Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
     
Most Popular Analysis



Spam-Lieferservice: Gefahr garantiert



Untersuchung von Einbruchsfällen in Online-Bezahlsysteme



Die Raubtiere des Internets



Die Epic Turla Operation: Aufklärung einiger Mysterien rund um Snake/Uroburos



IoT: Wie ich einmal mein Zuhause hackte
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Analysen

Entwicklung der IT-Bedrohungen im 1. Quartal 2014

17.04.2014   |   Ihr Kommentar

Victor Chebyshev
David Emm
Senior Security Researcher, Global Research and Analysis Team, Kaspersky Lab UK
Maria Garnaeva
Roman Unuchek

Das Quartal in Zahlen

  • Laut den Daten des Kaspersky Security Network (KSN) blockierten die Produkte von Kaspersky Lab im ersten Quartal 2014 insgesamt 1.131.000.866 bösartige Attacken auf den Computern und mobilen Geräten der KSN-Anwender.
  • Die Lösungen von Kaspersky Lab wehrten 353.216.351 Attacken von Internet-Ressourcen in verschiedenen Ländern der Welt ab.
  • Kaspersky Anti-Virus spürte 29.122.849 individuelle Schadobjekte auf (wie Skripte, Webseiten, Exploits und ausführbare Dateien).
  • Kaspersky Anti-Virus schlug bei 81.736.783 individuellen URLs Alarm.
  • 39 Prozent der Web-Attacken, die unsere Produkte blockierten, wurden unter Verwendung von schädlichen Webressourcen durchgeführt, die sich in den USA und in Russland befinden.
  • Unsere Antiviren-Lösungen verhinderten 645.809.230 Virenangriffe auf die Computer der KSN-Teilnehmer. Im Rahmen dieser Vorfälle wurden insgesamt 135.227.372 schädliche und potenziell unerwünschte Objekte registriert.

Überblick

Zielgerichtete Attacken / APT

Der Nebel lichtet sich

Im September 2013 berichteten wir über eine zielgerichtete Attacke mit der Bezeichnung Icefog, die sich in erster Linie gegen Ziele in Südkorea und Japan richtete. Die meisten APT-Kampagnen laufen über Monate oder Jahre, wobei fortwährend Daten gestohlen werden. Im Gegensatz dazu konzentrierten sich die Verbrecher hinter Icefog immer nur auf ein einziges Ziel, und zwar im Rahmen sehr kurzer, präzise geführter Angriffe zum Diebstahl ganz bestimmter Daten. Im Zuge dieser Kampagne, die mindestens seit 2011 aktiv war, kam eine Reihe verschiedener Versionen dieser Malware zum Einsatz, inklusive einer auf Mac OS spezialisierten Spielart.

Nach der Veröffentlichung unseres Berichts hörten die Icefog-Attacken auf, und die Angreifer nahmen alle bekannten Command-and-Control-Server offline. Trotzdem überwachten wir die Operation weiter, indem wir Domains auf einen Sinkhole-Server umleiteten und die Verbindungen der betroffenen Personen und Einrichtungen analysierten. Unsere bis heute andauernde Analyse ergab, dass eine weitere Generation von Icefog-Backdoors existiert – in diesem Fall handelt es sich um eine Java-Version der Malware, die wir "Javafog" getauft haben. Verbindungen zu lingdona[dot]com, einer der Sinkhole-Domains, wiesen darauf hin, dass der Client eine Java-Anwendung sein könnte. Darauf folgende Untersuchungen brachten ein Sample dieser Anwendung zum Vorschein (Genaueres über die Analyse finden Sie hier).

Während der Sinkholing-Operation beobachtete das Kaspersky-Team acht IP-Adressen für drei individuelle Ziele von Javafog. Alle befanden sich in den USA, wobei es sich bei einem davon um eine sehr große unabhängige Öl- und Gasgesellschaft handelt, die in vielen Ländern tätig ist. Es ist möglich, dass Javafog eigens für den Einsatz in den USA entwickelt wurde, und zwar für einen Angriff, der länger andauert als eine typische Icefog-Attacke. Ein möglicher Grund für die Entwicklung einer Java-Version dieser Malware liegt darin, dass sie sich besser verbergen und damit schwieriger entdecken lässt.

Hinter der Maske

Im Februar veröffentlichte das Forschungsteam von Kaspersky Lab einen Bericht über eine umfassende Cyberspionage-Kampagne, welche die Bezeichnung "The Mask" oder "Careto" trug (umgangssprachliches Spanisch für "hässliches Gesicht" oder "Maske"). Ziel dieser Kampagne war der Diebstahl sensibler Daten von unterschiedlichen Zielen. Die Opfer verteilen sich auf 31 Länder der Welt und sind unter anderem Regierungsbehörden, Botschaften, Energieunternehmen, Forschungsinstitutionen, private Immobilienmakler und Aktivisten. Die vollständige Liste finden Sie hier.

Der Angriff beginnt mit einer Spear-Phishing-Mail, die einen Link auf eine schädliche Webseite mit einer Reihe von Exploits enthält. Ist das Zielobjekt erst einmal infiziert, wird es auf die legitime Webseite umgeleitet, die in der E-Mail angegeben wurde (zum Beispiel auf ein Nachrichten- oder Videoportal). The Mask operiert mit einer hochentwickelten Backdoor, die in der Lage ist, sämtliche Kommunikationskanäle abzuhören und alle Arten von Daten von einem infizierten Computer zu stehlen. Wie auch im Fall von Roter Oktober, einer anderen zielgerichteten Attacke älteren Datums, ist der Code hochmodular, so dass die Angreifer die Möglichkeit haben, nach Belieben neue Funktionen hinzuzufügen. The Mask wirft das Netz zudem weit aus – es gibt Versionen der Backdoor für Windows und Mac OS X, und einiges deutet darauf hin, dass es ebenfalls Versionen für Linux, iOS und Android geben könnte. Der Trojaner verwendet zudem hochentwickelte Tarnkappentechniken, um seine Aktivität zu verbergen.

Die Hauptabsicht der Angreifer hinter The Mask liegt im Datendiebstahl.

Die Malware sammelt ein breites Spektrum an Daten von einem infizierten System, inklusive Chiffrierungsschlüssel, VPN-Konfigurationen, SSH-Schlüssel, RDP-Dateien und einige unbekannte Dateitypen, die mit maßgeschneiderten Verschlüsselungstools auf Militär- beziehungsweise Regierungsebene in Verbindung gebracht werden könnten.

Wir wissen nicht, wer hinter der Kampagne steckt. Einige Spuren deuten auf die Verwendung der spanischen Sprache hin, doch das hilft auch nicht unbedingt weiter, da diese Sprache in vielen Teilen der Welt gesprochen wird. Es ist auch möglich, dass das eine falsche Fährte ist, um die Aufmerksamkeit von denjenigen abzulenken, die tatsächlich dahinter stecken – wer auch immer das sein mag. Das hohe Maß an Professionalität der Gruppe hinter dieser Attacke ist ungewöhnlich für cyberkriminelle Banden, was wiederum ein Hinweis darauf sein könnte, dass es sich bei The Mask um eine von einem Nationalstaat geförderte Kampagne handeln könnte.

Diese Kampagne unterstreicht die Tatsache, dass es hochprofessionelle Angreifer gibt, die über die Mittel und die Fähigkeiten verfügen, komplexe Malware zu entwickeln – in diesem Fall mit dem Ziel, sensible Daten zu stehlen. Sie zeigt zudem einmal mehr sehr deutlich, dass zielgerichtete Attacken "unter dem Radar hindurchfliegen" können, da sie wenig oder keine Aktivität über das spezielle Opfer hinaus erzeugen.

Doch es ist gleichermaßen wichtig zu erkennen, dass – ungeachtet der Komplexität von The Mask – die Attacken wie auch bei vielen früheren zielgerichteten Angriffen immer damit beginnen, eine Person dazu zu bringen, irgendetwas zu tun, was die Sicherheit der Organisation untergräbt, für die sie arbeitet – in diesem Fall, indem sie auf einen Link klickt.

Derzeit sind alle bekannten Command-and-Control-Server (C&C) offline, die die Infektionen verwalten. Aber es ist möglich, dass die Angreifer die Kampagne in der Zukunft wieder aufleben lassen.

Der Wurm und die Schlange

Anfang März gab es innerhalb der IT-Sicherheits-Community ausgedehnte Diskussionen über eine Cyberspionage-Kampagne mit der Bezeichnung Turla (auch bekannt als Snake und Uroburos). Die Experten von G-DATA sind der Meinung, dass die hierbei verwendete Malware von russischen Spezialdiensten entwickelt worden sein könnte. Eine von BAE Systems durchgeführte Untersuchung brachte Turla mit einem Schadprogramm namens Agent.btz in Verbindung, das zurück in das Jahr 2007 datiert und 2008 verwendet wurde, um lokale Netzwerke von Operationen des US-Militärs im Mittleren Osten zu infizieren.

Kaspersky Lab stieß auf diese zielgerichteten Attacken im Rahmen einer Untersuchung eines Vorfalls mit einem hochentwickelten Rootkit, das wir "Sun rootkit" tauften. Es stellte sich heraus, dass es sich bei Sun rootkit und Uroburos um ein und dieselbe Bedrohung handelt.

Wir haben die Untersuchung von Turla noch nicht abgeschlossen, denn unserer Meinung nach ist diese Kampagne weitaus komplexer als man aufgrund der Materialien annehmen könnte, die wir bisher veröffentlicht haben. Trotzdem hat unsere ursprüngliche Analyse einige interessante Verbindungen zutage gefördert.

Agent.btz ist ein sich selbst replizierender Wurm, der sich via USB-Sticks verbreitet, indem er eine Sicherheitslücke ausnutzt, die ihn befähigt, mit Hilfe von autorun.inf zu starten. Dieser Schädling konnte sich blitzschnell rund um den Globus verbreiten. Obwohl in den letzten Jahren keine neuen Varianten des Wurms entwickelt wurden, und die oben genannte Sicherheitslücke in neueren Windows-Versionen geschlossen wurde, haben die Lösungen von Kaspersky Lab Agent.btz im Jahr 2013 allein 13.832-mal in 107 Ländern detektiert!

Der Wurm erstellt eine Datei mit dem Namen thumb.dll auf allen USB-Sticks, die mit dem infizierten Computer verbunden werden (sie enthält die Dateien winview.ocx, wmcache.nld und mssysmgr.ocx). Diese Datei ist ein Container für gestohlene Daten, die der Wurm auf dem Stick speichert, sofern sie nicht direkt via Internet an den C&C-Server der Angreifer geschickt werden. Wird so ein USB-Stick in einen anderen Computer gesteckt, landet die Datei thumb.dll unter der Bezeichnung mssysmgr.ocx auf dem neuen Computer.

Aufgrund des Ausmaßes der Epidemie gekoppelt mit der oben erwähnten Funktionalität sind die Kaspersky-Experten der Ansicht, dass weltweit zehntausende von USB-Sticks in Umlauf sind, die Dateien mit der Bezeichnung thumb.dll enthalten, die von Agent.btz erstellt wurden. Aktuell erkennen die Lösungen von Kaspersky Lab die meisten Varianten dieser Malware als Worm.Win32.Orbina.

Sicherlich ist Agent.btz nicht das einzige Schadprogramm, das sich über USB-Sticks verbreitet.

Das Modul USB Stealer in Roter Oktober enthält eine Liste von Dateien, nach denen es auf den USB-Sticks sucht, die mit infizierten Computern verbunden werden. Wir haben festgestellt, dass diese Liste auch die Dateien mysysmgr.ocx und thumb.dll enthält. Zwei der Dateien, die auf USB-Sticks geschrieben werden, stammen also von Agent.btz.

Noch weiter zurück in der Vergangenheit, als wir Flame und seine Vettern Gauss und miniFlame analysierten, stießen wir ebenfalls auf Ähnlichkeiten mit Agent.btz. Auffallend sind die Übereinstimmungen bei der Namensgebung, insbesondere der Gebrauch der Extension "ocx". Außerdem wurde auch klar, dass sowohl Gauss als auch miniFlame auf USB-Sticks nach der Datei thumb.dll Ausschau hielten.

Schließlich verwendet Turla dieselben Dateinamen wie Agent.btz für das Log, das es auf infizierten Computern speichert, und zwar mswmpdat.tlb, winview.ocx und wmcache.nld. Der Schädling bedient sich zudem desselben XOR-Schlüssels, um seine Log-Dateien zu verschlüsseln.

Alle Ähnlichkeiten hier im Überblick:

Wir wissen bisher nur, dass diese Schadprogramme einige Gemeinsamkeiten haben. Es ist klar, dass Agent.btz eine Quelle der Inspiration für diejenigen war, die die andere hier erwähnte Malware entwickelten. Aber wir können nicht mit Sicherheit behaupten, dass hinter all diesen Bedrohungen tatsächlich dieselben Leute stecken.

Malware-Stories: die Zwiebel schälen

Tor (kurz für "The Onion Router") ist eine Software, die es ermöglicht, sich im Internet anonym zu bewegen. Es gibt sie schon seit einiger Zeit, sie wurde jedoch hauptsächlich von Experten und Enthusiasten benutzt. Der Gebrauch des Tor-Netzwerks ist in den letzten Monaten allerdings in die Höhe geschossen, hauptsächlich wegen der zunehmenden Sorge um die Privatsphäre. Tor ist zu einer hilfreichen Lösung für all jene geworden, die aus welchen Gründen auch immer eine Überwachung und das Abfließen ihrer vertraulichen Daten fürchten. Einige von Kaspersky Lab in den vergangenen Monaten durchgeführte Untersuchungen haben allerdings gezeigt, dass Tor auch für Cyberkriminelle attraktiv ist: Sie wissen die Anonymität, die diese Software bietet, ebenfalls zu schätzen.

Im Jahr 2013 beobachteten wir erstmals, dass Cyberkriminelle aktiv Tor nutzen, um ihre schädliche Malware-Infrastruktur zu hosten. Die Experten von Kaspersky Lab haben verschiedene Schadprogramme gefunden, die gezielt Tor verwenden. Untersuchungen des Tor-Netzwerks offenbarten, dass viele Ressourcen mit Schadprogrammen in Verbindung stehen, inklusive C&C-Servern, Administrationskonsolen und vielem mehr. Indem sie ihre Server im Tor-Netzwerk hosten, sorgen Cyberkriminelle dafür, dass diese schwerer zu identifizieren, zu klassifizieren und zu löschen sind.

Hacker-Foren und cyberkriminelle Marktplätze sind auch im "normalen" Internet nichts Besonderes mehr. Doch seit Kurzem etabliert sich auch ein Tor-basierter Untergrundmarkt im so genannten Darknet. Angefangen hat alles mit dem berüchtigten Silk Road-Markt. Mittlerweile gibt es ein Dutzend spezialisierter Märkte – für Drogen, Waffen, und natürlich Malware.

Carding-Shops sind im Darknet fest verankert: Hier werden gestohlene persönliche Daten zum Verkauf angeboten, wobei es eine breite Auswahl gibt, die sich zum Beispiel auf ein bestimmtes Land oder eine bestimmte Bank eingrenzen lässt. Die angebotenen Waren sind jedoch nicht auf Kreditkarten beschränkt, auch Speicherauszüge sowie Skimming- und Carding-Zubehör werden feilgeboten.

Eine einfache Registrierung, Verkäuferbewertungen, garantierter Service und eine benutzerfreundliche Oberfläche – das sind die Standard-Features eines Tor-Untergrundmarktes. Einige Stores verlangen die Hinterlegung eines Pfandes in Form einer festgelegten Geldsumme, bevor Handel getrieben werden darf. Auf diese Weise soll sichergestellt werden, dass der Händler echt ist und es sich bei seinen Dienstleistungen nicht um Betrug handelt beziehungsweise dass diese von guter Qualität sind.

Die Entwicklung von Tor lief parallel zum Aufkommen der anonymen Kryptowährung Bitcoin. Nahezu alles innerhalb des Tor-Netzwerks wird mit Bitcoin gekauft und bezahlt. Es ist beinahe unmöglich, eine Bitcoin-Wallet und eine reale Person miteinander in Verbindung zu bringen. Führen Cyberkriminelle Transaktionen im Darknet unter Verwendung von Bitcoin durch, bedeutet das also, dass sie praktisch unauffindbar bleiben.

Es scheint so, als würden Tor und andere anonyme Netzwerke ein reguläres Internet-Feature werden, da eine wachsende Zahl von Nutzern des World Wide Web nach einem Weg sucht, ihre persönlichen Daten zu sichern. Es ist aber gleichzeitig ein attraktiver Mechanismus für Cyberkriminelle – ein Weg, um die Funktionen der von ihnen entwickelten Malware zu entwickeln und zu verschleiern, cyberkriminelle Dienstleistungen anzubieten und illegale Einnahmen zu waschen. Wir sind überzeugt, dass die Nutzung solcher Netzwerke erst ganz am Anfang steht.

Web-Sicherheit und Datenlecks

Die Hochs und Tiefs des Bitcoin

Bitcoin ist eine digitale Kryptowährung. Sie basiert auf einem Peer-to-Peer-Modell, in dem das Geld die Form einer Kette von digitalen Signaturen annimmt, die die einzelnen Anteile an einem Bitcoin repräsentieren. Es gibt keine zentrale Kontrollinstanz und es gibt keine internationalen Transaktionsgebühren. Diese beiden Merkmale haben dazu beigetragen, Bitcoin zu einem attraktiven Zahlungsmittel zu machen. Einen Überblick über Bitcoin und Informationen darüber, wie diese Währung funktioniert, finden Sie auf der Webseite Kaspersky Daily.

Mit der zunehmenden Nutzung von Bitcoin wird diese Währung auch zu einem zunehmend attraktiven Ziel für Cyberkriminelle.

In unserer Jahresend-Prognose sagten die Kaspersky-Experten Angriffe auf Bitcoin voraus. Insbesondere erwarteten wir, dass "Attacken auf Bitcoin-Pools, Börsen und Nutzer von Bitcoins zu einem der brennendsten Themen des Jahres 2014 werden”. Attacken dieser Art, so prognostizierten wir, "werden sich dabei der größten Beliebtheit unter Cyberkriminellen erfreuen, da bei der Durchführung solcher Angriffe ein maximaler Ertrag einem geringen Einsatz gegenübersteht."

Für die Richtigkeit dieser These haben wir jetzt schon ausreichende Belege. Mt.Gox, eine der größten Bitcoin-Börsen, wurde am 25. Februar offline genommen. Dieses Ereignis stand am Ende eines turbulenten Monats, in dem die Börse mit einer Menge von Problemen zu kämpfen hatte. Probleme, die zur Folge hatten, dass der Handelspreis von Bitcoin dramatisch fiel. Berichten zufolge lag der Grund für die Insolvenz der Börse in einem Hack, der zu einem Verlust von 744.408 Bitcoins führte. Das entspricht einem Wert von etwa 350 Millionen US-Dollar zu dem Zeitpunkt, an dem Mt.Gox offline ging. Es sieht so aus, als wäre in diesem Fall eine Sicherheitslücke im Bitcoin-Protokoll, die sogenannte "Transaction Malleability", das zentrale Problem gewesen. Diese Schwachstelle ermöglicht es Angreifern unter bestimmten Umständen, unterschiedliche Transaktions-IDs für ein und dieselbe Transaktion zu erstellen, so dass es scheint, als hätte die Transaktion gar nicht stattgefunden. Unsere Einschätzung der Probleme rund um den Mt.Gox-Zusammenbruch finden Sie hier. Der Transaction-Malleability-Bug wurde mittlerweile korrigiert. Sicherlich ist Mt.Gox nicht der einzige virtuelle Anbieter von virtuellen Bank-Services, der angegriffen wurde, so wie wir es gegen Ende des letzten Jahres vermuteten. Die zunehmende Nutzung virtueller Währungen wird mit Sicherheit künftig eine steigende Zahl von Attacken nach sich ziehen.

Nicht nur die Börsen für virtuelle Währungen sind für Angriffe empfänglich. Auch die Personen, die Kryptowährungen benutzen, können unter Beschuss von Cyberkriminellen geraten. Mitte März wurde der persönliche Blog sowie der Reddit-Account des CEO von Mt.Gox, Mark Karepeles, gehackt. Diese Accounts wurden genutzt, um eine Datei mit der Bezeichnung MtGox2014Leak.zip zu posten. Angeblich enthielt diese Datei wertvolle Datenbanken-Dumps und spezialisierte Software, die es ermöglicht, entfernt auf Mt.Gox-Daten zuzugreifen. Tatsächlich enthielt sie Malware, die Bitcoin-Wallet-Dateien lokalisiert und stiehlt. Das ist ein gutes Beispiel dafür, wie Cyberkriminelle die Interessen der Menschen an den neuesten Nachrichten ausnutzen, um auf diese Weise ihre Schadprogramme zu verbreiten.

Eine Frage, die durch derartige Attacken immer wieder aufgeworfen wird, ist von allergrößter Wichtigkeit: Wie können sich diejenigen unter uns, die eine Kryptowährung nutzen, in einer Umgebung schützen, die im Gegensatz zu Währungen in der realen Welt nicht durch externe Standards oder Richtlinien kontrolliert wird? Die Kaspersky-Experten empfehlen daher, Bitcoins lieber in einem quelloffenen Offline-Bitcoin-Client zu verwahren als in einem Online-Börsen-Dienst mit unbekannter Erfolgsbilanz. Sollten Sie viele Bitcoins besitzen, so speichern Sie sie am besten in einer Wallet auf einem PC ohne Internetzugang. Zudem sollten Sie die Passwörter für Ihre Bitcoin-Wallet so komplex wie nur möglich gestalten und sicherstellen, dass Ihr Computer von einem guten Internet-Security-Produkt geschützt wird.

Spammer sind ebenfalls schnell dabei, wenn es darum geht, Anwender mit Hilfe von Social-Engineering-Tricks in ein Betrugsschema zu verwickeln. Sie haben in diesem Fall einen Vorteil aus dem Preisanstieg für Bitcoin in der ersten Hälfte des Quartals gezogen (vor dem Mt.Gox-Kollaps), indem sie versuchten, die Gier nach dem schnellen Geld zu ihren Zwecken auszunutzen. Wie wir im Februar berichteten, machten sich die Spammer zu dieser Zeit verschiedene Bitcoin-Themen zunutze. Darunter waren die angebliche Enthüllung der Investitions-Geheimnisse eines Bitcoin-Millionärs sowie die Einladung zu einer Bitcoin-Lotterie.

Gute Software kann üblen Zwecken dienen

Auf dem Kaspersky Security Analyst Summit 2014 im Februar erläuterten wir, wie eine unsauber in die Firmware von gängigen Laptops und einigen Desktop-Computern implementierte Anti-Diebstahl-Technologie in den Händen von Cyberkriminellen zu einer mächtigen Waffe werden kann.

Das Kaspersky-Team begann seine Nachforschungen, nachdem auf einem der privaten Laptops eines Kaspersky-Lab-Mitarbeiters wiederholt Systemprozesse abgestürzt waren. Eine Analyse des Ereignisprotokolls und eines Speicherauszugs ergaben, dass die Abstürze die Folge einer Instabilität in den Modulen identprv.dll und wceprv.dll waren, die im Adressraum eines der Hostprozesse für Windows-Dienste (svchost.exe) geladen wurden. Diese Module waren von Absolute Software, einem legitimen Unternehmen, erstellt worden, und sind Teil der Software Absolute Computrace.

Unser Kollege erklärte, dass er diese Software niemals installiert habe und noch nicht einmal wusste, dass sie auf seinem Laptop läuft. Das wiederum bereitete uns Sorgen, da die Installation laut einem Whitepaper von Absolute Software vom Besitzer des Computers oder der IT-Abteilung des Unternehmens durchgeführt werden müsse. Und während die meiste vorinstallierte Software vom Besitzer des Computers entfernt oder deaktiviert werden kann, kann Computrace sogar eine professionelle System-Reinigung und selbst den Austausch der Festplatte überleben. Wir konnten diesen Fall nicht einfach als einmalige Angelegenheit abtun, da wir Hinweise darauf fanden, dass die Computrace-Software auch auf den PCs einiger unserer Experten sowie auf einigen Unternehmensrechnern läuft. Das hatte zur Folge, dass wir eine tief gehende Analyse durchführten.

Bei unserem ersten Blick auf Computrace dachten wir irrtümlicherweise, es handele sich um schädliche Software, da das Programm mit so vielen Tricks arbeitet, die auch in aktueller Malware zum Einsatz kommen: Es verwendet spezielle Debugging- und Anti-Reverse-Engineering-Techniken, schleust sich in den Speicher anderer Prozesse ein, baut geheime Kommunikation auf, automatisches Ablegen von Dateien in Systemordnern, das Patchen von Systemdateien auf der Festplatte, Einrichtung einer versteckten Kommunikation, Verschlüsseln von Konfigurationsdateien und ungewöhnliche Rechteverwaltung. Aus diesem Grunde wurde diese Software früher als Malware eingestuft. Aktuell stehen ausführbare Dateien von Computrace aber bei den meisten Antivirus-Unternehmen auf der Weißen Liste.

Kaspersky Lab ist der Meinung, dass Computrace in guter Absicht entwickelt wurde. Unsere Untersuchungen zeigen allerdings, dass Sicherheitslücken in der Software Cyberkriminellen die Möglichkeit geben könnten, das Programm zu missbrauchen. Unserer Ansicht nach sollte eine starke Authentifizierung und Verschlüsselung in ein solch leistungsstarkes Tool integriert sein. Wir haben keine Beweise dafür gefunden, dass Computrace-Module heimlich auf den Computern, die wir analysiert haben, aktiviert wurden. Aber es liegt auf der Hand, dass es viele Computer mit aktivierten Computrace-Agents gibt. Wir sind der Meinung, dass es in der Verantwortung der Hersteller und bei Absolute Software liegt, die entsprechenden Nutzer zu identifizieren und ihnen zu erklären, wie sie die Software deaktivieren können, wenn sie sie nicht verwenden möchten. Andernfalls werden diese verwaisten Agents weiter unbemerkt laufen und Gelegenheit zur entfernten Ausnutzung bieten.

Mobile Bedrohungen

Im ersten Quartal 2014 lag der Anteil der Android-Bedrohungen bei über 99 Prozent aller mobilen Schadprogramme. Im Laufe des Quartals wurden die folgenden mobilen Bedrohungen entdeckt:

  • 1.258.436 Installationspakete
  • 110.324 neue mobile Schadprogramme
  • 1.182 neue mobile Bank-Trojaner

Mobile Bank-Trojaner

Waren dem Kaspersky-Team noch zu Beginn des Quartals 1.321 individuelle ausführbare Dateien von mobilen Bank-Trojanern bekannt, so waren es zum Ende des Quartals bereits 2.503 Dateien. Der Bestand an Bank-Trojanern hat sich also im Laufe des Quartals fast verdoppelt.

Nach wie vor sind diese Bedrohungen besonders akut in Russland, Kasachstan, Weißrussland und in der Ukraine:


Geografie mobiler Bedrohungen im ersten Quartal 2014

Top 10 der von Bank-Trojanern angegriffenen Länder:

Land Prozentualer Anteil an den Attacken
Russland 88,85%
Kasachstan 3,00%
Ukraine 2,71%
Weißrussland 1,18%
Litauen 0,62%
Bulgarien 0,60%
Aserbaidschan 0,54%
Deutschland 0,39%
Lettland 0,34%
Usbekistan 0,30%

Ein Bank-Trojaner namens Faketoken war im ersten Quartal in den Top 20 der von Kaspersky Lab aufgespürten mobilen Schadprogramme vertreten. Dieser Schädling stiehlt mTAN-Nummern und arbeitet mit Desktop-Bankern zusammen. Auf die während einer Online-Banking-Sitzung im Browser geladene Seite schleusen die Computer-Trojaner mittels Web-Inject die Aufforderung ein, eine Android-Anwendung herunterzuladen. Diese ist angeblich unerlässlich für die sichere Durchführung von Transaktionen. Die Aufforderung enthält auch einen Link auf Faketoken. Nachdem der mobile Schädling auf dem Smartphone des Nutzers gelandet ist, erhalten die Cyberkriminellen Zugriff auf dessen Bankkonto. Faketoken ermöglicht es ihnen, die mTAN-Nummern abzufangen und das Geld des Anwenders auf ihre Konten zu überweisen.

Wir haben schon häufiger darüber geschrieben, dass die meisten mobilen Banker in Russland entwickelt und zunächst auch dort eingesetzt werden. Doch später verwenden Cyberkriminelle sie unter Umständen auch in anderen Ländern. Faketoken ist eines dieser Programme. Im ersten Quartal 2014 wurden Attacken dieses Schädlings in 55 Ländern registriert, darunter in Deutschland, Schweden, Italien, Großbritannien und in den USA.

Neues von den Virenschreibern

Ein über Tor gesteuerter Bot

Das anonyme Netzwerk Tor, das auf einem Netz von Proxy-Servern basiert, gewährleistet dem Nutzer Anonymität und ermöglicht es, in der Domain-Zone ".onion” anonyme Webseiten zu platzieren, die nur in Tor verfügbar sind. Im Februar entdeckte Kaspersky Lab den ersten Android-Trojaner, der als C&C-Zentrale eine Domain in der Pseudo-Zone ".onion” benutzt.

Die Backdoor.AndroidOS.Torec.a ist der veränderte populäre Tor-Client Orbot, dem Cyberkriminelle ihren Code hinzugefügt haben. Bemerkenswert daran ist, dass Backdoor.AndroidOS.Torec.a mehr Codezeilen benötigt, um Tor nutzen zu können, als sein eigentlicher Programmcode umfasst.

Der Trojaner kann vom Steuerzentrum der Cyberkriminellen die folgenden Befehle empfangen:

  • Abfangen eingehender SMS beginnen/beenden
  • Diebstahl eingehender SMS beginnen/beenden
  • USSD-Anfrage stellen
  • Daten über das Telefon (Nummer, Land, IMEI, Modell, Betriebssystemversion) an den C&C senden
  • Eine Liste der auf dem mobilen Gerät installierten Anwendungen an den C&C senden
  • Eine SMS an die im Befehl angegebene Nummer senden

Wozu brauchten die Cybergangster ein anonymes Netzwerk? Die Antwort ist einfach: Ein C&C-Server, der sich im Tor-Netzwerk befindet, kann nicht geschlossen werden. Diesen Ansatz haben sich die Entwickler der Android-Trojaner von den Virenschreibern abgeguckt, die Windows-Schädlinge entwickeln.

Diebstahl aus elektronischen Brieftaschen

Cyberkriminelle sind ständig auf der Suche nach neuen Wegen, Geld mit Hilfe von mobilen Trojanern zu stehlen. Im März entdeckte Kaspersky Lab den Schädling Trojan-SMS.AndroidOS.Waller.a, der neben der für Vertreter des Typs Trojan-SMS typischen Aktivität in der Lage ist, Geld aus den QIWI-Wallets der Inhaber infizierter Smartphones zu stehlen.

Hat der Trojaner einen entsprechenden Befehl von der Kommandozentrale erhalten, so überprüft er den Kontostand der elektronischen Brieftasche QIWI-Wallet. Zu diesem Zweck schickt Trojan-SMS.AndroidOS.Waller.a eine SMS an die entsprechende Nummer im QIWI-System. Die als Reaktion erhaltene SMS fängt der Trojaner ab und leitet sie an seine Herren weiter.

Verfügt der Inhaber eines infizierten Gerätes über ein QIWI-Wallet-Konto und erhält der Trojaner Informationen über einen positiven Kontostand, so kann das Programm Geld vom Konto des Anwenders auf ein von den Cyberkriminellen bezeichnetes QIWI-Wallet-Konto überweisen. Zu diesem Zweck schickt der Trojaner auf Befehl eine SMS an eine spezielle Nummer des QIWI-Systems, in der die Nummer der Wallet der Cyberkriminellen und die zu überweisende Summe angegeben sind.

Bisher greift der Trojaner ausschließlich russische Anwender an. Allerdings können Online-Verbrecher mit seiner Hilfe auch Geld von Anwendern aus anderen Ländern stehlen, in denen die Möglichkeit besteht, elektronische Brieftaschen mittels SMS zu verwalten.

Unangenehme Neuigkeiten

Im ersten Quartal 2014 wurde ein Trojaner für iOS entdeckt. Bei diesem Schadprogramm handelt es sich um ein Plug-in für Cydia Substrate, einem populären Framework für gerootete beziehungsweise gehackte Geräte. In vielen Partnerprogrammen erhalten App-Entwickler, die in ihren Anwendungen Werbemodule untergebracht haben, Geld für angezeigte Werbung. Der entdeckte Trojaner ersetzt in einigen Werbemodulen die ID der Programmentwickler durch die ID der Cyberkriminellen. Das hat zur Folge, dass das Geld für die angezeigte Werbung den Verbrechern zufällt.

Experten aus der Türkei haben eine Sicherheitslücke entdeckt, deren Ausnutzung zu einem DOS des Gerätes und einer anschließenden Überlastung führen kann. Das Wesen der Sicherheitslücke besteht darin, dass eine Android-Anwendung mit AndroidManifest.xml erstellt werden kann, die im Feld "name" eine sehr große Datenmenge enthalten kann. (AndroidManifest.xml ist eine spezielle Datei, die in jeder Android-Anwendung vorhanden ist. In dieser Datei sind Informationen über die Anwendung enthalten, darunter die Zugriffserlaubnis auf Systemfunktionen und Verweise auf die Bearbeitung verschiedener Ereignisse.) Die Installation der erstellten Anwendung läuft problemlos ab, doch beispielsweise beim Aufruf von "Activity" mit so einem Namen stürzt das Gerät ab. Zum Beispiel kann es eingehende SMS mit inkorrektem Namen geben, nach deren Erhalt das Telefon nicht mehr zu benutzen ist. Das mobile Gerät beginnt ständig neu hochzufahren und dem Anwender bleibt nur die Möglichkeit, das Betriebssystem downzugraden. Das kann wiederum zum Datenverlust auf dem Gerät führen.

Schad-Spam

Mobile Schädlinge werden sehr häufig via Schad-Spam verbreitet. Diese Methode ist besonders unter solchen Cyberkriminellen populär, die mit Hilfe von mobilen Trojanern Geld von den Bankkonten ihrer Opfer stehlen.

Schädliche Spam-SMS enthalten in der Regel entweder die Aufforderung, eine Anwendung herunterzuladen – mit einem Link auf ein Schadprogramm –, oder einen Link auf eine Webseite, von der aus ein Schadprogramm verbreitet wird, und auf die die Anwender unter irgendeinem Vorwand gelockt werden. Mittels Social Engineering wird versucht, die Aufmerksamkeit der Nutzer auf die Versendung zu lenken.

Olympischer Spam

Die Olympischen Spiele sind ein zweifellos bedeutendes Ereignis. Natürlich nutzen Cyberkriminelle das Interesse der Anwender an diesem Ereignis zu ihren Zwecken aus.

Im Februar registrierten die Kaspersky-Experten eine Versendung von Spam-SMS mit einem Link, der angeblich auf eine Übertragung des olympischen Wettbewerbs verwies. Klickte der unvorsichtige User auf diesen Link, so wurde versucht, auf sein Smartphone einen Trojaner zu laden, den die Lösungen von Kaspersky Lab als Trojan-SMS.AndroidOS.FakeInst.fb erkennen.

Dieser Trojaner ist in der Lage, auf Befehl der Online-Gangster SMS an die Nummer einer großen russischen Bank zu versenden, und Geld vom Bankkonto auf das mobile Konto des Besitzers des mobilen Gerätes zu überweisen. Vom mobilen Konto des Opfers können die Cyberkriminellen das Geld wiederum in ihre elektronischen Brieftaschen transferieren. Dabei werden alle die Transaktion betreffenden Mitteilungen der Bank vor dem User verborgen.

Spam mit Links auf schädliche Webseiten

Die Verbrecher, die den Trojaner Opfake verbreiten, verschickten SMS-Spam mit einem Link auf speziell erstellte schädliche Webseiten.

In einer der Spam-Kurzmitteilungen wurde der Nutzer über den Erhalt eines Paketes informiert, und der Link führte dementsprechend auf eine Seite, die als Webseite der russischen Post getarnt war.

In anderen Versendungen nutzten die Gangster die Popularität des kostenlosen Anzeigendienstes Avito.ru aus. Die SMS-Nachrichten enthielten eine Mitteilung wie "Sie haben ein Angebot auf Ihre Anzeige erhalten" oder "Es gibt einen Käufer für Ihre Ware" samt einem Link, der auf eine gefälschte Seite von Avito.ru verwies.


Gefälschte schädliche Seiten

Klickte der Nutzer auf die Links auf den gefälschten Webseiten, so wurde versucht, den Schädling Trojan-SMS.AndroidOS.Opfake.a auf sein Smartphone zu laden. Neben dem Versand von kostenpflichtigen SMS wird dieses Schadprogramm zur Verbreitung anderer mobiler Schädlinge eingesetzt, wie zum Beispiel des multifunktionalen Backdoor.AndroidOS.Obad.a.

Social Engineering war schon immer ein gefährliches Werkzeug in den Händen Cyberkrimineller. Die Nutzer sollten sehr vorsichtig sein und zumindest keinen Links folgen, die von unbekannten Absendern stammen. In diesen Fällen besteht immer das Risiko, Cyberkriminellen in die Falle zu tappen und so eine nicht geringe Summe Geldes zu verlieren.

Statistik

Verteilung mobiler Schädlinge nach Typen


Verteilung mobiler Schädlinge nach Typen, erstes Quartal 2014

Im ersten Quartal 2014 belegte erstmals Adware den Spitzenplatz, deren einzige Funktionalität im Anzeigen lästiger Werbung besteht. Derartige Module sind besonders in China populär.

Die lange Zeit unter den mobilen Schädlingen führenden SMS-Trojaner rutschten auf die zweite Position ab. Innerhalb des Quartals ging ihr Anteil von 34 Prozent auf 22 Prozent zurück. Allerdings dominiert diese Programm-Kategorie nach wie vor die Top 20 der mobilen Schadprogramme.

Top 20 der mobilen Schadprogramme

  Name Prozentualer Anteil der Attacken
1 Trojan-SMS.AndroidOS.Stealer.a 22,77%
2 RiskTool.AndroidOS.MimobSMS.a 11,54%
3 Trojan-SMS.AndroidOS.OpFake.bo 11,30%
4 RiskTool.AndroidOS.Mobogen.a 10,50%
5 DangerousObject.Multi.Generic 9,83%
6 Trojan-SMS.AndroidOS.FakeInst.a 9,78%
7 Trojan-SMS.AndroidOS.OpFake.a 7,51%
8 Trojan-SMS.AndroidOS.Erop.a 7,09%
9 Trojan-SMS.AndroidOS.Agent.u 6,45%
10 Trojan-SMS.AndroidOS.FakeInst.ei 5,69%
11 Backdoor.AndroidOS.Fobus.a 5,30%
12 Trojan-SMS.AndroidOS.FakeInst.ff 4,58%
13 Trojan-Banker.AndroidOS.Faketoken.a 4,48%
14 AdWare.AndroidOS.Ganlet.a 3,53%
15 Trojan-SMS.AndroidOS.Agent.ao 2,75%
16 AdWare.AndroidOS.Viser.a 2,31%
17 Trojan-SMS.AndroidOS.Agent.dr 2,30%
18 Trojan-SMS.AndroidOS.Agent.fk 2,25%
19 RiskTool.AndroidOS.SMSreg.dd 2,12%
20 RiskTool.AndroidOS.SMSreg.eh 1,87%

Einen wesentlichen Beitrag zur Zunahme der Zahl neuer mobiler Schädlinge leisteten im ersten Quartal die neuen Modifikationen des Trojaners Trojan-SMS.AndroidOS.Stealer.a. Dieser Schädling zeichnet sich durch nichts Besonderes aus und hat eine für einen SMS-Trojaner standardmäßige Funktionalität. Trotzdem belegt er den ersten Platz in den Top 20.

Selbstverständlich geben auch die Vorjahres-Spitzenreiter Opfake.bo und Fakeinst.a ihre Positionen nicht einfach auf und greifen nach wie vor aktiv mobile Geräte an, was sich in einem schier endlosen Strom neuer schädlicher Installationspakete äußert.

In den Top 20 der von Kaspersky Lab aufgespürten mobilen Schadprogramme ist erstmals der Bank-Trojaner Faketoken vertreten (13. Platz).

Geografie der Bedrohungen


Geografie der mobilen Bedrohungen im ersten Quartal 2014

Top 10 der angegriffenen Länder:

  Land Prozentualer Anteil an den Attacken
1 Russland 48,90%
2 Indien 5,23%
3 Kasachstan 4,55%
4 Ukraine 3,27%
5 Großbritannien 2,79%
6 Deutschland 2,70%
7 Vietnam 2,44%
8 Malaysia 1,79%
9 Spanien 1,58%
10 Polen 1,54%

Statistik

Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Produkte von Kaspersky Lab gesammelt wurden. Alle im Bericht verwendeten statistischen Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) zusammengetragen und ausgewertet. Die Daten stammen von den KSN-Anwendern, die ihre Zustimmung zur Übertragung der Informationen gegeben haben. An dem globalen Informationsaustausch über die Virenaktivität nehmen Millionen von Anwendern von Kaspersky-Produkten aus 213 Ländern der Welt teil.

Schadprogramme im Internet (Attacken über das Web)

Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Kaspersky Anti-Virus, das einen Computer in dem Moment schützt, in dem Schadcode von einer schädlichen Webseite geladen wird. Infiziert sein können Seiten, die Cyberkriminelle speziell zu diesem Zweck erstellt haben, sowie Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) und gehackte legitime Ressourcen.

Top 20 der schädlichen Objekte im Internet

Im ersten Quartal 2014 erkannte Kaspersky Anti-Virus 29.122.849 individuelle schädliche Objekte (wie Skripte, Webseiten, Exploits und ausführbare Dateien).

Von allen Schadprogrammen, die an Internet-Attacken beteiligt waren, hat das Kaspersky-Team nachfolgend die 20 aktivsten aufgeführt. Auf sie entfielen 99,8 Prozent aller Web-Attacken.

  Name* Anteil in Prozent**
1 Malicious URL 81,73%
2 Trojan.Script.Generic 8,54%
3 AdWare.Win32.BetterSurf.b 2,29%
4 Trojan-Downloader.Script.Generic 1,29%
5 Trojan.Script.Iframer 1,21%
6 AdWare.Win32.MegaSearch.am 0,88%
7 Trojan.Win32.AntiFW.b 0,79%
8 AdWare.Win32.Agent.ahbx 0,52%
9 AdWare.Win32.Agent.aiyc 0,48%
10 Trojan.Win32.Generic 0,34%
11 AdWare.Win32.Yotoon.heur 0,28%
12 Trojan.Win32.Agent.aduro 0,23%
13 Adware.Win32.Amonetize.heur 0,21%
14 Trojan-Downloader.Win32.Generic 0,21%
15 Trojan-Clicker.JS.FbLiker.k 0,18%
16 Trojan.JS.Iframe.ahk 0,13%
17 AdWare.Win32.Agent.aiwa 0,13%
18 Exploit.Script.Blocker 0,12%
19 AdWare.MSIL.DomaIQ.pef 0,12%
20 Exploit.Script.Generic 0,10%

* Von Kaspersky Anti-Virus erkannte Objekte. Die Informationen stammen von KSN-Teilnehmern, die der Übermittlung der Daten zu statistischen Zwecken zugestimmt haben.

** Anteil an allen Web-Attacken, die auf den Computern einzelner KSN-Teilnehmer registriert wurden.

Traditionell sind in den Top 20 neben Werbeprogrammen größtenteils Bedrohungen vertreten, die Objekte bezeichnen, welche bei Drive-by-Attacken eingesetzt werden. Die Zahl der von Adware belegten Positionen stieg im Vergleich zum vorherigen Quartal von sieben auf neun.

Unter den Programmen im Rating besonders hervorzuheben ist Trojan.Win32.Agent.aduro (12. Platz). Dieses Programm verbreitet sich von Webseiten, auf denen Anwendern der Download eines Browser-Plug-ins angeboten wird, das Online-Einkäufe erleichtern soll.

Nach einem Klick auf den Download-Button wird versucht, den Schädling Trojan.Win32.Agent.aduro auf den Computer zu laden. Die Aufgabe des Trojaners besteht darin, neben dem angebotenen Werbe-Plug-in auch ein vor dem Anwender verborgenes Programm zum Mining der Kryptowährung Litecoin herunterzuladen. In der Folge nutzen die Cyberkriminellen die Ressourcen des infizierten Computers zur Generierung der virtuellen Währung für ihre Wallet.

Ebenfalls sehr interessant ist das schädliche Skript Trojan-Clicker.JS.FbLiker.k (15. Platz), das in erster Linie auf vietnamesischen Unterhaltungswebseiten jeglicher Art anzutreffen ist, sowie auf Ressourcen, auf denen dem Anwender der Download von Filmen und Programmen angeboten wird. Betritt der Nutzer eine solche Seite, imitiert das Skript einen Klick auf den "Like"-Button auf einer bestimmten Seite im Sozialen Netzwerk Facebook. Das hat zur Folge, dass diese Seite auf Facebook mit dem Zusatz "Gefällt mir" an der Facebook-Pinnwand des Anwenders angezeigt wird. Zudem hat die Anzahl der "Likes" auf einer bestimmten Seite auch Einfluss auf deren Anzeige bei der Facebook-Suche.

Top 10 der Ursprungsländer von Webattacken

Diese Statistik zeigt die Verteilung der Quellen der von Kaspersky Anti-Virus blockierten Webattacken auf die Computer der KSN-Teilnehmer nach Ländern (zum Beispiel Webseiten mit Redirects auf Exploits, Webseiten mit Exploits und anderen Schadprogrammen sowie Steuerungszentren von Botnetzen). Jeder individuelle Host kann der Ursprung einer oder mehrerer Webattacken sein.

Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen die Kaspersky-Experten die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Im ersten Quartal 2014 wehrten die Lösungen von Kaspersky Lab 353.216.351 Attacken ab, die von Internet-Ressourcen in verschiedenen Ländern der Welt durchgeführt wurden. Insgesamt 83,4 Prozent der Benachrichtigungen über die Blockierung von Attacken entfielen auf Angriffe von Webressourcen, die sich in insgesamt zehn Ländern der Welt befinden – das sind 0,3 Prozentpunkte weniger als im vorangegangenen Quartal.


Verteilung der Quellen von Webattacken nach Ländern, erstes Quartal 2014

Dieses Rating hat sich in den letzten Monaten nur unwesentlich verändert. Erwähnenswert ist, dass 39 Prozent der von unseren Produkten blockierten Webattacken unter Verwendung schädlicher Ressourcen durchgeführt wurden, die sich in den USA und Russland befinden.

Länder, in denen Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in verschiedenen Ländern ausgesetzt sind, hat das Kaspersky-Team für jedes Land berechnet, bei wie vielen individuellen Anwendern von Kaspersky-Lab-Produkten Kaspersky Anti-Virus im Laufe des Quartals Alarm geschlagen hat. Die so erhaltenen Daten sind ein Indikator für die Aggressivität der Umgebung, in der die Computer in den verschiedenen Ländern arbeiten.

  Land* Prozentualer Anteil individueller KSN-Teilnehmer **
1 Vietnam 51,44%
2 Russland 49,38%
3 Kasachstan 47,56%
4 Armenien 45,21%
5 Mongolei 44,74%
6 Ukraine 43,63%
7 Aserbaidschan 42,64%
8 Weißrussland 39,40%
9 Moldawien 38,04%
10 Kirgisien 35,87%
11 Tadschikistan 33,20%
12 Georgien 32,38%
13 Kroatien 31,85%
14 Katar 31,65%
15 Algerien 31,44%
16 Türkei 31,31%
17 Litauen 30,80%
18 Griechenland 30,65%
19 Usbekistan 30,53%
20 Spanien 30,47%

Die vorliegende Statistik basiert auf den Alarmen von Kaspersky Anti-Virus. Die Daten stammen von den Computern der KSN-Teilnehmer, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben.

*Aus den Berechnungen sind die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.

**Prozentualer Anteil individueller Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Im ersten Quartal 2014 gab es einen Führungswechsel in diesem Rating: Position eins belegt nun Vietnam, wo 51,4 Prozent der Anwender Webattacken ausgesetzt waren. Neu im Rating ist die Mongolei, die mit einem Wert von 44,7 Prozent gleich auf Platz 5 landete. Die restlichen Positionen der Top 10 belegen traditionell Russland sowie ehemalige Sowjetrepubliken.

Zu den beim Surfen im Internet sichersten Ländern gehören Singapur (10,5 %), Japan (13,2 %), Schweden (14,5 %), Südafrika (15,6 %), Taiwan (16,1 %), Dänemark (16,4 %), Finnland (16,8 %), die Niederlande (17,7 %) und Norwegen (19,4 %).

Durchschnittlich waren im Laufe des Quartals weltweit 33,2 Prozent der Computer von Internetnutzern mindestens einmal einer Webattacke ausgesetzt.

Lokale Bedrohungen

Ein überaus wichtiger Indikator ist die Statistik der lokalen Infektionen der Computer. Zu diesen Daten gehören Objekte, die nicht über das Internet, E-Mails oder Portzugriffe in die Systeme eindringen.

In diesem Abschnitt präsentiert das Kaspersky-Team statistische Daten, die auf der Arbeit des Echtzeit-Scanners der Kaspersky-Lösungen basieren. Hinzu kommen Statistiken über den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand-Scanner).

Im ersten Quartal 2014 blockierten unsere Antiviren-Lösungen 645.809.230 Versuche einer lokalen Infektion auf den Computern der KSN-Teilnehmer. Bei diesen Vorfällen wurden 135.227.372 individuelle schädliche und potenziell unerwünschte Objekte registriert.

Top 20 der auf den Computern entdeckten schädlichen Objekte:

  Name Prozentualer Anteil der angegriffenen KSN-Teilnehmer*
1 DangerousObject.Multi.Generic 20,37%
2 Trojan.Win32.Generic 18,35%
3 AdWare.Win32.Agent.ahbx 12,29%
4 Trojan.Win32.AutoRun.gen 7,38%
5 AdWare.Win32.BetterSurf.b 6,67%
6 Adware.Win32.Amonetize.heur 5,87%
7 Virus.Win32.Sality.gen 5,78%
8 Worm.VBS.Dinihou.r 5,36%
9 AdWare.Win32.Yotoon.heur 5,02%
10 Trojan-Dropper.Win32.Agent.jkcd 4,94%
11 Worm.Win32.Debris.a 3,40%
12 Trojan.Win32.Starter.lgb 3,32%
13 Exploit.Java.Generic 3,00%
14 AdWare.Win32.Skyli.a 2,80%
15 Trojan.Win32.AntiFW.b 2,38%
16 Virus.Win32.Nimnul.a 2,23%
17 Trojan.WinLNK.Runner.ea 2,22%
18 AdWare.Win32.DelBar.a 2,21%
19 AdWare.Win32.BrainInst.heur 2,11%
20 Worm.Script.Generic 2,06%

Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.

*Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Kaspersky Anti-Virus Alarm geschlagen hat.

Traditionell sind in diesem Rating neben Bedrohungen wie Werbeprogramme und Viren auch Würmer vertreten, die sich über mobile Datenträger verbreiten.

Der Anteil der Viren in den Top 20 nimmt gleichmäßig, aber langsam ab. Im ersten Quartal waren die Viren der Familien Virus.Win32.Sality.gen und Virus.Win32.Nimnul.a mit einem Gesamtwert von acht Prozent vertreten. Zum Vergleich: Im vierten Quartal 2013 betrug dieser Wert 9,1 Prozent.

Der Wurm Worm.VBS.Dinihou.r, bei dem es sich um ein VBS-Skript handelt, erschien Ende letzten Jahres, doch im Rating ist er das erste Mal vertreten, und zwar auf Position acht. Dieser Wurm verbreitet sich insbesondere mit Hilfe von Spam. Der Wurm setzt die breitgefächerte Funktionalität einer vollwertigen Backdoor um, angefangen beim Start der Befehlszeile bis hin zum Upload einer vorgegebenen Datei auf den Server. Darüber hinaus infiziert Worm.VBS.Dinihou.r an den Computer angeschlossene USB-Datenträger.

Länder, in denen die Computer dem höchsten Risiko einer lokalen Infektion ausgesetzt waren

  Land* Prozentualer Anteil individueller KSN-Teilnehmer **
1 Vietnam 60,30%
2 Mongolei 56,65%
3 Nepal 54,42%
4 Algerien 54,38%
5 Jemen 53,76%
6 Bangladesch 53,63%
7 Ägypten 51,30%
8 Irak 50,95%
9 Afghanistan 50,86%
10 Pakistan 49,79%
11 Indien 49,02%
12 Sudan 48,76%
13 Tunesien 48,47%
14 Dschibuti 48,27%
15 Laos 47,40%
16 Syrien 46,94%
17 Myanmar 46,92%
18 Kambodscha 46,91%
19 Marokko 46,01%
20 Indonesien 45,61%

Die Statistik basiert auf Daten von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf. Berücksichtigt wurden Schadprogramme, die direkt auf den Computern gefunden wurden oder auf Wechseldatenträgern, die an die Computer angeschlossen waren, zum Beispiel USB-Sticks, Speicherkarten aus Fotoapparaten und Telefonen oder externe Festplatten.

* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.

** Prozentualer Anteil von Anwender-PCs, auf denen lokale Bedrohungen blockiert wurden, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Dieses Rating setzt sich nach wie vor komplett aus Ländern Afrikas, des Nahen Ostens und Südostasiens zusammen. Wie bereits im vorangegangenen Quartal belegt Vietnam den Spitzenplatz und die Mongolei folgt auf Position zwei. Nepal rückte vom vierten auf den dritten Rang auf, Bangladesch hingegen tauschte den dritten gegen den sechsten Platz. Neu im Rating ist Marokko.

Zu den in Bezug auf das Niveau lokaler Infektionen sichersten Ländern gehören: Japan (12,6 %), Schweden (15 %), Finnland (15,3 %), Dänemark (15,4 %), Singapur (18,2 %), die Niederlande (19,1 %) und Tschechien (19,5 %).

Durchschnittlich wurden im Laufe des 1. Quartals 2014 weltweit auf 34,7 Prozent der Computer von KSN-Teilnehmern mindestens einmal lokale Bedrohungen registriert.

 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen