftwarefamilie wurde.
FakePAV ist eine von mehreren Familien bösartiger Sicherheitssoftware,
die sich als Microsoft Security Essentials tarnen. Die Software zeigt ein
Dialogfeld an, das einer Security Essentials-Warnung ähnelt und in dem
eine oder mehrere nicht vorhandene Infizierungen aufgelistet werden,
von denen sie behauptet, sie könne sie entfernen. Anschließend bietet
die Software an, eine Testversion eines anderen Sicherheitsprogramms
zu „installieren“ (bei der es sich um einen anderen Teil von FakePAV
handelt). Anschließend verfährt die Software auf ähnliche Weise wie
andere bösartige Sicherheitssoftware.
Abbildung 25. Eine genuine Microsoft Security Essentials-Warnung (oben) und eine gefälschte
Warnung, die von Win32/FakePAV generiert wurde (unten).
42
Die Namen, unter denen FakePAV verteilt wird, sind z. B. Red Cross
Antivirus, Peak Protection 2010, AntiSpy Safeguard, Major Defense
Kit, Pest Detector, ThinkPoint, Privacy Guard 2010, Palladium Pro
und andere. Die Entdeckung von FakePAV wurde dem MSRT im
November 2010 hinzugefügt. Weitere Informationen finden Sie
im Eintrag MSRT Tackles Fake Microsoft Security Essentials
(MSRT adressiert gefälschtes Microsoft Security Essentials)
vom 9. November 2010) auf dem MMPCBlog, http://blogs.technet.com/mmpc.
Bedrohungen für private und geschäftliche
Benutzer
Die Verwendungsmuster von privaten und geschäftlichen Benutzern sind in der
Regel sehr verschieden. Geschäftliche Benutzer verwenden Computer in der
Regel für die Durchführung geschäftlicher Aufgaben, während sie mit dem
Netzwerk verbunden sind, und unterliegen möglicherweise Beschränkungen
hinsichtlich ihrer Nutzung des Internets und von E-Mails. Private Benutzer
stellen wahrscheinlich eine Verbindung mit dem Internet über den Heimrouter
her und verwenden ihre Computer zu Unterhaltungszwecken, wie Spiele, Videos
und die Kommunikation mit Freunden. Diese unterschiedlichen
Verwendungsmuster bedeuten, dass private Benutzer einer anderen Mischung
von Computerbedrohungen als geschäftliche Benutzer ausgesetzt sind.
43
Die Infizierungstelemetrie, die von den Antimalwareprodukten und -tools von
Microsoft für Desktops generiert wird, enthält Daten dazu, ob der infizierte
Computer zu einer Active Directory®-Domäne gehört. Domänen werden beinahe
ausschließlich in Unternehmensumgebungen verwendet, und Computer, die zu
keiner Domäne gehören, werden wahrscheinlich privat oder in anderen
Kontexten außerhalb von Unternehmen verwendet. Ein Vergleich der
Bedrohungen für Domänencomputer und Computer außerhalb von Domänen
kann Einsichten in die unterschiedlichen Arten bereitstellen, wie Angreifer auf
geschäftliche und private Benutzer zielen und welche Bedrohungen in welcher
Umgebung wahrscheinlich Aussichten auf Erfolg haben.
Abbildung 26 und Abbildung 27 listen die wichtigsten 10 Familien auf, die auf
Domänencomputern und Computern außerhalb von Domänen
im 4. Quartal 2010 entdeckt wurden.
44
Abbildung 26. Die wichtigsten 10 Familien, die auf Domänencomputern im Jahr 2010 entdeckt
wurden, in Prozent aller infizierten Domänencomputer
Familie
Wichtigste
Kategorie
1. Quartal 201
0
2. Quartal 201
0
3. Quartal 201
0
4. Quartal 2010
Win32/Confick
er
Würmer
21,3 %
22,0 %
19,6 %
18,9 %
Win32/Autorun
Win32/Rimecu
d
Würmer
7,3 %
8,3 %
10,0 %
10,0 %
Würmer
9,0 %
9,8 %
8,0 %
8,3 %
4
Win32/Taterf
Würmer
4,1 %
6,9 %
5,9 %
4,1 %
5
Win32/RealVN
C
Verschiedene
potenziell
unerwünschte
Software
5,6 %
5,4 %
4,9 %
4,3 %
6
Win32/Hamwe
q
Würmer
7,0 %
5,3 %
3,2 %
2,4 %
6,5 %
6,0 %
2,8 %
2,4 %
5,2 %
3,4 %
4,0 %
2,8 %
2,7 %
2,4 %
2,8 %
1,8 %
2,3 %
3,0 %
2,8 %
0,9 %
1
2
3
7
Win32/Frethog
8
Win32/Renos
9
Win32/Alureon
1
0
Win32/
FakeSpypro
Tools für
Kennwortdiebstah
l und
Überwachung
Trojanische
Download- und
Droptools
Verschiedene
Trojaner
Verschiedene
Trojaner
45
Abbildung 27. Die wichtigsten 10 Familien, die auf Computern
außerhalb von Domänen im Jahr 2010 entdeckt wurden, in Prozent aller infizierten
Computer außerhalb von Domänen
46
Familie
Kategorie
1. Quartal 2010
2. Quartal 2010
3. Quartal 2010
1
Win32/Autorun
Würmer
3.8%
5.4%
7.8%
2
Win32/Renos
Trojanische Downloadund Droptools
8.8%
6.6%
6.1%
3
Win32/Taterf
Würmer
4.8%
8.0%
6.7%
4
Win32/Rimecud
Würmer
5,6 %
5,7 %
4,6 %
5
JS/Pornpop
Adware
0,0 %
0,0 %
7,8 %
6
Win32/Frethog
Tools für den
Kennwortdiebstahl und
Überwachung
6,4 %
6,9 %
3,6 %
7
Win32/FakeSpypr
o
Verschiedene Trojaner
4.1%
4.9%
5.6%
8
Win32/Zwangi
Verschiedene potenziell
unerwünschte Software
1.8%
3.1%
4.9%
9
Win32/Conficker
Würmer
3.8%
4.7%
3.9%
1
0
Win32/Hotbar
Adware
3.4%
5.3%
2.8%
4. Quartal

Sieben Familien kommen in beiden Listen vor, auch wenn sie sich an
unterschiedlichen Stellen befinden und in unterschiedlichen Anteilen
vorliegen. Die Wurmfamilie Win32/Conficker, die
Verbreitungsmethoden verwendet, die in einer typischen
Unternehmensnetzwerkumgebung effektiver als im öffentlichen Internet
sind, führt die Liste für die Domänencomputer mit deutlichem
Vorsprung an. Sie befindet sich auf der Liste für Computer außerhalb
von Domänen jedoch nur auf dem neunten Platz.

Würmer stellen fünf der 10 häufigsten Familien dar, die auf
Domänencomputern entdeckt wurden. Einige dieser Würmer, darunter
Conficker, Win32/Autorun und Win32/Taterf, wurden für die
Verbreitung über Netzwerkverzeichnisse entwickelt, wie sie in
Domänenumgebungen häufig verwendet werden.
47
48

Auf den Computern außerhalb von Domänen war JS/Pornpop die am
häufigsten entdeckte Familie im 4. Quartal 2010 und die insgesamt am
vierthäufigsten entdeckte Familie im Jahr 2010. Im Gegensatz dazu
wurde diese Familie sehr viel weniger häufig auf Domänencomputern
entdeckt. Pornpop ist eine Adwarefamilie, die versucht, Pop-UnderWerbung in den Webbrowsern von Benutzern anzuzeigen, in der Regel
mit pornografischen Inhalten. Sie ist häufig auf Websites anzutreffen, die
illegale oder unerwünschte Inhalte enthalten, auf die Benutzer in
Domänenumgebungen häufig aufgrund einer Unternehmensrichtlinie
oder von Blockiersoftware nicht zugreifen können.

Taterf und Win32/Frethog sind zwei miteinander verwandte Familien,
die für den Diebstahl von Kennwörtern von Benutzern entwickelt
wurden, die Massively Multiplayer Online Role-Playing Games
(MMORPGs) spielen. Solche Spiele werden am Arbeitsplatz sehr selten
gespielt. Dennoch wurden beide Familien mit einer vergleichbaren
Häufigkeit sowohl auf Domänencomputern als auch auf Computern
außerhalb von Domänen entdeckt. Taterf und Frethog sind beide für ihre
Verbreitung in sehr hohem Maß von Wechselmedien abhängig. Diese
Technik wurde wahrscheinlich entwickelt, um ihre Verbreitung in
Internetcafés und öffentlichen Gamingcentern zu fördern, hatte jedoch
den Effekt, dass sie auch in Unternehmensumgebungen effizient
verbreitet wurden. Dies war wahrscheinlich nicht erwartet worden.
E-Mail-Bedrohungen
Fast alle über das Internet gesendeten E-Mail-Nachrichten sind unerwünscht.
Diese unerwünschten E-Mail-Nachrichten strapazieren nicht nur die Postfächer
der Empfänger und die Ressourcen von E-Mail-Anbietern, sondern schaffen auch
eine Umgebung, in der sich per E-Mail empfangene Malwareangriffe und
Phishingversuche problemlos verbreiten können. E-Mail-Anbieter, soziale
Netzwerke und andere Onlinecommunitys haben sich die Blockierung von
Spam-, Phishing- und anderen E-Mail-Bedrohungen zur obersten Priorität
gemacht.
Blockierte Spamnachrichten
Die Informationen in diesem Abschnitt wurden aus Telemetriedaten
zusammengestellt, die von Microsoft Forefront® Online Protection for Exchange
(FOPE) bereitgestellt wurden, einem Dienst, der Spam-, Phishing- und
Malwarefilterdienste für Tausende von Unternehmenskunden und Milliarden von
Nachrichten pro Monat bietet. (Weitere Informationen hierzu finden Sie
unter Spam Trends (Spamtrends) im Referenzhandbuchabschnitt auf der Security
Intelligence Report-Website.)
49
Abbildung 28. Von FOPE blockierte Nachrichten für die einzelnen Monate des Jahres 2010

Nachdem die Anzahl der Spamnachrichten während der ersten acht
Monate des Jahres 2010 langsam zunahm und eine gewisse Stufe
erreichte, fiel die Anzahl der empfangenen und von FOPE blockierten
Spamnachrichten im September und erneut im Dezember plötzlich ab.
Diese Abnahmen können direkt mit Ereignissen in Zusammenhang
gebracht werden, die zwei der weltweit wichtigsten Botnets betrafen,
von denen aus Spamnachrichten versendet werden:
o
50
Während der letzten Augustwoche leiteten Spezialisten des
Sicherheitsunternehmens LastLine einen koordinierten Takedown
von Command-and-Control (C&C)-Servern des Win32/CutwailSpambots an. In den Tagen nach dem Takedown verzeichnete FOPE
einen erheblichen Abfall bezüglich der Zahl der durchschnittlich pro
Tag blockierten Nachrichten.
o
Um den 25. Dezember herum verzeichneten Spamanalysten aus der
ganzen Welt ein beinahe vollständiges Versiegen von
Spamnachrichten, die vom großen Rustock-Botnet gesendet wurden.
Einige Spamanalysten berichteten über eine Abnahme der weltweiten
Spamrate von 50 Prozent oder mehr. Während der letzten
Dezemberwoche wurden beinahe 30 Prozent weniger Nachrichten
von FOPE als in der Woche zuvor blockiert, verglichen mit einer
Abnahme von weniger als zwei Prozent zwischen den letzten beiden
Wochen des Jahres 2009. Das Rustock-Botnet begann Mitte Januar
wieder mit der Versendung von Spamnachrichten, und die Anzahl
der von FOPE blockierten Nachrichten ist entsprechend gestiegen.
Die Gründe für diese Unterbrechung werden noch gesucht.
Bei FOPE erfolgt die Spamfilterung in zwei Schritten. Der Großteil des Spams
wird von Servern am Netzwerkrand blockiert. Dabei werden Reputation Filtering
und andere nicht inhaltsbasierte Regeln zur Blockierung von Spam oder anderen
nicht erwünschten Nachrichten verwendet. Nachrichten, die nicht im ersten
Schritt blockiert werden, werden mit inhaltsbasierten Regeln gescannt, die viele
weitere E-Mail-Bedrohungen, darunter Anlagen mit Malware, erkennen und
filtern können.
Abbildung 29. Prozentsatz eingehender Nachrichten, die von FOPE mithilfe einer
Blockierung am Netzwerkrand und der Inhaltsfilterung im Jahr 2010 blockiert wurden
51
52

Im Jahr 2010 gelangte insgesamt nur etwa eine von 38,5 eingehenden
Nachrichten in die Postfächer der Empfänger. Die restlichen Nachrichten
wurden am Netzwerkrand oder über die Inhaltsfilterung blockiert.

Ungefähr 95,3 Prozent aller eingehenden Nachrichten wurden am
Netzwerkrand blockiert, was bedeutet, dass nur für 4,7 Prozent
der eingehenden Nachrichten der ressourcenintensivere
Inhaltsfilterungsprozess angewendet werden musste.

Die Effektivität von Filterungstechniken am Netzwerkrand, z. B. der
Überprüfung der Zuverlässigkeit von IP-Adressen, der SMTPVerbindungsanalyse und der Empfängerüberprüfung, nahm über die
vergangenen Jahre deutlich zu, sodass E-Mail-Filterdienste Endbenutzern
heute, da die Anzahl unerwünschter Nachrichten über das Internet sehr
hoch ist, einen besseren Schutz bieten können.
Spamtypen
Die FOPE-Inhaltsfilter erkennen verschiedene häufige Arten von
Spamnachrichten. Abbildung 30 zeigt die relative Häufigkeit dieser
Spamtypen für das Jahr 2010.
Abbildung 30. Von FOPE-Filtern im Jahr 2010 blockierte eingehende Nachrichten, nach Kategorie

Werbung für nicht potenzsteigernde Pharmazeutika machte 32,4 Prozent
aller Spamnachrichten aus, die im Jahr 2010 von FOPE-Inhaltsfiltern
blockiert wurden.

Zusammen mit Werbung für nicht pharmazeutische Produkte
(18,3 Prozent der Gesamtmenge) und Werbung für potenzsteigernde
Produkte (3,3 Prozent) machte die Produktwerbung 54,0 Prozent aller
Spamnachrichten im Jahr 2010 aus und liegt damit unter dem Wert von
69,2 Prozent im Vorjahr.

Um den Inhaltsfiltern zu entgehen, senden Spammer häufig Nachrichten,
die nur aus einem oder zwei Bildern bestehen, ohne dass Text enthalten
ist. Spamnachrichten mit nur Bildern machten 8,7 Prozent der
Gesamtzahl der Spamnachrichten im Jahr 2010 aus, verglichen mit
6,3 Prozent im Jahr 2009.
53
Abbildung 31. Von FOPE-Inhaltsfiltern in den einzelnen Monaten des
Jahres 2010 blockierte eingehende Nachrichten, nach Kategorie
54

Werbung für nicht potenzsteigernde Pharmazeutika und nicht
pharmazeutische Produkte war schon immer eine der mit weitem
Vorsprung häufigsten Kategorien in unterschiedlichen Zeiträumen,
und auch das Jahr 2010 war keine Ausnahme.

Wie in Abbildung 31 dargestellt, können Spamkategorien von Monat zu
Monat erheblich variieren, da Spammer zeitlich begrenzte Kampagnen
durchführen, genauso wie rechtmäßige Werbetreibende.
Spamnachrichten, in denen für betrügerische Universitätsabschlüsse
geworben wird, eine Kategorie mit normalerweise niedrigem
Aufkommen, hat sich zwischen Februar und März fast versechsfacht und
machte damit die drittmeistverbreitete Kategorie im März und April aus,
bevor sie im Juni auf den letzten Platz fiel. Ähnlich nahm die Anzahl von
Werbung, die nur Bilder enthält und die bis Mai nur für einen kleinen
und abnehmenden Anteil verantwortlich war, im Juni plötzlich auffällig
zu. Diese Art von Spam war im August häufiger als Werbung für nicht
pharmazeutische Produkte und kehrte anschließend bis zum Ende des
Jahres zu eher zu erwartenden Zahlen zurück.
55
Bösartige Websites
Angreifer verwenden häufig Websites, um Phishingangriffe durchzuführen oder
Malware zu verbreiten. Bösartige Websites sehen in der Regel vollkommen
rechtmäßig aus und weisen nach außen hin keine Anzeichen für ihre bösartige
Natur auf, auch nicht für erfahrene Computerbenutzer. Um Benutzer vor
bösartigen Webseiten zu schützen, haben Microsoft und andere Browseranbieter
Filter entwickelt, die Websites überwachen, auf denen Malware und
Phishingangriffe gehostet werden, und auffällige Warnungen anzeigen, wenn
Benutzer versuchen, zu diesen Websites zu navigieren.
Die Informationen in diesem Abschnitt wurden aus einer Vielzahl interner und
externer Quellen zusammengetragen, einschließlich Telemetriedaten, die vom
SmartScreen®-Filter (in Windows Internet Explorer 8 und 9), dem Phishingfilter
(in Internet Explorer 7), von einer Datenbank mit bekannten aktiven Phishingund Malware-Hosting-Websites, die von Benutzern von Internet Explorer und
anderen Microsoft-Produkten und -Diensten gemeldet wurden, sowie von durch
Microsoft-Antimalware-Technologien bereitgestellten Malwaredaten generiert
wurden. (Weitere Informationen finden Sie unter Phishing (Phishing) und
Malware Hosts (Malwarehosts) im Referenzhandbuchabschnitt auf der Security
Intelligence Report-Website.)
56
Abbildung 32. Der SmartScreen-Filter in Internet Explorer 8 und 9 blockiert gemeldete Phishing- und
Malwareverbreitungssites.
Phishingwebsites
Abbildung 33 vergleicht das Aufkommen aktiver Phishingwebsites in der
SmartScreen-Datenbank jeden Monat mit dem Aufkommen von so genannten
Phishingaufrufen, die von Internet Explorer aufgezeichnet werden. Als
Phishingaufruf wird der einmalige Versuch eines Benutzers bezeichnet, eine
bekannte Phishingwebsite mit Internet Explorer aufzurufen, der blockiert wird.
57
Abbildung 33. Von Januar bis Dezember 2010 jeden Monat aufgezeichnete
Phishingwebsites und -aufrufe, relativ zum jeweils monatlichen Durchschnitt

Plötzlich auftretende Spitzen bei Aufrufen, wie beispielsweise im Juni,
sind nicht ungewöhnlich. Phisher führen häufig separate Kampagnen
durch, mit denen mehr Verkehr auf die einzelnen Phishingseiten geleitet
werden soll, ohne dass dabei notwendigerweise die Gesamtzahl aktiver
Phishingseiten, die gleichzeitig gepflegt werden, ansteigt. In diesem Fall
ist der Anstieg im Juni nicht unbedingt mit einem Anstieg bei einer
bestimmten Art von Zielinstitution gekoppelt.

Phishingaufrufe und aktive Phishingseiten weisen nur selten eine starke
Wechselbeziehung zueinander auf. Die Gesamtzahl der von Microsoft
überwachten aktiven Phishingseiten blieb über die Monate hinweg sehr
stabil; in keinem Monat war eine Abweichung von mehr als ca.
15 Prozent von dem über sechs Monate errechneten Durchschnitt zu
verzeichnen.
Zieleinrichtungen
Abbildung 34 und Abbildung 35 zeigen den Prozentsatz von Phishingaufrufen
bzw. aktiven Phishingwebsites, die für die am häufigsten betroffenen Typen von
Institutionen in den einzelnen Monaten des Jahres 2010 monatlich von Microsoft
aufgezeichnet wurden.
58
Abbildung 34. Monatliche Aufrufe für jeden Typ von Phishingwebsite von Januar bis Dezember 2010
Abbildung 35. Monatlich aufgezeichnete Phishingwebsites von Januar bis Dezember 2010, nach Typ
des Ziels
59
60

Phisher zielten traditionell auf Finanzwebsites und weniger auf andere
Arten von Websites. Im Jahr 2010 zeichnete sich jedoch eine
Verschiebung hin zu sozialen Netzwerken ab. Im Januar erhielten
Websites, die auf soziale Netzwerke zielen, nur 8,3 Prozent aller
Phishingaufrufe, während diese im Dezember 84,5 Prozent der
Phishingaufrufe erhielten. Insbesondere zeigen die letzten vier Monate
des Jahres Anzeichen einer verstärkten und konsistenten
Phishingkampagne, die auf soziale Netzwerke zielt.

Zu einem früheren Zeitpunkt des Jahres 2010 zeigten Phisher Anzeichen,
häufiger auf Onlinegamingwebsites zu zielen. Dieser Trend hat
angesichts der zunehmenden Angriffe auf soziale Netzwerke anscheinend
nachgelassen. Im Juni erhielten Websites, die auf Gamingwebsites zielen,
16,7 Prozent aller Phishingaufrufe, während diese im Dezember
normalere 2,1 Prozent der Phishingaufrufe erhielten.

Phishingwebsites, die auf soziale Netzwerke abzielen, erzielen in der
Regel die höchste Anzahl von Aufrufen pro aktiver Phishingwebsite.
Der Prozentsatz der aktiven Phishingwebsites, die auf soziale Netzwerke
zielen, nahm während der letzten Monate des Jahres zu, machte jedoch
weiterhin nur 4,2 Prozent aller aktiven Websites im Dezember aus,
auch wenn diese Websites 84,5 Prozent aller Aufrufe in diesem Monat
erhielten. Dennoch blieb die Anzahl der aktiven Websites, die auf
Gamingwebsites zielen, während der zweiten Hälfte des Jahres auf
hohem Niveau. Dies lässt vermuten, dass weitere Kampagnen
geplant sind.

Wie auch in früheren Zeiträumen machten Phishingwebsites, die auf
Finanzinstitutionen zielen, mit 78 bis 91 Prozent jeden Monat den
Großteil der aktiven Phishingwebsites aus. Finanzinstitutionen, auf die
von Phishern abgezielt wird, gehen in die Hunderte, und für jede
einzelne Institution sind spezielle Phishingansätze erforderlich. Im
Gegensatz dazu sind es nur einige wenige beliebte Websites, die die
große Masse der Nutzung von sozialen Netzwerken und Onlinediensten
im Internet ausmacht; Phisher können daher pro Site effektiv auf viel
mehr Menschen abzielen. Die Möglichkeit, direkten unerlaubten Zugriff
auf die Bankkonten von Opfern zu erlangen, bedeutet, dass
Finanzinstitutionen immer beliebte Ziele für Phishingangriffe bleiben
werden und diese weiterhin die zweithöchste Zahl von Phishingaufrufen
pro Monat erhalten werden.
Globale Verteilung von Phishingwebsites
Phishingwebsites werden auf der ganzen Welt auf kostenlosen Hosting-Websites,
auf kompromittierten Webservern und in zahlreichen anderen Kontexten
gehostet. Mithilfe geografischer Suchen von IP-Adressen in der Datenbank
gemeldeter Phishingwebsites können Karten erstellt werden, auf denen die
geografische Verteilung von Websites dargestellt ist und mit denen Muster
analysiert werden können.
Abbildung 36. Phishingwebsites pro 1.000 Internethosts für Standorte auf der ganzen Welt im
1. Halbjahr 2010 (oben) und im 2. Halbjahr 2010 (unten)
61

Die weltweite Verteilung von Phishingwebsites ist zwischen der ersten
und der zweiten Jahreshälfte zum großen Teil gleich.

Phishingwebsites konzentrieren sich an einigen wenigen Orten, wurden
bisher aber auf jedem bewohnten Kontinent erkannt.

An Orten mit geringerer Bevölkerung und weniger Internethosts ist die
Konzentration von Phishingseiten tendenziell höher, in absoluten Zahlen
sind die meisten Phishingwebsites jedoch in großen, industrialisierten
Ländern/Regionen mit einer großen Anzahl von Internethosts zu finden.
Malwarehosting-Websites
Der SmartScreen-Filter in Internet Explorer 8 und 9 bietet Schutz vor Websites,
auf denen bekanntermaßen Malware gehostet wird, und auch vor
Phishingwebsites. Die Antimalware-Funktion von SmartScreen verwendet URLZuverlässigkeitsdaten sowie Antimalware-Technologien von Microsoft, um zu
bestimmen, ob diese Server unsicheren Inhalt verbreiten. Wie auch bei
Phishingwebsites, wird von Microsoft aufgezeichnet, wie viele Personen die
einzelnen Malware-Hosting-Websites besuchen; diese Informationen werden zur
Verbesserung des SmartScreen-Filters und zur besseren Bekämpfung von
Malware verwendet. (Weitere Informationen finden Sie unter Malware Hosts
(Malwarehosts) im Referenzhandbuchabschnitt auf der Security Intelligence
Report-Website.)
62
Abbildung 37. Der SmartScreen-Filter in Internet Explorer 8 (oben) und Internet Explorer 9 (unten)
zeigt eine Warnung an, wenn ein Benutzer versucht, eine nicht sichere Datei herunterzuladen
63
Abbildung 38 vergleicht das Aufkommen aktiver Malwarehosting-Websites in
der SmartScreen-Datenbank jeden Monat mit dem Aufkommen von so
genannten Malwareaufrufen, die von Internet Explorer aufgezeichnet werden.
Abbildung 38. Von Januar bis Dezember 2010 jeden Monat aufgezeichnete Malwarewebsites und aufrufe, relativ zum jeweils monatlichen Durchschnitt

Die Anzahl der aktiven Malwarehosting-Websites, die für jeden Monat
aufgezeichnet wurden, stieg während des Jahres allmählich an. Dies lag
vor allem an der verbesserten Entdeckung.

Nach dem ansteigenden Trend während der ersten fünf Monate nahm
die Anzahl der Malwareaufrufe für jeden Monat des restlichen Jahres ab.
Der Malwarehostschutz in Browsern ist eine vergleichsweise neue
Entwicklung im Vergleich zum Phishingschutz. Es ist möglich, dass
Angreifer hierauf reagieren, indem sie andere Angriffstechniken
verwenden.
Malwarekategorien
Abbildung 39 und Abbildung 40 zeigen die Arten von Bedrohungen, die unter
URLs gehostet werden, die vom SmartScreen-Filter in der 2. Hälfte des
Jahres 2010 blockiert wurden.
64
Abbildung 39. Bedrohungen, die unter URLs gehostet werden, die vom
SmartScreen-Filter im Jahr 2010 blockiert wurden, nach Kategorie
65
Abbildung 40. Die wichtigsten 10 Malwarefamilien, die auf Websites gehostet werden, die vom
SmartScreen-Filter in der 1. und 2. Hälfte des Jahres 2010 blockiert wurden
1. Hälfte
2010 – Rang
Prozent
2. Hälfte
2010 – Rang
Bedrohungsname
Wichtigste Kategorie
Verschiedene
potenziell
unerwünschte Software
61.1
1
Win32/MoneyTree
Verschiedene potenziell
unerwünschte Software
47.3
Win32/FakeXPA
Verschiedene Trojaner
3.3
2
Win32/Small
Trojanische Downloadund Droptools
5.8
3
Win32/VBInject
Verschiedene
potenziell
unerwünschte Software
2.3
3
Win32/Delf
Trojanische Downloadund Droptools
5.1
4
Win32/Winwebsec
Verschiedene Trojaner
2.0
4
Win32/Startpage
Verschiedene Trojaner
4.2
5
Win32/Obfuscator
Verschiedene
potenziell
unerwünschte Software
1.9
5
Win32/Obfuscator
Verschiedene potenziell
unerwünschte Software
3.2
6
Win32/Banload
Win32/Pdfjsc
Exploits
1.4
Trojanische Downloadund Droptools
2.8
6
7
Win32/Small
Trojanische Downloadund Droptools
1.3
7
Win32/Bancos
Tools für
Kennwortdiebstahl
und Überwachung
2.0
8
Win32/Bancos
Tools für
Kennwortdiebstahl
und Überwachung
1.3
8
Win32/Agent
Verschiedene Trojaner
1.1
9
Win32/Microjoin
Win32/Swif
Verschiedene Trojaner
1.2
Trojanische Downloadund Droptools
1.1
9
10
Win32/Ciucio
Trojanische Downloadund Droptools
1.0
WinNT/Citeary
Verschiedene
potenziell
unerwünschte Software
Bedrohungsname
Wichtigste Kategorie
1
Win32/MoneyTree
2
10
66
1.1

Insgesamt machten Websites, auf denen die wichtigsten 10 Familien
gehostet werden, 76,9 Prozent aller Malwareaufrufe während der ersten
und 71,6 Prozent während der zweiten Jahreshälfte aus.

Die Kategorie für verschiedene potenziell unerwünschter Software
machte durchgängig zwischen zwei Dritteln und drei Vierteln aller
Malwareaufrufe für die meisten Zeiträume aus, hauptsächlich aufgrund
von Win32/MoneyTree. MoneyTree ist die Malwarefamilie, die für die
größte Anzahl von Malwareaufrufen während aller Sechs-MonatsZeiträume seit der ersten Jahreshälfte 2009 verantwortlich ist.
Prozent

Die Anzahl der Downloads von Dokumenten-Exploits, die vom
SmartScreen-Filter blockiert wurden, nahm von 1,9 Prozent für die erste
Jahreshälfte 2010 auf 0,96 Prozent für die zweite Jahreshälfte ab. Diese
Abnahme entspricht der Abnahme der Entdeckungen von DokumentExploits zugunsten von Java-Exploits, wie in Abbildung 6 auf Seite 13
gezeigt.

Win32/VBInject, Win32/Obfuscator, Win32/Pdfjsc, Win32/Small,
Win32/Startpage und Win32/Swif sind sämtlich generische
Entdeckungen für Auflistungen nicht verwandter Bedrohungen,
die bestimmte identifizierbare Merkmale gemeinsam haben.
67
Gobale Verteilung von Malware-Hosting-Websites
Abbildung 41zeigt die geografische Verteilung von Malwarehosting-Websites, die
Microsoft im Jahr 2010 gemeldet wurden.
Abbildung 41. Malwareverbreitungs-Websites pro 1.000 Internethosts für
Standorte auf der ganzen Welt für die 1. Jahreshälfte 2010 (oben) und die 2. Jahreshälfte 2010 (unten)

68
Wie im Fall von Phishingwebsites blieb die weltweite Verteilung von
Malwarehosting-Websites zwischen den Zeiträumen in etwa gleich.
Drive-By-Downloadwebsites
Eine Drive-By-Downloadwebsite ist eine Website, auf der einer oder mehrere
Exploits gehostet werden, die auf Sicherheitslücken in Webbrowsern und
Browser-Add-Ons zielen. Benutzer mit anfälligen Computern können durch
bloßes Aufrufen einer solchen Website mit Malware infiziert werden, ohne dass
sie dabei versuchen, etwas herunterzuladen.
Bei Suchmaschinen wie Microsoft Bing™ wurde eine Reihe von Maßnahmen
ergriffen, um Benutzer vor Drive-By-Downloads zu schützen. Bing analysiert
Websites bei der Indizierung auf Exploits und zeigt Warnmeldungen an, wenn
Auflistungen für Drive-By-Downloadseiten in der Liste der Suchergebnisse
angezeigt werden. (Weitere Informationen zur Funktionsweise von
Drive-By-Downloadwebsites und die Schritte, die Bing zum Schutz der
Benutzer unternimmt, finden Sie unter Drive-By Download Sites
(Drive-By-Downloadwebsites) im Referenzhandbuchabschnitt auf der Security
Intelligence Report-Website.)
Die Informationen in diesem Abschnitt wurden aus einer Analyse der
länderspezifischen Top-Level-Domänen (ccTLDs) der Websites im Bing-Index
zusammengestellt, auf denen im Jahr 2010 Drive-By-Downloads gehostet
wurden.
69
Abbildung 42. Prozentsatz von Websites in den einzelnen länderspezifischen
Top-Level-Domänen (ccTLD), auf denen in der 2. Jahreshälfte 2010 (oben) und in der 4.
Jahreshälfte 2010 (unten) Drive-By-Downloads gehostet wurden.
70

In der 2. Jahreshälfte 2010 beliefen sich Drive-By-Downloadseiten auf
etwa 2,4 pro 1.000 Suchergebnisseiten, die während dieses Zeitraums
für Benutzer angezeigt wurden.

Insgesamt handelte es sich bei den am stärksten infizierten ccTLDs um
kleine Domänen. Kleine länderspezifische Top-Level-Domänen sind
aufgrund ihrer Größe anfällig für hohe Infizierungsraten. Wenn
beispielsweise ein großer Internetdienstanbieter in einem kleinen Land
oder einer kleinen Region einem Angreifer zum Opfer fällt, kann sich
dies auf einen hohen Prozentsatz der Domänen in der zugehörigen
ccTLD auswirken.

Abbildung 42 stellt nicht die physischen Orte gehosteter Websites dar;
nicht alle ccTLD-Websites werden an den Orten gehostet, denen die
ccTLDs selbst zugewiesen sind. Die meisten ccTLD-Websites zielen
jedoch auf Internetbenutzer in einem bestimmen Land/einer bestimmten
Region ab und werden in der Regel in einer entsprechenden Sprache
geschrieben; Abbildung 42 kann daher als realistische Anzeige dafür
betrachtet werden, wie Benutzer in unterschiedlichen Teilen der Welt
mehr oder weniger stark von Drive-By-Downloadseiten betroffen sind.
71
Anhang
Besuchen Sie http://www.microsoft.com/sir, und laden Sie die englischsprachige
Version des Security Intelligence Report herunter, um die folgenden Materialien zu
lesen:
72

Anhang A: Namenskonventionen für Bedrohungen

Anhang B: Datenquellen

Anhang C: Weltweite Infizierungsraten

Glossar

Bedrohungsfamilien, die in diesem Bericht genannt werden
One Microsoft Way
Redmond, WA 98052-6399
microsoft.com/security
73