Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Most Popular Analysis



Spam im August 2014



Untersuchung von Einbruchsfällen in Online-Bezahlsysteme



Spam-Lieferservice: Gefahr garantiert



Mobile Bedrohungen im Jahr 2013



Das nigerianische Erbe erwartet Sie
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Entwicklung der IT-Bedrohungen im zweiten Quartal 2010

13.09.2010   |   Ihr Kommentar

Yury Namestnikov

Der Quartalsbericht beruht auf Daten, die mit Hilfe des Kaspersky Security Network gewonnen und ausgewertet wurden.

Fakten und Zahlen im ersten Quartal

  • Über 540 Millionen Infizierungsversuche wurden auf Anwendercomputern in verschiedenen Ländern der Welt blockiert.
  • Die meisten Attacken richteten sich gegen Nutzer in China (17,09%), Russland (11,36%), Indien (9,30%), den USA (5,96%) und Vietnam (5,44%).
  • Bei 27 Prozent aller erkannten Bedrohungen im Internet handelte es sich um schädliche Skripte, die von Kriminellen auf verschiedenen Sites eingeschleust wurden.
  • Insgesamt wurden 157.626.761 Attacken abgewehrt, die von Internet-Ressourcen in verschiedenen Ländern der Welt durchgeführt wurden.
  • Erkannt wurden 8.540.223 Exploits. Der Exploit-Anteil an allen Schadprogrammen stieg damit um 0,7 Prozentpunkte.
  • Führend sind nach wie vor Exploits, die Sicherheitslücken im Adobe Reader ausnutzen, allerdings ging ihr Anteil im Vergleich zum ersten Quartal um 17 Prozentpunkte zurück.
  • Auf den Anwendercomputern wurden 33.765.504 nicht gepatchte Sicherheitslücken gefunden.
  • Insgesamt wurden 203.997.565 Schadprogramme auf den Computern der User blockiert und unschädlich gemacht.

Allgemeine Lage

Botnetze

Ein Großteil der Malware-Vorfälle im zweiten Quartal 2010 hing auf die eine oder andere Weise mit Botnetzen zusammen. Fortwährend wurden neue Bots entwickelt oder bereits existierende weiter verfeinert, wie etwa TDSS, dem Kaspersky Lab bereits eine eigene Analyse gewidmet hat, oder Zbot (ZeuS), von dem im Folgenden die Rede sein wird:

ZeuS

Überaus interessant ist die Entwicklung des Trojaners ZeuS (Zbot), der die Grundlage für umfassende Botnetze bildet. Ende April wurde eine neue Modifikation dieses Schädlings entdeckt, der die Funktionalität eines Datei-Virus in sich birgt und ausführbare Dateien infizieren kann. Der Code und die Infizierungsmethode sind dabei nicht allzu kompliziert. In die .exe-Dateien wird nicht der Trojaner selbst geschrieben, sondern eine kurze Codefrequenz mit einer Länge von 512 Byte. Daraufhin wird der Eintrittspunkt der infizierten Datei geändert: zuerst wird der hinzugefügte Code ausgeführt und erst dann der Originalcode.

Der eingeschleuste Code hat die Aufgabe, neue Versionen des Trojaners auf die infizierten Computer zu laden, falls die Hauptkomponente von ZeuS bereits vom betreffenden Rechner gelöscht wurde. Als Testumgebung für neue infizierende Versionen des Trojaners dienten den Malware-Autoren Anwendercomputer in den USA. Zieht man das Beuteschema von ZeuS in Betracht – nämlich Zugangsdaten zum Online-Banking – so ist das eine durchaus logische Entscheidung: In den USA ist das Internet-Banking weiter entwickelt als irgendwo sonst auf der Welt, und die Rechner der amerikanischen Nutzer sind daher ein wahrer Leckerbissen für die Cyberkriminellen. Die Version von ZeuS, die eine eingeschleuste Codesequenz auf den Computer lädt, wird von Kaspersky Lab als Trojan-Spy.Win32.Zbot.gen erkannt. Sie wurde speziell zum Diebstahl von Bankkontendaten von Kunden der Bank of America entwickelt.

Eine weitere bemerkenswerte Neuheit ist die Verbreitung von ZeuS mit Hilfe von PDF-Dateien. Ein unabhängiger Analyst hat herausgefunden, dass die in die PDF-Dokumente eingebetteten ausführbaren Dateien gestartet werden können, ohne Sicherheitslücken auszunutzen. Der Start der Datei wird mit Hilfe der in der PDF-Spezifikation beschriebenen Funktion „Launch“ umgesetzt. Die entsprechenden Informationen wurden am 29. März 2010 veröffentlicht, und bereits einige Tage später fanden die Anwender in ihren Eingangsfächern Mails mit einem speziell formatierten PDF-Dokument, das die beschriebene Methode des Dateistarts zur Infizierung von Systemen mit dem Trojaner ZeuS einsetzte. Der neugierige Anwender musste das angehängte Dokument lediglich öffnen, und schon wurde sein Rechner in die Armee der Zombies aufgenommen.

TwitterNET Builder

In den letzten Quartalsberichten schrieb Kaspersky Lab über die ersten Versuche von Cyberkriminellen, ihre Botnetze über soziale Netzwerke zu steuern. Damals waren das noch unausgereifte Konzepte, und wir wollten zunächst die weitere Entwicklung der Dinge beobachten. Lange mussten wir allerdings nicht warten. Im Mai 2010 tauchte in den unendlichen Weiten des World Wide Web ein Tool auf, mit dem der Bot TwitterNET Builder erstellt werden konnte. Dieses Programm bildet die Grundlage für Botnetze, in denen ein Twitter-Account als Steuerungszentrum fungiert.

Für die Arbeit mit dem Builder sind keinerlei Programmierkenntnisse erforderlich. Dieser Bot ist ideal für Script-Kiddies: Ein paar Klicks und fertig ist der Bot. Kaspersky Lab erkennt dieses „Spielzeug“ als Backdoor.Win32.Twitbot. Der damit gebastelte Bot verfügt unter anderem über die folgenden Funktionen: Laden und Ausführung von Dateien, Durchführen von DDoS-Attacken und das Öffnen von Websites nach Wunsch der Cyberkriminellen. Zum Empfang der entsprechenden Befehle sucht der Bot in Twitter den nötigen Account, auf dem die Anweisungen in Textform vom Botnetz-Betreiber veröffentlicht werden.

Erfreulich daran ist allein, dass dieser Bot nicht besonders weit verbreitet wurde. Das liegt vor allem daran, dass derartige Tricks natürlich die Antivirus-Experten auf den Plan rufen. Ein Botnetz mit einer so primitiven Steuerung und dazu noch unverschlüsselten Befehlen, die ganz offen über ein soziales Netzwerk verbreitet werden, ist natürlich leicht auszumachen und von der Kommandozentrale zu trennen – ganz einfach, indem man den Account der Cyberkriminellen löscht. Bereits Ende Juni gab es keine derartigen Steuerungszentralen mehr auf Twitter, was für die Reaktionsgeschwindigkeit des Sicherheitsdienstes von Twitter spricht.

Angriffe auf soziale Netzwerke

Soziale Netzwerke sind unter den Nutzern ein beliebtes und effektives Medium zum Informationsaustausch. Doch auch unter Cyberkriminellen steigt deren Popularität: Sie nutzen sie zu betrügerischen Attacken, zum Spamversand und zur Verbreitung von Malware. Wir fassen an dieser Stelle nur die interessantesten Vorfälle des zweiten Quartals 2010 in sozialen Netzwerken zusammen:

Verbreitung von Malware

In der letzten Zeit beobachten wir eine aktive Verbreitung von Links auf Schadprogramme in Spam, der über soziale Netzwerke verschickt wird. Mit der Zeit könnten die sozialen Netze der E-Mail bezüglich der undankbaren Aufgabe der Malware-Verbreitung den Rang ablaufen.

In Brasilien wurden etwa bis vor kurzem Banktrojaner hauptsächlich via E-Mail verbreitet. Anscheinend haben die brasilianischen Cyberkriminellen mittlerweile begriffen, dass soziale Netzwerke sich zu diesem Zweck sehr viel besser eignen: Ab Anfang des zweiten Quartals 2010 wurde in den sozialen Netzen aktiv Spam mit Links auf Schadprogramme versendet, die es auf brasilianische Bankkunden abgesehen haben.

Die Effektivität von Spamversendungen in sozialen Netzwerken lässt sich auch mit Zahlen belegen. Im Rahmen einer auf Twitter durchgeführten Attacke klickten innerhalb nur einer Stunde mehr als 2.000 Anwender auf den verschickten Link.

Interessant ist auch ein Vorfall, der sich im Zusammenhang mit dem Apple iPhone auf Twitter ereignete. Am 19. Mai 2010 gab Twitter offiziell das Erscheinen der neuen App „Twitter für iPhone“ bekannt. Die Cyberkriminellen machten sich die Diskussion, die auf diese Meldung folgte, prompt zunutze. Weniger als eine Stunde nach Veröffentlichung der Neuigkeit wimmelte es auf Twitter von Mitteilungen, die alle das Stichwort “twitter iPhone application“ enthielten. Der dazugehörige Link führte allerdings zu dem Schadprogramm Worm.Win32.VBNA.b.

Dieses Malware-Exemplar ist aus mehreren Gründen überaus bemerkenswert. Erstens verfügt der Wurm über einen recht guten Selbstschutz: Unter Einsatz von Anti-Emulation setzt er verschiedene Dienstprogramme von Windows außer Gefecht und verbreitet sich über USB-Geräte. Zweitens besteht seine Hauptfunktion im Diebstahl von Informationen, um Bank-Transaktionen durchzuführen. Die Nachricht, die zur Verbreitung des Wurms genutzt wurde, ist auch nicht zufällig gewählt worden. Die Besitzer von Smartphones sind im Allgemeinen finanziell gut gestellt und verfügen daher über Bankkonten und die entsprechenden Karten, auf die sich die Cyberkriminellen Zugriff verschaffen wollen. Daher ist es nicht verwunderlich, dass ungefähr ein Drittel aller Attacken von VBNA.b (27-33%) gegen Rechner von Anwendern in den USA gerichtet war. Diese sind für die Cyberkriminellen von besonders großem Interesse.

Likejacking

Das Hochtreiben der Klickzahlen war schon immer eine stabile Einnahmequelle der Cyberkriminellen, die mit dem Aufkommen von sozialen Netzwerken nur noch einträglicher wurde. Denn die Mitgliederzahlen der großen sozialen Netze reichen an die Einwohnerzahlen großer Staaten dieser Welt heran.

Im Mai wurde auf Facebook erstmals eine neue Angriffsart registriert, die auf der Funktion „like“, also dem Gefällt-mir-Button, basiert. Tausende Anwender fielen der Attacke zum Opfer, die in Anlehnung ans „clickjacking“ den Namen „likejacking“ erhielt.

Auf Facebook wurden Links mit lockenden Überschriften platziert, wie zum Beispiel „WM 2010 in hoher Auflösung“ oder „Die 101 attraktivsten Frauen der Welt“. Der Link führte auf eine speziell erstellte Website, auf der ein in Javascript geschriebenes Szenario die unsichtbare Schaltfläche “like” (“gefällt mir”) platzierte. Diese Schaltfläche folgte dem Cursor, so dass der Anwender – egal wo auch immer er klickte – unausweichlich auf „gefällt mir“ klickte und damit als Folge automatisch den Link auf seine Pinnwand kopierte. Die Freunde des Users wurden dann wiederum automatisch auf ihrer Startseite darüber informiert, dass ihm dieser Link gefällt. Im Folgenden breitete sich die Attacke weiter nach dem Schneeballprinzip aus: Zuerst klickten die Freunde auf den Link, dann die Freunde der Freunde und so weiter und so fort.

Wozu nun aber der ganze Aufwand? Natürlich geht es auch hierbei wieder einmal um das liebe Geld. Nachdem der Link auf die Pinnwand des Anwenders kopiert worden war, erhielt er anscheinend auch das, was ihm in der entsprechenden Überschrift versprochen worden war: Er wurde auf eine Seite mit der Nachbildung eines Media-Players umgeleitet, der angeblich die Fußball-WM-Spiele übertrug, oder er landete auf einer Seite mit Fotografien von schönen Frauen. Auf derselben Seite befand sich auch ein kleines Javascript-Szenario eines Werbeunternehmens, das in der Lage war, die Blockierung von Werbe-Bannern zu umgehen. Dank dieses Szenarios erhielten die Organisatoren dieser Attacke für jeden Besucher der Seite einen geringen Geldbetrag. Bedenkt man, dass die Zahl der Opfer dieses Angriffs in die Tausende ging, war der Verdienst für die Cyberkriminellen nicht gering.

Glücklicherweise haben wir bisher noch keinen Fall registriert, in dem auf diese Weise Schadprogramme verbreitet wurden.

Veröffentlichung von Informationen über Sicherheitslücken

Im zweiten Quartal 2010 kam es zu zwei unerwarteten Ereignissen, die mit Schwachstellen der Firma Google zusammenhingen. In beiden Fällen machte ein Mitarbeiter von Google die vollständigen Informationen über eine Sicherheitslücke zugänglich. Wie zu erwarten war, führte dies zur massenhaften Ausnutzung dieser Schwachstellen durch die „bad guys“, zumal zum Zeitpunkt der Veröffentlichung der Informationen keinerlei Patches vorhanden waren, die diese Lücke schließen konnten.

Am 9. April 2010 wurde eine Zero-Day-Schwachstelle in Java Web Start (CVE-2010-0886) aufgedeckt. Oracle begann umgehend damit, einen entsprechenden Patch zu entwickeln, der am 16. April 2010 veröffentlicht wurde. Die Cyberkriminellen waren allerdings schneller: Nach ein paar Tagen setzten sie bereits mit voller Kraft ein Exploit ein, das der Sammlung „exploitpack“ hinzugefügt worden war. Der kriminelle Einsatz von Exploits läuft mittlerweile wie am Fließband: Die Domain, von der die Attacken im Folgenden durchgeführt wurden, war von den Cyberkriminellen einen Tag vor Veröffentlichung der Informationen über die konkrete Schwachstelle registriert worden.

Im zweiten Fall machte derselbe Google-Mitarbeiter eine Sicherheitslücke im Microsoft Windows Help and Support Center (CVE-2010-1885) bekannt. Die ganze Situation wiederholte sich und sehr schnell schon erschienen im Netz die entsprechenden Exploits.

Der Forscher, der die Informationen über Sicherheitslücken der Öffentlichkeit zugänglich gemacht hat, wurde in erster Linie von übersteigertem Gerechtigkeitssinn getrieben. Er ist davon überzeugt, mit der Veröffentlichung der Informationen eine gute Tat zu vollbringen. Aber ist das wirklich so?

Einerseits führt die Aufdeckung einer Sicherheitslücke dazu, dass die Software-Hersteller sich bemühen, schneller einen Patch herauszubringen. Andererseits jedoch ist eine Schwachstelle in den Händen aller Cyberkriminellen eine Waffe, die mit nahezu hundertprozentiger Wahrscheinlichkeit funktioniert. Dabei dauert die Behebung einer Schwachstelle in modernen Systemen mit Millionen von Code-Zeilen wesentlich länger als einen Tag. Dagegen können Cyberkriminelle die Sicherheitslücke praktisch sofort nach ihrem Bekanntwerden ausnutzen. Ist der Preis für eine schnelle Berichtigung des Fehlers daher nicht zu hoch?

Die Zahlen belegen, dass diese Art der Weltverbesserung einen gegenteiligen Effekt hat. Unserer Statistik zufolge stieg die Zahl der Exploits, die die Sicherheitslücke CVE-2010-0886 ausnutzen, rasant an. Auf dem Höhepunkt dieser Entwicklung machten sie 17 Prozent aller Exploits überhaupt aus! Ähnlich verhält es sich mit dem Exploit für die Schwachstelle CVE-2010-1885 im Windows HSC. Es gewann sehr schnell an Boden und belegte in unserem Quartalsranking der Exploits bereits Platz 13, obgleich es erst im letzten Monat des Quartals auf den Plan trat. Bleibt zu hoffen, dass alle „Forscher“ daraus eine Lehre ziehen.

Alternative Plattformen

Ende Mai ging die Meldung durchs Internet, dass das Unternehmen Google sich von Windows abwendet und auf die Plattformen Linux und MacOS umsteigt. Laut offizieller Aussage von Google sind die Sicherheitsprobleme von Windows ein Grund für diese Entscheidung. Allerdings belegen die Fakten, dass Linux und MacOS keineswegs besser geschützt sind als Windows.

Im zweiten Quartal 2010 belegten die Schadprogramme für alternative Plattformen neue Positionen. Am 20. April 2010 erschien ein neues Backdoor der Familie Reshe für MacOS X namens Backdoor.OSX.Reshe.a. Sobald das Schadprogramm sich in einem System eingenistet hat, gibt es sich als die beliebte Anwendung iPhoto aus und gewährleistet so, dass es beim Systemstart auch automatisch gestartet wird. Dieses Backdoor verschafft Cyberkriminellen die volle Kontrolle über ein infiziertes System: Sie können nun Spam vom befallenen Rechner versenden, Dateien suchen und stehlen, Programme installieren und ausführen, Screenshots erstellen und vieles anderes mehr. Dieses Backdoor wurde in der Sprache RealBasic programmiert und läuft auf Mac-Rechnern mit PowerPC- und Intel-Prozessoren. Bisher wurde kein massenhafter Einsatz dieses Backdoors registriert, doch man sollte die Tatsache trotzdem nicht aus dem Blick verlieren, dass die Cyberkriminellen über eine solche Waffe verfügen.

Am 3. Juni 2010, also einige Tage nachdem Google angekündigt hatte, auf alternative Betriebssysteme umzusteigen, entdeckten die Kaspersky-Spezialisten einen neuen Spionage-Trojaner für MacOS X. Dieser Schädling gibt sich als Werbe-System aus und verbreitet sich zusammen mit legalen Produkten. Er stiehlt nicht nur Informationen von den befallenen Computern, sondern verfügt zudem über Backdoor-Funktionalität, was den Cyberkriminellen die Möglichkeit gibt, den infizierten Rechnern Befehle zu senden.

Viele Mac-Anwender wiegen sich in einem falschen Gefühl der Sicherheit. Sie sind davon überzeugt, dass die IT-Bedrohungen, die unter ihrem Betriebssystem laufen, schlicht gar nicht existieren. Dabei räumt die Firma Apple selbst die Existenz von Schadcode für Mac-Systeme ein. Im letzten Update OS X 10.6.4 fügte Apple – ohne es an die große Glocke zu hängen – seinem eigenen Antiviren-Scanner eine neue Signatur zum Schutz vor dem oben beschriebenen Schadprogramm Backdoor.OSX.Reshe.a hinzu. Solche unkommentierten Updates des Herstellers bestätigen beim User nur das Gefühl falscher Sicherheit, anstatt ihn über die realen Gefahren aufzuklären.

Man muss ganz klar sagen, dass es keine absolut sicheren Betriebssysteme mehr gibt. MacOS X ist heute kein sichereres Betriebssystem als Windows 7. Vom technischen Standpunkt aus betrachtet ist für ein sicheres Funktionieren von MacOS X ebenfalls ein Schutz vor Malware notwendig. Bedenkt man die oben beschriebenen Vorfälle, so ist es durchaus möglich, dass gezielte Attacken auf die Nutzer der Apple-Computer nicht mehr allzu lange auf sich warten lassen.

Länder, deren Bewohner am häufigsten angegriffen wurden

Insgesamt wurden im Laufe der letzten drei Monate über 540 Millionen Attacken in 228 Ländern der Welt blockiert. In diesem Quartal erschien sogar die Norfolkinsel – mit nur 2.141 Bewohnern – auf dem Antiviren-Radar von Kaspersky Lab. Jeden Monat stieg die Zahl der Infizierungsversuche weltweit durchschnittlich um 4,5 Prozent.

Wie hoch die Wahrscheinlichkeit ist, dass ein Rechner infiziert wird, hängt vor allem davon ab, wo auf der Welt er sich befindet. Die folgende Tabelle macht diesen Umstand deutlich, denn sie zeigt, in welchen Ländern die Anwendercomputer am häufigsten Angriffen ausgesetzt waren:


Q2 2010 Q1 2010
1 China 17,09% 1 China 18,05%
2 Russische Föderation 11,36% 2 Russische Föderation 13,18%
3 Indien 9,30% 3 Indien 8,52%
4 USA 5,96% 4 USA 5,25%
5 Vietnam 5,44% 5 Vietnam 3,73%
6 Deutschland 2,65% 6 Deutschland 3,01%
7 Malaysia 2,37% 7 Malaysia 2,69%
8 Saudi Arabien 2,19% 8 Frankreich 2,38%
9 Frankreich 2,14% 9 Ukraine 2,34%
10 Ukraine 2,11% 10 Spanien 2,30%
11 Italien 2,06% 11 Italien 2,24%
12 Spanien 2,00% 12 Mexiko 2,09%
13 Mexiko 1,96% 13 Saudi Arabien 1,99%
14 Türkei 1,96% 14 Türkei 1,92%
15 Brasilien 1,77% 15 Großbritannien 1,60%
16 Großbritannien 1,51% 16 Brasilien 1,57%
17 Thailand 1,37% 17 Ägypten 1,48%
18 Ägypten 1,36% 18 Thailand 1,30%
19 Bangladesch 1,25% 19 Philippinen 1,11%
20 Indonesien 1,17% 20 Indonesien 1,08%
  Sonstige 22,59%   Sonstige 22,16%

Im Vergleich zum vorhergehenden Quartal blieben praktisch alle Länder auf ihren Positionen in den Top 20, nur die Philippinen traten Platz 19 an Bangladesch ab. Die ersten fünf Plätze werden nach wie vor von China (17,09% aller Attacken), Russland (11,36%), Indien (9,30%), den USA (5,96%) und Vietnam (5,44%) belegt.

In der prozentualen Verteilung haben sich in Russland (-13,81%) und Vietnam (+45,84%) die größten Veränderungen ergeben. Australien, das derzeit mit 0,5 Prozent auf Platz 31 liegt, ist schon lange nicht mehr in den Top 20 vertreten. In diesem Land greifen strenge Maßnahmen im Kampf gegen die Cyberkriminalität. So wird in dem jüngsten Papier des Standing Committee on Communications des Australischen Repräsentantenhauses Internet-Providern (ISPs) empfohlen, Computern ohne Virenschutz und Firewall keine Internetverbindung zur Verfügung zu stellen, wobei diese Empfehlung für alle australischen Anwender verbindlich werden könnte.

Diese Maßnahme mag ungewöhnlich streng erscheinen. Doch werfen wir einmal einen Blick auf das Ranking: Spitzenreiter ist China, wo einer Umfrage von CNNIC zufolge etwa 4,4 Prozent der Anwender (etwa 17 Millionen!) ohne jeglichen Schutz online gehen. Das ist ungefähr so, als würde man aus dem Haus gehen und alle Fenster und Türen sperrangelweit offen stehen lassen. Dabei lernen die Anwender selbst auch nicht unbedingt aus ihren Fehlern: Die Ergebnisse der gleichen Umfrage zeigen auch, dass ein Sechstel der Befragten zugibt, schon einmal Opfer von Cyberkriminellen geworden zu sein und virtuelles Eigentum verloren zu haben. Und virtuelles Eigentum lässt sich heute problemlos in echtes Geld verwandeln.

Schadprogramme im Internet

Im zweiten Quartal 2010 verhinderte Kaspersky Lab 157.626.761 Infizierungsversuche an Anwendercomputern via Internet. Hier eine Übersicht der Schadprogramme, die am häufigsten im Internet ihr Unwesen trieben:

 
Top 5 der Malware-Kategorien im Internet

In den Top 5 finden sich verschiedene Trojaner, Exploits und Adware, wobei fast die Hälfte aller erkannten Bedrohungen (48%) im Internet auf Programme der Kategorie Trojan entfällt. Dabei handelt es sich bei 57% aller Programme dieser Kategorie um schädliche Skripte, die von den Cyberkriminellen auf verschiedene Websites eingeschleust werden. Unter diesen Seiten befinden sich auch legitime, die von tausenden, manchmal sogar mehreren Millionen Usern besucht werden. Diese Skripte werden als Trojan.Script.Iframer und Trojan.Script.Generic erkannt. Sie veranlassen den Anwender, über einen Link, der im Browser nicht sichtbar ist, auf die Seite der Cyberkriminellen zu gehen. Normalerweise führen die Links auf Websites mit Exploits (bzw. mit Exploitpacks, wenn der Betrug professioneller aufgezogen ist), die es den Kriminellen ermöglichen, den ersten Schritt bei der Umgehung der Schutzmechanismen zu tun und als Resultat jede beliebige Datei auf den Computer zu laden und auszuführen. Im Folgenden werden wir noch näher auf Exploits eingehen.

Auf die Kategorie Adware entfielen 7,15 Prozent aller erkannten Bedrohungen. Im vergangenen Quartal handelte es sich bei 70 Prozent der von uns registrierten Programme dieser Kategorie um Vertreter der Familien Zwangi und Boran. In diesem Quartal gebührt den Familien Shopper (26,06%) und FunWeb (22,81%) der Siegerkranz, die insgesamt 49 Prozent aller erkannten Werbeprogramme ausmachten.

Mehr als ein Drittel des Aufkommens von Shopper, FunWeb und Zwangi wurde auf Anwendercomputern in den USA und England registriert. Zugleich wurden 93 Prozent des Boran-Aufkommens, dessen Anteil insgesamt um 8 Prozentpunkte zurückging, auf den Computern chinesischer User festgestellt.

Die Zunahme des Shopper-Anteils, bei dem es sich um ein Programm mit Schnäppchen-Ratschlägen fürs Internet handelt, hängt mit seinem neuen Verbreitungsschema zusammen: in Installationspaketen mit Programmen, die über eine GPL-Lizenz verbreitet werden. Bei der Installation eines solchen Programms, das aus nicht offizieller Quelle stammt, landet auf dem Anwendercomputer auch das Programm Adware.Win32.Shopper.

Geographie der Bedrohungen

Im zweiten Quartal 2010 registrierte Kaspersky Lab 157.626.761 Angriffe, die von Internet-Ressourcen aus verschiedenen Ländern der Welt durchgeführt wurden. Über 95 Prozent aller registrierten Attacken stammten aus insgesamt zwanzig Ländern:

Top 20 der Länder, in denen sich Server mit Schadcode befinden


Q2 2010 Q1 2010
1 USA 28,99% 1 USA 27,57%
2 Russische Föderation 16,06% 2 Russische Föderation 22,59%
3 China 13,64% 3 China 12,84%
4 Deutschland 5,89% 4 Niederlande 8,28%
5 Niederlande 5,49% 5 Spanien 6,83%
6 Spanien 5,28% 6 Deutschland 6,78%
7 Großbritannien 4,62% 7 Großbritannien 3,29%
8 Schweden 4,34% 8 Philippinen 1,60%
9 Ukraine 2,76% 9 Ukraine 1,35%
10 Lettland 2,02% 10 Kanada 1,29%
11 Kanada 1,63% 11 Schweden 0,95%
12 Frankreich 1,49% 12 Frankreich 0,80%
13 Türkei 0,63% 13 Türkei 0,72%
14 Moldawien 0,55% 14 Australien 0,48%
15 Tschechien 0,40% 15 Moldawien 0,42%
16 Hong Kong 0,40% 16 Lettland 0,31%
17 Thailand 0,38% 17 Tschechien 0,31%
18 Philippinen 0,37% 18 Luxemburg 0,26%
19 Malaysia 0,37% 19 Malaysia 0,26%
20 Vietnam 0,36% 20 Vietnam 0,25%
  Sonstige 4,33%   Sonstige 2,80%

Die ersten drei Plätze im Ranking werden – wie auch im vorhergehenden Quartal – von den USA (28,99%), Russland (16,06%) und China (13,64%) belegt, das seine im letzten Quartal eingebüßte Führungsposition nicht zurückzuerobern konnte.

Der Anteil der infizierten Websites auf russischem Territorium verringerte sich um 28,9 Prozent. Gleichzeitig nahm die Zahl der Angriffe von Web-Ressourcen aus den Niederlanden und Schweden zu.

Exploits

Die meisten Angriffe im Internet beginnen damit, dass Exploits ausgenutzt werden, die es Cyberkriminellen ermöglichen, unbemerkt auf ein fremdes System zuzugreifen und das von ihnen benötigte Schadprogramm auf den Anwendercomputer zu laden. Nicht umsonst liegen die Preise für Exploit-Sammlungen auf dem Schwarzmarkt bei einigen tausend Dollar.

Im zweiten Quartal 2010 wurden 8.540.223 Exploits entdeckt.

Am populärsten waren die Exploits der folgenden Familien:

 
Top 10 der im Internet entdeckten Exploit-Familien

An der Spitze stehen nach wie vor Exploits, die Sicherheitslücken im Adobe Reader ausnutzen. Doch als erstes springt ins Auge, dass der Anteil dieser Schädlinge im Vergleich zum ersten Quartal 2010 stark abgenommen hat.

Der Grund für den Rückgang liegt vor allem darin, dass die Familien Exploit.JS.CVE-2010-0806 und Exploit.JS.Agent.bab an Popularität gewonnen haben. Diese Schädlinge nutzen eine Schwachstelle im Browser Microsoft Internet Explorer der Versionen 6 und 7 in der Komponente „Peer Object“ der Bibliothek iepeers.dll aus (CVE-2010-0806). Die traurige Geschichte der schnellen Verbreitung dieser Exploits wurde bereits in unserem letzten Bericht erzählt. Nachdem sie in metasploit framework aufgetreten waren, wurden sie praktisch unverändert vielen kommerziellen Exploit-Sammlungen hinzugefügt. Dies wiederum führte dazu, dass sie massenhaft eingesetzt wurden. Durchschnittlich registrierten unsere Produkte im zweiten Quartal 2010 täglich 31.000 Attacken, die die Sicherheitslücke CVE-2010-0806 unter Zuhilfenahme der Exploits Exploit.JS.Agent.bab und Exploit.JS.CVE-2010-0806 ausnutzten.

Dabei wurden diese Exploits zu den unterschiedlichsten verbrecherischen Zwecken eingesetzt. Sicher jedoch ist, dass die Cyberkriminellen sie im Wesentlichen für Angriffe auf Online-Games verwendeten. Den Untersuchungen von Kaspersky Lab zufolge versuchen die Downloader, die nach dem Einsatz des Exploits Exploit.JS.CVE-2010-0806 installiert werden, in den meisten Fällen die Schädlinge Trojan-GameTheif.Win32.Magania und Trojan-GameTheif.Win32.WOW zu laden. Das Interesse der Cyberkriminellen an Spieler-Accounts zeigt sich auch in der geografischen Verteilung der Attacken unter Verwendung der oben beschriebenen Exploits: Die fünf Länder, auf die insgesamt 96,5 PRozent aller Angriffe entfielen, sind China, Taiwan, Korea, die USA und Vietnam. Dies sind alles Länder, in denen traditionell besonders gern und viel MMORPGs (Massive Multiplayer Online Roleplaying Games) gespielt werden.

Eine andere wichtige Veränderung ist die Zunahme des Anteils von Exploits unter Java, die die Sicherheitslücken CVE-2010-0886 und CVE-2009-3867 ausnutzen. Größtenteils ihretwegen stieg der Anteil von Java-Schädlingen in diesem Quartal um zwei Prozentpunkte. Der wichtigste Angriffsvektor dieser Exploits sind Industrie-Staaten: Deutschland, England, Russland, Italien, die Ukraine, Spanien sowie die USA und Kanada. Auf die Anwendercomputer wird das Schadprogramm Backdoor.Win32.Bredolab geladen, dessen Hauptaufgabe im Download und der Installation anderer Malware besteht. Die Liste dieser Schädlinge ist überaus umfangreich und reicht von Spam-Bots und Programmen zum Diebstahl von FTP-Passwörtern bis hin zu gefälschten Antiviren-Lösungen.

Die bei Attacken verwendeten Exploits mit dem Namen Aurora verlieren unter Cyberkriminellen zunehmend an Popularität: Ihr Anteil verringerte sich um 7,08 Prozentpunkte. Die Berichtswelle über die Attacke unter Verwendung der Schwachstelle CVE-2010-0249, die durch alle Massenmedien schwappte, blieb nicht ohne Folgen. Die Anwender aktualisierten ihre Version des Microsoft Internet Explorers, da über eine Sicherheitslücke in diesem Programm der Einbruch in das System realisiert wird.

Mit der sinkenden Zahl von Anwendern des Microsoft Internet Explorers 6.0 lässt sich auch der Rückgang von Exploits der Familie Exploit.JS.Adodb erklären, die eine alte Sicherheitslücke in dieser Version des Browsers ausnutzt.

Exploits, die die Schwachstelle CVE-2010-1885 im Microsoft Windows Help and Support Center ausnutzen und über deren Bekanntmachung wir oben bereits berichteten, gewinnt sehr schnell an Boden. Im zweiten Quartal 2010 belegten sie den 13. Platz, obgleich die Schwachstelle erst am 9. Juli 2010 veröffentlicht wurde. Bemerkenswert ist, dass Microsoft bisher keinen außerplanmäßigen Patch angekündigt hat – ein Umstand, der leider den Kriminellen in die Hände spielt. Vor allem russische, deutsche, spanische und amerikanische Nutzer fallen Attacken unter Verwendung dieser Exploits zum Opfer. Diese Exploits werden im Wesentlichen für Angriffe des Typs pay-per-install (auch „Partnerprogramme“ genannt) genutzt, wobei die einen Kriminellen den anderen für die Verbreitung eines Schadprogramms Geld zahlen. Die Höhe der Bezahlung hängt dabei von der Menge und dem Standort der infizierten Rechner ab.

Sicherheitslücken

Im zweiten Quartal 2010 erkannte Kaspersky Lab auf den Computern der Anwender 33.765.504 verwundbare Anwendungen und Dateien. Dabei fanden wir in jedem vierten Fall nicht nur eine ungepatchte Sicherheitslücke auf einem Computer, sondern mehr als sieben.

Die folgende Tabelle zeigt die zehn Sicherheitslücken, die im Laufe des zweiten Quartals 2010 am häufigsten auf den Computern der Anwender gefunden wurden:

Top 10 der auf den Anwendercomputern entdeckten Sicherheitslücken. Zweites Quartal 2010


Secunia ID Positionsä-
nderung
Name und Link der Sicherheitslücke Möglichkeiten, die sich Cyberkriminellen durch die Ausnutzung der Sicherheitslücke eröffnen Anteil der User, bei denen die Sicherheitslücke entdeckt wurde Ausgabe-Datum Einstufung
1 SA 38805 7 Microsoft Office Excel Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 39,45% 2009-
06-09
Hoch-kritisch
2 SA 37255 Neu Sun Java JDK / JRE Multiple Vulnerabilities Umgehung der Systemsicherheit 38,32% 2010-
02-12
Hoch-kritisch
3 SA 35377 -2 Microsoft Office Word Two Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 35,91% 2010-
03-09
Hoch-kritisch
4 SA 38547 -1 Adobe Flash Player Domain Sandbox Bypass Vulnerability Umgehung der Systemsicherheit 30,46% 2009-
04-03
Mäßig kritisch
5 SA 31744 1 Microsoft Office OneNote URI Handling Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 27,22% 2007-
01-09
Hoch-kritisch
6 SA 34572 -2 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 21,14% 2008-
09-09
Extrem kritisch
7 SA 39272 Neu Adobe Reader / Acrobat Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers
Cross-Site Scripting
21,12% 2010-
04-04
Hoch-kritisch
8 SA 29320 2 Microsoft Outlook "mailto:" URI Handling Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 19,54% 2008-
03-11
Hoch-kritisch
9 SA 39375 Neu Microsoft Office Publisher File Parsing Buffer Overflow Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 16,08% 2010-
04-13
Hoch-kritisch
10 SA 37690 -1 Adobe Reader/Acrobat Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers
Cross-Site-Scripting
15,57% 2009-
12-15
Extrem kritisch

Sechs der Sicherheitslücken aus unseren Top 10 wurden in Microsoft-Produkten gefunden, drei in Produkten von Adobe und eine in einem Sun-Produkt. Das bedeutet allerdings nicht, dass die Produkte dieser Hersteller die meisten Fehler enthalten, es zeugt vielmehr von der Popularität der entsprechenden Software unter den Anwendern.

In den Top 10 etablierten sich gleich zwei Neueinsteiger –Sicherheitslücken im Microsoft Office Publisher (SA 39375) und im Adobe Reader (SA 39272). Die Schwachstellen wurden als extrem kritisch beziehungsweise hochkritisch eingestuft, da sie den Kriminellen uneingeschränkten Zugriff auf das System und die Ausführung von willkürlichen Programmen ermöglichen. Beide Sicherheitslücken wurden im April 2010 entdeckt.

Das automatische Update-System von Microsoft ist heutzutage auf den meisten Rechnern standardmäßig aktiviert, wohingegen das neue Update-System für Adobe Reader/Acrobat Reader der Welt erst am 13. April 2010 vorgestellt wurde, zusammen mit der quartalsüblichen Aktualisierung. Die automatische Aktualisierung gängiger Software ist heute ein Faktor, der für die Sicherheit des gesamten Betriebssystems von großer Bedeutung ist. Anbieter, die diese Funktionalität in ihre Produkte integrieren, machen einen Schritt in die richtige Richtung, denn damit können Funktionen ergänzt, und – was noch wichtiger ist – mögliche Lücken im Sicherheitssystem weitaus effektiver geschlossen werden. Je schneller Software-Hersteller Patches für ihre Produkte herausgeben und automatisch auf den Rechnern der Anwender installieren, desto geringer ist das Risiko, dass die Anwendercomputer unter Ausnutzung von Sicherheitslücken infiziert werden.

Bedrohungen auf den Anwendercomputern

Auch die Statistik der Schädlinge, die auf den Computern der Anwender entdeckt und unschädlich gemacht wurden, ist überaus interessant.

Im zweiten Quartal 2010 wurden von unseren Produkten 203.997.565 Versuche blockiert, Computer von Anwendern zu infizieren, die am Kaspersky Security Network teilnehmen.

Top 20 der auf Anwendercomputern entdeckten Schadprogramme im 2. Quartal 2010


Name % Positionsve-
ränderung
Verbreitungskanäle
1 Trojan.Win32.Generic 12,02% 1 n/a
2 DangerousObject.Multi.Generic 10,46% -1 n/a
3 Net-Worm.Win32.Kido.ir 7,40% 0 Netz, mobile Speichermedien
4 Virus.Win32.Sality.aa 4,62% 0 Datei-Infizierung
5 Net-Worm.Win32.Kido.ih 3,82% 0 Netz, mobile Speichermedien
6 Net-Worm.Win32.Kido.iq 3,51% 0 Netz, mobile Speichermedien
7 Worm.Win32.FlyStudio.cu 2,78% 0 Lokale Festplatten und mobile Speichermedien
8 Trojan.JS.Agent.bhr 2,76% Neu
9 HackTool.Win32.Kiser.il 2,14% Neu n/a
10 Exploit.Script.Generic 2,07% Neu Sicherheitslücken in Programmen
11 Virus.Win32.Virut.ce 1,69% -3 Datei-Infizierung
12 Trojan-Downloader.Win32.VB.eql 1,53% Neu n/a
13 Exploit.JS.Agent.bab 1,53% Neu Sicherheitslücken in Programmen
14 Worm.Win32.Generic 1,19% -4 Netz, mobile Speichermedien
15 Worm.Win32.Mabezat.b 1,16% -4 Netz, mobile Speichermedien,
E-Mail, Datei-Infizierung
16 Trojan-Dropper.Win32.Flystud.yo 1,11% 1 mobile Speichermedien,
Netzwerk-Festplatten
17 Worm.Win32.Autoit.tc 1,02% -4 mobile Speichermedien,
Netzwerk-Festplatten
18 Trojan.Win32.Pakes.Krap.l 0,95% Neu n/a
19 Trojan.Script.Generic 0,84% 0 n/a
20 Trojan.Script.Iframer 0,82% Neu n/a

In diesem Ranking gibt es fünf mit heuristischen Methoden erkannte Bedrohungen (Generic). Das hängt damit zusammen, dass heuristische Methoden bei der Erkennung von komplexen Bedrohungen am wirkungsvollsten sind.

Die Spitzenposition belegen verschiedene trojanische Programme, die als Trojan.Win32.Generic (12%) erkannt werden. Diese Programme verfügen nicht über ein integriertes Selbstverbreitungssystem, doch dafür sind in ihnen verschiedene destruktive Funktionen umgesetzt: vom Passwort-Diebstahl bis zum vollständigen Zugriff auf den Computer durch die Cyberkriminellen.

Auf Platz Zwei befinden sich Schädlinge, die mit Hilfe des Urgent Detection Systems (UDS) erkannt werden, wie DangerousObject.Multi.Generic (10%). Das UDS gewährleistet Schutz in Echtzeit für die Computer, die am Kaspersky Security Network teilnehmen.

In den Top 10 sind auf den Rängen Drei, Fünf und Sechs drei verschiedene Modifikationen von Kido vertreten, die ihre Positionen seit dem letzten Quartal behaupten. Das Verbreitungssystem von Kido hat sich leider als überaus effektiv erwiesen. Denn obgleich es weder neue Kido-Versionen noch irgendwelche Bemühungen seitens der Virenschreiber gibt, ihr Machwerk weiter zu verbreiten, hält sich der Wurm in den Top 10 und er scheint diese so bald auch nicht verlassen zu wollen. Ebenso wenig gibt der ausführbare Dateien infizierende Virus Sality.aa (auf Platz Vier) seine Position auf. Im Gegensatz zu Kido erscheinen immer mal wieder neue Versionen von Sality, obwohl derzeit die bereits Ende 2008 entdeckte Modifikation .aa am weitesten verbreitet ist.

Gleich zwei Schädlinge in unserer Hitliste wurden in der seltenen Programmiersprache E geschrieben. Es handelt sich dabei um die Schadprogramme Worm.Win32.FlyStudio.cu (7. Platz) und Trojan-Dropper.Win32.Flystud.yo (16. Platz), die im Wesentlichen in einem einzigen Land verbreitet sind – wenn auch in dem bevölkerungsreichsten der Welt, also in China. Auf Rechner chinesischer Anwender entfällt mehr als die Hälfte aller Erkennungen dieses Schadprogramms. Noch ein weiterer Neuling im Ranking gehört zu den in einer Skript-Sprache programmierten Schädlingen: Bei Trojan.Win32.Pakes.Krap.l (18. Platz) handelt es sich um verschleierte Schädlinge, die in der Skript-Sprache AutoIT geschrieben wurden.

Während im vergangenen Quartal nicht ein Exploit-Vertreter in den Top 20 vorhanden war, sind es im aktuellen Rating gleich zwei. Der erste, Exploit.Script.Generic (10.Platz), ist eine Familie von Exploits, die in verschiedenen Skript-Sprachen programmiert sind. Zum anderen schaffte es auch Exploit.JS.Agent.bab auf Position 13 des Rankings, der eine Sicherheitslücke im MS Internet Explorer ausnutzt und es den Kriminellen ermöglicht, Programme auf die Computer der Anwender zu laden und dort auszuführen. Unsere Statistik belegt, dass Exploits heute zu den effektivsten Werkzeugen in den Händen von Cyberkriminellen gehören, wenn es darum geht Anwendercomputer zu infizieren.

Das KSN ist eine der wichtigsten Funktionen bei den Produkten für Privatanwender, und Kaspersky Lab arbeitet derzeit an der Integration des Systems in seine Unternehmenslösungen.

Mit Hilfe des Kaspersky Security Network können die Kaspersky-Experten in Echtzeit auf neue Schadprogramme reagieren, für die noch keine Signaturen vorliegen, und die noch nicht heuristisch erfasst sind. KSN macht es möglich, die Verbreitungsquelle von Schadprogrammen im Internet zu lokalisieren und diese für die Anwender zu sperren.

Gleichzeitig verbessert das KSN die Reaktionszeit auf neue Bedrohungen entscheidend. Zum gegenwärtigen Zeitpunkt kann die Ausführung eines neuen Schadprogramms auf den Computern der KSN-User innerhalb weniger Sekunden nach Feststellung seines schädlichen Charakters blockiert werden. Anders als bisher ist eine Aktualisierung der Antiviren-Datenbanken dafür nicht mehr nötig.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Quelle:
Kaspersky Lab
Weiterführende Links
Artikel
Entwicklung der IT-Bedrohungen im zweiten Quartal 2013
Kaspersky Security Bulletin 2012: Spam im Jahr 2012
Kaspersky Security Bulletin 2012. Cyberwaffen
Kaspersky Security Bulletin: Statistik für das Jahr 2012
Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2012
Glossarius
Kaspersky Security Network (KSN)
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen