Alle Bedrohungen

Viren

Hacker

Spam

Alle Seiten    Viren
  
Über Hacker
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2014  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt    
Most Popular Analysis



Spam im August 2014



Untersuchung von Einbruchsfällen in Online-Bezahlsysteme



Spam-Lieferservice: Gefahr garantiert



Das nigerianische Erbe erwartet Sie



Kaspersky Security Bulletin 2013/2014 – Statistik für das Jahr 2013
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 

  Home / Hacker / Analysen

Malware-Report, zweites Quartal 2011

24.08.2011   |   Ihr Kommentar

Yury Namestnikov

Allgemeine Lage

Im zweiten Quartal 2011 zeigte sich, dass sich bereits früher getroffene Prognosen bewahrheiten: die Zunahme von Schadprogrammen für mobile Plattformen und deren Verbreitung über App-Shops sowie zielgerichtete Attacken auf Unternehmen und populäre Internet-Services. Allerdings gab es auch einige Überraschungen – dazu später mehr.

Gefälschte Antiviren-Programme – wieder auf der Agenda

Im Jahr 2010 registrierten wir eine Abnahme der Akteure auf dem Markt der gefälschten Antiviren-Programme und damit auch einen Rückgang der gefälschten Programme selbst. Diese Kräfteverteilung blieb über einen längeren Zeitraum stabil. Im zweiten Quartal 2011 begann die Zahl der von den Kaspersky-Produkten entdeckten gefälschten Antiviren-Programme allerdings weltweit zuzunehmen. Dabei stieg die Zahl der Anwender, auf deren Rechnern der Versuch, gefälschte Software zu installieren, blockiert wurde, innerhalb von drei Monaten um 300 Prozent. Die Invasion der gefälschten Antiviren-Programme begann im März des laufenden Jahres und die Zahl der Attacken steigt weiter.

 
Anzahl der Entdeckungen von gefälschten
Antiviren-Programmen pro Tag Q2 2011

Im Gegensatz zum Jahr 2009, als die Cyberkriminellen versuchten, die Anwender-Computer auf der ganzen Welt mit falscher Antiviren-Software zu infizieren, sind die Entwickler von gefälschten Antiviren-Programmen nun ausschließlich an Computern in Industrienationen wie den USA, Großbritannien und Kanada interessiert.

 
Geografische Verteilung der Attacken durch gefälschte
Antiviren-Software Q2 2011

Fake-Antiviren-Programme für den Mac

Das erste fingierte Antiviren-Programm für MacOS X trat bereits im Jahr 2008 in Erscheinung. Danach gab es recht lange keine Fake-Programme mehr für dieses Betriebssystem. Im Laufe des zweiten Quartals 2011 entdeckten die Virenanalysten allerdings gleich mehrere „Produkte“ auf einmal – mit vielsagenden Namen wie MacDefender, MacSecurity, MacProtector und ähnlichen, die ganz offensichtlich von ein und denselben Personen veröffentlicht wurden.

Um den Anwender dazu zu bringen, die gefälschte Software zu installieren, benutzten die Kriminellen Webseiten, die einen Computer-Scan imitieren. Mithilfe von Methoden der Black SEO hievten sie diese Seiten an die Spitze der Ergebnisliste der Google-Bildersuche. Ein Anwender, der zum Beispiel nach einem „Foto des getöteten Osama bin Laden“ suchte, landete auf einer Webseite, auf der sein Computer angeblich auf Viren gescannt wurde. Daraufhin erhielt der Anwender eine Mitteilung darüber, dass auf seinem Computer eine Unmenge von Sicherheitsproblemen aufgetreten sei, und ihm wurde die Installation eines „kostenlosen Antiviren-Produkts“ angeboten. Stimmte der Nutzer dem zu, musste er für die Installation sein Administratoren-Passwort eingeben. Nach der Installation funktionierte der gefälschte Antiviren-Scanner nach dem gleichen Schema wie unter Windows: Er fand Tausende nicht existierender Bedrohungen und bot daraufhin an, den Computer zu „desinfizieren“.

Die angegebene Zahl der Bedrohungen in derartigen fingierten Antiviren-Programmen überstieg die Zahl der zu diesem Zeitpunkt bekannten Bedrohungen für den Mac übrigens um ein Vielfaches. Für die „Desinfizierung“ musste die Vollversion der Fake-Software zu einem Preis von 50 bis 100 US-Dollar erworben werden.

Beim Kauf per Kreditkarte gaben die Anwender zudem alle ihre Kartendaten direkt in die Hände von Cyberkriminellen, die anschließend die Karte ganz nach ihren Wünschen belasten konnten. Am 31. Mai, fast einen Monat nach Erscheinen des ersten im Jahr 2011 entdeckten fingierten Antiviren-Programms für den Mac, veröffentlichte Apple einen Security-Patch für die in OS X integrierte Schutzkomponente Xprotect, die das automatische Entfernen von Fake-Antiviren-Software ermöglicht. Bereits einige Stunden später brachten die Web-Gangster eine neue Version ihres Programms heraus, die in den darauffolgenden 24 Stunden nicht von Xprotect erkannt wurde. Dass der Schutz innerhalb so kurzer Zeit umgangen werden konnte, hängt damit zusammen, dass Xprotect eine sehr einfache Technologie zur Erkennung von Schadsoftware verwendet, und zwar einen Signatur-Scanner. Daher müssen die Cyberkriminellen nur einige Byte in ihrem Programm verändern, um die Entdeckung zu verhindern. Um den Schutz durch Xprotect noch effektiver zu stören, fügten die Virenschreiber dem Infektionsschema später einen kleinen Downloader hinzu, der von den Kaspersky-Produkten als Trojan-Downloader.OSX.FavDonw erkannt wird. Dieses Schema ist deshalb effektiver, weil Xprotect nur die Dateien scannt, die mithilfe des Browsers aus dem Internet geladen wurden. Bei Verwendung eines Downloaders wird die Datei des gefälschten Antiviren-Programms überhaupt nicht gescannt. Daher können Cyberkriminelle den integrierten Schutz problemlos umgehen, indem sie den Downloader ständig aktualisieren und die Hauptdatei dabei unwesentlich verändern. Zudem ist es bei diesem Angriffsschema nicht erforderlich, dass der Anwender bei der Installation des böswilligen Programms sein Passwort eingibt.

Wie die Fake-Antiviren-Programme für Windows werden auch die fingierten Antiviren-Programme für MacOS mithilfe der berüchtigten Partnerprogramme verbreitet. Davon zeugt die Zeile „affid“ (Abkürzung von affiliate ID) in den Dateien des Downloaders. Mithilfe dieses Parameters stellen die Inhaber des Partnerprogramms fest, welchem der Partner sie Geld für die Installation der Fake-Software zahlen müssen.


Codefragment des Downloaders des gefälschten Antiviren-Programms unter OS X,
Trojan-Downloader.OSX.FavDonw

Da die meisten Mac-User in den Industrienationen leben, wo Cyberkriminelle mit Fake-Antiviren-Programmen die höchsten Gewinne erzielen können, deckt sich die geografische Verbreitung der fingierten Antiviren-Programme für MacOS X mit der geografischen Verbreitung jener für die Windows-Plattform.

Wir nehmen an, dass der nächste Entwicklungsschritt der Schadprogramme für MacOS X das Erscheinen universeller Rootkit-Downloader unter Mac sein wird. Ebenso rechnen wir mit Trojanern, die Bankdaten stehlen – in der Art von ZeuS und SpyEye. Damit nimmt die Bedrohungslage für Mac-Anwender weiter zu.

Mobile Trojaner weiter auf dem Vormarsch

Ende Mai wurden im offiziellen App-Shop Android Market erneut Schadprogramme entdeckt. Wie bereits im vorhergehenden Quartal handelte es sich dabei größtenteils um gepackte Versionen legitimer Programme, denen Trojaner-Module hinzugefügt worden waren. Insgesamt wurden 34 schädliche Pakete entdeckt. Der in den Paketen enthaltene Trojaner erwies sich als neue Modifikation des uns bereits bekannten DroidDream (Backdoor.AndroidOS.Rooter). Um den Trojaner erneut im Android Market unterbringen zu können, wurde seine Funktionalität ein wenig geändert. Dabei war das Exploit, das dem Trojaner zu Administratoren-Rechten verhalf, nicht mehr in dem Paket enthalten, sondern wurde vom Trojaner auf das infizierte Telefon geladen.

Backdoor KunFu

Die zweite ernstzunehmende Bedrohung unter AndroidOS, die im zweiten Quartal aktiv weiterentwickelt wurde, ist eine Backdoor, die von den Kaspersky-Produkten als Backdoor.AndroidOS.KunFu identifiziert wird. Der Trojaner funktioniert nach einem traditionellen Schema: Er verbindet sich mit einem Server, dessen Name in seinem Code notiert ist. Nach der Installation erhält der Trojaner mithilfe des bekannten Exploits „Rage against the cage“ Administratoren-Rechte. Nachdem der Trojaner Informationen über das infizierte Gerät gesammelt und sie an die Cyberkriminellen übermittelt hat, wartet er auf weitere Befehle des Servers. Das Schadprogramm kann ohne Wissen des Anwenders eine Verbindung herstellen, Anwendungen starten und Seiten im Internet besuchen. Der wichtigste Verbreitungskanal dieses Trojaners sind verschiedene inoffizielle App-Shops. Der Trojaner hat es im Wesentlichen auf Anwender-PCs in China abgesehen, und auch die Steuerungsserver werden meist in diesem Land gehostet.

Der kriminelle Urheber dieses Android-Trojaners ist offenbar sehr daran interessiert, die Entdeckung durch Antiviren-Programme zu verhindern. Im Laufe von drei Monaten wurden mehr als 29 Modifikationen dieses Schädlings entdeckt. Überdies ist der Code des Exploits, das für die Erhöhung der Rechte zuständig ist, mithilfe des DES-Algorithmus (Data Encryption Standard) verschlüsselt. In den jüngsten Versionen hat der Trojaner grundlegende Veränderungen durchgemacht: Die Bibliothek wurde von Java in Android-Native-Code umgeschrieben – wohl, um die Analyse zu erschweren.

Bedrohliche Statistik

Unserer Statistik zufolge nimmt die Zahl der mobilen Bedrohungen auf verschiedenen mobilen Plattformen enorm zu.


Zahl hinzugefügter Signaturen für mobile Schädlinge
auf verschiedenen Plattformen Q1 und Q2 2011

Die Zahl der Einträge, die Schädlinge unter J2ME (Java 2 Micro Edition) entdecken (Schadsoftware für Telefone und Smartphones der älteren Generation), hat sich innerhalb des Quartals verdoppelt, und die Zahl der entdeckten Schadprogramme für AndroidOS stieg fast um das Dreifache.

Die meisten mobilen Trojaner nehmen Geld mit der Versendung von SMS an Kurzwahlnummern ein. Auf diese Weise wird entweder vom Konto des Anwenders Geld abgebucht, oder der Telefonbesitzer wird ohne seine Zustimmung für einen kostenpflichtigen Service registriert. Im zweiten Fall – der im Wesentlichen in Asien auftritt – erhält der Anwender eine SMS vom jeweiligen Service mit Informationen zur Registrierung. Damit der Telefonbesitzer den Betrug nicht bemerkt, löscht der Trojaner die Kurzmitteilung über das kostenpflichtige Abonnement, sobald diese eingeht. Auf diese Weise können sich die Trojaner recht lange auf einem Gerät einnisten.

Beunruhigend ist insgesamt, dass sich Schadprogramme für mobile Geräte nicht nur über verschiedene Ressourcen Dritter verbreiten, sondern auch über offizielle App-Shops. Der Android Market sollte daher seine Politik bezüglich der Veröffentlichung von Anwendungen unbedingt überdenken. Doch solange die Inhaber sowohl des offiziellen als auch der inoffiziellen Shops keine Regel-Änderungen einführen, spielen sie den Virenschreibern in die Hände. Für den durchschnittlichen Anwender bedeutet das vor allem eines: Wenn nicht bereits ein Antiviren-Produkt auf dem mobilen Gerät installiert ist, so sollte das schleunigst nachgeholt werden.

Guter Ruf in Gefahr

Das zweite Quartal 2011 hatte in puncto Angriffe auf Großunternehmen noch mehr zu bieten als das erste Quartal. Zu den betroffenen Firmen gehören unter anderem Sony, Honda, Fox News, Epsilon und die Citibank. In den meisten Fällen wurden Kunden-Informationen gestohlen. Dabei nutzten die Hacker allem Anschein nach die gekaperten Daten keineswegs zu kommerziellen Zwecken. Es gibt keine Informationen über den Verkauf dieser Daten auf dem Schwarzmarkt oder über die Verwendung der Daten durch Cyberkriminelle. Das Verhalten der Hacker zeugt davon, dass das schnelle Geld mithilfe gestohlener Daten nicht ihr Hauptantrieb war.

Das zweite Quartal wird auch durch eines der größten Lecks, durch das persönliche Daten gesickert sind, in Erinnerung bleiben – jenes, das durch einen Hack der Sony-Services PlayStation Network und Sony Online Entertainment verursacht wurde. Nach Angaben von Sony (http://republicans.energycommerce.house.gov/Media/file/Letters/112th/050411Hirai.pdf) könnten Daten von 77 Millionen Anwendern der Dienste PSN und Qriocity in die Hände von Cyberkriminellen gelangt sein. Während die Sicherheitssysteme aktualisiert wurden, waren diese Sony-Services für einige Wochen weltweit nicht verfügbar, was natürlich zu Unzufriedenheit unter den Kunden geführt hat. Als die Dienste nach der Aktualisierung wieder verfügbar waren, mussten die Kunden ihre Accounts erneuern, wobei sie natürlich wieder die persönlichen Daten eingeben mussten, die zuvor gestohlen wurden. Interessant daran ist auch, dass die Anwender über keine Vorfälle während der Wiederherstellung berichteten. Neben den persönlichen Anwender-Daten speichern Services dieser Art auch Kreditkarten-Informationen der Kunden, die kostenpflichtige Dienstleistungen in Anspruch genommen haben. Nach dem Hack der Sony-Services ging in Foren das Gerücht um, dass die Hacker auch die Kartenprüfnummer (den Sicherheitscode oder „cvv2“ auf der Rückseite der Kreditkarte) gestohlen hätten, die zur Durchführung von Finanztransaktionen unerlässlich ist. Das Unternehmen hingegen erklärte, dass sich in den Händen der Hacker nur die Kreditkartennummer und die Gültigkeitsdauer ohne den Sicherheitscode cvv2 befänden. Auch in diesem Fall ist nichts über den Verkauf oder die Verwendung dieser Daten zu unlauteren Zwecken bekannt.

Zum gegenwärtigen Zeitpunkt gibt es keine offiziellen Informationen darüber, von wem und warum diese Attacke durchgeführt wurde. Alle oben genannten Fakten lassen vermuten, dass die Hacker nicht auf ihren finanziellen Vorteil aus waren, sondern den Ruf des Unternehmens schädigen wollten. Nach Angaben (http://news.cnet.com/8301-13506_3-20062596-17.html) von englischen Games- und Konsolen-Verkäufern stieg die Retouren- und Umtauschquote von Sony-Produkten nach Auftreten der Probleme im PSN stark an. Um sich einen guten Ruf zu erwerben, braucht es bekanntermaßen Jahre – ihn zu verlieren ist unter Umständen nur eine Sache von Stunden.

Hacktivisten“ kommen auf

Die „Hacktivismus“-Bewegung – das Hacken oder Außer-Betrieb-Setzen von Systemen als Zeichen des Protests gegen Staatsorgane oder Konzerne – findet immer mehr Zulauf. Im zweiten Quartal erschien die neue Gruppierung LulzSec in der Szene, die es innerhalb von nur 50 Tagen schaffte, in eine Unmenge von Systemen einzubrechen und die persönlichen Informationen von Zehntausenden Anwendern veröffentlichte.

Wie im Fall von Anonymous waren auch die Aktionen von LulzSec nicht von Geldgier motiviert. Die Vertreter der Gruppierung selbst bestätigen, dass sie die Server der Unternehmen „nur aus Spaß“ gehackt hätten. Dabei nutzte die neue Gruppe im Gegensatz zu Anonymous verstärkt soziale Medien, unter anderem Twitter, um die Welt über ihre Aktionen in Kenntnis zu setzen.

Zu den Opfern von LulzSec gehören Konzerne wie Sony, EA, AOL sowie staatliche Organe – der Senat der USA, die CIA, die SOCA (Britische Bundespolizei) und so weiter. Die Informationen, die LulzSec durch ihre Attacken erbeutete, wurden auf der Webseite der Gruppe veröffentlicht und später ins Torrent-Netz gestellt. Größtenteils handelte es sich dabei um persönliche Anwender-Daten.

Es gilt nun noch herauszufinden, wie es der Gruppierung gelungen ist, in die geschützten Systeme einzudringen. Möglicherweise kamen bei vielen Attacken bereits bekannte Mechanismen zur automatischen Suche nach Sicherheitslücken zum Einsatz, darunter auch SQL-Injections. Haben die Hacker einmal Zugriff auf Daten, die auf einem weniger gut geschützten Server liegen, zum Beispiel Login-Daten und Passwörter/Hash-Passwörter, so können sie diese unter Umständen für spätere Systemeinbrüche verwenden, da selbst Personen mit den Rechten eines Netzwerk-Administrators leichtsinnigerweise immer noch ein und dasselbe Passwort für verschiedene Services verwenden.

Die Attacken von LulzSec haben zunehmend einen politischen Anstrich. LulzSec und Anonymous unternahmen gemeinsame Anstrengungen, um eine Reihe von Attacken auf Staatsorgane und Großkonzerne zu organisieren, mit dem Ziel, geheime Daten zu veröffentlichen. In Folge einer Angriffsserie namens „AntiSec“ erhielten die Hacker unter anderem Zugriff auf die Daten der Polizei von Arizona. Öffentlich zugänglich gemacht wurden die Mitarbeiterkorrespondenz, Geheimdokumente sowie persönliche Informationen und die Passwörter einiger Mitarbeiter der Polizei. Die Vertreter der „Hacktivisten“ erklärten, dass sie diese Attacke zum Zeichen des Protestes gegen eine Entscheidung des Senats von Arizona über die Verschärfung der Migrationspolitik durchgeführt hätten. ("We are targeting AZDPS specifically because we are against SB1070 and the racial-profiling anti-immigrant police state that is Arizona.").

Selbstverständlich haben alle diese Attacken die Strafverfolgungsbehörden auf den Plan gerufen. In Spanien wurden drei und in der Türkei 32 Personen verhaftet, die der Teilnahme an den von Anonymous organisierten Attacken verdächtigt werden. Ende Juni gab die Gruppe LulzSec ihre Auflösung bekannt. Möglicherweise liegt der Grund dafür auch in den Ermittlungen, die in mehreren Ländern gleichzeitig geführt werden, um die Mitglieder der Gruppe zu identifizieren und dingfest zu machen.

Die Aktionen der „Hacktivisten“ zur Aufdeckung persönlicher Anwender-Daten sind in großen Teilen leider unmoralisch und unverantwortlich. Die Veröffentlichung von Daten, die auf den ersten Blick noch nicht einmal etwas mit Geld zu tun haben, können für die betroffenen Nutzer überaus empfindliche Folgen haben, unter anderem auch in finanzieller Hinsicht. Zum einen benutzen viele Anwender ungeachtet aller Ermahnungen seitens der Fachleute für Computersicherheit ein und dasselbe Zugangspasswort für verschiedene Dienste, darunter auch das Online-Banking. Zum anderen könnten sich auch Kriminelle für die veröffentlichten Daten interessieren, die in der realen Welt aktiv sind – und spätestens dann vergeht jedem der Spaß an der ganzen Sache. Übrigens sind die Mitglieder dieser Gruppen sehr darauf bedacht, ihre eigene Anonymität zu wahren. So klingt der Aufruf zur Offenlegung von Informationen besonders merkwürdig, wenn er von Leuten stammt, die ihre eigene Identität verbergen.

Die Angriffe auf Regierungsorganisationen werden zweifellos auch nach der offiziellen Auflösung von LulzSec weitergehen. Die System-Administratoren großer Unternehmen und staatlicher Organisationen müssen ihre Systeme daher unbedingt einer Prüfung unterziehen, andernfalls wird die nächste Welle des „Hacktivismus“ auch sie erreichen.

Cyberkriminelle und das Gesetz

Im April 2011 wurde mit Coreflood ein weiteres Botnetz zerschlagen. Gemäß Gerichtsbeschluss erhielten das Justizministerium der USA und das FBI Zugriff auf fünf Steuerungsserver, wodurch ihnen im Folgenden ermöglicht wurde, die Steuerung des Botnetzes abzufangen. Das Zombie-Netz basierte auf dem Schadprogramm Backdoor.Win32.Afcore, und nach Angaben des FBI zählte es zum Zeitpunkt seiner Zerschlagung zwei Millionen infizierte Computer.

Die Schließung von Botnetzen ist nicht nur vom technischen Standpunkt, sondern auch vom juristischen überaus kompliziert. Nachdem sie die Kontrolle über Coreflood erhalten hatten, hätten die Strafverfolgungsbehörden alle Bots auf den infizierten Computern mit einem Tastendruck löschen können. Allerdings hätte dieses Vorgehen die Gesetze anderer Länder verletzen können, denn die mit den Bots infizierten Rechner befanden sich nicht ausschließlich in den USA. Daher musste für die Entfernung der Bots zunächst einmal mithilfe der IP-Adressen der Standort der befallenen Computer festgestellt werden. Daraufhin erhielten die Strafverfolgungsƒbehörden der USA von den Organisationen, deren Rechner infiziert waren, die Erlaubnis, die Bots zu entfernen, und der Gerichtsbeschluss wurde auf das entfernte Löschen von Schadprogrammen ausgeweitet. Auf diese Weise verlor das Botnetz Coreflood einen großen Teil seiner Ressourcen. Doch wie im Fall von Rustock ist auch hier die Wahrscheinlichkeit recht hoch, dass, solange die wahren Inhaber des Botnetzes nicht gefunden werden, diese ihre illegalen Geschäfte aufrechterhalten, indem sie ein neues Netz von Zombie-Rechnern aufbauen.

Noch komplizierter als die Schließung von Botnetzen des Typs Coreflood, Rustock und Bredolab kann die Schließung von dezentralisierten Botnetzen wie Kido, Hlux und Palevo sein. Diese Art von Botnetzen lassen sich nur dadurch zerschlagen, indem man sich in die Steuerung der Bots einschaltet. Diese Prozedur beinhaltet eine Modifikation der Schadprogramme, die sich auf Anwender-Computern in unterschiedlichen Ländern befinden. Zum gegenwärtigen Zeitpunkt ist eine juristische Grundlage, die es den Strafverfolgungsbehörden und Sicherheitsexperten ermöglichen würde, derartige Maßnahmen zu ergreifen, schlicht und einfach nicht gegeben.

Wir hoffen, dass die Juristen der unterschiedlichen Länder gemeinsame Anstrengungen unternehmen werden, um die rechtlichen Grundlagen zu schaffen, die für die Desinfizierung von Computern weltweit nötig sind.

Gesetzgebung in Japan

Die Praxis zeigt, dass Cyberkriminalität am effektivsten bekämpft wird, wenn die Virenschreiber dingfest gemacht werden. Am 17. Juni 2011 verabschiedete das japanische Parlament ein Gesetz, das die Entwicklung und Speicherung von Schadprogrammen unter Strafe stellt.

Bis zur Verabschiedung dieses Gesetzes gab es in Japan keine Möglichkeit, Personen für die Entwicklung von Schadprogrammen zu bestrafen. Virenschreibern musste auf Umwegen der Prozess gemacht werden, zum Beispiel für die Verletzung von Copyrights, Piraterie, für die Schädigung fremden Eigentums und so weiter. Diese Methode hat sich im Kampf gegen Virenautoren als uneffektiv erwiesen, daher wurde eine Änderung der Gesetzgebung gefordert.

Nach dem neuen Gesetz sind auch Internet-Provider verpflichtet, Logins für die Dauer von zwei Monaten zu speichern und sie auf Verlangen den Strafverfolgungsbeƒhörden zu übergeben. Japan hat einen wichtigen Schritt im Kampf gegen die Cyberkriminalität unternommen.

Virtuelle Währung und reale Probleme

Im Jahr 2009 startete der Programmierer und Mathematiker Satoshi Nakamoto ein interessantes Projekt: die Entwicklung der Cyberwährung Bitcoin. Das Konzept dieser Währung beinhaltet einige wichtige Besonderheiten. Für Bitcoin gibt es keinen zentralisierten Emittenten und kein regulierendes Element. Das Geld wird auf den Computern der Anwender generiert, nachdem ein spezielles Programm gestartet wurde, und alle Überweisungen innerhalb des Bitcoin-Systems sind anonym. Heute wird Bitcoin aktiv bei Online-Zahlungen für verschiedene Waren und Dienstleistungen verwendet. Es gibt sogar eine Börse, an der dieses elektronische Geld in verschiedene reale Währungen umgetauscht werden kann – Dollar, Pfund, Japanische Yen und so weiter. Auch verschiedene cyberkriminelle Elemente sowie die „Hacktivisten“ bedienen sich gern dieser Währung. So erhielt die Gruppe LulzSec beispielsweise Spenden über Bitcoin, und in verschiedenen illegalen Foren ist es ebenfalls möglich, die angebotenen Schadprogramme mit dieser virtuellen Währung zu bezahlen.

Virtuelle Taschendiebe

Die zunehmende Popularität von Bitcoin musste früher oder später auch die Leute auf den Plan rufen, die bereit sind, Geld auch auf nicht ganz ehrlichem Wege anzuhäufen. Das verschlüsselte Portemonnaie mit dem Geld wird auf dem Computer des Anwenders gespeichert. Zugriff auf die elektronische Brieftasche erhält er durch die Eingabe seines Passwortes. Die Web-Gangster beschlossen, zunächst die Portemonnaies zu stehlen, um danach zu versuchen, an die dazugehörigen Passwörter zu kommen. Ende Juni entdeckten Experten für Computersicherheit einen recht simplen Trojaner, der bei Start auf dem Anwender-Computer per E-Mail die Datei der Bitcoin-Brieftasche des Anwenders an den Virenschreiber schickte. Ob es dem Besitzer dieses Schädlings gelungen ist, die virtuelle Brieftasche zu knacken, ist nicht bekannt, doch wenn der Trojaner überarbeitet wird, könnte er zu einer realen Bedrohung für Besitzer dieser Cyberwährung werden. Und hinsichtlich der steigenden Tendenz zum Diebstahl aller nur denkbaren Informationen mithilfe von Bots könnte diese Funktionalität in gängige Schadprogramme übernommen werden, welche die gesamte Aktivität auf einem Computer ausspionieren.

Zusammenbruch des Bitcoin-Markts

Ein überaus unangenehmes Ereignis für die Firma Bitcoin war der Kurseinbruch im zweiten Quartal an einer der bekanntesten Börsen: Mt. Gox. Innerhalb weniger Minuten fiel der Wechselkurs für einen Bitcoin von 16 Dollar auf wenige Cent. Der Grund für diesen Einbruch lag im Verkauf einer Unmenge von Bitcoins von einem gehackten Account zu einem sehr niedrigen Preis. Sobald der auffallend starke Kursabfall bemerkt worden war, trafen die Verantwortlichen an der Börse die richtige Entscheidung, stoppten den Handel, und alle verdächtigen Transaktionen wurden rückgängig gemacht.

 
Kurskollaps von Bitcoin am 20. Juni 2011

Später stellte sich heraus, dass der Hack des Accounts aufgrund eines Lecks in der Datenbank für Login-Daten, E-Mail-Adressen und Hash-Passwörter der Börsennutzer möglich geworden war. Zweifellos wollte der Verbrecher, der den Kurseinbruch verursachte, sich auf diesem Wege bereichern. Vor diesem Vorfall wurde auf der Webseite von Mt. Gox eine Sicherheitslücke vom Typ Cross Site Request Forgery entdeckt, die es Cyberverbrechern ermöglicht, mithilfe spezieller Anfragen die Anwender dazu zu zwingen, Transaktionen mit Bitcoin durchzuführen. Dieser Fall hat eindringlich gezeigt, dass selbst beim Umgang mit virtuellem Geld der Schutz der Börse sehr gut durchdacht sein muss. Nicht umsonst investieren gewöhnliche Finanzinstitute viel in ihren Schutz – die Welt der elektronischen Zahlungsmittel sollte da keine Ausnahme bilden.

Bitcoin-Mining auf Russisch

Bisher wurden nur eine Million Bitcoin-Einheiten der geplanten 21 Millionen generiert. Jeder kann bei der Generierung von Bitcoins mitmachen (Bitcoin-Mining) und erhält dafür ein Honorar in Form des erstellten Geldes.

Einige Online-Kriminelle – verschiedenen Zeilen im Code nach zu urteilen russischsprachige – fanden es offenbar zu kostspielig, die elektronischen Portemonnaies zu stehlen und dann die entsprechenden Passwörter zu knacken. Hingegen hielten sie es für eine gute Idee, den nichtsahnenden Anwender dazu zu bringen, das Geld für sie zu generieren. Ende Juni entdeckten unsere Analysten ein Schadprogramm, das aus einem legalen Programm zur Generierung von virtuellem Geld (bcm) und einem trojanischen Steuerungsmodul besteht. Nach dem Start des Trojaners beginnt der infizierte Computer Geld für die Cyberkriminellen zu generieren. Das Verbreitungsgebiet des Trojaners erstreckt sich auf Russland (37 Prozent), Indien (zwölf Prozent), die Ukraine (sieben Prozent), Kasachstan (fünf Prozent) und Vietnam (drei Prozent).

Glücklicherweise wurde der Betrug relativ schnell von einem automatischen System des Bitcoin-Pools entdeckt. Der Account des Cyberkriminellen wurde im Geldgenerierungssystem gesperrt und daraufhin gelöscht.

 
Teil des Codes von Trojan.NSIS.Miner.a mit Instruktion, wohin
die generierten Bitcoins überwiesen werden sollen

Die Lebensdauer jedes Systems einer verschlüsselten Währung wie Bitcoin hängt vom Vertrauen, das die Anwender ihm entgegen bringen, ab sowie vom Fehlen von Falschgeld. Der oben genannte Fall zeigt leider, dass die Web-Gangster aktiv nach Lücken im Sicherheitssystem der verschiedenen Elemente von Bitcoin suchen. Man sollte meinen, dass die Börsenverwaltung und die Administratoren der Bitcoin-Pools am Schutz ihres Systems und der Erhaltung ihres guten Rufs interessiert sind, denn andernfalls könnte ihr gesamtes Geschäft gemeinsam mit dem Vertrauen in das System Bitcoin zusammenbrechen.

Statistik

Die folgenden Statistiken basieren auf den Daten der verschiedenen Kaspersky-Schutzkomponenten. Alle im Bericht verwendeten Daten wurden mithilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) gesammelt und ausgewertet. Diese Informationen stammen von Kaspersky-Anwendern, die ihr Einverständnis zur Übermittlung dieser Daten gegeben haben. Am globalen Informationsaustausch über die Aktivität von Schadprogrammen nehmen Millionen Anwender von Kaspersky-Produkten in 213 Ländern teil.

Bedrohungen im Internet

Die Informationen in diesem Abschnitt basieren auf den Daten von Kaspersky Web-Anti-Virus, das Anwender vor dem Download schädlichen Codes von infizierten Webseiten schützt. Das können Seiten sein, die von Cyberkriminellen speziell erstellt wurden, Web-Ressourcen, deren Inhalt beispielsweise in Foren von Anwendern gestaltet wird, sowie gehackte legitime Ressourcen.

Im Internet aufgespürte Objekte

Im zweiten Quartal 2011 wurden 208.707.447 Attacken abgewehrt, die von Internetressourcen in verschiedenen Ländern durchgeführt wurden. In den angegebenen Fällen wurden 112.474 verschiedene schädliche und potentiell unerwünschte Programme registriert.

Top 20 der im Internet erkannten Objekte

Position Name Prozent
an allen Attacken**
1 Blocked 65,44 Prozent
2 Exploit.Script.Generic 21,20 Prozent
3 Trojan.Script.Iframer 15,13 Prozent
4 Trojan.Win32.Generic 7,70 Prozent
5 Trojan-Downloader.Script.Generic 7,66 Prozent
6 Trojan.Script.Generic 7,57 Prozent
7 AdWare.Win32.FunWeb.kd 4,37 Prozent
8 AdWare.Win32.FunWeb.jp 3,08 Prozent
9 Hoax.Win32.ArchSMS.heur 3,03 Prozent
10 Trojan-Downloader.JS.Agent.fxq 2,51 Prozent
11 Trojan.JS.Popupper.aw 2,18 Prozent
12 Trojan.HTML.Iframe.dl 1,76 Prozent
13 Trojan-Downloader.Win32.Generic 1,62 Prozent
14 AdWare.Win32.HotBar.dh 1,49 Prozent
15 Worm.Script.Generic 1,30 Prozent
16 Exploit.JS.CVE-2010-1885.k 1,20 Prozent
17 Hoax.Win32.ArchSMS.pxm 1,04 Prozent
18 Trojan.JS.Redirector.pz 0,87 Prozent
19 Trojan.JS.Agent.bun 0,85 Prozent
20 Hoax.Win32.Screensaver.b 0,84 Prozent

* Die Statistik basiert auf Daten von Kaspersky Web-Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf. ** Anteil an allen Web-Attacken, die auf den Computern einzelner Anwender registriert wurden.

Auf Platz eins des Rankings befinden sich verschiedene schädliche URLs (65,44 Prozent), die auf unserer Schwarzen Liste stehen: Adressen von Webseiten mit Exploit-Packs, Bots, Erpresser-Trojanern und so weiter.

Die Hälfte der Programme in den Top 20 sind Schädlinge, die auf die eine oder andere Art bei Drive-by-Downloads verwendet werden: Skript-Downloader, Redirectoren, Exploits. Die Cyberkriminellen kümmern sich verstärkt um die Umgehung verschiedener Analysemethoden von in Skriptsprachen (JS, VBS und so weiter) verfasstem Code. Dafür verwenden sie verschiedene Tricks, welche die Hauptfunktionalität des Skripts an – für die Analysten – unerwarteten Stellen des html-Codes verbergen. Im Ergebnis werden die meisten dieser Programme mit heuristischen Methoden als generic erkannt.

Den zweiten Platz der Top 20 belegt Exploit.Script.Generic (+6,5 Prozentpunkte) und rückt damit auf die Position der Trojan-Downloader, die in den vergangenen drei Jahren stets an erster oder zweiter Stelle des Rankings standen. Unter dieser Bezeichnung werden verschiedene Skript-Exploits erkannt, auf die ein Fünftel der registrierten, über das Internet durchgeführten Attacken entfällt. Das bedeutet, dass die Zahl der sogenannten Drive-by-Downloads, die unter Verwendung von Exploits gestartet werden, weiterhin steigt, wohingegen die Attacken, in deren Verlauf der Anwender selbst die schädliche Datei laden und ausführen muss, von Cyberkriminellen immer seltener durchgeführt werden.

Bei sechs der entdeckten Objekte aus den Top 20 handelt es sich um Adware oder Betrugssoftware. Die Adware der Familie FunWeb belegte nach Häufigkeit der Erkennungen gleich zwei Positionen im Ranking (den siebten und achten Platz). Am häufigsten wurde die Installation dieser Programme auf Anwender-Computern in den USA (25,2 Prozent) und in Indien (32,7 Prozent) blockiert. Die Betrugsprogramme des Typs Hoax.Win32.ArchSMS, bei denen es sich um kostenpflichtige Installer handelt, die kostenlose Programme installieren, belegen ebenfalls zwei Plätze in der Hitliste (17. und 20. Platz).

Länder mit verseuchten Web-Ressourcen

Im zweiten Quartal 2011 konzentrierten sich in zehn Ländern 87 Prozent der Web-Ressourcen, die zur Verbreitung von Schadprogrammen benutzt werden. Das sind zwei Prozentpunkte weniger als im vorhergehenden Quartal. Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen wir die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

 
Verteilung der Web-Ressourcen, auf denen Schadprogramme
platziert sind, nach Ländern. Zweites Quartal 2011

Die Entwicklung der Gesetzgebung und die Erfolge im Kampf gegen die Cyberkriminalität in den USA und den westeuropäischen Ländern könnten zu einer allmählichen Verschiebung der Hostings führen, die zur Verbreitung von Schadsoftware genutzt werden, und zwar aus den Industrienationen in die Schwellenländer. Hinsichtlich der Abnahme von Hostings mit Schadcode stehen die Niederlande an erster Stelle, wo der entsprechende Anteil im Vergleich zu den Vormonaten um 4,3 Prozentpunkte zurückging und im zweiten Quartal nur noch 7,8 Prozent betrug. Die erfolgreichen Aktionen der niederländischen Polizei, unter anderem die Neutralisierung von Botnetzen (Bredolab, Rustock), schrecken die Cyberkriminellen davon ab, Hostings in diesem Land zu ihren Zwecken zu verwenden.

Auch in China ist weiterhin ein Rückgang von Hostings zu verzeichnen, auf denen Schadprogramme platziert sind: Der Anteil, der auf dieses Land entfällt, verringerte sich um weitere zwei Prozentpunkte und liegt nun bei 5,6 Prozent. Während noch vor zwei Jahren chinesische Hostings der wichtigste Unterschlupf für Schädlinge im World Wide Web waren, so verschwinden diese allmählich vom Antiviren-Radar.

Länder mit dem größten Infektionsrisiko

Um den Grad des Infektionsrisikos, dem die Anwender-Computer in den verschiedenen Ländern ausgesetzt sind, via Internet zu bestimmen, haben wir für jedes Land berechnet, wie häufig im Laufe des Quartals Kaspersky Web-Anti-Virus bei den Anwendern Alarm geschlagen hat.

Top 10 der Länder, in denen Anwender-PCs dem höchsten Infektionsrisiko via Internet ausgesetzt waren

Position Land Prozent einzelner
Computer **
1 Oman 55,7 Prozent
2 Russland 49,5 Prozent
3 Irak 46,4 Prozent
4 Aserbaidschan 43,6 Prozent
5 Armenien 43,6 Prozent
6 Sudan 43,4 Prozent
7 Saudi-Arabien 42,6 Prozent
8 Weißrussland 41,8 Prozent
9 USA 40,2 Prozent
10 Kuwait 40,2 Prozent

* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt).

** Prozentualer Anteil von Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Mit Ausnahme der USA lassen sich die Länder der Top 10 in zwei Kategorien unterteilen. Bei der ersten Gruppe handelt es sich um osteuropäische Länder, in denen verschiedene Betrugsprogramme sehr weit verbreitet sind. Dazu gehören unter anderem Schädlinge, die für die Geldüberweisung an die Cyberkriminellen eine SMS an eine Premium-Nummer senden, zum Beispiel Hoax.Win32.ArchSMS.

Die zweite Kategorie bilden Länder des Nahen Ostens: Irak, Sudan, Oman, Saudi-Arabien und Kuwait. Das höchste Infektionsrisiko wurde in Oman registriert, wo jeder zweite Anwender innerhalb des Quartals fast einer Attacke ausgesetzt war.

Nach dem Grad des Infektionsrisikos der Anwender-Computer lassen sich alle Länder in verschiedene Gruppen einteilen.

  1. Gruppe mit erhöhtem Risiko. Zu dieser Gruppe mit Werten zwischen 41 und 60 Prozent gehören acht der zehn Länder aus den Top 10: Oman, Russland, Irak, Aserbaidschan, Armenien, Sudan, Saudi-Arabien und Weißrussland.
  2. Risikogruppe. In der Gruppe mit Werten von 21 Prozent bis 40 Prozent sind 94 Länder vertreten, darunter die USA (40,2 Prozent), China (34,8 Prozent), England (34,6 Prozent), Brasilien (29,6 Prozent), Peru (28,4 Prozent), Spanien (27,4 Prozent), Italien (26,5 Prozent), Frankreich (26,1 Prozent), Schweden (25,3 Prozent) und die Niederlande (22,3 Prozent).
  3. Gruppe der sichersten Länder beim Surfen im Internet. Zu dieser Gruppe zählten im zweiten Quartal 2011 insgesamt 28 Länder mit Werten zwischen 11,4 und 20 Prozent, darunter die Schweiz (20,9 Prozent), Polen (20,2 Prozent), Singapur (19,6 Prozent) und Deutschland (19,1 Prozent).

 
Infektionsrisiko der Anwender-Computer via Internet in verschiedenen Ländern

Im Vergleich zum ersten Quartal 2011 hat sich die Zusammensetzung der Gruppe mit erhöhtem Infektionsrisiko geändert – herausgefallen sind Kasachstan (-1 Prozentpunkt), hinzugekommen sind der Sudan (+4,5 Prozentpunkte) und Saudi-Arabien (+2,6 Prozentpunkte).

Besonders bemerkenswert ist, dass sich die USA mit einem Wert von 40,2 Prozent an die Gruppe mit erhöhtem Risiko annähern. Zum einen hängt das mit der Zunahme von Fake-Antiviren-Programme zusammen, über die wir im ersten Teil der Analyse bereits berichteten. Der allgemeine Anstieg der Zahl entdeckter gefälschter Antiviren-Programme ist in erster Linie auf die zunehmende Zahl der Detektionen in den USA zurückzuführen. Cyberkriminelle in den Vereinigten Staaten versuchen zudem aktiv, Computer mithilfe von Bot-Clients des Netzes TDSS und Gbot zu infizieren. Die Webseiten, von denen aus diese Programme verbreitet werden, befinden sich nach Häufigkeit des versuchten Downloads von Schadprogrammen in dieser Region auf Platz zwei und sechs.

Zur Risikogruppe gehörten im zweiten Quartal acht Länder mehr als im ersten. Hier sind Länder aus aller Welt vertreten. Die beim Surfen im Internet sicherste Gruppe verringerte sich um fünf Länder. Unter anderem schied Finnland aus und landete in der Risikogruppe. Der Prozentsatz der beim Surfen angegriffenen Internetnutzer ist in den folgenden Ländern am geringsten: Japan (13 Prozent), Taiwan (13,7 Prozent), Tschechien (16,1 Prozent), Dänemark (16,2 Prozent), Luxemburg (16,9 Prozent), Slowenien (17,8 Prozent) und die Slowakei (18,3 Prozent).

Lokale Bedrohungen

Alle statistischen Daten in diesem Abschnitt basieren auf der Arbeit des Echtzeit-Scanners.

Auf den Anwender-Computern erkannte Objekte

Im zweiten Quartal 2011 blockierten unsere Antiviren-Lösungen 413.694.165 Versuche einer lokalen Infektion auf den Computern der Anwender, die am Kaspersky Security Network teilnehmen.

Dabei wurden insgesamt 462.754 verschiedene schädliche und potentiell unerwünschte Programme registriert. Dazu zählen insbesondere Objekte, die nicht über das Internet, E-Mail oder Netzports in die Systeme eindrangen, sondern beispielsweise über ein lokales Netz oder mobile Speichermedien.

Man sieht, dass es im Vergleich zu den Infektionsversuchen drei einzelne Objekte weniger gibt. Das zeugt davon, dass die Entwicklung von Schadprogrammen vermutlich in den Händen eines kleinen Personenkreises liegt.

Top 20 der auf den Computern der Anwender entdeckten Objekte

Position Name* Prozent einzelner
Anwender**
1 DangerousObject.Multi.Generic 35,93 Prozent
2 Trojan.Win32.Generic 23,02 Prozent
3 Net-Worm.Win32.Kido.ir 13,48 Prozent
4 Virus.Win32.Sality.aa 5,92 Prozent
5 AdWare.Win32.FunWeb.kd 4,99 Prozent
6 Net-Worm.Win32.Kido.ih 4,57 Prozent
7 Virus.Win32.Sality.bh 4,44 Prozent
8 Trojan.Win32.Starter.yy 4,43 Prozent
9 Hoax.Win32.ArchSMS.heur 3,91 Prozent
10 Worm.Win32.Generic 3,65 Prozent
11 Trojan-Downloader.Win32.Geral.cnh 2,62 Prozent
12 Virus.Win32.Sality.ag 2,45 Prozent
13 HackTool.Win32.Kiser.zv 2,29 Prozent
14 Hoax.Win32.ArchSMS.pxm 2,22 Prozent
15 HackTool.Win32.Kiser.il 2,19 Prozent
16 Worm.Win32.FlyStudio.cu 2,09 Prozent
17 Trojan.JS.Agent.bhr 2,03 Prozent
18 Virus.Win32.Nimnul.a 2,02 Prozent
19 Hoax.Win32.Screensaver.b 1,95 Prozent
20 Trojan-Downloader.Win32.VB.eql 1,81 Prozent

* Die Statistik basiert auf Daten von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.
** Prozentualer Anteil der einzelnen Anwender-Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen Computern mit Kaspersky-Produkten, auf denen Anti-Virus Alarm geschlagen hat.

Den ersten Platz im Ranking belegen verschiedene Programme, die mithilfe von Cloud-Technologien detektiert werden. Diese Technologien greifen dann, wenn in den Antiviren-Datenbanken bisher weder Signaturen noch Heuristiken für die Erkennung von Schadprogrammen vorhanden sind, dafür aber in der Cloud des Unternehmens bereits Informationen über das Objekt bereitstehen. In diesem Fall wird das erkannte Objekt als DangerousObject.Multi.Genric bezeichnet.

Zehn Vertreter der Top 20 verfügen entweder über Selbstverbreitungsmechanismen oder werden als ein Element im Verbreitungsschema von Würmern verwendet. In diesem Quartal beobachteten wir eine explosionsartige Zunahme von Infektionen mit dem neuen Schädling Virus.Win32.Nimnul.a. Dieses Schadprogramm breitet sich auf zwei Arten aus: durch die Infektion von ausführbaren Dateien und über mobile Datenträger unter Verwendung der Funktion Autostart. Die Hauptverbreitungsregion liegt in asiatischen Ländern, etwa Indonesien (20,7 Prozent), Indien (20 Prozent) und Vietnam (16,6 Prozent), wo die Betriebssysteme selten aktualisiert werden und längst nicht auf jedem Computer Schutz-Software installiert ist. Die Hauptaufgabe des Schädlings besteht im Download einer Backdoor auf den befallenen Computer, und zwar Backdoor.Win32.IRCNite.yb, die sich mit einem entfernten Server verbindet und den Opfer-Computer an ein Zombie-Netzwerk anschließt.

Im Ranking sind nur zwei Familien von infizierenden Schädlingen vertreten – Sality und Nimnul. Die Entwicklung dieser Art von Schadprogrammen erfordert einen hohen Zeitaufwand und hervorragenden Kenntnisse des Betriebssystems, der Dateiformate und so weiter. Dabei werden die Antiviren-Unternehmen in der Regel sehr schnell auf die Ausbreitung dieser Art von Malware aufmerksam. Der Einsatz von Viren ist heute nur einigen wenigen Virenautoren oder kriminellen Gruppen vorbehalten, und die Zahl von infizierenden Schädlingen könnte in nächster Zukunft weiter abnehmen. Sehr wahrscheinlich werden komplizierte Infektoren hauptsächlich in zielgerichteten Attacken eingesetzt, bei denen es auf einen hundertprozentigen Befall des Ziels ankommt, und bei denen die Auftraggeber der Attacken bereit sind, in technologisch hochkomplexe Schadprogramme zu investieren.

Länder, in denen Computer dem höchsten Infektionsrisiko ausgesetzt waren

In den verschiedenen Ländern haben wir den prozentualen Anteil der KSN-Anwender ermittelt, auf deren Computern Versuche einer lokalen Infektion blockiert wurden. Die so erhaltenen Zahlen spiegeln das durchschnittliche Infektionsrisiko der Computer in dem einen oder anderen Land wider.

Top 10 der Länder mit dem höchsten Risiko einer lokalen Infektion

Platz Land Prozent einzelner
Anwender**
1 Bangladesch 63,6 Prozent
2 Sudan 61,0 Prozent
3 Irak 55,5 Prozent
4 Nepal 55,0 Prozent
5 Angola 54,4 Prozent
6 Tansania 52,6 Prozent
7 Afghanistan 52,1 Prozent
8 Indien 51,7 Prozent
9 Ruanda 51,6 Prozent
10 Mongolei 51,1 Prozent

* Von unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Anwender von Kaspersky-Produkten relativ gering ist (weniger als 10.000).
** Prozentualer Anteil der Anwender, auf deren Computern lokale Bedrohungen blockiert wurden, an allen Anwendern von Kaspersky-Produkten in dem Land.

Im Vergleich zum ersten Quartal 2011 hat sich in der Zusammensetzung der zehn Länder, in denen die Computer der Anwender dem größten Risiko einer lokalen Infektion ausgesetzt waren, eine interessante Veränderung ergeben. In den Top 10 ist nun auch Indien vertreten, wo in den letzten drei Monaten jeder zweite Anwender mindestens einmal dem Risiko einer lokalen Infektion ausgesetzt war.

Die Attraktivität Indiens für Cyberkriminelle steigt bereits seit Längerem – parallel mit der Zahl der Computer in diesem Land. Durch die allgemein geringe Computer-Bildung der Bevölkerung und die Menge an Piraten-Software, die nicht aktualisiert wird, wird dieser Umstand zusätzlich begünstigt. Die Schädlinge, die versuchen, in die Systeme der indischen Computer-Anwender einzudringen, sind größtenteils auf den Aufbau von Botnetzen ausgerichtet. Hier haben wir es mit einer Vielzahl von selbstverbreitenden Schädlingen zu tun, zum Beispiel Virus.Win32.Sality, Virus.Win32.Nimnul, IM-Worm.Win32.Sohanad. Bemerkenswert sind auch verschiedene Modifikationen von Autorun-Würmern und Trojanern.

Bekanntermaßen veröffentlichte Microsoft im ersten Quartal einen Sicherheitspatch, das den Autostart auf mobilen Speichermedien blockiert. Doch der Patch wird nur auf sich selbst aktualisierenden Systemen installiert, von denen es in Indien nicht besonders viele gibt. Augenscheinlich ist Indien für Botmaster ein Aufmarschgebiet von Millionen ungeschützter Rechner, die für eine lange Zeit im Zombie-Netz aktiv bleiben können.

Auch hinsichtlich des Risikos einer lokalen Infektion lassen sich alle Länder in mehrere Gruppen einteilen:

  1. Zur Gruppe mit dem maximalen Infektionsniveau mit einem Wert von über 60 Prozent gehören Bangladesch (63,6 Prozent) und der Sudan (61 Prozent).
  2. Die Gruppe mit hohem Infektionsniveau (41-60 Prozent) bilden 36 Länder, darunter Indien (51,7 Prozent), Indonesien (48,4 Prozent), Kasachstan (43,8 Prozent), Russland (42,2 Prozent).
  3. Die Gruppe mit mittlerem Infektionsniveau (21-40 Prozent) bilden 58 Länder, darunter die Ukraine (38,4 Prozent), die Philippinen (37,1 Prozent) und Thailand (35,7 Prozent), China (35,3 Prozent), die Türkei (32,9), Ecuador (31,1 Prozent), Brasilien (30 Prozent) und Argentinien (27,3),
  4. Zur Gruppe mit dem geringsten Niveau eine lokalen Infektion zählen 34 Länder.

 
Risiko einer lokalen Infektion von Computern in verschiedenen Ländern

Insgesamt verringerte sich die Zahl der Länder mit hohem Infektionsniveau im Laufe des Quartals um zwölf Länder; die Zahl der Länder mit mittlerem Niveau ist um drei und die der Länder mit dem geringsten Infektionsniveau um zehn Länder gestiegen.

Zur Gruppe mit dem geringsten Infektionsniveau gesellten sich einige europäische Länder: Griechenland (19,9 Prozent), Spanien (19,4 Prozent), Italien (19,3 Prozent), Portugal (18,6 Prozent), die Slowakei (18,2 Prozent), Polen (18,1 Prozent), Slowenien (17,2 Prozent) und Frankreich (14,7 Prozent). Die Abnahme der Infektionsversuche in diesen Ländern hängt in erster Linie mit einem enormen Rückgang von Vorfällen mit Autorun-Würmern infolge einer Aktualisierung des vorherrschenden Betriebssystems Windows zusammen. Bemerkenswert ist, dass auch die Slowakei und Slowenien nun zu den beim Surfen sichersten Ländern zählen.

Die Top 5 der sichersten Länder, gemessen am Risiko einer lokalen Infektion, setzen sich folgendermaßen zusammen:

Position Land Prozent einzelner
Anwender
1 Japan 8,2 Prozent
2 Deutschland 9,4 Prozent
3 Dänemark 9,7 Prozent
4 Luxemburg 10,0 Prozent
5 Schweiz 10,3 Prozent

Sicherheitslücken

Im zweiten Quartal 2011 wurden auf den Computern der Anwender 27 289 171 verwundbare Anwendungen und Dateien entdeckt. Auf jedem angreifbaren Computer fanden wir durchschnittlich zwölf verschiedene Sicherheitslücken.

Es folgt eine tabellarische Übersicht der Top 10 der Sicherheitslücken, die am häufigsten auf den Anwender-Computern gefunden wurden.


Secunia ID - Name und Links auf die Beschreibung der Sicherheitslücke Möglichkeiten, die sich durch die Ausnutzung der Sicherheitslücke ergeben Prozentualer Anteil der Anwender, bei denen die Sicherheitslücke entdeckt wurde Ausgabe-datum Einstufung
1 SA 41340 Adobe Reader / Acrobat SING "uniqueName" Buffer Overflow Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 40.78 Prozent 08.09.2010 Extrem kritisch
2 SA 43262 Sun Java JDK / JRE / SDK Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers Aufdecken sensibler Daten Datenmanipulation DoS (Denial of Service) 31.32 Prozent 09.02.2011 Hochkritisch
3 SA 44119 Adobe Flash Player SharedObject Type Confusion Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 24.23 Prozent 12.04.2011 Extrem kritisch
4 SA 44590 Adobe Flash Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers Aufdecken sensibler Daten 23.71 Prozent 13.05.2011 Hochkritisch
5 SA 41917 Adobe Flash Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers Aufdecken sensibler Daten Umgehen der Systemsicherheit 21.62 Prozent 28.10.2010 Extrem kritisch
6 SA 44784 Sun Java JDK / JRE / SDK Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers Aufdecken sensibler Daten Datenmanipulation DoS (Denial of Service) 12.16 Prozent 08.06.2011 Hochkritisch
7 SA 43751 Adobe Flash Player / AIR AVM2 Instruction Sequence Handling Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 9.40 Prozent 08.06.2011 Extrem kritisch
8 SA 44964 Adobe Flash Player Unspecified Memory Corruption Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 9.05 Prozent 15.06.2011 Extrem kritisch
9 SA 42112 Adobe Shockwave Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 8.78 Prozent 03.11.2010 Hochkritisch
10 SA 44846 Adobe Flash Player Unspecified Cross-Site Scripting Vulnerability Cross-Site-Scripting 8.18 Prozent 06.06.2011 Weniger kritisch

Erstmals in der Geschichte dieses Rankings sind hier Produkte von nur zwei Unternehmen vertreten – Adobe und Oracle (Java). Wie wir bereits in früheren Berichten prognostizierten, sind die Microsoft-Produkte aus der Hitliste verschwunden. Das ist vor allem auf die verbesserten Mechanismen der automatischen Aktualisierung und den steigenden Windows-7-Anteil zurückzuführen.

 
Hersteller verwundbarer Produkte aus den Top 10 der Sicherheitslücken

Sieben der Sicherheitslücken aus den Top 10 stehen mit nur einem Produkt in Verbindung: Adobe Flash Player.

Praktisch komplett verschwunden aus den Top 10 sind Sicherheitslücken aus den Jahren 2008-2007. Sieben von zehn Schwachstellen wurden 2011 entdeckt, die übrigen drei im Jahr 2010. Das hängt mit dem allmählichen Übergang von Windows XP und Vista auf das System Windows 7 zusammen, in dem die automatische Aktualisierung weitaus problemloser funktioniert.


Verteilung der Sicherheitslücken aus den Top 10 nach Auswirkungen auf das System

Neun der Sicherheitslücken aus den Top 10 gewähren Cyberkriminellen vollen Zugriff auf das System. Vier Schwachstellen ermöglichen zudem den Zugriff auf wichtige Informationen auf dem Computer des Anwenders.

Fazit

Im Laufe des zweiten Quartals 2011 beobachteten wir einen neuen Schritt in der Entwicklung gefälschter Antiviren-Programme. Die Veränderungen betreffen nicht nur die Menge der verbreiteten Programme, sondern auch deren Qualität. Die Zahl der versuchten Installationen von Fake-Antiviren-Software auf den Computern der KSN-Teilnehmer stieg um 300 Prozentpunkte! Setzt sich die Zunahme in diesem Tempo fort, so könnten sich die Werte bereits im laufenden Quartal denen vom Jahresbeginn 2010 annähern – dem Höhepunkt der Entwicklung von gefälschten Antiviren-Programmen. Bezüglich der Qualität registrierten wir das Erscheinen von Fälschungen auf einer neuen Plattform – MacOS X. Leider kümmern sich die Anwender dieses Systems noch zu wenig um die Sicherheit ihrer Rechner, daher haben sich die Computer mit dem Apfel zu einem Leckerbissen für die Virenschreiber entwickelt. Gefälschte Antiviren-Produkte unter MacOS werden mithilfe der sogenannten Partnerprogramme verbreitet. Das bedeutet, dass sich professionelle Virenautoren für diese Plattform interessieren und in nächster Zukunft das Erscheinen noch komplizierterer und gefährlicherer Schadprogramme unter MacOS zu erwarten ist.

Das zweite Quartal 2011 war zudem von einem explosionsartigen Anstieg von Schädlingen für mobile Plattformen geprägt. Heute interessieren sich Web-Gangster am deutlichsten für zwei Plattformen, und zwar J2ME und Android. Im Vergleich zum ersten Quartal 2011 verdoppelte sich die Zahl der hinzugefügten Einträge, die Schadprogramme unter J2ME erkannten; die unter Android stieg um das Dreifache. Die Art, wie Cyberkriminelle mit den mobilen Schadprogrammen Geld abgreifen, unterscheidet sich von dem Einnahmeschema, das für PC-Schädlinge zum Tragen kommt. Die Online-Betrüger nutzen Premium-Nummern und Abonnements für kostenpflichtige Dienste, mit deren Hilfe sie das mobile Konto des Telefonbesitzers plündern. In näherer Zukunft werden die Virenschreiber neue Wege finden, sich illegal zu bereichern, daher werden die Neuigkeiten von der „mobilen Front“ nicht abreißen und der Bedarf an den entsprechenden Schutztechnologien wird folglich steigen.

Die Hacktivismus-Bewegung entwickelt sich weiter und erfasst immer mehr Länder. Die Macht der Hacktivisten ergibt sich nicht allein durch ihre Professionalität, sondern auch durch die Anzahl der beteiligten Hacker – dem Druck einer Vielzahl von Hacks kann längst nicht jede Webseite standhalten. Die Zahl der Hacktivisten nimmt zu, weil das Internet bei allen Aktionen das Gefühl von Anonymität und Sicherheit vermittelt. Daher können die Strafverfolgungsbehörden eine Reihe von anonymen Hacktivisten zur Aufhebung ihrer Anonymität zwingen, indem sie sie finden und bestrafen. Die Regierungen verschiedener Länder sind nicht nur an der Festnahme der Hacker interessiert, sondern auch am Stoppen der Hacktivismus-Bewegung selbst, was wiederum zu härteren Strafen für Computer-Verbrechen führen kann, darunter auch DDoS-Attacken, sowie zum Abschluss von Verträgen über die Zusammenarbeit verschiedener Länder und die Weitergabe von Informationen zu laufenden Ermittlungen im Falle von Hacktivisten.

Der Suchmaschinen-Gigant Google versucht bereits zum dritten Mal, in den Markt der Sozialen Netzwerke einzudringen. Dieses Mal hat das Unternehmen aus früheren Fehlern gelernt. Das Projekt Google+, das schon jetzt ein großes Medienecho hervorgerufen hat, zieht offensichtlich sowohl die Aufmerksamkeit von Cyberkriminellen als auch von Cyberhooligans auf sich, die den neuen Dienst zu ihren Zwecken ausnutzen wollen. Außerdem wirkt ein neues Produkt eines Großunternehmens normalerweise wie ein rotes Tuch auf diejenigen, die immer auf der Suche nach neuen Sicherheitslücken sind und darauf brennen, das Sicherheitssystem des neuen Services einer eingehenden Prüfung zu unterziehen. Facebook und Twitter gehören bereits zu den Lieblingsverbreitungsorten von Schadprogrammen, und Google+ wird dabei höchstwahrscheinlich keine Ausnahme bilden.

Quelle:
Kaspersky Lab
Weiterführende Links
Artikel
Entwicklung der IT-Bedrohungen im zweiten Quartal 2013
Kaspersky Security Bulletin 2012: Spam im Jahr 2012
Kaspersky Security Bulletin 2012. Cyberwaffen
Kaspersky Security Bulletin: Statistik für das Jahr 2012
Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2012
 

Copyright © 1996 - 2014
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com
Datenschutzbestimmungen