Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul    
     
Most Popular Analysis



Spam im Juni 2014



Betrüger in Sozialen Netzwerken



Spam im Mai 2014



Entwicklung der IT-Bedrohungen im 1. Quartal 2014



Kinder im Netz: die Sicherheitsformel
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Entwicklung der IT-Bedrohungen im dritten Quartal 2012

6.11.2012   |   Ihr Kommentar

Yury Namestnikov

Das Quartal in Zahlen

  • Im dritten Quartal 2012 entdeckten und entschärften die Produkte von Kaspersky Lab 1.347.231.728 schädliche Objekte.
  • Insgesamt 28 Prozent der angegriffenen mobilen Geräte laufen unter dem Betriebssystem Android mit der im September 2011 erschienen Version 2.3.6.
  • 56 Prozent der im dritten Quartal abgewehrten Exploits nutzen Sicherheitslücken in Java aus.
  • Die registrierten Schadprogramme wurden über mehr als 91,9 Millionen URLs verbreitet, was rund 3 Prozent mehr entspricht als im zweiten Quartal 2012.

Allgemeine Lage

Mobile Schädlinge und Betriebssysteme

Im dritten Quartal 2012 haben wir unsere Sammlung von Schaddateien um mehr als neuntausend .dex-Dateien erweitert. Das sind 5.000 weniger als im vorausgegangenen Quartal, aber 3.500 mehr als im ersten Quartal 2012.

Dieser Rückgang ist damit zu erklären, dass unsere Schaddatei-Sammlung durch Dateien ergänzt wurde, die bis dahin im Laufe eines gewissen Zeitraums durch heuristische Methoden aufgespürt wurden. Zur Erinnerung: Mit einer Heuristik wird eine Vielzahl von verschiedenen Programmen erfasst. Das dritte Quartal verlief normal und die Zahl neuer Dateien in unserer Kollektion entspricht der seit Anfang des Jahres beobachteten Tendenz.


Anzahl der entdeckten Malware-Modifikationen für Android OS

Es ist Interessant zu sehen, welche Versionen des Betriebssystems Android am häufigsten im Visier der Cyberkriminellen stehen.

 
Verteilung der im dritten Quartal 2012 entdeckten Schadprogramme nach Android-Versionen

Auf Platz eins steht Android 2.3.6 „Gingerbread“, auf das 28 Prozent der abgewehrten Versuche entfallen, Schadprogramme zu installieren. Dieses System ist nicht neu und wurde bereits im September 2011 veröffentlicht. Wegen der starken Segmentierung des Marktes für Android-Geräte gehört es allerdings bis heute zu den populärsten Versionen.

Um die Frage beantworten zu können, wie groß die Übereinstimmung zwischen der Verteilung der auf den mobilen Geräten installierten Android OS-Versionen und der Verteilung der Betriebssysteme auf den Geräten ist, die zum Angriffsziel Cyberkrimineller wurden, müssen wir unsere Daten mit den offiziellen Zahlen zur Verteilung der Android-Versionen vergleichen, die von der Webseite developer.android.com stammen. Die unten stehende Grafik zeigt die prozentuale Verteilung der Betriebssystem-Versionen für die letzten beiden Septemberwochen (Quelle: http://developer.android.com/about/dashboards/index.html):

 

Hier ein Vergleich mit unseren Daten für denselben Zeitraum:

 
Verteilung der innerhalb der letzten beiden Septemberwochen 2012 entdeckten Schadprogramme nach Android-Versionen

Wie man sieht, weichen die Diagramme stark voneinander ab: In 48 Prozent der Fälle wurden Nutzer von Gingerbread zu Opfern von Cyberkriminellen, das auf 55 Prozent der Geräte installiert ist, und 43 Prozent der attackierten User verwenden die neueste Android-Version Ice Cream Sandwich, die auf 23,7 Prozent der Geräte installiert ist.

Es liegt auf der Hand, dass es sich mit den Geräten, auf denen neuere Betriebssystem-Versionen installiert sind, wesentlich besser und bequemer im Internet arbeiten lässt. Wer häufiger im Internet surft, landet allerdings auch häufiger auf Webseiten mit schädlichem Inhalt.

Um zu verstehen, welche Schadprogramme am häufigsten angreifen, werten wir die Daten des Kaspersky Security Network (KSN) für mobile Geräte aus.

 
Verteilung der im dritten Quartal entdeckten Android-Schadprogramme nach Typen*

Mehr als die Hälfte der auf den Smartphones der KSN-Nutzer entdeckten Schädlinge sind SMS-Trojaner – also Schadprogramme, die Geld von den mobilen Konten ihrer Opfer abziehen, indem sie SMS an kostenpflichtige Nummern versenden.


Verteilung der im dritten Quartal entdeckten Android-Schadprogramme nach Familien*

*Vom Dateiscan-Modul von Kaspersky Mobile Security entdeckte Schädlinge. Die Daten wurden von den Nutzern von Kaspersky Lab-Produkten zur Verfügung gestellt, die in die Übertragung von statistischen Daten eingewilligt haben.

Von allen mobilen Schädlingsfamilien war OpFake am weitesten verbreitet (38,3 % aller entdeckten Schadprogramme für Android). Die Vertreter dieser Familie tarnen sich als der mobile Browser Opera Mini. Auf Position drei befindet sich die Familie FakeInst – das sind Schädlinge, die sich als Installationsdateien populärer Programme ausgeben (17 %). Brutstätten dieser beiden Schadprogramm-Typen sind so genannte alternative App-Shops, die von Cyberkriminellen geschaffen werden.

Bei 20 Prozent, einem Fünftel der entdeckten Programme, handelt es sich um multifunktionale Trojaner, die zur Familie Plangton gehören. Nach der Installation sammeln die Trojaner Informationen über das Telefon, senden diese an den Steuerungsserver der Cyberkriminellen und warten dann auf Befehle. Diese Schädlinge sind insbesondere in der Lage, unbemerkt Lesezeichen zu setzen und die Startseite zu verändern.

5 Prozent entfallen auf die Programme der Familie not-a-virus:RiskTool.AndroidOS.SMSreg, die den Anwender bei teuren Diensten anmelden. Diese Schädlinge haben es in erster Linie auf Nutzer in den USA, Holland, Großbritannien und Malaysia abgesehen. Näheres zu diesen Programmen erfahren Sie in unserem Blog.

Auf die Familie Exploit.AndroidOS.Lotoor entfallen 4 Prozent. Um die Kontrolle über das Telefon zu erlangen, müssen die Online-Verbrecher einen Jailbreak durchführen, also den Schutzmechanismus des Telefons umgehen, um vollständigen Zugriff auf das Dateisystem zu erhalten. Die Schädlinge dieser Familie werden eingesetzt, um Root-Privilegien zu erhalten, die praktisch uneingeschränkte Möglichkeiten zur Manipulation des Systems eröffnen.

Ebenfalls 4 Prozent gehen auf das Konto verschiedener Werbeprogramme, die als AdWare eingestuft werden und unter denen die Familie Hamob am populärsten ist. Die Programme dieser Familie blenden Werbung in Anwendungen ein.

Im dritten Quartal wurden also die Android-Versionen 2.3.6 „Gingerbread“ und 4.0.4 „Ice Cream Sandwich“ am häufigsten von Cyberkriminellen attackiert. Online-Kriminelle umgehen – in erster Linie mit Hilfe von Social-Engineering-Methoden – recht erfolgreich die Beschränkungen bei der Installation von Software aus nicht vertrauenswürdigen Quellen. In „freier Wildbahn“ sind solche Trojaner am weitesten verbreitet, die auf die eine oder andere Weise Geld von den mobilen Konten der Anwender stehlen. Doch es wird deutlich, dass sie nach und nach von komplexeren multifunktionalen Trojanern verdrängt werden.

Exploits: Fehler in Java bei über der Hälfte der Attacken ausgenutzt

Das Problem der Attacken im Internet hängt in erster Linie mit verschiedenen Exploits zusammen, die es Cyberkriminellen ermöglichen, schädliche Programme im Zuge von Drive-by-Attacken auf Computer zu laden, ohne dafür auf Social-Engineering-Tricks zurückgreifen zu müssen. Die Voraussetzung für den erfolgreichen Einsatz von Exploits ist das Vorhandensein von Sicherheitslücken im Code populärer Anwendungen, die auf den Computern installiert sind.

Im Folgenden zeigen wir, gegen welche verwundbaren Anwendungen sich die Exploits im dritten Quartal 2012 gerichtet haben. In diesem Quartal haben wir die Methodik geändert und in die Statistik Exploits einfließen lassen, die mit verschiedenen heuristischen Methoden entdeckt wurden.

 
Anwendungen, in denen Sicherheitslücken durch Web-Exploits ausgenutzt wurden, drittes Quartal 2012

Bei über 50 Prozent der Attacken wurden Lücken in Java ausgenutzt. Nach Angaben des Herstellers Oracle sind verschiedene Versionen dieser virtuellen Maschine auf mehr als 1,1 Milliarden Computern installiert. Wichtig ist dabei zu wissen, dass die Updates für diese Software durch Erlaubnis des Anwenders installiert werden und nicht automatisch, was die Lebensdauer von Sicherheitslücken verlängert. Hinzu kommt, dass Exploits für Java problemlos unter jeder Windows-Version einsetzbar sind. Nehmen Virenautoren einige Veränderungen vor, so kann das Exploit – wie im Falle von Flashfake – auch plattformübergreifend eingesetzt werden. So erklärt sich auch das besondere Interesse Cyberkrimineller an Java-Schwachstellen. Naturgemäß werden die meisten Alarme durch unterschiedliche Exploit-Sammlungen ausgelöst.

Im dritten Quartal wurden einige Sicherheitslücken entdeckt, die schnell von Cyberkriminellen ausgenutzt wurden. Die im Juli gefundene Schwachstelle CVE-2012-1723 ist ein Fehler in der Java-Komponente HotSpot, durch deren Ausnutzung Online-Gangster in der Lage sind, die Sandbox der virtuellen Maschine zu umgehen. Die zweite Sicherheitslücke, CVE-2012-4681, wurde Ende August entdeckt. Exploits zu dieser Sicherheitslücke wurden zunächst in zielgerichteten Attacken eingesetzt, daraufhin aber auch recht schnell in populäre Exploit-Packs integriert. Die Produkte von Kaspersky Lab wehren sie erfolgreich mit Hilfe der Technologie Advanced Exploit Protection ab. Näheres zu diesem Thema finden Sie in unserem Blog.

Auf dem zweiten Platz befinden sich Attacken auf Adobe Reader und machen ein Viertel aller abgewehrten Angriffe aus. Die Popularität von Exploits für Adobe Reader sinkt langsam, was damit zusammenhängt, dass sie sich recht einfach aufspüren lassen und dass die neusten Versionen des Readers automatisch aktualisiert werden.

3 Prozent der Attacken entfallen auf Exploits zu einer Sicherheitslücke in der Windows-Hilfe sowie auf verschiedene Schwachstellen im Internet Explorer. Im dritten Quartal wurde die Sicherheitslücke CVE-2012-1876 im Internet Explorer der Versionen 6 bis 9 entdeckt, die Objekte im Speicher falsch verarbeitet, was Cyberkriminellen die Möglichkeit eröffnete, auf ein nicht existierendes Objekt zuzugreifen, was wiederum zu einem Pufferüberlauf führte. Interessant ist, dass die Sicherheitslücke bereits im März bei dem Event Pwn2Own im Rahmen der Konferenz CanSecWest 2012 ausgenutzt wurde.

Wir raten unseren Anwendern, die installierten Programme unbedingt regelmäßig zu aktualisieren und moderne Lösungen zum Schutz vor Exploits zu verwenden. Unternehmen empfehlen wir den Einsatz der Patch Management-Technologie.

Cyberspionage: Gauss, Madi und andere

Das dritte Quartal war reich an Cyberspionage-Vorfällen. Am bedeutsamsten waren in diesem Zusammenhang die Untersuchungen der Schadprogramme Madi, Gauss und Flame, die unserer Statistik zufolge in den Ländern des Nahen Ostens am aktivsten sind.

Eine Cyberkriminellen-Kampagne zum Eindringen in Computersysteme dauerte fast ein Jahr an und richtete sich in erster Linie gegen Anwender im Iran, in Israel und Afghanistan. Gemeinsam mit unserem Partner, der israelischen Firma Seculert, führten wir detaillierte Ermittlungen in diesem Fall durch, den wir als „Madi“ bezeichneten – aufgrund der Zeichenketten und Begriffe, die die Cyberkriminellen in dem entsprechenden Schädling verwendeten. Die schädlichen Komponenten wurden mit Hilfe von Angriffen verteilt, die auf wohlbekannten einfachen Technologien basieren. Das zeigt, dass die Betroffenen nur mangelhafte Kenntnisse über die Internet-Sicherheit besitzen.

In Folge der Attacken wurde auf den Systemen ein in Delphi programmierter Backdoor installiert. Das könnte sowohl das Werk eines Amateur-Programmierers als auch das eines professionellen Entwicklers gewesen sein, dem es an der nötigen Zeit fehlte. Die Kampagne richtete sich gegen kritisch wichtige Infrastrukturen von Ingenieursfirmen, Regierungsorganisationen, Banken und Universitäten im Nahen Osten. Die Opfer waren Mitarbeiter dieser Organisationen, deren Kommunikation in der darauffolgenden Zeit unter strenger Beobachtung stand.

Das Programm Gauss wurde im Zuge von Ermittlungen entdeckt, die auf Initiative der Internationalen Fernmeldeunion (ITU) durchgeführt und nach der Entdeckung des Schadprogramms Flame vorangetrieben wurden. Im Prinzip ist Gauss ein staatlich entwickelter „Bank“-Trojaner. Neben seiner Fähigkeit, verschiedene Daten von infizierten Windows-Computern zu stehlen, verfügt er über eine gewisse schädliche Funktionalität, deren Code verschlüsselt ist und deren Zweck bisher noch nicht geklärt werden konnte. Das Schadprogramm greift nur Systeme an, die eine bestimmte Konfiguration besitzen. Gauss basiert auf der Plattform Flame und hat gewisse funktionale Elemente mit Flame gemein, zum Beispiel ein Unterprogramm zur Infektion von USB-Datenträgern.

Es ist unseren Experten zudem gelungen, neue Informationen über die Steuerungsserver des Schädlings Flame zu erhalten. Die gemeinsam mit unseren Partnern Symantec, ITU-IMPACT und CERT-Bund/BSI durchgeführten Untersuchungen haben zu einer Reihe wichtiger Schlussfolgerungen geführt. Erstens begann die Entwicklung des Codes der Steuerungsserver im Rahmen dieser Plattform bereits im Dezember 2006, und nach den Kommentaren im Quellcode zu schließen arbeiteten mindestens drei Programmierer an diesem Projekt. Der Code des Steuerungsservers unterstützt drei Datenübertragungsprotokolle. Am interessantesten ist, dass er die Anfragen vier verschiedener Schadprogramme bearbeitet, die von den Autoren als SP, SPE, FL und IP gekennzeichnet wurden.

Von diesen Schadprogrammen sind gegenwärtig zwei bekannt: Flame und SPE (miniFlame).

Ausgehend von den erhaltenen Daten können wir sagen, dass die Geschichte der Cyberspionage in nächster Zukunft fortgesetzt werden wird. Das Ziel der von Kaspersky Lab durchgeführten Arbeit ist die Verringerung des Risikos, das mit dem Erscheinen von Cyberwaffen aufkam.

Statistik

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Kaspersky-Lösungen gesammelt wurden. Alle im Bericht verwendeten statistischen Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) zusammengetragen und ausgewertet. Die Daten stammen von den KSN-Anwendern, die ihre Zustimmung zur Übertragung der Informationen gegeben haben. An dem globalen Informationsaustausch über die Virenaktivität nehmen Millionen von Anwendern von Kaspersky Lab-Produkten aus 213 Ländern der Welt teil.

Bedrohungen im Internet

Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Web-Antivirus, das einen Computer in dem Moment schützt, in dem Schadcode von einer schädlichen Webseite geladen wird. Infiziert sein können Seiten, die Cyberkriminelle speziell zu diesem Zweck erstellt haben, sowie Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) und gehackte, legitime Ressourcen.

Im Internet aufgespürte Objekte

Im dritten Quartal 2012 wehrte das Modul Web-Antivirus 511.269.302 Attacken von Internet-Ressourcen ab, die sich in verschiedenen Ländern der Welt befinden. Bei diesen Vorfällen wurden insgesamt 165.732 Modifikationen von schädlichen und potenziell unerwünschten Programmen registriert.

Top 20 der Internet-Schädlinge

Position Name Prozentualer Anteil an allen Attacken **
1 Malicious URL 90,7%
2 Trojan.Script.Generic 2,3%
3 Trojan.Script.Iframer 1,6%
4 Trojan-Downloader.SWF.Voleydaytor.h 0,4%
5 Trojan.Win32.Generic 0,4%
6 Exploit.Script.Blocker 0,3%
7 AdWare.Win32.IBryte.x 0,2%
8 Trojan-Downloader.JS.Iframe.cyq 0,2%
9 Exploit.Script.Generic 0,2%
10 Trojan-Downloader.JS.Agent.gsv 0,2%
11 Trojan-Downloader.JS.JScript.bp 0,2%
12 Hoax.HTML.FraudLoad.i 0,2%
13 Trojan-Downloader.Script.Generic 0,1%
14 Trojan.HTML.Redirector.am 0,1%
15 Trojan-Downloader.Win32.Generic 0,1%
16 Trojan-Downloader.JS.Iframe.czo 0,1%
17 AdWare.Win32.ScreenSaver.e 0,1%
18 Backdoor.MSIL.Agent.gtx 0,1%
19 Trojan.JS.Popupper.aw 0,1%
20 Exploit.Java.CVE-2012-4681.gen 0,1%

* Die Statistik basiert auf Daten von Kaspersky Web-Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf.
** Anteil an allen Web-Attacken, die auf den Computern einzelner Anwender registriert wurden.

Den ersten Platz in diesem Rating belegen nach wie vor die schädlichen Links aus der Schwarzen Liste. Im Vergleich zum vorangegangenen Quartal stieg ihr Anteil um 5 Prozentpunkte, so dass auf sie insgesamt 90 Prozent aller Alarme des Web-Antivirus entfallen. Mit Sofortupdates über die Kaspersky-Cloud konnten wir 4 Prozent der schädlichen Links blockieren. Dabei handelt es sich um Links auf Webseiten, die gerade erst gehackt oder von Cyberkriminellen erstellt worden waren und auf denen die Anwender dann landeten. Ist beim Nutzer kein Antiviren-Programm installiert, so erwartet ihn beim Besuch einer solchen Seite eine Drive-by-Attacke.

Den dritten Platz belegt Trojan-Downloader.SWF.Voleydaytor.h, der sich auf verschiedenen Seiten der Kategorie „18+“ versteckt. Als Update eines Video-Abspielprogramms getarnt befördert er verschiedene Schadprogramme auf die Computer.

Auf Platz sieben befindet sich das Werbeprogramm AdWare.Win32.IBryte.x, das als Downloader populärer kostenloser Programme verbreitet wird. Nach dem Start lädt es die vom Nutzer gewünschte kostenlose Software und installiert gleichzeitig ein Werbemodul. Solche Programme kann man auch von offiziellen Seiten herunterladen – ohne die Adware im Gepäck. Unserer kleinen Untersuchung zufolge haben insbesondere Nutzer des Internet Explorers mit diesem Programm zu tun.

Interessant ist auch Hoax.HTML.FraudLoad.i, das Programm auf Position 12, mit dem in erster Linie Leute konfrontiert werden, die gern kostenlos verschiedene Filme und Programme aus dem Internet laden. So entdecken wir mit diesem Schädling infizierte Webseiten, auf denen der Nutzer angeblich solche Inhalte herunterladen kann, doch zu diesem Zweck muss er zunächst eine kostenpflichtige SMS versenden. Wenn der Anwender die Kurzmitteilung abschickt, erhält er anstelle der gesuchten Datei entweder eine Text-Datei mit Instruktionen zur Bedienung einer Suchmaschine oder einen Schädling.

Auf dem letzten Platz der Top 20 befindet sich das Ende August entdeckte Exploit.Java.CVE-2012-4681.gen, das gleich zwei Java-Sicherheitslücken ausnutzt. Exploits für Java sind unter Cyberkriminellen besonders populär, da diese virtuelle Maschine auf mehr als drei Milliarden Computern installiert ist. Das Exploit ist deswegen interessant, weil es in zielgerichteten Attacken (APT) eingesetzt wird sowie innerhalb von Exploit-Packs für die Masseninfektion.

Zwölf Positionen im Rating werden von Schadprogrammen und deren Komponenten besetzt, die Trojaner mit Hilfe von Exploits auf den Computer transportieren.

Länder, auf deren Ressourcen die meisten Schadprogramme platziert sind

Die folgende Statistik zeigt die physischen Standorte von Webseiten, von denen Schadprogramme heruntergeladen werden. Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen wir die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

86 Prozent der Webressourcen, die zur Verbreitung von Schadprogrammen genutzt wurden, befinden sich in zehn Ländern der Welt. Dieser Wert hat sich das zweite Quartal in Folge um 1 Prozentpunkt erhöht.

 
Verteilung der Webressourcen nach Ländern, auf denen Schadprogramme platziert sind, drittes Quartal 2012

Im Länderrating nach Anzahl der schädlichen Hostings wurde die Spitzenposition neu besetzt: Den Platz der USA (20,3 %) nahm Russland ein (23,2 %), dessen Anteil innerhalb der letzten drei Monate deutlich stieg (plus 8,6 Prozentpunkte). Gleichzeitig verringerte sich der Anteil der Hostings in den USA (minus 9,7 Prozentpunkte), was zum Platztausch führte. Dagegen stieg die Menge schädlicher Hostings in Holland (plus 5,8 Prozentpunkte), das wie bereits im vergangenen Quartal den dritten Platz belegt. Auf die Webressourcen, die sich in den ersten drei Ländern der Top 10 befinden (Russland, USA, Holland), entfallen insgesamt 60 Prozent der schädlichen Inhalte. Mangels entschiedenem Handeln seitens der Strafverfolgungsbehörden und der Hoster kann eine solche Situation noch mehrere Monate fortbestehen.

Der prozentuale Anteil von Schadprogrammen, die von Webressourcen eines Landes verbreitet werden, blieb in allen anderen Ländern der Top 10 praktisch unverändert – mit Ausnahme von Großbritannien, wo der Anteil um 2,6 Prozentpunkte zurückging.

Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, haben wir für jedes Land berechnet, wie häufig Kaspersky Web-Antivirus im Laufe des Quartals Alarm geschlagen hat. Wir weisen darauf hin, dass dieser Wert nicht von der Zahl der Anwender des Kaspersky Security Network im jeweiligen Land abhängt.

 
Top 20* der Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind*, drittes Quartal 2012

* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil von Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im vergangenen Quartal bestanden die Top 20 ausschließlich aus Ländern des postkommunistischen Raums, Afrikas und Südostasiens. Nun sind zudem zwei südeuropäische Länder vertreten: Italien (36,5 %) und Spanien (37,4 %).

Alle Länder lassen sich in verschiedene Gruppen einteilen.

  1. Gruppe mit höchstem Risiko. Länder, in denen über 60 Prozent der Anwender mindestens einmal mit Schädlingen im Internet konfrontiert waren. Mit einem Wert von 61,1 Prozent fiel Tadschikistan im dritten Quartal in diese Kategorie der Länder und löste Russland (58 %) von der Spitzenposition ab.
  2. Gruppe mit erhöhtem Risiko. Zu dieser Gruppe mit Werten zwischen 41 und 60 Prozent gehören 10 Länder aus den Top 20 – das sind 8 weniger als im vorangegangenen Quartal. Außer Russland (58 %), fielen unter anderem Kasachstan (54,9 %), Weißrussland (49,6 %) und die Ukraine (46,1 %) in diese Kategorie.
  3. Risikogruppe. In der Gruppe mit Werten zwischen 21 und 40 Prozent waren insgesamt 99 Länder vertreten, darunter Indien (38,4 %), Spanien (37,4 %), Italien (36,5 %), Litauen (33,5 %), China (33,4 %), die Türkei (33,3 %), die USA (32,4 %), Brasilien (32,9 %), England (30,2 %), Belgien (28,3 %) und Frankreich (28,2 %).
  4. Gruppe der beim Surfen im Internet sichersten Länder. Zu dieser Gruppe zählten im dritten Quartal 2012 insgesamt 27 Länder mit Werten zwischen 10,6 und 21 Prozent.

Am seltensten wurden die Computer in den folgenden Ländern beim Surfen im Internet angegriffen: Japan (13,6 %), Dänemark (17,7 %), Taiwan (15,4 %), Honkong (19,3 %), Luxemburg (19,7 %), Slowakei (20,7 %) und Singapur (20,9 %).

 
Weltweites Risiko für Computer, sich über das Internet zu infizieren, drittes Quartal 2012

Bemerkenswert ist, dass in der Gruppe der beim Surfen im Internet sichersten Länder auch afrikanische Länder vertreten sind. Wir nehmen an, dass der geringe prozentuale Anteil der über das Internet angegriffenen Rechner damit zu erklären ist, dass das Internet in diesen Ländern ohnehin nicht sehr gut entwickelt ist. Unsere Annahme wird durch die Tatsache bestätigt, dass die Situation bei den lokalen Infektionen in diesen Ländern sehr misslich ist (siehe unten).

Durchschnittlich 36,7 Prozent der Computer aller KSN-Anwender waren im Laufe des Quartals mindestens einmal beim Surfen im Netz einem Angriff ausgesetzt. Der durchschnittliche Anteil der angegriffenen Rechner ist im Vergleich zum vorangegangenen Quartal um 3 Prozentpunkte zurückgegangen.

Lokale Bedrohungen

In diesem Abschnitt werden statistische Daten analysiert, die auf der Arbeit des Echtzeit-Scanners basieren. Hinzu kommen Statistiken für den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand Scanner).

Auf Computern entdeckte schädliche Objekte

Im dritten Quartal 2012 blockierten unsere Antiviren-Lösungen 882.545.490 Versuche einer lokalen Infektion auf den Computern der KSN-Teilnehmer.

Beim Versuch, sich auf den Computern der KSN-Teilnehmer auszuführen (Echtzeit-Scanner), wurden insgesamt 328.804 verschiedene Modifikationen schädlicher und potenziell unerwünschter Programme registriert.

Top 20 der auf den Computern entdeckten schädlichen Objekte

Position Name Prozentualer Anteil der angegriffenen Computer *
1 Trojan.Win32.Generic 17,1%
2 DangerousObject.Multi.Generic 15,6%
3 Trojan.Win32.AutoRun.gen 14,5%
4 Trojan.Win32.Starter.yy 7,6%
5 Virus.Win32.Virut.ce 5,5%
6 Net-Worm.Win32.Kido.ih 4,8%
7 Virus.Win32.Sality.aa 3,9%
8 HiddenObject.Multi.Generic 3,9%
9 Virus.Win32.Generic 3,7%
10 Virus.Win32.Nimnul.a 3,2%
11 Trojan.WinLNK.Runner.bl 2,5%
12 Worm.Win32.AutoRun.hxw 1,8%
13 Virus.Win32.Sality.ag 1,5%
14 Trojan.Win32.Patched.dj 0,7%
15 Email-Worm.Win32.Runouce.b 0,5%
16 AdWare.Win32.BHO.awvu 0,4%
17 Trojan-Dropper.Script.Generic 0,4%
18 AdWare.Win32.GoonSearch.b 0,4%
19 Backdoor.Win64.Generic 0,3%
20 AdWare.Win32.RelevantKnowledge.a 0,3%

Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.

* Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Kaspersky Anti-Virus Alarm geschlagen hat.

Auf Position eins befindet sich Trojan.Win32.Generic (17,1 %). Unsere heuristische Analysefunktion gibt die dazugehörende Ereignismeldung im Rahmen der proaktiven Erkennung bei einer Vielzahl von Schadprogrammen aus.

Schadprogramme, die mit Hilfe von Cloud-Technologien erkannt werden (DangerousObject.Multi.Generic), kletterten mit einem Wert von 15,6 Prozent einen Platz nach oben und belegen nun Position zwei. Diese Technologien greifen dann, wenn es in den Antiviren-Datenbanken bisher keine Signaturen gibt und keine Heuristiken zur Erkennung von Schadprogrammen zur Verfügung stehen, in der Cloud des Unternehmens aber bereits Informationen über das Objekt vorhanden sind. Auf diese Weise werden die allerneuesten Schadprogramme erkannt.

Die Positionen 16, 18 und 20 belegten Werbeprogramme. Der Neuzugang im dritten Quartal ist die Familie AdWare.Win32.RelevantKnowledge (0,3 %). Die Programme dieser Familie werden in den Browser integriert und zeigen in regelmäßigen Abständen ein Fenster mit einer Umfrage an.

Länder, in denen Computer dem höchsten Infektionsrisiko ausgesetzt sind

Die unten aufgeführten Zahlen spiegeln das durchschnittliche Infektionsrisiko der Computer in den verschiedenen Ländern der Welt wider. Bei jedem dritten KSN-Rechner (32,5 %) weltweit wurde mindestens einmal eine schädliche Datei auf dem Computer oder einem Wechseldatenträger gefunden, der an den Computer angeschlossen war. Das sind 4 Prozentpunkte weniger als im vorhergehenden Quartal.

 
Infektionsniveau der Computer in verschiedenen Ländern, zweites Quartal 2012

* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil von Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Wie bereits im zweiten Quartal setzen sich die Top 20 ausschließlich aus Ländern in Afrika, dem Nahen Osten und Südost-Asien zusammen. Der Anteil der Computer mit blockiertem Schadcode hat sich beim Spitzenreiter Bangladesch um 7,3 Prozentpunkte verringert und betrug 90,9 Prozent.

Auch hinsichtlich des Risikos einer lokalen Infektion lassen sich alle Länder in verschiedene Gruppen einteilen:

  1. Maximales Infektionsniveau (über 60 %): Diese Gruppe hat sich um 9 Länder reduziert und besteht nun aus 11 Staaten in der asiatischen Region (Indien, Vietnam, Nepal und andere), dem Nahen Osten (Afghanistan) und Afrika (Sudan, Mali, Tansania und andere).
  2. Hohes Infektionsniveau (41 bis 60 %): 39 Länder, darunter Indonesien (53,5 %), Ägypten (46 %), Thailand (42,3 %), China (41,4 %) und die Philippinen (44,3 %).
  3. Mittleres Infektionsniveau (21 bis 40 %): 56 Länder, unter anderen die Türkei, Mexiko, Israel, Portugal, Italien, Russland und Spanien.
  4. Geringes Infektionsniveau: Diese Gruppe nahm um 8 Länder zu und besteht nun aus 31 Ländern, darunter den USA, Australien, Kanada, Neuseeland, Puerto Rico, 19 europäischen Ländern (unter anderem Norwegen, Estland und Frankreich) sowie zwei asiatischen Ländern: Japan und Hongkong.

 
Risiko einer lokalen Infektion in verschiedenen Ländern, drittes Quartal 2012

Top 10 der Länder, in denen die Computer dem geringsten Risiko einer Infektion über das Internet ausgesetzt sind

Position Land Anteil
1 Dänemark 10,5%
2 Japan 10,6%
3 Luxemburg 13,8%
4 Schweiz 14,3%
5 Schweden 14,7%
6 Deutschland 15,0%
7 Finnland 15,1%
8 Niederlande 15,1%
9 Tschechische Republik 15,2%
10 Irland 15,5%

In diesem Rating gibt es mit Irland einen Neuzugang, der mit 15,5 Prozent auf dem 10. Platz landete.

Sicherheitslücken

Im dritten Quartal 2012 wurden auf den Computern der KSN-Nutzer 30.749.066 verwundbare Anwendungen und Dateien entdeckt. Durchschnittlich entdeckten wir auf jedem verwundbaren Rechner 8 verschiedene Sicherheitslücken.

Top 10 der Sicherheitslücken

Nr. Secunia ID Name, Link mit der Beschreibung der Sicherheitslücke Möglichkeiten, die sich durch die Ausnutzung der Sicherheitslücke ergeben Anteil der Computer, bei denen die Sicherheitslücke entdeckt wurde* Letzte Änderung Einstufung
1 SA 49472 Oracle Java Multiple Vulnerabilities DoS-Attacke Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers.
Cross-Site Scripting
Zugriff auf vertrauliche
Daten Datenmanipulation
35,0% 20.08.2012 Hochkritisch
2 SA 50133 Oracle Java Three Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers. 21,7% 31.08.2012 Extrem kritisch
3 SA 50354 Adobe Flash Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers.
Zugriff auf vertrauliche Daten
19,0% 25.09.2012 Hochkritisch
4 SA 49388 Adobe Flash Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers Umgehen der Systemsicherheit 18,8% 18.06.2012 Hochkritisch
5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers. 14,7% 11.01.2012 Extrem kritisch
6 SA 47447 Apple QuickTime Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers. 13,8% 23.08.2012 Hochkritisch
7 SA 49489 Apple iTunes Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers. 11,7% 10.07.2012 Hochkritisch
8 SA 46624 Winamp AVI / IT File Processing Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers. 10,9% 03.08.2012 Hochkritisch
9 SA 50283 Adobe Shockwave Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers. 10,8% 14.08.2012 Hochkritisch
10 SA 41917 Adobe Flash Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers.
Umgehen der Systemsicherheit
Zugriff auf vertrauliche Daten
9,7% 09.11.2010 Extrem kritisch

* Von 100 Prozent der Anwender, auf deren Computern mindestens eine Sicherheitslücke entdeckt wurde.

Die ersten zwei Plätze belegen Sicherheitslücken in Oracle Java, die auf 35 Prozent respektive 21,7 Prozent der angreifbaren Computer entdeckt wurden.

Fünf Positionen des Ratings besetzen Produkte von Adobe, darunter der Flash Player und Shockwave sowie der Adobe Reader, die gängige Anwendung zum Lesen von PDF-Dokumenten.

Auch aus der Produktion von Apple sind zwei Programme vertreten – der QuickTime-Player und iTunes. Mit dabei ist auch der beliebte Mediaplayer Winamp von Nullsoft.


Hersteller verwundbarer Produkte aus den Top 10 der Sicherheitslücken, drittes Quartal 2012

Alle Sicherheitslücken aus den Top 10 wirken sich negativ auf die Sicherheit des Computers aus: Sie ermöglichen es Cyberkriminellen, mit Hilfe von Exploits die volle Kontrolle über das System zu erlangen. Wie auch im zweiten Quartal geben drei Schwachstellen die Möglichkeit, auf vertrauliche Daten zuzugreifen. Beide Sicherheitslücken im Flash Player erlauben es, den in die Anwendung integrierten Schutzmechanismus zu umgehen. Im Rating sind zudem Sicherheitslücken vertreten, die zur Datenmanipulation und zur Durchführung von DDoS- und XSS-Attacken ausgenutzt werden können.


Verteilung der Sicherheitslücken aus den Top 10 nach Auswirkungen auf das System, drittes Quartal 2012

Bemerkenswert ist, dass Produkte des Unternehmens Microsoft aus den TOP 10 der Produkte mit Sicherheitslücken verschwunden sind. Dafür verantwortlich ist der gut funktionierende Selbstaktualisierungsmechanismus in den neusten Windows-Versionen.

Quelle:
Kaspersky Lab
Weiterführende Links
Artikel
Entwicklung der IT-Bedrohungen im zweiten Quartal 2013
Kaspersky Security Bulletin 2012: Spam im Jahr 2012
Kaspersky Security Bulletin 2012. Cyberwaffen
Kaspersky Security Bulletin: Statistik für das Jahr 2012
Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2012
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen