Die Entwicklung der Schadprogramme in 2005

Dieser Bericht stellt die wichtigsten Ereignisse des vergangenen Jahres dar, spiegelt kriminelle Tendenzen auf den Software-Märkten wieder und analysiert die derzeitige Situation. Der Sicherheitsbericht umfasst Statistiken, Fakten und praktische Empfehlungen, um die Anwender über aktuelle Gefahren durch Cyber-Kriminelle zu informieren.

Zielgruppe des Berichts sind Sicherheits-Spezialisten, vor allem im Bereich Virenschutz.

Analyse der aktuellen Situation und Virentendenzen

Das vergangene Jahr brachte weltweit erhebliche Veränderungen bei Viren: Die Zahl der neuen, monatlich von Virenanalytikern entdeckten Schadprogramme hat sich zum Jahresende auf durchschnittlich 6.368 Exemplare erhöht. Auf das ganze Jahr gesehen bedeutet das eine Steigerung um 117 Prozent – 24 Prozent mehr als im Vorjahr. Ein Kennzeichen für das hohe Wachstumstempo des Malware-Markts.

Kaspersky Lab stuft Schadprogramme in drei Klassen ein:

  • TrojWare: diverse Trojaner ohne die Fähigkeit zur Selbstvermehrung (Backdoors, Rootkits, Trojaner aller Art);
  • VirWare: Programme mit Fähigkeit zur Selbstvermehrung (Viren und Würmer);
  • MalWare: die von Cyber-Kriminellen am häufigsten benutzte Software für die Entwicklung von Schadprogrammen und die Vorbereitung von Hacker-Angriffen.

Die Häufigkeit der drei Arten ist aus folgendem Diagramm ersichtlich:



Verteilung der Schadprogramme nach Klassen Ende 2005

Die Häufigkeit der Schadprogramm-Klassen hat sich im Vergleich zum Vorjahr folgendermaßen geändert:

Klasse Veränderung
TrojWare +8,76%
VirWare -6,53%
MalWare -2,23%

Die Tabelle zeigt ein zunehmendes Interesse der Kriminellen an TrojWare. Diese Tendenz war auch schon im Jahr 2004 festzustellen. Das gesteigerte Interesse an TrojWare geht dabei zu Lasten der Popularität der anderen Arten VirWare und Malware.

Diese Situation ist aus wirtschaftlicher Sicht leicht erklärbar: Die Entwicklung von Trojanern ist wesentlich billiger und schneller im Vergleich zu selbstvermehrenden Viren-Programmen. Ein TrojWare-Spam-Versand erreicht die neuen Anwender zudem viel schneller, als ein sich selbständig versendender Mail-Virus.

Sehen wir uns die Veränderungen im Einzelnen an:

TrojWare

Die folgende Grafik stellt die Anzahl der monatlich von unseren Viren-Analytikern erkannten TrojWare-Vertreter dar:



Entwicklung der TrojWare

Es ist zu erkennen, dass sich der anfangs leichte Anstieg bis Ende des Jahres dramatisch verstärkt hat. Im Vergleich zum Vorjahr ergibt sich zum Jahresende 2005 ein Anstieg von etwa 124 Prozent. Das heißt, dass sich die Menge der neu entwickelten Trojaner im Jahr 2005 mehr als verdoppelt hat.

Die verschiedenen Trojaner-Typen verteilen sich wie folgt:



Verteilung der Trojaner-Typen Ende 2005

Um zu verstehen, wie sich die Trojaner in ihren verschiedenen Ausprägungen entwickelten, stellt die folgende Tabelle das Wachstum der entdeckten Trojaner im Jahresvergleich dar. Die nicht prozentual aufgeführten Formen bezeichnen Einzelfälle beziehungsweise statistisch unbedeutende Varianten.

Verhalten Wachstum TrojWare 2005
im Vergleich zum Vorjahr
Backdoor +95%
Trojan +90%
Trojan-AOL
Trojan-ArcBomb
Trojan-Clicker +86%
Trojan-DDoS
Trojan-Downloader +272%
Trojan-Dropper +212%
Trojan-IM
Trojan-Notifier
Trojan-Proxy +68%
Trojan-PSW +122%
Trojan-Spy +104%
Rootkit +413%
TrojWare +124%

Wenn wir die Zahlen genauer betrachten, sehen wir, dass die meisten Varianten nach wie vor ein stabiles Wachstum aufweisen. Wie schon erwähnt, erschienen die Formen Trojan-AOL, Trojan-ArcBomb, Trojan-DDoS, Trojan-IM und Trojan-Notifier nur selten.

Das stärkste Wachstum innerhalb der TrojWare weisen die Backdoors, Trojan-Downloader, Trojan-Dropper und Trojan-Proxies auf, die von den Cyber-Kriminellen massiv zur Errichtung von Botnetzen verwendet werden. Botnetze bestehen aus infizierten Computern, die in einem Netz mit zentraler Verwaltung verbunden sind. Die Verhaltensweise des gesamten Botnetzes wird durch den Hacker definiert und ferngesteuert. Am häufigsten werden die infizierten Zombie-Rechner für den Spam-Versand und DDoS-Attacken (Distributed Denial of Service) auf vom Hacker benannte Computer verwendet. In letzter Zeit sind Botnetze sehr populär geworden. Das erklärt auch das erhöhte Interesse an den vier genannten Trojaner-Typen, da diese am häufigsten bei der Errichtung sowie Aktualisierung von Netzwerken infizierter Computer verwendet werden. Für die schnelle Verbreitung der Trojaner sind die immer häufiger auftretenden Spam-Mails verantwortlich.

Das spürbare Wachstum von Trojan-PSW und Trojan-Spy bestätigt erneut das finanzielle Interesse der Cyber-Kriminellen. Fast alle gestohlenen Daten werden für den illegalen Zugang zu Netz- und Finanzdaten der Anwender verwendet. Zudem werden die gestohlenen Daten anschließend weiterverkauft – sowohl an den Bestohlenen selbst, als auch auf dem Schwarzmarkt. Die Analytiker von Kaspersky Lab spürten unter anderem Trojan-Spy auf, durch den Bankdaten von hunderten Anwendern gestohlen wurden. Das beweist den stark angestiegenen finanziellen Anreiz der Cyber-Kriminalität.

Trojan-Clickers sind Programme, die sich resistent im Windows-Arbeitsspeicher einnisten und permanent versuchen, Verbindungen zu bestimmten Internetseiten aufzubauen. Dadurch soll der Besucherzähler dieser Webseiten manipuliert werden, so dass höhere Gebühren für die Platzierung von Bannern erzielt werden können. Das Wachstum der Trojan-Clicker verlangsamte sich allerdings. Ein Zeichen für die allmähliche Interessensverschiebung der Cyber-Kriminellen in Richtung „lohnenswerter“ Schadprogramme.

Trojaner sind die ältesten Vertreter der TrojWare. Zu ihnen zählen alle Trojaner-Programme, die in keine der genannten Modifikations-Gruppen eingeordnet werden können. Das Wachstum dieser Gruppe ist nur unterdurchschnittlich, bezogen auf das Wachstum der gesamten Klasse der TrojWare, bleibt aber nach wie vor auf hohem Niveau.

Rootkits sind Trojaner der jüngsten Generation. Das aufkommende Interesse daran war bereits vor etwa zwei bis drei Jahren erkennbar. Kaspersky Lab verzeichnete mit einer Steigerung um 413 Prozent zum Jahresende 2005 ein wachsendes Interesse der Cyber-Kriminellen an diesem Typ. Allerdings muss man erwähnen, dass diese beeindruckende Erhöhung im Wesentlichen daran liegt, dass Rootkits im Jahr 2004 mit 6 Erscheinungen pro Monat sehr selten waren, 2005 aber bereits monatlich 32 neue Rootkits entdeckt wurden.

Wichtig zu erwähnen ist in diesem Zusammenhang aber auch, dass Rootkits in ihrer reinen Form keinen direkten Schaden verursachen, sondern von Hackern zur Tarnung vorhandener Schadprogramme auf infizierten Systemen verwendet werden. Da die Popularität der Rootkits momentan recht hoch ist, werden wir sie in diesem Bericht noch ausführlicher untersuchen. Insbesondere, da Rootkits die einzige Klasse darstellen, deren Wachstum im Vergleich zu allen anderen Trojaner-Kategorien so rasant anstieg und weiter wächst.

VirWare

Die nachstehende Grafik stellt die Anzahl der monatlich von unseren Viren-Analytikern erkannten neuen VirWare-Exemplare dar:



Entwicklung der VirWare.

Die VirWare-Typen verteilen sich wie folgt:



Die Verteilung der VirWare-Typen Ende 2005

In der Grafik erkennt man, dass nach dem spürbaren Rückgang im Vorjahr eine Stabilisierung eintrat. Das etwas höhere Entwicklungstempo dieser Klasse ist im Vergleich zum deutlich gestiegenen Entwicklungstempo anderer Schadprogramme allerdings unbedeutend. Obwohl einzelne Viren vermehrt auftreten, bleibt die Entwicklung der VirWare-Klasse insgesamt konstant, da andere Typen einen eindeutigen Rückgang zu verzeichnen haben. Deutlicher wird dieser Umstand aus der folgenden Tabelle:

VirWare-Verhalten Wachstum VirWare 2005
im Vergleich zum Vorjahr
Email-Worm +2%
IM-Worm 32 neue Modifikationen pro Monat
IRC-Worm -31%
Net-Worm +43%
P2P-Worm -43%
Worm -3%
Virus -45%
VirWare -2%

Die E-Mail-Würmer verzeichnen ein geringes Wachstum – und selbst das ist nur auf die Aktivitäten der Bagle-Autoren zurück zu führen. Diese Typen werden als unterschiedliche E-Mail-Würmer erkannt, obwohl sie meistens Trojaner sind, die für die ständige Aktualisierung eines Botnetzes zuständig sind. Ohne die Aktivitäten einiger weniger krimineller Programmierer wäre für diesen VirWare-Typ zum Ende des 2005 Jahres ein deutlicher Einbruch in der Verbreitung zu verzeichnen gewesen. Trotz des ausgewiesenen Wachstums von +2 Prozent kann kaum von einem Anwachsen gesprochen werden. Vor allem ist diese Zahl wesentlich geringer als das Wachstum des gesamten Sektors der Schadprogramme. Das bereits früher registrierte geringere Interesses an Mail-Würmern zu Gunsten der Trojaner setzt sich also fort. Insbesondere, da deren Entwicklung wesentlich billiger ist und mit ihrer Hilfe ein Spam-Versand über die infizierten Rechner ermöglicht wird.

IM-Würmer erschienen erstmals 2001. Doch erst seit Mitte 2004 nahm ihre Anzahl langsam zu. Zum Ende des Jahres 2005 wurde einen Durchbruch im negativen Sinne erreicht und die Zahl der neu erschienen IM-Würmer stieg auf etwa 32 pro Monat. Dies zeugt vom eindeutig gewachsenen Interesse der Malware-Autoren an diesem Typ.

IRC-Würmer sind praktisch von der Malware-Bildfläche verschwunden oder haben sich während des letzten Jahres in Backdoors verwandelt. Neue IRC-Würmer traten nur selten auf.

Net-Würmer verzeichneten im letzten Jahr mit fast 43 Prozent das doppelte Wachstum im Vergleich zu den 21 Prozent im Jahr 2004. Das Anwachsen wurde sowohl durch Erscheinen neuer Exploits (etwa MS05-39, der eine weltweite Epidemie auslöste) als auch durch eine Besonderheit dieser Klasse verursacht: Sie können ihren Schadcode ohne Zutun des Anwenders selbst verbreiten, so dass die Infizierungs-Geschwindigkeit erheblich gesteigert wird.

P2P-Würmer verloren ihre Bedeutung und setzten den Trend des Vorjahres fort. Das allmähliche Verschwinden dieser Wurm-Kategorie ist das Ergebnis gezielter Aktion der Medien-Unternehmen gegen Piraterie in File-Sharing-Netzen.

Die Würmer setzen ebenfalls die Tendenz des Jahres 2004 fort. Unter den vielfältigen VirWare-Typen sind sie die einzige Kategorie, die ihr Wachstum unverändert stabil erhalten hat.

Nun möchten wir uns dem ältesten Vertreter des Computeruntergrunds zuwenden – den klassischen Viren. Innerhalb des vergangenen Jahres war ein rückläufiges Interesse auf Seiten der Malware-Autoren zu verzeichnen. Daher wurden auch immer weniger neue Modifikationen pro Monat verzeichnet: Der Rückgang betrug 45 Prozent, im Vorjahr betrug der Rückgang sogar 54 Prozent. Erklärbar ist dies mit dem hohen Arbeitsaufwand bei der Entwicklung sowie mit der niedrigen Verbreitungs- und Infizierungs-Geschwindigkeit im Vergleich zum Spam-Versand.

Zusammenfassend lässt sich zu VirWare sagen, dass der Rückgang bestimmter Varianten durch das Anwachsen anderer Typen kompensiert und insgesamt eine Stagnation innerhalb dieser Schadprogramm-Klasse erreicht wurde.

MalWare

Die Vertreter der Kategorie Malware sind in unserer Klassifizierung am zahlreichsten vertreten – es existieren die verschiedensten Varianten und Modifikationen. Allerdings werden sie unter den Schadprogrammen nur selten entdeckt. Das Wachstumstempo ist leicht angestiegen, bleibt aber innerhalb der Klasse niedriger als das Wachstum aller anderen monatlich aufgespürten Schadprogramme:



Entwicklung der MalWare.

Die Malware-Typen verteilen sich wie folgt:



Verteilung der MalWare-Typen Ende 2005

Nur fünf der zahlreichen Kategorien sind hier erwähnenswert. Die anderen erscheinen ziemlich selten und sind für die Auswertung nicht weiter relevant. Ausführlicher wird die Verteilung in der folgenden Tabelle dargestellt:

Malware-Typen Wachstum Malware 2005
im Vergleich zum Vorjahr
Exploit +68%
HackTool +33%
Constructor +1%
Flooders +20%
SpamTool 6 neue Modifikationen pro Monat
MalWare +43%

Die Exploits zeigen das höchste Wachstum innerhalb der Malware. Ständig neu entdeckte kritische Schwachstellen haben für Exploits eine unumstrittene Führungsposition in der Malware. Die Situation wird sich in nächster Zeit auch nicht ändern.

Die HackTools werden für die Durchführung verschiedenster Hacker-Angriffe verwendet. Das hohe Wachstum von 33 Prozent weist eindeutig auf das gestiegene Interesse der Cyber-Kriminellen an HackTools hin.

Constructors werden für die Entwicklung neuer Modifikationen eines Schadprogramms verwendet und verzeichnen einen leichten Anstieg der Popularität im Vergleich zum Vorjahr.

Flooder (unter anderem IM-Flooder, E-Mail-Flooder und SMS-Flooder) werden von Cyber-Kriminellen für den massiven Spam-Versand verwendet. Das Wachstum bei der Entwicklung neuer Flooder-Modifikationen beträgt 20 Prozent.

Die Vertreter der SpamTool-Varianten sind auf der ständigen Suche nach neuen E-Mail-Adressen für einen anschließenden Spam-Massenversand über die infizierten Rechner. Kaspersky Lab verzeichnete hier stabile beziehungsweise leicht steigende Entwicklung und Popularität dieser Programme.

Zusammenfassend ist das Jahr 2005 für die Entwickler von Malware nicht so erfolgreich verlaufen, da das monatliche Entwicklungstempo deutlich niedriger liegt als das durchschnittliche Wachstum innerhalb der gesamten Schadprogramm-Klassen. Durch den permanenten Anstieg der TrojWare-Klasse hat Malware kontinuierlich an Popularität abgebaut.

Sonstiges

Online-Banking

Die Entwicklung der letzten Zeit macht es unerlässlich, an dieser Stelle über das hohe Verbreitungstempo von Trojanern zum Diebstahl vertraulicher Bankdaten zu berichten. Diese Daten werden ohne das Wissen des Nutzers ausspioniert. Ziel ist es, die Informationen anschließend für einen illegalen Zugang zum Online-Banking oder zu vertraulichen Daten zu nutzen. Im vergangenen Jahr wurde auf diese Weise mehrfach von Konten ahnungsloser Nutzer Geld abgehoben. Das durchschnittliche Wachstum dieser Programme innerhalb der gesamten Schadprogramm-Klassen ist mit 402 Prozent rasant angestiegen.

Zusätzlich gibt es in letzter Zeit Versuche zur Entwicklung spezieller Botnetze. Zuerst wird auf einem infizierten Rechner ein spezielles Programm installiert, so dass die verschiedenen Trojan-Spy.Win32.Banker beliebigen Zugriff auf den Rechner bekommen. Anschließen kann der Hacker sein aktuelles Botnetz so konfigurieren, dass er vertrauliche Informationen zu Banksystemen aller Nutzer der befallenen Rechner erbeuten kann.

Gewinnung neuer Betriebsplattformen und Entwicklung plattformübergreifender Schadprogramme

Es fällt auf, dass der Cyberuntergrund seine Aufmerksamkeit zuletzt auch auf die Gewinnung neuer Betriebsplattformen lenkt und ständig neue plattformübergreifende Schadprogramme entwickelt, um damit weitere Möglichkeiten zur illegalen Bereicherung zu schaffen. Im letzten Jahr wurde durch Kaspersky Lab ein Zuwachs dieser Schadprogramme wie etwa Trojan.PSP.Brick.a für die Playstation und Trojan.NDS.Taihen.a für Nintendo festgestellt.

Eine Reihe der neuen Schadprogramme verdient hierbei eine besondere Aufmerksamkeit:

Worm.SymbOS.Comwar.a war der erste Wurm für Symbian, der die neue MMS-Selbstverbreitungs-Methode verwendete. Mit Hilfe der für mobile Würmer schon traditionell gewordenen Methode über das Bluetooth-Protokoll konnte der Wurm für seine Verbreitung auf alle erreichbaren Bluetooth-Mobilgeräte nur im begrenzten Umkreis von 10 Metern sorgen.

Bemerkenswert war auch das Erscheinen des Trojaners Trojan.SymbOS.Cardtrap.a, der als übliche harmlose SIS-Datei auftrat, die nach ihrem Start die eigentlichen bösartigen Schadprogramme für Win32 auf dem Flash-Datenträger speicherte. Obwohl die gespeicherten Win32-Programme auf Grund einer Besonderheit des Betriebssystems nicht in der Lage sind, am PC automatisch gestartet zu werden, müssen die bereits unternommenen Versuche der Entwicklung von plattformübergreifenden Viren weiter beobachtet werden.

Aber auch vor dem Betriebssystem UNIX machte die Entwicklung von Schadcode nicht halt: Die Zahl der für UNIX entwickelten Programme wuchs parallel zur Popularität dieses Betriebssystems. Während sich im Jahr 2004 das durchschnittliche Wachstum von Schadprogrammen für diese Plattform auf einem Niveau von 22 Neuerscheinungen pro Monat befand, wurden 2005 bereits 31 Exemplare monatlich beobachtet. Das entspricht einer Steigerung um 45 Prozent.

AdWare

Zum Schluss möchten wir uns noch mit den Vertretern der Gruppe AdWare befassen, deren Wachstum zum Jahresende 2005 im Vergleich zum Vorjahr einen Anstieg um 63 Prozent aufweist. Diese Steigerung ist allerdings wesentlich geringer, als sie noch im Vorjahr ausfiel, in dem AdWare schneller wuchs. Daraus können wir eine baldige Stagnation in dieser Kategorie prognostizieren. Die oben aufgeführten Fakten machen deutlich, dass es immer mehr einen fließenden Übergang von AdWare zu Schadprogrammen gibt. Das zeigt auch die Tatsache, dass die zahlreich erschienen AdWare-Programme oft zur Verbreitung oder Anwendung böswilliger Virentechnologien genutzt werden.

Immer häufiger werden AdWare-Programme durch Antiviren-Experten als illegale Schadprogramme mit kriminellem Charakter identifiziert und gekennzeichnet. Das spiegelt sich dann auch in der steigenden Zahl der Gerichtsprozesse gegen AdWare-Erzeuger wider.

Schlusswort

Das vergangene Jahr brachte einige interessante Entwicklungen: Die hier genannten Zahlen zeigen die Veränderungen der Malware-Szene.

Vor allem die verschiedenen Typen von Trojanern haben zugenommen. Wie wir schon gesagt haben, wird der Computer-Underground immer krimineller und konzentriert sich darauf, vertrauliche Informationen wie Bankdaten zu beschaffen und zu nutzen.

Vergleicht man das Wachstum von Trojanern mit der relativ gleich gebliebenen Zahl von Würmern, sieht man, das die Autoren von Malware ihren Schwerpunkt von wahllosen Massen-Attacken auf gezielte, lokale Epidemien verlagern.

Das Jahr 2005 ist auch bemerkenswert, da es einerseits Malware für neue Plattformen wie Spielekonsolen brachte, andererseits aber auch neue Methoden auf bekannten Plattformen, etwa fortgeschrittene Würmer und Trojaner für Symbian.

Die Veränderungen, die wir im letzten Jahr beobachten konnten, werden auf jeden Fall auch 2006 spürbar bleiben. Neue Technologien und Geräte werden entwickelt und beeinflussen in einem gewissen Maß auch die Entwicklung von Viren.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.