Die Entwicklung der Schadprogramme in 2005, Teil 2

In diesem Artikel setzen wir unseren Bericht über die Entwicklung der Schadprogramme im Jahr 2005 fort. In diesem Teil werden Entwicklungstendenzen innerhalb der kriminellen Szene untersucht und die aktuelle Situation analysiert. Zudem bietet der Bericht eine Vielzahl statistischer Zahlen und Fakten für alle interessierten Anwender und vor allem auch für Sicherheits-Experten.

Wichtige Ereignisse im Jahr 2005

Die Konfrontation verschärft sich

Eine der wichtigsten Tendenzen des Jahres 2005 ist zweifellos die verschärfte Konfrontation – und zwar nicht nur zwischen Cyber-Kriminellen und Herstellern von Antiviren-Programmen, sondern auch zwischen den Cyber-Gangstern untereinander. Darüber hinaus hat das vergangene Jahr gezeigt, dass die Kriminellen immer häufiger auch staatliche Einrichtungen angreifen, da die Gewinne, die sie auf Kosten der einfachen Anwender erzielen, offenbar nicht mehr ausreichen.

Wodurch wird diese These gestützt? Es ist längst offensichtlich, dass die Zeiten der Cyber-Hooligans – einzelner „Enthusiasten“, die ihre einsamen Abende damit verbringen, akribisch mit Assembler ihre „Werke zu komponieren“ – vorbei sind. Nach Meinung vieler Experten übertreffen die Gewinne der Übeltäter die der gesamten Antivirus-Industrie um ein Vielfaches.

Heute verfolgen die Übeltäter die Aktivitäten der Antivirus-Unternehmen ebenso eifrig, wie die Antivirus-Unternehmen die Aktionen der Virenautoren. Deutlich wird das dadurch, dass die Cyber-Kriminellen Multiscanner einsetzen (eine Reihe von Filescannern sämtlicher weltweit führender Hersteller von Antiviren-Lösungen), um zu prüfen, ob die jeweils aktuellste, eben erst erstellte Version eines Schadprogramms möglicherweise noch nicht in den Antivirus-Datenbanken der Hersteller registriert ist. Die entsprechende Malware wird nur dann in Umlauf gebracht, wenn sie von den vorhandenen Antiviren-Programmen nicht entdeckt wird.

Die Kriminellen versuchen nahezu in jeder Update-Entwicklungsstufe anzugreifen. Betrachten wir diese Stufen, die ein Hersteller von Virenschutzprogrammen absolvieren muss, bevor das Antivirus-Update für den User zur Verfügung gestellt werden kann, einmal etwas
genauer. Es sind insgesamt vier Schritte, jeder Stufe entspricht ein Schritt in Abbildung 1:

Releaseprozess der Updates.
  • Schritt 1. Abfangen eines verdächtigen Inhalts im Netz (egal, ob Internet, Mobilfunknetz oder ein anderes). Auf dieser Stufe wenden die Übeltäter mehrere Methoden an: Sie spüren die Sammelstellen von Schadprogrammen im Netz auf und umgehen sie beziehungsweise organisieren DDoS-Attacken auf die aufgespürten Slaves, so dass diese während dem Angriff blockiert sind. Das Targeting beim Verschicken von Schadprogrammen erschwert das Abfangen ebenfalls enorm. Die Autoren des bekannten Virus Bagle verfolgten den Zugriff auf ihre Links, unter denen sie die aktuellsten Versionen der Malware platzierten. Statt der Virus-Datei erhielt man allerdings meist eine Fehlermeldung. Dadurch gelangten einige Dutzend Hersteller von Virenschutzprogrammen sowie Forschungszentren für Netz-Traffic in die schwarze Liste der häufigen Besucher, die von den Malware-Autoren geführt wurde.
  • Schritt 2. Analyse des Schadprogramms. In diesem Bereich wurde in der letzten Zeit nichts Neues entwickelt. Allerdings sind polymorphe Technologien weiter auf dem Rückzug, zugunsten von immer wieder neuverpackten EXE-Programmen, verpackt durch Packer (Programme zum Verpacken von EXE-Dateien unter Beibehaltung der Möglichkeit zur eigenständigen Ausführung), die für Antivirenprogramme unbekannt sind.
  • Schritt 3. Update-Release. Dies ist wohl der einzige Schritt, zu dem die Übeltäter im Moment noch keine effektiven Gegenmaßnahmen gefunden haben.
  • Schritt 4. Installation des Updates durch den Anwender. Um die Installation von Antivirus-Updates am infizierten PC des Anwenders zu verhindern, greifen die Autoren der Schadprogramme vermehrt zu Modifikationen der Hosts-Datei, wodurch dem Geschädigten der Zugang zu den Update-Servern der Antivirus-Unternehmen verwehrt wird.

Es ist anzumerken, dass bei Schritt 4 das Update sowohl für die Anwender als auch für die Kriminellen zugänglich wird, die sofort erkennen, dass ihr Code entschlüsselt wurde, und im Gegenzug eine neue Version des Schadcodes entwickeln.

Die untersuchten Aktionen treffen bisher nur auf einige Gruppen von Virusschreibern zu, jedoch lassen die Jahresergebnisse eine besorgniserregende Tendenz zur Vereinigung bestehender Gruppen und Entstehung neuer erkennen.
Die Gründe für die Cyber-Vandalen, den Antivirus-Unternehmen Steine in den Weg zu legen, liegen auf der Hand: Es ist ihr Kampf ums tägliche Brot, das heißt um das Geld, das auf die eine oder andere Weise mit infizierten PCs zu verdienen ist. Aus diesem Grunde waren im Jahr 2005 auch immer häufiger Konflikte zwischen den einzelnen Malware-Autoren zu beobachten – ein weiterer Schritt hin zu beginnenden Cyberkriegen.

Die Methoden des Kampfes zwischen den Gruppen und einzelnen Vertretern der kriminellen Szene sind äußerst vielfältig. Da werden zum einen Schadprogramme eingesetzt, die die Kreationen der feindlichen Gruppierung zerstören, zum anderen gibt es gegenseitige Drohungen beziehungsweise Drohungen an Hersteller von Virenschutz-Software, die Polizei oder sonstige Dienste (ein solches Schadprogramm ist zum Beispiel Net-Worm.Win32.Lebreat, das Drohungen gegenüber den Bagle-Autoren enthält). Eine weitere Tatsache, die auf eine entstehende Konfrontation hinweist, sind die im letzten Jahr aufgetretenen Fälle von Gerangel um Ressourcen von infizierten Computern. So kam es Anfang November 2005 zu einem weiteren Fall von Botnet-Eroberung: Im Verlaufe dieser Aktion gegnerischer Gruppen wechselte das Netz infizierter Rechner innerhalb von 24 Stunden dreimal den „Eigentümer“. Den Übeltätern ist klar, dass es viel einfacher ist, an fertige Ressourcen aus infizierten Computern zu gelangen, als in mühevoller Kleinarbeit ein eigenes Botnet zu unterhalten oder Geld auszugeben für Teile eines bereits zur Verfügung stehenden Botnets.

Es ist überaus interessant, die Kommunikation der Cyber-Gangster über ihre eigenen Diskussionsplattformen zu verfolgen. Die angeheizte Atmosphäre zeigt sich darin, dass man sich gegenseitig Schadprogramme unterjubelt, getarnt als unterschiedlichste Keygens oder Cracker. Auch Diebstahl virtuellen Eigentums ist an der Tagesordnung, indem man in die Diskussionen speziell gestaltete Emails einschmuggelt, deren Öffnung zur Infektion des Computers des Opfers führen kann. Das heißt, auch gegeneinander verhalten sie sich entsprechend „gentlemanlike“, wie es auch im Umgang mit den Anwendern der Fall ist. Die weitere Kommunikation verläuft dann in Form von Drohungen oder gegenseitigen DDoS-Attacken. Die Virenautoren wissen genau um die Gefahren ihrer Handlungen, diskutieren durchaus die Vorzüge von Antivirus-Produkten und vergessen dabei ganz offensichtlich, dass sie Schutz suchen vor Programmen, die von ebensolchen Virenschreibern fabriziert wurden wie sie selbst. Sie schützen sich also mit Programmen, die entwickelt wurden, um auch ihre eigenen „Kunstwerke“ unschädlich zu machen.

Die Verbrecher beschränken ihre Angriffe allerdings nicht mehr nur auf Privatpersonen. Im Vergleich zu 2004 verübten die Cyber-Vandalen – offensichtlich übermütig geworden durch bisherige Straffreiheit – im letzten Jahr häufiger Angriffe auf verschiedene staatliche Einrichtungen: So kam es zu zahlreichen Übergriffen auf Staatsbanken, Internet-Handelsplätze sowie militärische und andere Einrichtungen. Dies ist vor allem deshalb besorgniserregend, als die Wirtschaft sowohl der entwickelten als auch der Entwicklungsländer maßgeblich von den Informationstechnologien abhängig ist.

Zunehmend erkennt auch der Staat den Ernst der Lage. Doch was hat er der Kriminalität in der aktuellen Situation entgegenzusetzen? Das vergangene Jahr brachte einen grundlegenden Anstieg von Aktivitäten der Rechtsschutzorgane in praktisch allen entwickelten Ländern. Als Beispiele mögen folgende Aufsehen erregende Fälle dienen:

  • Am 26. August wurden die zwei Autoren des Wurms Zotob verhaftet (der Marokkaner Farid Essebar, 18 Jahre alt, und der Türke Atilla Ekici, 21). Dieser Wurm führte zum Zusammenbruch der Netzinfrastruktur bei ABC, CNN, The New York Times und anderen Firmen. Vom ersten Auftreten des Wurms bis zur Ergreifung der Täter waren weniger als zwei Wochen vergangen;
  • 37 Jahre Haft erhielten zwei nigerianische Gauner für das Versenden der sogenannten „nigerianischen Briefe“ (auch bekannt als Nigeria Connection);
  • die brasilianische Polizei verhaftete 85 Personen im Zusammenhang mit dem Verschwinden von einigen Dutzend Millionen US-Dollar. Die Verbrecher stahlen das Geld über das Internet von den Konten der Kunden einiger Finanzinstitute.

Die Arbeit der Rechtschutzorgane wird durch den transnationalen Charakter der Kriminalität erschwert. Immer häufiger kommt es vor, dass die Verbrechen in einem bestimmten Land verübt werden, die Kriminellen aber in einem anderen Land leben.

Zum Abschluss dieses Kapitels muss angemerkt werden, dass die Anstrengungen der staatlichen Organe im Kampf gegen die Cyber-Kriminalität in keiner Weise ausreichend sind. Die Zahl der erfolgreichen Angriffe auf staatliche (aber auch nicht-staatliche) Informationsressourcen steigt sehr viel rasanter als die Gegenwehr seitens des Staates.

Die Reaktionsgeschwindigkeit steigt

Da die neuen Anwender mittlerweile eine Ressource darstellen, mit der die Schadprogrammschreiber gewaltige finanzielle Mittel erwirtschaften, ist die Reaktionsgeschwindigkeit der Antivirus-Industrie einer der Schlüsselparameter.

Leider lassen es die meisten Anwender (Anfänger wie Fortgeschrittene) an der nötigen Aufmerksamkeit für diese Problematik fehlen, was unsere Umfragen immer wieder bestätigen:

Häufigkeit des Updatings durch die Anwender, in % (Ergebnisse einer Internetbefragung).

Die Ergebnisse der Befragung zeigen, dass lediglich 24 Prozent der Anwender mindestens einmal täglich ein Update durchführen. Berücksichtigt man die Frequenz des Auftretens von Schadprogrammen (Abb.3), so wird ersichtlich, wie viele Schadprogramme bei jedem stündlichen Antivirus-Update entdeckt und von den restlichen 76 Prozent der Anwender möglicherweise verpasst werden.

Displayanzeige der Webseite www.kaspersky.com/viruswatchlite

Bereitet man die Rate der jährlich vorgenommenen neuen Antivirus-Einträge in Form eines Histogramms auf, so sieht man deutlich, dass das Wachstum eher exponential als linear verläuft, was davon zeugt, dass neue Schadprogramme in immer kürzer werdenden Abständen auftauchen:

Jährliche Erkennungsrate neuer Schadprogramme.

Leider hängt längst nicht alles von der Reaktionsschnelligkeit der Antivirus-Unternehmen ab. Es ist zwingend notwendig, dass der Anwender für den umfassenden Schutz seiner Computersysteme sorgt und Patches installiert, um Sicherheitslücken im Betriebssystem oder anderer Software abzudecken. Was passiert, wenn man dies unterlässt, zeigt eindrucksvoll der Fall des Exploits MS05-039. Die Situation im August 2005 belegte ein weiteres Mal die Zögerlichkeit der Anwender und die Aktivität der Übeltäter. Die Ereignisse entwickelten sich wie folgt:

Tägliche Erkennungsrate einzigartiger Exemplare von Schadprogrammen, die die Schwachstelle MS05-39 ausnutzten (August 2005).

Am 9. August brachte Microsoft einen Patch zum Flicken von MS05-39 heraus.

Drei Tage später (am 12. August) erschien ein PoC (Proof of Concept) und lediglich zwei weitere Tage brauchten die Virenschreiber, um ein erstes Schadprogramm auf Basis dieser Schwachstelle zu erstellen. Am 14. August erschien der Wurm Zotob (Bozori). Wie schon erwähnt, war er der Grund für den Zusammenbruch der Netze bei ABC, CNN und anderen Firmen. Das Histogramm zeigt, wie die Ereignisse ihren Lauf nahmen: Die Zahl der Schadprogramme auf Basis von Exploit.Win32.MS05-39 stieg sprunghaft an. Was lehrt uns dieses Beispiel? Eine rechtzeitige Installation von Patches ist ebenso wichtig wie ein rechtzeitiges Update der Antiviren-Software. Besonders, wenn man bedenkt, dass die Virenschreiber sich ständig in Erwartung neuer PoCs befinden, die kritische Sicherheitslücken ausnutzen, und das Auftreten von neuen kritischen Schwachstellen meist eine Flut von neuen Viren auslöst.

Besorgniserregend ist vor allem die Möglichkeit des Auftretens sogenannter Zero-Day-Exploits für kritische Sicherheitslücken, die leicht zu regelrechten Schadprogramm-Pandemien führen könnten.

Warum ist die Reaktions-Schnelligkeit so entscheidend? Lassen wir die Zahlen sprechen: Der Spam-Versand eines Schadprogramms mit Hilfe eines Botnets von infizierten Rechnern an einige Millionen (!) Adressen dauert etwa zwei Stunden. Es ist nur zu offensichtlich, das jede zusätzliche Minute Tausende und Abertausende neuer Opfer bedeutet.

Dies macht deutlich, dass jede zusätzliche Minute des Zögerns durch die Antivirus-Unternehmen den Übeltätern eine Vielzahl neuer potentieller Opfer beschert.

Und wieder der menschliche Faktor:

Der menschliche Faktor ist zweifelsohne einer der Hauptfaktoren für die Sicherheit der Computersysteme. Wir erwähnten ja bereits den Exploit MS05-39. Zweifellos hat auch hier der menschliche Faktor eine negative Rolle gespielt: Die Anwender hatten 5(!) Tage Zeit, um ein Update zum Blockieren der Schwachstelle zu installieren. Der Gerechtigkeit halber muss erwähnt werden, dass etwa aus Gründen der inneren Sicherheit einzelner Unternehmen oder sonstiger Einschränkungen nicht jeder in der Lage ist, ein Update zu installieren, jedoch resultierte der erlittene Schaden vieler Anwender ganz einfach aus menschlicher Schlamperei.

Ein anschauliches Beispiel dafür, wie aus menschlicher Schwäche heraus Dinge nicht zu Ende geführt werden, war der Fall einiger Sites, die von dem Wurm Monikey attackiert wurden. Dieses Schadprogramm verbreitete sich in Form von Briefen, getarnt als elektronische Glückwunschkarten. Die Briefe enthielten Links zum Wurm, der auf einer Vielzahl gehackter Sites platziert war. Viele Administratoren entfernten zwar den Wurm, unternahmen aber nichts, um den Kanal zu blockieren, durch den das Schadprogramm auf ihre Sites gelangte, was dazu führte, dass die Malware wieder und wieder auf ihrer Site Schaden anrichten konnte.

Leider fehlt es aber nicht nur Privatpersonen an der nötigen Aufmerksamkeit, auch große Unternehmen sind nicht vor Unachtsamkeit gefeit. So erschienen im Jahr 2005 ganz legale Produkte auf dem Markt, die einen Schadcode enthielten: Datenträger mit Schadprogrammen, virenverseuchte Veröffentlichungen oder Software, die ganz offen Virustechnologien verwendete. Einen kuriosen Fall gab es Ende 2005 in einem russischen Rechenzentrum, das Rechnungen für Kommunaldienstleistungen versendet. In den versandten Rechnungen war die Adresse einer nicht existierenden Domain angegeben: himbank.ru. An diese Adresse sollten die Kunden die Zahlungen per Internet überweisen. Unnötig zu erwähnen, dass jeder diese Domain für sich registrieren lassen und die elektronischen Geldbeutel der ahnungslosen Rechnungsempfänger hätte plündern können. Innerhalb kürzester Zeit hatten einige hundert Anwender die in den Rechnungen aufgeführte falsche Adresse angeschrieben.

Nun zum Social Engineering – einer Erscheinung, die auf der Ausnutzung menschlicher Schwächen basiert. Die Schadprogramm-Schreiber sind ja ständig auf der Suche und erfinden immer raffiniertere Tricks, um den menschlichen Faktor auszunutzen. Dies zeigen auch die Entwicklungen des letzten Jahres.
Einige tragische Ereignisse riefen die Cyber-Verbrecher auf den Plan und wurden für sie zu einer zusätzlichen Einnahmequelle. Dabei setzten sie auf das Interesse der Menschen an Informationen über diese Ereignisse. Hier einige Beispiele:

  • Dem Terrorakt in der Londoner U-Bahn, der 50 Menschenleben kostete, folgte der Spam-Versand eines Trojaner-Programms mit dem Betreff „TERROR HITS LONDON“. Zur Verschleierung enthielt der Text der E-Mail den falschen Hinweis, die Mitteilung sei auf Viren geprüft
  • Der Nachricht vom Ausbruch der Vogelgrippe folgte ein Massen-Spam-Versand von Angeboten für gefälschte Medikamente, die selbstverständlich in keiner Weise geeignet waren, die Vogelgrippe zu bekämpfen
  • Der Hurrikan Katrina löste einen Spam-Versand aus mit der Überschrift „Katrina killed as many as 80 people“. Dabei enthielt die verbreitete E-Mail selbst keinen Schadcode, war jedoch sehr schlau zusammengesetzt: In der E-Mail war lediglich ein Teil der Information enthalten, die darauf abzielte, das Interesse des Lesers zu wecken, der dann durch Klick auf den Link „Read more“ mehr erfahren wollte. Dabei lud er sich dann den schädlichen Code auf seinen Computer.

Die Übeltäter machen sich nicht nur das Interesse der Anwender an tragischen Ereignissen zunutze, sondern auch deren Lust auf mehr Informationen zu jeglicher Art von Geschehnissen oder Problemen, so auch zur Verbreitung von Schadprogrammen, so paradox das auch klingen mag. Die Lage ist derart kritisch, dass viele Anwender wahllos sämtliche verfügbaren Antivirus-Lösungen auf ihrem Rechner installieren in der irrigen Annahme, dass mehr Antiviren-Programme automatisch mehr Schutz bedeuten. Was das eine Programm nicht findet, entdeckt halt das zweite, dritte oder vierte: Dieser Irrglaube wird denn auch erfolgreich von den Übeltätern ausgenutzt, indem man per Spam-Versand ein Schadprogramm als Antiviren-Programm eines namhaften Herstellers getarnt verschickt. Das untergräbt natürlich auch das Vertrauen der Anwender in die Antivirus-Unternehmen und es ist oft sehr schwer, den Anwendern im Nachhinein zu erklären, dass die entsprechende Mitteilung gar nicht aus dem Hause des Unternehmens stammte.

Mit Blick auf die Besonderheiten der Antivirus-Industrie kann man sagen, dass die Cyber-Gangster ihr immer eine Nasenlänge voraus sind, denn am Anfang steht stets der Angriff, erst dann folgt die Verteidigung (was durchaus logisch ist). In einer Situation, in der es darum geht, Anwender für sein Produkt zu gewinnen, stehen genau diese Anwender häufig unbewusst auf der Seite der Übeltäter und machen ihnen den Angriff auf ihre Computer auch mit nicht-technischen Mitteln leicht. Das heißt also, die Antivirus-Unternehmen haben sich nicht nur mit technischen Angriffsmethoden auseinander zu setzen, sondern auch mit der Unwissenheit und Leichtgläubigkeit der Anwender. Trotz aktiver Aufklärungsarbeit seitens der Hersteller ist der Prozentsatz der Anwender, die dennoch Attachments unbekannter Absender öffnen, relativ hoch, wie unsere Umfrage zum Thema „Was bewegt Sie dazu, verdächtige Emails zu öffnen?“ zeigt:

Ergebnisse einer Umfrage zum Thema «Was bewegt Sie dazu, verdächtige Emails zu öffnen?»

Weitere Tendenzen

Neue Technologien

Neue Technologien entstehen sowohl im IT-Markt, als auch auf der Seite der Gangster.

Besorgniserregend ist dabei, dass nicht nur die neuen schädlichen Technologien in immer kürzeren Abständen auftreten, sondern auch vorhandene Technologien immer schneller zusammengeführt und übernommen werden, was die Effizienz der Infektion und die Ausweitung auf weitere Plattformen weiter erhöht.

Schritt für Schritt wird bereits der Markt mobiler Geräte (Smartphones, Pocket PCs usw.), die mit vollwertigen Betriebssystemen arbeiten, von den Kriminellen erobert. Die eigentliche Welle der Schadprogramme für Mobilfunkgeräte steht uns jedoch noch bevor. Eine steigende Zahl an Kunden, die ihre Bankgeschäfte mit Hilfe dieser Geräte abwickeln, wird diese Entwicklung begünstigen.

Immer öfter hört man den Begriff des „intelligenten Hauses“. Intelligente Häuser sind gegenwärtig noch nicht sehr weit verbreitet, jedoch gibt es die ersten bereits. Werden diese nun zu einer weiteren Plattform für Infektionen? Man wird sehen.

Rootkits

Wir verstehen unter Rootkit einen Programmbausatz oder Code, der ein Entdecken von Aktivitäten oder Objekten im System verhindert. In erster Linie werden damit von den Übeltätern Vorgänge, Dateien, Registerschlüssel oder Netzaktivitäten verborgen. Also alle Objekte, die zur Enttarnung eines Schadprogramms in einem infizierten System führen könnten.

Rootkits sind nach wie vor ein sich rasch entwickelnder Bereich, in dem die Cyber-Gangster operieren. Das ist auch nicht verwunderlich, angesichts der Tatsache, dass diese Technik die Lebensdauer der Schadprogramme im infizierten System entscheidend verlängert, da das Opfer nicht in der Lage ist, den Schädling mit den Standard-Instrumenten des Betriebssystems zu orten. Entdeckten wir im Jahre 2004 monatlich durchschnittlich etwas mehr als 6 Vertreter dieser Familie, so waren es Ende 2005 bereits 32 Stück pro Monat. Die Popularität stieg also fast um das Vierfache. Die grafische Darstellung der monatlichen Entdeckungsrate der Rootkits (Y-Achse) sieht folgendermaßen aus:

Anstieg des Beliebtheitsgrades von Rootkits.

Im Laufe des vergangenen Jahres war eine weitere Verlagerung des Interesses von Rootkits im Anwender-Modus auf Rootkits im Kernel-Modus zu beobachten (Artikel über Rootkits). Eine solche Interessensverlagerung ist ein Indiz dafür, dass sehr viele Anwender im Netz mit statistischen Einträgen der Administratoren arbeiten, ohne sich über die verheerenden Folgen im Klaren zu sein.

Business-Malware

Business-Malware ist ebenso allgemein bekannt wie CrimeWare. Andererseits ist nahezu jegliche Art von Software, die in Antivirus-Datenbanken eingeschleust wird, als kriminell einzustufen. Wir wollen uns hier aber nicht in Details hinsichtlich der Klassifizierung verlieren (dies wäre ein Thema für einen eigenständigen Artikel), sondern die Veränderungen untersuchen, die 2005 in diesem Bereich zu beobachten waren.

Am meisten verbreitet sind mittlerweile zweifellos die Schadprogramme, die auf den Diebstahl finanzieller Mittel abzielen. Im vergangenen Jahr wuchs diese Kategorie um das Fünffache(!), wie die folgende Grafik zeigt. Die Y-Achse spiegelt die Anzahl neuer Schadprogramme dieser Kategorie wider, die durch unsere Analysten im jeweiligen Monat entdeckt wurden (X-Achse).

Anstieg der Popularität von Business-Malware.

Diese Grafik zeigt, dass die Übeltäter im Electronic Banking und E-Commerce gute Bereicherungsmöglichkeiten für sich sehen. Darüber hinaus wurden im vergangenen Jahr verstärkt Schadprogramme abgefangen, die auf die Schädigung von dutzenden von Zahlungssystemen abzielen.

Erpressung

Erpressungen über das Internet nahmen im Jahr 2005 stetig zu.

Die Anonymität des Internet ermöglicht den Übeltätern ausgesprochen dreiste Erpressungsmethoden. Werden für Angriffe auf Unternehmen, die ihre Geschäfte elektronisch über das Internet abwickeln, häufig DDoS-Attacken eingesetzt, so bedient man sich gegen andere Anwender erfolgreich solcher Trojaner-Programme, die Daten verschlüsseln, um anschließend „Lösegeld“-Forderungen zu stellen. Die Daten werden durch die Cyber-Hooligans modifiziert, um die Aktivitäten der Anwender solange zu blockieren, bis die geforderte Summe überwiesen wurde.

Zu den 2005 aufgetauchten Schadprogrammen zählen unter anderem Virus.Win32.GPCode (codiert die Anwenderdaten auf der Festplatte) und Trojan.Win32.Krotten (modifiziert die System Registry, um den Computer zu blockieren).

Für viele Anwender ist es einfacher, gleich zu zahlen, als darauf zu warten, dass die Antivirus-Hersteller nach einigen Stunden Utilities zur Decodierung zur Verfügung stellen. Das Problem dabei ist jedoch, dass die Übeltäter durch Zahlung der geforderten Summen ermutigt werden, immer neue „Kreationen“ zu entwickeln – so geschehen bei GPCode, der sich von einer primitiven Version zu einer Variante mit asymmetrischer Verschlüsselung gemausert hat.
Die Entwicklung dieser Programme im letzten Jahr lässt einen sprunghaften Anstieg von Erpressungen in der Zukunft erwarten.

a name=“advice“>

Empfehlungen für die Anwender

Bei aller Vielfalt der aufgezeigten Probleme gibt es einige wenige und sehr einfache Grundregeln, deren Beachtung den Anwender vor fast allen der genannten möglichen Schadensfälle zuverlässig schützt:

  • Öffnen Sie keine unangekündigten Attachments oder Links in Mitteilungen. Das betrifft sowohl E-Mails als auch sonstige Mitteilungen, etwa über ICQ. Mehr noch: Diese Regel gilt sowohl bei unbekannten Absendern, als auch bei Ihren Bekannten, da es bereits eine große Zahl von Schadprogrammen gibt, die nach Infektion des Computers von dort aus E-Mails an alle im Adressbuch gefundenen Adressen senden und das Attachment oder den Link mit einem echt klingenden Text versehen, um den Empfänger zu veranlassen, sie zu öffnen. Sollten Sie also keine Mitteilung erwarten, so ist es durchaus legitim, beim Absender nachzufragen, ob die Sendung tatsächlich von ihm stammt
  • Versäumen Sie nicht, ihr Virenschutz-Programm regelmäßig auf den neusten Stand zu bringen
  • Denken Sie auch daran, rechtzeitig Updates für ihr Betriebssystem und jede Software, die Sie benutzen, zu installieren
  • Fertigen Sie regelmäßig Sicherungs-Kopien aller ihrer Daten an, um sie im Falle eines durch Schadprogramme verursachten Datenverlusts wieder herstellen zu können
  • Den statistischen Eintrag des Administrators sollten Sie nur bei Bedarf benutzen. Es ist nicht nötig, ständig damit zu arbeiten
  • Es ist überaus empfehlenswert, eine Firewall zum Schutz des Computers gegen Gefahren aus dem Netz zu installieren

Schlussfolgerungen

Leider gab das vergangene Jahr keinerlei Anlass zur Beruhigung. Im Gegenteil: Im Laufe des Jahres tauchten immer wieder neue Angriffsmethoden auf, es wurden vorhandene Schadtechnologien vereinigt, um sie noch effizienter und vor allem plattformübergreifend einzusetzen.

Wie das letzte Jahr gezeigt hat, kann man mit Sicherheit davon ausgehen, dass die Gangster ihren Einfluss vor allem in den für sie zukunftsträchtigen Bereichen der mobilen Geräte und der Finanzdienstleistungen ausbauen werden. Mit Sicherheit werden aber auch Rootkits, Botnets und Cyber-Erpressung ein Thema bleiben. Die Rechtsschutzorgane werden ihre Aktivitäten ausweiten, obwohl es noch eine Weile dauern wird, bis das geforderte Niveau erreicht ist – in diesem Jahr wird dies mit Sicherheit noch nicht der Fall sein.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.