Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug  
     
Most Popular Analysis



Spam im Juni 2014



Betrüger in Sozialen Netzwerken



Entwicklung der IT-Bedrohungen im 1. Quartal 2014



Spam im Mai 2014



Kaspersky Security Bulletin 2013/2014 – Statistik für das Jahr 2013
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Entwicklung der IT-Bedrohungen im zweiten Quartal 2013

20.08.2013   |   Ihr Kommentar

Christian Funk
Virus-Analyst, Kaspersky Lab Central Europe
Denis Maslennikov

Das Quartal in Zahlen

  • Laut den Daten des Kaspersky Security Network (KSN) entdeckten und entschärften die Produkte von Kaspersky Lab im zweiten Quartal 2013 exakt 983.051.408 schädliche Objekte.
  • Die Lösungen von Kaspersky Lab wehrten 577.159.385 Attacken ab, die von Internet-Ressourcen in verschiedenen Ländern der Welt durchgeführt wurden.
  • Unsere Antiviren-Lösungen blockierten erfolgreich 400.604.327 Versuche einer lokalen Infektion von Computern, die zum Kaspersky Security Network gehören.
  • Im zweiten Quartal entdeckten die Kaspersky-Produkte 29.695 neue Modifikationen von Schadprogrammen für mobile Geräte.

Allgemeine Lage

Cyber Espionage and Targeted Attacks

NetTraveler

Anfang Juni berichtete Kaspersky Lab über die Entdeckung bisher unbekannter Schädlinge namens NetTraveler, die den Beginn eines neuen Kapitels in der Geschichte der Cyberspionage markierte.

NetTraveler ist eine Familie von Schadprogrammen, die von APT-Angreifern eingesetzt wurden, um über 350 prominente Opfer in 40 Ländern zu kompromittieren. Die NetTraveler-Gruppe infizierte sowohl öffentliche als auch private Institutionen, zu denen Regierungseinrichtungen, Botschaften, die Öl- und Gasindustrie, Forschungszentren, Rüstungsindustrie und Aktivisten gehören.

Diese Bedrohung ist bereits seit 2004 auf den Diebstahl von Daten spezialisiert, die mit Weltraumforschung, Nanotechnologie, Energiegewinnung, Atomenergie, Laser, Medizin und Kommunikation in Verbindung stehen.

Die Angreifer infizierten Computer, indem sie Spear-Phishing-Mails mit schädlichen Microsoft-Office-Anhängen versendeten, die auf zwei häufig ausgenutzte Sicherheitslücken (CVE-2012-0158 und CVE-2010-3333) abzielten. Obwohl Microsoft bereits Patches für diese Schwachstellen veröffentlicht hat, werden sie weithin und äußerst effektiv in zielgerichteten Attacken ausgenutzt.

Von den infizierten Rechnern gestohlene Daten sind typischerweise Dateisystemlisten, Tastaturprotokolle sowie verschiedene Dateitypen, unter anderem PDF-Files, Excel-Tabellen und Word-Dokumente. Darüber hinaus kann das NetTraveler-Toolkit zusätzliche Daten stehlende Malware wie etwa eine Backdoor installieren. Des Weiteren ist es maßgeschneidert für den Diebstahl anderer Arten von sensitiven Daten wie etwa Konfigurationsdetails für eine Anwendung oder computergestützte Konstruktionsdateien.

Zur Erstellung zusätzlicher Infektionsstatistiken nutzten die Kaspersky-Experten neben den Daten des Malware-Steuerungszentrums (C&C) von NetTraveler auch das Kaspersky Security Network (KSN). Die Top 10 der Länder, in denen das KSN Alarm schlug, werden von der Mongolei angeführt, gefolgt von Russland, Indien, Kasachstan, Kirgisien, China, Tadschikistan, Südkorea, Spanien und Deutschland.

Winnti

Zu Beginn des Monats April veröffentlichte Kaspersky Lab einen detaillierten Bericht, der eine anhaltende Cyberspionage-Kampagne entlarvte, die von der Cyberkriminellen-Gruppe „Winnti“ durchgeführt wurde. Die Winnti-Gruppe greift seit 2009 Unternehmen aus dem Bereich Online-Games an und konzentriert sich dabei neben dem Diebstahl von intellektuellem Eigentum auch auf den Klau von digitalen Zertifikaten, die von legitimen Softwareanbietern signiert sind. Die Gruppe hat zudem Quellcode für Online-Game-Projekte gestohlen.

Der bei diesen Angriffen verwendete Trojaner ist eine für 64-Bit-Umgebungen kompilierte DLL-Bibliothek. Er verwendete einen ordnungsgemäß signierten Treiber und diente als voll funktionsfähiges Fernwartungswerkzeug (Remote Administration Tool, RAT), das es den Angreifern ermöglicht, den infizierten Computer ohne Wissen des Anwenders zu kontrollieren. Die Entdeckung war bedeutend, da dieser Trojaner das erste Schadprogramm auf 64-Bit-Versionen von Microsoft Windows ist, das über eine gültige digitale Signatur verfügt.

Die Experten von Kaspersky Lab analysierten die Kampagne der Winnti-Gruppe und fanden heraus, dass über 30 Unternehmen der Online-Gaming-Branche von den Aktivitäten der Gruppe betroffen waren, in erster Linie Softwareentwickler, die Online-Videospiele in Südostasien herstellen. Allerdings sind auch Online-Gaming-Firmen in Deutschland, den USA, Japan, China, Russland, Brasilien, Peru, und Weißrussland der Winnti-Gruppe zum Opfer gefallen.

Zum gegenwärtigen Zeitpunkt ist die Winnti-Gruppe noch aktiv und Kaspersky Lab führt seine Untersuchungen daher fort.

Winnti Fortsetzung – gestohlene Zertifikate in Attacken auf Tibeter und Uiguren recycelt

Nur eine Woche nach der Veröffentlichung des Winnti-Berichts fand das Ermittlungsteam von Kaspersky Lab ein Flash-Player-Exploit auf einer Webseite, die tibetanische Flüchtlingskinder unterstützt. Diese Webseite wurde angegriffen, um eine Backdoor zu verbreiten, die mit gestohlenen Zertifikaten aus dem Winnti-Fall signiert war.

Hierbei handelte es sich um ein erstklassiges Beispiel für eine Attacke des Typs Watering Hole. Sie zeichnet sich dadurch aus, dass die Angreifer zunächst recherchieren, welche Webseiten ihre Opfer häufig besuchen, um diese dann zu kompromittieren – mit dem Ziel, dass sich die Computer ihrer Opfer anschließend dort infizieren. Neben der eben erwähnten Webseite waren auch andere Seiten betroffen, die mit Tibetern und Uiguren in Zusammenhang stehen, und über die der Schädling Exploit.SWF.CVE-2013-0634.a verbreitet wurde.

Malware & Hacking-Geschichten im zweiten Quartal

Die Carberp-Story

Im März und April dieses Jahres wurden zwei unterschiedliche Gruppen von Cyberkriminellen dingfest gemacht, die verdächtigt werden, Bankkontodetails in Russland und der Ukraine gestohlen zu haben.

Die festgenommen Gruppen setzten sich beide sowohl aus Nutzern als auch aus den mutmaßlichen Entwicklern des Trojaners Carberp zusammen, der ein klassisches Beispiel sowohl für Bankbetrug als auch für den Aufbau hunderter Botnetze rund um den Globus ist. Die Autoren haben Carberp jahrelang in Untergrundforen zum Verkauf angeboten, häufig auch maßgeschneidert als Sonderanfertigung, und der Trojaner ist nun sogar in die mobile Welt vorgedrungen, wobei er TANs abfängt und sie via SMS verschickt.

Im Juni 2013 wurde ein zwei Gigabyte großes Archiv veröffentlicht, das den Quellcode von Carberp enthält. Obwohl das Kaspersky-Team beobachtete, dass die Zahl der Angriffe mit Modifikationen von Carberp rückläufig ist, so ist das leider noch nicht das Ende vom Lied. Wie auch schon in früheren Fällen, in denen populäre Malware öffentlich zugänglich gemacht wurde, ist es auch jetzt überaus wahrscheinlich, dass rivalisierende Cyberkriminelle Teile von Carberp recyceln werden, um ihre eigenen Machwerke zu verbessern und ihren Marktanteil zu erweitern. Zudem werden sie eigene Varianten von Carberp entwickeln, so geschehen, nachdem im Jahr 2011 der Quellcode von Zeus publik gemacht worden war.

Bitcoin-Wahnsinn

Der Wert von Bitcoins ist innerhalb des letzten Jahres dramatisch gestiegen. Während eine Bitcoin-Einheit vormals weniger als einem US-Cent entsprach, stieg der Wert in eine Höhe von 130 US-Dollar. Obwohl der Währungskurs aktuell schwankt, steigt er weiterhin stetig. Ein altes Sprichwort besagt „wo Geld zum Stehlen ist, gibt es auch Verbrechen”, und das trifft auch auf Bitcoins zu.

Bitcoin hat sich selbst als Währung der Wahl im kriminellen Untergrund etabliert, da sie sich schwerer verfolgen lässt und daher sehr gut als sichere und anonyme Zahlungsmethode geeignet ist.

Im April deckte das Ermittlungsteam von Kaspersky Lab eine Kampagne auf, im Rahmen derer Cyberkriminelle Skype nutzten, um Schadsoftware zum Bitcoin-Mining zu verbreiten. Am Anfang des Angriffs stand Social Engineering, daraufhin wurde weitere Malware heruntergeladen und auf dem infizierten Rechner installiert. Die Kampagne erreichte Raten von mehr als 2.000 Klicks pro Stunde. Die von den missbrauchten Computern generierten Bitcoins wurden an den Account der Verbrecher gesendet, die hinter diesem Betrug steckten.

Einen Monat später registrierten unsere Experten eine brasilianische Phishing-Kampagne gegen Bitcoin. Dabei wurden legitime Webseiten gehackt und iFrames dort eingeschleust, um ein Java-Applet zu starten, das Browser wiederum mithilfe von schädlichem Einsatz von PAC-Dateien zu einer gefälschten MtGox-Webseite umleitete. MtGox ist eine japanische Handelsplattform für Bitcoins, die für sich beansprucht, über 80 Prozent aller Bitcoin-Transaktionen abzuwickeln. Das offensichtliche Ziel dieser Kampagne bestand darin, die Login-Daten der Opfer abzugreifen und Bitcoins zu stehlen.

Internetsicherheit und Datenlöcher

Auch im zweiten Quartal dieses Jahres kam es wieder zu Datenlecks, infolge derer vertrauliche Daten inklusive Benutzerinformationen gestohlen wurden.

Für Anwender, insbesondere für Internet-erfahrene Nutzer, die über viele Accounts verfügen und bisher noch nicht betroffen waren, wird die Luft immer dünner. Das Kaspersky-Team beobachtet jeden Monat aufs Neue Datenpannen von hohem öffentlichem Interesse.

Einige der jüngsten Datenlecks:

Drupal informierte seine User Ende Mai darüber, dass sich Hacker Zugriff auf Nutzernamen, E-Mail-Adressen und gehashte Passwörter verschafft hätten. Die Entwickler des Content Management Systems reagierten, indem sie als Vorsichtsmaßnahme sämtliche Passwörter zurücksetzten. Glücklicherweise waren die Passwörter überwiegend in der Form „hashed and salted“ gespeichert. Das Leck wurde im Rahmen eines Sicherheits-Audits aufgedeckt und stand in Verbindung mit einem Exploit in einer angreifbaren Software eines Drittanbieters, die auf dem Webportal installiert war. Laut Drupal wurden keine Kreditkarteninformationen gestohlen.

Am 19. Juni stellte der Browser Opera seinen Nutzern schädliche Browser-Updates zum Download bereit, nachdem das interne Netzwerk angegriffen und ein Code signierendes Zertifikat gestohlen worden war. Das Zertifikat war zum Zeitpunkt der Attacke bereits abgelaufen, verursachte aber noch immer Infektionen, da nicht alle Windows-Versionen die Zertifikate ausreichend sorgfältig überprüfen. Wenngleich die schädliche Payload nur für kurze Zeit aktiv war, konnte mehreren tausend Opera-Usern das schädliche Update angeboten werden. Kaspersky Lab bezeichnet den im Rahmen dieser Attacke eingesetzten Trojaner mit Keylogger-Funktionalität und Daten stehlenden Fähigkeiten als Trojan-PSW.Win32.Tepfer.msdu.

Botnetze

Botnet greift Wordpress-Installationen an

Anfang April berichtete GatorHost von einem Botnetz mit mehr als 90.000 individuellen IP-Adressen, das zur Durchführung einer weltweiten Brute-Force-Attacke auf Wordpress-Installationen genutzt wurde. Es wird vermutet, dass das Ziel dieser Attacke in der Platzierung einer Backdoor auf den Servern bestand, um diese wiederum an das bestehende Botnetz anzugliedern. In einigen Fällen wurde das berüchtigte BlackHole Exploit-Kit erfolgreich untergeschoben.

Sich Zugriff auf die Server von Wordpress zu verschaffen und diese auszunutzen, ist für Cyberkriminelle von großem Wert, denn im Vergleich zu den meisten Desktop-Rechnern verfügen diese über eine größere Bandbreite und höhere Performance. Hinzu kommt die Möglichkeit, im Folgenden Malware über etablierte Blogs mit treuer Leserschaft zu verbreiten.

IRC-Botnetz nutzt offene Plesk-Sicherheitslücke aus

Zwei Monate nach der Attacke auf die Wordpress-Installationen entdeckten Forscher ein IRC-Botnetz, das eine Sicherheitslücke in Plesk ausnutzte – das weit verbreitete Konfigurationstool für Webhosting. Die Ausnutzung dieser Sicherheitslücke (CVE-2012-1823) resultierte in der entfernten Ausführung von Code („remote code execution“) mit den Rechten des Apache-Anwenders. Die Sicherheitslücke betraf Plesk 9.5.4 und frühere Versionen. Laut Ars Technica waren mehr als 360.000 Installationen gefährdet.

Das IRC-Botnetz infizierte angreifbare Webserver mit einer Backdoor, die sich mit dem C&C-Server verband. Interessanterweise war der C&C-Server selbst anfällig für eben diese Plesk-Schwachstelle. Die Sicherheitsexperten nutzten diese Schwachstelle, um das Botnetz zu überwachen und fanden rund 900 infizierte Webserver, die versuchten, sich zu verbinden. Mit Hilfe eines eigens entwickelten Tools wurden die Zombie-Server desinfiziert, so dass das neue Botnetz aufhörte zu existieren.

Mobile Malware weiter auf dem Vormarsch

Stetige Zunahme von Quantität, Qualität und Vielfalt

Android ist unter allen mobilen Betriebssystemen das beliebteste Ziel Cyberkrimineller und kann diesbezüglich als mobiles Äquivalent von Windows angesehen werden.

Praktisch alle mobilen Schädlinge, die im zweiten Quartal gefunden wurden, greifen Android an – ebenso wie schon im ersten Quartal 2013. Ein Meilenstein wurde genau zum Ende des Quartals erreicht – am 30. Juni wurde die 100.000-Marke der Modifikationen (bestehend aus 629 Schadprogramm-Familien) überschritten.

Die Kaspersky-Experten zählen allerdings nicht die individuellen schädlichen Apps, sondern die Schadcode-Samples. Diese Code-Samples werden meistens in den verschiedensten trojanischen Apps verwendet, was zu einer deutlich höheren Zahl von bösartigen Apps führt, die auf den Download warten. Cyberkriminelle gehen meist folgendermaßen vor: Sie laden legitime Apps herunter, fügen den Schadcode hinzu und benutzen sie dann als Vehikel zur Verbreitung der Malware. Die neu verpackten Apps werden dann wieder hochgeladen, insbesondere zu Stores von Drittanbietern. Populäre Apps werden wegen ihres guten Rufs häufiger angegriffen, da die Nutzer aktiv nach ihnen suchen und den Cyberkriminellen so ihre Arbeit erleichtern.

Statistisch gesehen war im zweiten Quartal gegenüber dem ersten ein stetiger Zuwachs zu verzeichnen, mit insgesamt 29.695 Modifikationen (Q1/2013: 22.749). Im April war der Wert mit 7.141 Modifikationen im gesamten Quartal am geringsten. Sowohl im Mai als auch im Juni spürte das Kaspersky-Team jeweils über 11.000 Modifikationen auf – 11.399 respektive 11.155. Insgesamt gab es im Jahr 2013 einen steilen Aufschwung bezüglich der Zahl neuer mobiler Modifikationen.

 
Zahl der Samples in der Datenbank von Kaspersky Lab

Während die vorherrschende mobile Schadprogrammart traditionell SMS-Trojaner ist, zeichnet der entsprechende Anteil dieser Schädlinge in unserer Sample-Datenbank ein anderes Bild.

 

Der erste Platz geht an die Backdoors mit einem Anteil von 32,3 Prozent, gefolgt von SMS-Trojanern (27,7 %) und Trojanern (23,2 %). Spionage-Trojaner belegen den vierten Platz, mit einem Anteil von 4,9 Prozent. In puncto Fähigkeiten und Flexibilität nähert sich der Trend bei der mobilen Malware den PC-Schadprogrammen an. Moderne Samples setzen Verschleierungstechnologien ein, um eine Analyse zu vermeiden und transportieren häufig mehrere Payloads, um die Infektion beständiger zu gestalten, filtern zusätzliche Informationen heraus oder laden und installieren weitere Schadprogramme.

Obad – der raffinierteste Android-Trojaner aller Zeiten

Im zweiten Quartal 2013 entdeckte Kaspersky Lab den vermutlich raffiniertesten Android-Trojaner, der je existiert hat. Er kann SMS-Nachrichten an Premium-Nummern versenden, andere Schadprogramme auf ein infiziertes Gerät laden, installieren und diese via Bluetooth verschicken sowie aus der Ferne Befehle von der Konsole ausführen. Die Produkte von Kaspersky Lab erkennen diesen Schädling als Backdoor.AndroidOS.Obad.a.

Die Entwickler von Backdoor.AndroidOS.Obad.a haben einen Fehler im populären Programm dex2jar gefunden, das von Analysten zur Konvertierung von APK-Dateien in das JAR-Format verwendet wird, mit welchem sich besser arbeiten und analysieren lässt. Die von den Cyberkriminellen entdeckte Sicherheitslücke unterbricht die Umwandlung von Dalvik-Bytecode in Java-Bytecode, was eine statische Analyse des Trojaners erheblich erschwert.

Die Cyberkriminellen haben außerdem einen Fehler in Android OS gefunden, der mit dem Parsen der Datei „AndroidManifest.xml“ zusammenhängt, die in jeder Android-Anwendung vorkommt und unter anderem zur Beschreibung der Anwendungsstruktur und Definition ihrer Startparameter verwendet wird. Die Malware-Autoren haben „AndroidManifest.xml“ dahingehend modifiziert, dass sie nicht dem von Google definierten Standard entspricht, aber dank der Schwachstelle korrekt auf dem Smartphone geparst wird. Das verkompliziert die dynamische Analyse des Trojaners erheblich.

Die Entwickler von Backdoor.AndroidOS.Obad.a haben sich noch eine andere, bisher unbekannte Sicherheitslücke in Android OS zunutze gemacht, die es einem Schadprogramm ermöglicht, erweiterte Rechte eines Administrators zu erhalten, ohne in der Liste der Anwendungen mit diesen Privilegien aufgeführt zu werden. So wird es unmöglich, die Malware von dem mobilen Gerät zu entfernen.

Insgesamt nutzt das Schadprogramm also drei bisher unveröffentlichte Sicherheitslücken aus. Das ist im Bereich mobiler Malware bislang einmalig.

Die erweiterten Privilegien eines Administrators können von dem Trojaner genutzt werden, um den Bildschirm des Gerätes kurzfristig zu blockieren (nicht länger als 10 Sekunden). Dies geschieht typischerweise nach der Verbindung zu einem freien Wi-Fi-Netz oder nach der Aktivierung von Bluetooth, was vom Schädling genutzt wird, um sich selbst oder andere schädliche Anwendungen an Geräte in der Nähe zu versenden. Möglicherweise blockiert Backdoor.AndroidOS.Obad.a den Bildschirm, um die schädliche Aktivität vor dem Anwender zu verbergen.

Um die Informationen über ein infiziertes Gerät und seine geleistete „Arbeit“ zu versenden, nutzt Backdoor.AndroidOS.Obad.a die aktuell aktive Internetverbindung. Ist keine Verbindung verfügbar, sucht der Trojaner nach Wi-Fi-Netzen in der Nähe, die keine Authentifizierung erfordern, und verbindet sich mit einem der gefundenen Netzwerke.

Nach seinem Erststart trägt der Schädling die folgenden Informationen zusammen: die MAC-Adresse des Bluetooth-Gerätes, den Netzbetreibernamen, die Telefonnummer und IMEI, den Kontostand, die Ortszeit und Informationen darüber, ob der Administrator oder Superuser über (Root-) Privilegien verfügen. Alle diese Daten werden an den Steuerungsserver gesendet. Die Malware versorgt den C&C-Server zudem mit aktualisierten Tabellen mit Premiumnummern und Präfixen zum Versenden von SMS, mit einer Taskliste und einer Aufstellung der C&C-Server. Während der ersten Sitzung wird eine leere Tabelle und eine C&C-Liste an den Befehlsserver geschickt; im Zuge dieser Session kann der Trojaner eine aktualisierte Tabelle mit Premiumnummern und eine neue C&C-Adressliste erhalten.

Cyberkriminelle können den Trojaner mit Hilfe von Textnachrichten kontrollieren: Der Trojaner kann Key-Strings vom Server empfangen, die bestimmte Aktionen definieren (key_con, key_url, key_die), und sucht daraufhin die eingehenden Nachrichten nach diesen Key-Strings. Wenn ein passender Begriff gefunden wurde, wird die entsprechende Aktion ausgeführt: key_con – umgehend mit dem Server verbinden; key_die – alle Tasks aus der Datenbank entfernen; key_url – auf einen anderen C&C-Server umstellen (der Text sollte in dem Fall die neue C&C-Adresse enthalten). So sind die Cyberkriminellen in der Lage, einen neuen C&C-Server einzurichten und seine Adresse via SMS mit einem key_url-Schlüssel zu versenden, woraufhin alle infizierten Geräte auf diesen neuen Server umschwenken.

Der Trojaner erhält Befehle vom C&C und gibt sie in eine Datenbank ein. Jeder Eintrag in der Datenbank enthält eine Befehlsnummer, die Ausführungszeit für jeden Server und seine Parameter. Die Liste der Aktionen, die von dem Trojaner ausgeführt werden können, nachdem er die entsprechenden Befehle erhalten hat, sieht folgendermaßen aus:

  • Textnachricht senden. Die Parameter enthalten die Zielnummer und den zu sendenden Text. Antworten werden gelöscht.
  • Ping.
  • Kontostand via USSD erhalten.
  • Als Proxy-Server fungieren.
  • Mit einer bestimmten Adresse verbinden.
  • Eine Datei vom Server downloaden und installieren.
  • Dem Server eine Liste der auf dem Gerät installierten Anwendungen senden.
  • Informationen über eine vom Kommandoserver spezifizierte Anwendung senden.
  • Kontakte des Anwenders an den Server schicken.
  • Remote Shell. Befehle ausführen, die von den Cyberkriminellen über die Konsole ausgegeben wurden.
  • Eine Datei an alle gefundenen Bluetooth-Geräte senden

FakeDefender: Ransomware für Android

Im Juni machte die Nachricht die Runde, dass Ransomware nun auch in der mobilen Welt angekommen sei, oder genauer gesagt, eine Mischung aus gefälschten Antiviren-Programmen und Ransomware. Die dazugehörende App heißt „Free Calls Update”. Nach dem Start versucht die installierte App, die Rechte eines Administrators zu erhalten, um in der Lage zu sein, die Einstellungen auf dem Gerät zu ändern sowie Wi-Fi und 3G-Internet ein- und auszuschalten. Die Installationsdatei wird nach der Installation gelöscht, um so eine echte Antiviren-Software zu behindern, die möglicherweise auf dem System installiert ist. Die App selbst ist eine gefälschte Antiviren-Lösung, die vorgibt, das System auf Malware zu scannen, daraufhin nicht vorhandene Schadprogramme anzeigt und den Anwender auffordert, eine Lizenz zu erwerben, um die Vollversion nutzen zu können – wie es von PCs hinreichend bekannt ist.

Während des angeblichen Scans öffnet die App ein Pop-up-Fenster, das den Nutzer mit der Warnung erschreckt, das gefundene Schadprogramm versuche, pornografischen Inhalt vom Telefon zu stehlen. Der Hinweis lässt sich nicht entfernen und das gesamte Gerät ist blockiert. Versuche, die App zu löschen oder andere Apps zu starten, werden von FakeDefender vereitelt, wenn der Schädling über die Rechte eines Administrators verfügt.

Statistik

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Produkte von Kaspersky Lab gesammelt wurden. Alle im Bericht verwendeten statistischen Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) zusammengetragen und ausgewertet. Die Daten stammen von den KSN-Anwendern, die ihre Zustimmung zur Übertragung der Informationen gegeben haben. An dem globalen Informationsaustausch über die Virenaktivität nehmen Millionen von Anwendern von Kaspersky-Produkten aus 213 Ländern der Welt teil.

Bedrohungen im Internet

Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Kaspersky Anti-Virus, das einen Computer in dem Moment schützt, in dem Schadcode von einer schädlichen Webseite geladen wird. Infiziert sein können Seiten, die Cyberkriminelle speziell zu diesem Zweck erstellt haben, sowie Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) und gehackte, legitime Ressourcen.

Im Internet aufgespürte Objekte

Im zweiten Quartal 2013 wehrten die Lösungen von Kaspersky Lab 577.15.385 Attacken von Internet-Ressourcen ab, die sich in verschiedenen Ländern der Welt befinden.

Top 20 der Internet-Schädlinge

Position Name Prozentualer Anteil an allen Attacken*
1 Malicious URL 91.52%
2 Trojan.Script.Generic 3.61%
3 Trojan.Script.Iframer 0.80%
4 AdWare.Win32.MegaSearch.am 0.54%
5 Exploit.Script.Blocker 0.41%
6 Trojan-Downloader.Script.Generic 0.27%
7 Exploit.Java.Generic 0.16%
8 Trojan.Win32.Generic 0.16%
9 Exploit.Script.Blocker.u 0.12%
10 AdWare.Win32.Agent.aece 0.11%
11 Trojan-Downloader.JS.JScript.cb 0.11%
12 Trojan.JS.FBook.q 0.10%
13 Trojan-Downloader.Win32.Generic 0.09%
14 Exploit.Script.Generic 0.08%
15 Trojan-Downloader.HTML.Iframe.ahs 0.05%
16 Packed.Multi.MultiPacked.gen 0.05%
17 Trojan-Clicker.HTML.Iframe.bk 0.05%
18 Trojan.JS.Iframe.aeq 0.04%
19 Trojan.JS.Redirector.xb 0.04%
20 Exploit.Win32.CVE-2011-3402.a 0.04%

* Anteil an allen Web-Attacken, die auf den Computern einzelner Anwender registriert wurden.

Erneut belegen schädliche Links aus der Schwarzen Liste den ersten Platz in den Top 20 der Internet-Schädlinge. Im Vergleich zum ersten Quartal 2013 stieg ihr Anteil um 0,08 Prozentpunkte, so dass insgesamt 91,55 Prozent aller Alarme von Kaspersky Anti-Virus auf solche Links entfielen.

Wie gehabt sind unter den ersten fünf der am häufigsten im Internet aufgespürten Objekte Trojan.Script.Generic (zweiter Platz) und Trojan.Script.Iframer (dritter Platz). Diese schädlichen Objekte werden bei Versuchen blockiert, eine Drive-by-Attacke durchzuführen, die heute zu den am weitesten verbreiteten Methoden zur Infektion von Computern gehört. Der Anteil von Trojan.Script.Generic stieg um 0,82 Prozentpunkte, der von Trojan.Script.Iframer um 0,07 Prozentpunkte.

Im zweiten Quartal 2013 bestehen praktisch alle der von Kaspersky Anti-Virus erkannten Objekte der Top 20 aus Schadprogrammen, die auf die eine oder andere Art an Drive-by-Attacken auf die Rechner der Anwender beteiligt sind.

Länder, auf deren Ressourcen die meisten Schadprogramme platziert sind

Die folgende Statistik zeigt die physischen Standorte von Webseiten, von denen Schadprogramme heruntergeladen werden. Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen die Kaspersky-Experten die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

83 Prozent der Web-Ressourcen, die zur Verbreitung von Schadprogrammen genutzt wurden, befinden sich in zehn Ländern der Welt. Innerhalb des letzten Quartals ist dieser Wert um zwei Prozentpunkte gestiegen.

 
Länder, auf deren Ressourcen die meisten Schadprogramme platziert sind. Zweites Quartal 2013.

Im Länder-Rating nach Anzahl der schädlichen Hostings haben sich die Anteile aller Länder gegenüber dem ersten Quartal nur geringfügig verändert. Die USA (24,4 %) und Russland (20,7 %) behaupteten ihre Führungspositionen. Nicht mehr in den Top 10 vertreten ist Irland, an dessen Stelle nun Vietnam (2,1 %) den siebten Platz belegt.

Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, hat das Kaspersky-Team für jedes Land berechnet, wie häufig Kaspersky Anti-Virus im Laufe des Quartals Alarm geschlagen hat.

Position Country %
1 Armenien 53.92%
2 Russland 52.93%
3 Kasachstan 52.82%
4 Tadschikistan 52.52%
5 Aserbaidschan 52.38%
6 Vietnam 47.01%
7 Moldawien 44.80%
8 Weißrussland 44.68%
9 Ukraine 43.89%
10 Kirgisien 42.28%
11 Georgien 39.83%
12 Usbekistan 39.04%
13 Sri Lanka 36.33%
14 Griechenland 35.75%
15 Indien 35.47%
16 Thailand 34.97%
17 Österreich 34.85%
18 Türkei 34.74%
19 Libyen 34.40%
20 Аlgier 34.10%

20 Länder*, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind**. Zweites Quartal 2013

*Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.

**Prozentualer Anteil von Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Die Top 10 der Länder, deren Einwohner am häufigsten mit Schadprogrammen zu kämpfen haben, setzen sich mit Ausnahme von Vietnam aus ehemaligen Sowjetrepubliken zusammen. Russland (52,9 %) belegt in diesem Rating den zweiten Platz. In der unteren Hälfte der Hitliste sind im zweiten Quartal 2013 Libyen (34,4 %), Österreich (34,9 %) und Thailand (35 %) neu hinzugekommen.

Alle Länder lassen sich in verschiedene Gruppen einteilen.

  1. Im zweiten Quartal fiel kein einziges Land in die Gruppe mit dem höchsten Risiko. In diese Gruppe gehören Länder, in denen mehr als 60 Prozent der KSN-Anwender mindestens einmal mit Schädlingen im Internet konfrontiert waren.
  2. Gruppe mit erhöhtem Risiko. Zu dieser Gruppe mit Werten zwischen 41 und 60 Prozent gehören die ersten 10 Länder aus den Top 20 (das sind drei Länder weniger als im ersten Quartal 2013). Dazu gehören Vietnam und Länder aus dem postsowjetischen Raum, unter anderem Armenien (53,9 %), Russland (52,9 %), Kasachstan (52,8 %), Moldawien (44,8 %), Weißrussland (44,7 %) und die Ukraine (43,9 %).
  3. Risikogruppe. In dieser Gruppe mit Werten zwischen 21 und 40 Prozent sind 82 Länder vertreten, darunter Italien (29,2 %), Deutschland (33,7 %), Frankreich (28,5 %), Sudan (28,2 %), Spanien (28,4 %), Katar (28,2 %), die USA (28,6 %), Irland (27 %), Großbritannien (28,3 %), die Vereinigten Arabischen Emirate (25,6 %) und die Niederlande (21,9 %).
  4. Gruppe der beim Surfen im Internet sichersten Länder. Zu dieser Gruppe zählten im zweiten Quartal insgesamt 52 Länder mit Werten zwischen neun und 21 Prozent. Am seltensten angegriffen (weniger als 20 %) wurden die Anwender beim Surfen im Netz in den afrikanischen Ländern, wo das Internet noch schwach entwickelt ist. Ausnahmen bilden hier Dänemark (18,6 %) und Japan (18,1 %).

 
Weltweites Risiko für Computer, sich über das Internet zu infizieren. Zweites Quartal 2013

Durchschnittlich 35,2 Prozent der Computer aller KSN-Anwender waren im Laufe des Quartals mindestens einmal während des Surfens einer Attacke ausgesetzt. Der durchschnittliche Anteil der angegriffenen Rechner ist im Vergleich zum ersten Quartal 2013 um 3,9 Prozentpunkte zurückgegangen.

Lokale Bedrohungen

In diesem Abschnitt präsentiert das Kaspersky-Team statistische Daten, die auf der Arbeit des Echtzeit-Scanners der Kaspersky-Lösungen basieren. Hinzu kommen Statistiken über den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand Scanner).

Auf den Computern entdeckte schädliche Objekte

Im zweiten Quartal 2013 blockierten die Antiviren-Lösungen von Kaspersky Lab 400.604.327 Versuche einer lokalen Infektion auf den Computern der KSN-Teilnehmer.

Top 20 der auf den Computern entdeckten schädlichen Objekte

Position Name Prozentualer Anteil an allen Objekten*
1 DangerousObject.Multi.Generic 34.47%
2 Trojan.Win32.Generic 28.69%
3 Trojan.Win32.AutoRun.gen 21.18%
4 Virus.Win32.Sality.gen 13.19%
5 Exploit.Win32.CVE-2010-2568.gen 10.97%
6 AdWare.Win32.Bromngr.i 8.89%
7 Trojan.Win32.Starter.lgb 8.03%
8 Worm.Win32.Debris.a 6.53%
9 Virus.Win32.Generic 5.30%
10 Trojan.Script.Generic 5.11%
11 Virus.Win32.Nimnul.a 5.10%
12 Net-Worm.Win32.Kido.ih 5.07%
13 HiddenObject.Multi.Generic 4.79%
14 Net-Worm.Win32.Kido.ir 4.27%
15 Exploit.Java.CVE-2012-1723.gen 3.91%
16 AdWare.Win32.Yotoon.e 3.62%
17 AdWare.JS.Yontoo.a 3.61%
18 DangerousPattern.Multi.Generic 3.60%
19 Trojan.Win32.Starter.lfh 3.52%
20 Trojan.WinLNK.Runner.ea 3.50%

Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.

*Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Kaspersky Anti-Virus Alarm geschlagen hat.

Wie gehabt dominieren drei Objekte dieses Rating.

Schädliche Programme des Typs DangerousObject.Multi.Generic, die mit Hilfe von Cloud-Technologien aufgespürt werden, belegten mit einem Wert von 34,47 Prozent den ersten Platz – das ist fast doppelt so viel wie im ersten Quartal (18,51 %). Die Cloud-Technologien greifen dann, wenn es in den Antiviren-Datenbanken bisher keine Signaturen gibt und keine Heuristiken zur Erkennung von Schadprogrammen zur Verfügung stehen, in der Cloud von Kaspersky Lab aber bereits Informationen über das Objekt vorhanden sind. Auf diese Weise werden die allerneuesten Schadprogramme erkannt.

Auf Position zwei befindet sich Trojan.Win32.Generic (28,69 %). Die heuristische Analysefunktion der Kaspersky-Lösungen gibt die dazugehörende Ereignismeldung im Rahmen der proaktiven Erkennung bei einer Vielzahl von Schadprogrammen aus. Platz drei belegt Trojan.Win32.AutoRun.gen (21,18 %). So werden Schadprogramme aufgespürt, die die Autostart-Funktion ausnutzen.

Länder, in denen Computer dem höchsten Infektionsrisiko ausgesetzt sind

Die unten aufgeführten Zahlen spiegeln das durchschnittliche Infektionsrisiko der Computer in den verschiedenen Ländern der Welt wider. Fast bei jedem dritten KSN-Rechner (29,9 %) weltweit wurde mindestens einmal eine schädliche Datei auf dem Computer oder einem Wechseldatenträger gefunden, der an den Computer angeschlossen war. Das sind um 1,5 Prozentpunkte weniger als im vorangegangenen Quartal.

Position Country %
1 Vietnam 59.88%
2 Bangladesch 58.66%
3 Nepal 54.20%
4 Mongolei 53.54%
5 Afghanistan 51.79%
6 Sudan 51.58%
7 Algier 50.49%
8 Indien 49.46%
9 Pakistan 49.45%
10 Kambodscha 48.82%
11 Laos 48.60%
12 Malediven 47.70%
13 Dschibuti 47.07%
14 Irak 46.91%
15 Mauretanien 45.71%
16 Jemen 45.23%
17 Indonesien 44.52%
18 Ägypten 44.42%
19 Marokko 43.98%
20 Tunesien 43.95%

20 der Länder* nach Infektionsniveau der Computer**. Zweites Quartal 2013

* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.

** Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Bereits das vierte Quartal in Folge werden die ersten zwanzig Positionen in diesem Rating von Ländern in Afrika, dem Nahen Osten und Südostasien belegt. Auf dem ersten Platz landete im zweiten Quartal 2013 Vietnam mit 59,9 Prozent. Der Spitzenreiter des vorangegangenen Quartals, Bangladesch, belegte mit einem Wert von 58,7 Prozent den zweiten Platz – das sind 9,1 Prozentpunkte weniger als im ersten Quartal.

Auch bei den lokalen Infektionen lassen sich alle Länder hinsichtlich des Infektionsniveaus in verschiedene Gruppen einteilen:

  1. Maximales Infektionsniveau (über 60 %). Erfreulicherweise fiel im zweiten Quartal 2013 nicht ein einziges Land in diese Gruppe.
  2. Hohes Infektionsniveau (41 bis 60 %): 34 Länder, darunter Vietnam (59,9 %), Bangladesch (58,7 %), Nepal (54,2 %), Indien (49,5 %) und Iran (42,6 %).
  3. Mittleres Infektionsniveau (21 bis 40 %): 77 Länder, unter anderem Libanon (40 %), China (36,7 %), Katar (34,1 %), Russland (30,5 %), die Ukraine (30,1 %), Spanien (23,9 %), Italien (21,2 %), Zypern (21,6 %).
  4. Geringes Infektionsniveau (bis 21 %): 33 Länder, darunter Frankreich (19,6 %), Belgien (17,5 %), die USA (17,9 %), Großbritannien (17,5 %), Australien (17,5 %), Deutschland (18,5 %), Estland (15,2 %), die Niederlande (14,6 %), Schweden (12,1 %), Dänemark (9,7 %) und Japan (9,1 %).

 
Risiko einer lokalen Infektion in verschiedenen Ländern. Zweites Quartal 2013

Top 10 der Länder, in denen die Computer dem geringsten Risiko einer Infektion über das Internet ausgesetzt sind:

Position Country %
1 Japan 9.01%
2 Dänemark 9.72%
3 Finnland 11.83%
4 Schweden 12.10%
5 Tschechien 12.78%
6 Martinique 13.94%
7 Norwegen 14.22%
8 Irland 14.47%
9 Niederlande 14.55%
10 Slowenien 14.70%

Gegenüber dem ersten Quartal 2013 gibt es in diesem Rating zwei Neueinsteiger – Martinique und Slowenien. Nicht mehr in den Top 10 vertreten sind hingegen die Schweiz und Neuseeland.

Weiterführende Links
Artikel
Kaspersky Security Bulletin 2012: Spam im Jahr 2012
Kaspersky Security Bulletin 2012. Cyberwaffen
Kaspersky Security Bulletin: Statistik für das Jahr 2012
Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2012
Spam im dritten Quartal 2012
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen