Entwicklung der IT-Bedrohungen im zweiten Quartal

Inhalt

    Das Quartal in Zahlen

    • Im zweiten Quartal 2012 entdeckten und entschärften die Produkte von Kaspersky Lab über eine Milliarde schädliche Objekte.
    • Schadprogramme wurden von 89,5 Millionen URLs aus verbreitet.
    • Es wurden 14.900 schädliche Dateien für das Betriebssystem Android entdeckt.

    Allgemeine Lage

    Schadsoftware für mobile Geräte

    Im zweiten Quartal 2012 hat sich die Anzahl von Android-Trojanern gegenüber dem ersten Quartal nahezu verdoppelt. Innerhalb von drei Monaten haben wir unseren Datenbanken über 14.900 neue Schadprogramme hinzugefügt.

    q2malware2012_pic01

    Anzahl der entdeckten Malware-Modifikationen für Android OS

    Eine derart dynamische Entwicklung der Android-Schädlinge belegt, dass immer mehr Virenautoren dazu übergehen, Schadprogramme für mobile Geräte zu entwickeln. Wie auch bei den Windows-Schädlingen entstand parallel zu der Entwicklung von mobilen Schädlingen ein Schwarzmarkt, auf dem sie angeboten werden. Die Hauptverbreitungskanäle sind inoffizielle App-Shops und Partnerprogramme. Wir weisen darauf hin, dass mobile Schadprogramme immer komplexer werden: Cyberkriminelle entwickeln aktiv Technologien zur Tarnung und zum Schutz des Codes, die die Analyse der Schädlinge erschweren.

    Bei fast der Hälfte (49 %) aller von Kaspersky Lab im zweiten Quartal 2012 analysierten schädlichen Dateien handelte es sich um verschiedene multifunktionale Trojaner, die Daten vom Mobiltelefon des Anwenders stehlen (zum Beispiel die Namen der Kontakte, E-Mail-Adressen und Telefonnummern), und die in der Lage sind, zusätzliche Module von den Servern der Cyberkriminellen zu laden.

    Ein Viertel aller erkannten Schadprogramme für Android OS entfällt auf SMS-Trojaner. Diese Schädlinge ziehen Geld vom Konto des Telefonbesitzers ab, indem sie ohne sein Wissen SMS-Nachrichten an kostenpflichtige Nummern senden. Vor ein paar Jahren traf man Programme dieser Art ausschließlich in den Ländern der ehemaligen Sowjetunion, in Südostasien und in China an. Heute verteilen sie sich dagegen rund um den Erdball: Im zweiten Quartal 2012 schützten wir Anwender in 47 Ländern der Welt vor derartigen SMS-Schädlingen.

    18 Prozent der im zweiten Quartal detektierten Android-Schädlinge sind Backdoors, die es Cyberkriminellen ermöglichen, das infizierte Gerät komplett zu kontrollieren. Diese Programme bilden die Grundlage für mobile Botnetze.

    q2malware2012_pic02

    Verteilung der im zweiten Quartal entdeckten Android-Schadprogramme nach Typen

    Bisher ist der Anteil von Trojan-Spy unter den Android-Schädlingen noch gering, er beträgt lediglich zwei Prozent. Allerdings geht gerade von Programmen dieses Typs die größte Gefahr für die Anwender aus, denn Trojan-Spy haben es auf die wertvollsten Informationen abgesehen – die Daten, die den Cyberkriminellen Zugang zu den Bankkonten der Anwender verschaffen.

    Im Juni entdeckten die Experten von Kaspersky Lab eine neue Version eines mobilen Schadprogramms, das eingehende SMS-Nachrichten stiehlt. Das Programm tarnte sich unter dem Namen Android Security Suite Premium. Die Besonderheit bei diesem Trojaner ist, dass alle Steuerungsserver des Schadprogramms auf eine Person registriert sind. Natürlich waren die Registrierungsdaten gefälscht, doch genau diese Daten wurden auch für die Registrierung verschiedener Steuerungsdomains von Zbot (ZeuS) verwendet. Daraus kann man folgern, dass der Schädling zur Familie Trojan-Spy.AndroidOS.Zitmo gehört und der SMS-Diebstahl hauptsächlich darauf abzielt, Autorisierungscodes für Banktransaktionen zu erhalten.

    Mac-Schädlinge

    Die Zahl der gefundenen Mac-Schädlinge ist im Vergleich zum ersten Quartal 2012 gesunken: Unsere Antivirendatenbanken erkennen nun 50 neue Schadprogramme für Mac OS X.

    Nach der Entdeckung des Botnetzes FlashFake im letzten Quartal, das aus mehr als 700.000 Mаc-Computern bestand, beschäftigte sich die Firma Apple intensiver mit Fragen der Sicherheit ihres Betriebssystems. Als Beispiele hierfür können die Veröffentlichungen von kritischen Patches für Oracle Java zusammen mit ihren Windows-Ausgaben dienen, sowie die angekündigten Sicherheitsfeatures in den kommenden Mac OS X-Versionen: die standardmäßige Installation von Programmen ausschließlich aus den offiziellen Shops plus Verwendung einer Sandbox für aus dem Shop geladene Programme, die automatische Installation von Updates usw.

    q2malware2012_pic03

    Den Antiviren-Datenbanken von Kaspersky Lab neu hinzugefügte Malware-Einträge für Mac OS X

    Unsere Prognose, der zufolge die Angriffe auf Mac-User im zweiten Quartal fortgesetzt würden, hat sich bewahrheitet. Ende Juni 2012 registrierte unser Antiviren-Radar eine neue Attacke, die sich gezielt gegen uigurische Mac-User in China richtete. Im Gegensatz zu früheren Attacken verwendeten die Cyberkriminellen keine Exploits, um ihren Schädling auf die angegriffenen Computer zu befördern. In diesem Fall wurde einem bestimmten Personenkreis eine E-Mail mit angehängtem Zip-Archiv geschickt. Das Archiv enthielt eine Bilddatei im JPG-Format und eine Mac-Anwendung, die mit dem Icon eines Text-Dokuments versehen war. Das ist ein klassisches Beispiel für Social Engineering. Die Hauptkomponente der Attacke war eine ausführbare Datei, die als Textdokument getarnt war – ein Backdoor für Mac OS Х, der sowohl unter der i386-Architektur als auch auf PowerPC-Plattformen funktioniert und von unseren Produkten als Backdoor.OSX.MaControl.b detektiert wird. Zudem wurde ein Windows-Backdoor entdeckt, der auch in dieser Attacke verwendet wurde.

    Der Backdoor führt eine Vielzahl von Funktionen aus. Insbesondere macht er es möglich, auf einem infizierten Rechner an Dateien zu gelangen. Weil die Konfigurationsdaten der Steuerungsserver mit einer recht simplen Methode verschlüsselt sind, konnten wir feststellen, dass sich der Steuerungsserver in China befindet.

    Die Produkte von Apple sind bei vielen einflussreichen Politikern und Geschäftsleuten sehr beliebt, und die Informationen, die auf den Geräten dieser Leute gespeichert sind, sind für eine bestimmte Kategorie von Cyberkriminellen von besonderem Interesse. Das bedeutet, dass die gegen Mac-User gerichteten APT-Attacken anhalten werden. Die Evolution zielgerichteter Attacken kann in die Entwicklung plattformübergreifender Schädlinge münden, die über einen ähnlichen Code verfügen und unter verschiedenen weit verbreiteten Betriebssystemen funktionieren.

    Datenleck bei LinkedIn und gestohlene Passwörter

    Im zweiten Quartal gerieten einige populäre Online-Dienste im Zusammenhang mit einem Leck in Hash-Passwort-Datenbanken in die Schlagzeilen. Eine der aufsehenerregendsten Nachrichten lautete, dass ein Teil der Datenbank (6,5 Millionen Hash-Passwörter) des bekannten sozialen Netzwerkes LinkedIn öffentlich zugänglich gemacht worden war. Am 6. Juni, einen Tag nachdem diese Information an die Öffentlichkeit gelangt war, bestätigte das Unternehmen das Datenleck und erklärte, dass die veröffentlichten Account-Passwörter nun ungültig seien und die Anwender neue Kennwörter erstellen sollten.

    Leider waren bis zur Veröffentlichung dieser Erklärung bereits über die Hälfte der Passwörter aus der Hash-Datenbank herausgezogen worden. Warum so schnell? LinkedIn hat die Hash-Passwörter ohne so genannte Salts gespeichert – zufällig gewählte Zeichenfolgen, die vor der Erstellung des Hashwerts an einen gegebenen Klartext angehängt werden. Da diese Technologie nicht verwendet wurde, ließen sich die SHA-1-Hashfunktionen mit Hilfe des Überschusses der vorher berechneten Hashes beliebter Passwörter aus dem Wörterbuch aufschlüsseln. Ein derart schnelles Dechiffrieren der Passwörter wurde auch dadurch ermöglicht, dass 50 Prozent aller Anwender äußerst simple Passwörter verwendeten und es keine besondere Mühe kostete, sie herauszufinden. Nach dem Vorfall erklärte LinkedIn, für die Passwort-Speicherung nun Hash und Salt einzusetzen.

    Um einer solchen Attacke nicht zum Opfer zu fallen, sollten Anwender in erster Linie wirklich lange und komplexe Passwörter verwenden, die nicht einfach im Wörterbuch zu finden sind. Zudem sollte man immer bedenken, dass die Verwendung ein und desselben Passwortes für verschiedene Dienste die möglichen Verluste im Fall eines Diebstahls erheblich vergrößert.

    Website-Administratoren raten wir, zur Speicherung von Passwörtern zumindest Hash und Salt zu verwenden. Allerdings kann die Verwendung eines schnellen Hash-Algorithmus (beispielsweise SHA-1 oder MD5) und Salt bei diesen Kapazitäten, die GPU heute bei der Auswahl von Passwörtern bereitstellt, nicht vor einem Hack schützen. Effektiver ist die Verwendung von Algorithmen wie PBKDF2 (Password-Based Key Derivation Function 2) oder bcrypt, die nicht nur standardmäßig Salt verwenden, sondern es auch ermöglichen, den Zusammenstellungsprozess von Passwörtern zu verlangsamen.

    Flame – Fortsetzung der Cyberspionagestory

    Das bedeutendste Ereignis im Zusammenhang mit Cyberspionage war die Entdeckung des Wurms Flame.

    Kaspersky Lab führte aufgrund einer Anfrage der Internationalen Fernmeldeunion Untersuchungen durch, um bei der Suche nach einem unbekannten Schadprogramm zu helfen, das vertrauliche Daten von Computern löschte, die sich in Ländern des Nahen Ostens befanden. Im Laufe der Suche entdeckten wir ein neues Sample einer Schadsoftware, die wir Worm.Win32.Flame tauften.

    Obwohl Flame über eine andere Funktionalität verfügt als bereits bekannte Samples der Cyberwaffen Duqu und Stuxnet, haben diese Schadprogramme vieles gemeinsam: die geografische Verteilung der Attacken und das eng gefasste Ziel in Verbindung mit der Verwendung von spezifischen Sicherheitslücken in der Software. Dadurch stellt sich Flame in eine Reihe mit Duqu und Stuxnet sowie anderen kybernetischen Superwaffen, die durch unbekannte Kriminelle im Nahen Osten aktiviert werden.

    Flame ist noch bedeutend komplexer als Duqu und besteht aus einer äußerst ausgeklügelten Zusammenstellung von Werkzeugen zur Durchführung von Attacken. Die Größe des Schädlings beträgt fast 20 Megabyte. Dieser trojanische Backdoor verfügt auch über Merkmale, die typisch für Würmer sind: Er ist in der Lage, sich über lokale Netze und über mobile Speichermedien zu verbreiten, wenn er den entsprechenden Befehl erhält. Die gefährlichste Verbreitungsmethode von Flame ist seine Replikation in bereits befallenen lokalen Netzen – getarnt als Windows-Update. Dabei wurde der Code mit Zertifikaten signiert, die ursprünglich von Microsoft herausgegeben wurden. Microsoft entdeckte die illegale Verwendung seiner digitalen Signatur und rief das Zertifikat umgehend zurück. Das Unternehmen veröffentlichte sofort eine Mitteilung über diese Bedrohung (security advisory) und gab das Update KB2718704 heraus.

    Von den infizierten Computern im Nahen Osten (im Iran, Sudan, Syrien usw.) stiehlt Flame verschiedene Informationen, unter anderem Video- und Audiodateien sowie AutoCAD-Zeichnungen.

    Zum gegenwärtigen Zeitpunkt ist Flame eine der kompliziertesten Cyberbedrohungen. Das Programm ist sehr groß, verfügt über eine unglaublich komplexe Struktur und ist ein Paradebeispiel dafür, wie Spionageoperationen im 21. Jahrhundert durchgeführt werden.

    Statistik

    Die unten stehenden Statistiken beruhen auf den Daten, die von verschiedenen Komponenten der Kaspersky-Lösungen gesammelt wurden. Alle im Bericht verwendeten statistischen Daten wurden mit Hilfe des verteilten Antiviren-Netzwerks Kaspersky Security Network (KSN) zusammengetragen und ausgewertet. Die Daten stammen von den KSN-Anwendern, die ihre Zustimmung zur Übertragung der Informationen gegeben haben. An dem globalen Informationsaustausch über die Virenaktivität nehmen Millionen von Anwendern von Kaspersky Lab-Produkten aus 213 Ländern der Welt teil.

    Bedrohungen im Internet

    Die statistischen Daten in diesem Abschnitt basieren auf dem Modul Web-Antivirus, das einen Computer in dem Moment schützt, in dem Schadcode von einer schädlichen Webseite geladen wird. Infiziert sein können Seiten, die Cyberkriminelle speziell zu diesem Zweck erstellt haben sowie Webressourcen, deren Inhalt von den Nutzern selbst generiert wird (zum Beispiel Foren) und gehackte, legitime Ressourcen.

    Im Internet aufgespürte Objekte

    Im zweiten Quartal 2012 wehrte das Modul Web-Antivirus 434.143.004 Attacken von Internet-Ressourcen ab, die sich in verschiedenen Ländern der Welt befinden. Bei diesen Vorfällen wurden insgesamt 145.007 Modifikationen von schädlichen und potenziell unerwünschten Programmen registriert.

    Top 20 der Internet-Schädlinge

    Position Name* Prozentualer Anteil an allen Attacken**
    1 Malicious URL 85,8%
    2 Trojan.Script.Iframer 3,9%
    3 Trojan.Script.Generic 2,7%
    4 Exploit.Script.Blocker 0,6%
    5 Trojan.JS.Popupper.aw 0,4%
    6 Trojan.Win32.Generic 0,4%
    7 Trojan-Downloader.JS.Iframe.cxk 0,3%
    8 Trojan-Downloader.JS.Expack.sn 0,2%
    9 Exploit.Script.Generic 0,2%
    10 Trojan-Downloader.Script.Generic 0,2%
    11 Trojan-Downloader.JS.Agent.gqu 0,2%
    12 Trojan-Downloader.Win32.Generic 0,2%
    13 Hoax.HTML.FraudLoad.h 0,1%
    14 Trojan-Downloader.SWF.FameGake.a 0,1%
    15 Trojan.JS.Iframe.aaw 0,1%
    16 Trojan.JS.Agent.bxw 0,1%
    17 AdWare.Win32.IBryte.x 0,1%
    18 AdWare.Win32.ScreenSaver.i 0,1%
    19 Trojan-Downloader.JS.Agent.grd 0,1%
    20 Trojan-Downloader.JS.JScript.ag 0,1%

    * Die Statistik basiert auf Daten von Kaspersky Web-Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf.
    ** Anteil an allen Web-Attacken, die auf den Computern einzelner Anwender registriert wurden.

    Den ersten Platz im Rating belegen nach wie vor schädliche Links aus der Schwarzen Liste. Gegenüber dem vorhergegangenen Quartal stieg ihr Anteil um 1,5 Prozentpunkte und beträgt damit 85,8 Prozent aller Detektionen. Zur Schwarzen Liste gehören in erster Linie verschiedene Webseiten, auf die Browser umgeleitet werden. Wir erinnern daran, dass die Weiterleitung meist von gehackten, legalen Ressourcen mit integrierten schädlichen Skripten erfolgt, es sich in der Mehrzahl also um so genannte Drive-by-Attacken handelt. Darüber hinaus klicken die Nutzer selbst auf schädliche Links, beispielsweise auf der Suche nach Piraten-Content aller Art. Ein bedeutender Teil der erkannten Malicious URL entfällt nach wie vor auf Webseiten, die mit Exploit-Packs in Verbindung stehen.

    13 Positionen im Rating belegen Schadprogramme, die Lücken in der Software ausnutzen und verwendet werden, um Schadprogramme auf Computer zu transportieren, darunter zwei Programme, die mit heuristischen Methoden erkannt werden: Exploit.Script.Blocker und Exploit.Script.Generic.

    Die Zahl von Werbeprogrammen (AdWare) nimmt im Rating weiterhin ab: Im zweiten Quartal waren nur zwei derartige Programme in der Liste vertreten. Diese Programme funktionieren wie eine Erweiterung für den Browser: Sie fügen eine neue Suchleiste hinzu und ändern die Startseite. Für sich genommen sind es legale Programme, für deren Installation die Entwickler Geld an Partner-Verbreitungsprogramme zahlen. Allerdings gibt es auch Verbreiter, die ihr Geld verdienen, indem sie diese Programme ohne Zustimmung des Anwenders installieren.

    Von Cyberkriminellen ausgenutzte verwundbare Anwendungen

    Die meisten Angriffe über das Internet erfolgen mit Hilfe von Exploits, die Software-Fehler ausnutzen, damit der Start des Schadprogramms ohne Kenntnis des Anwenders erfolgt.

    Welche Anwendungen werden am häufigsten von Exploits ausgenutzt? Die Antwort gibt das folgende Diagramm: Es sind Adobe Acrobat Reader, Java, Android Root und Adobe Flash Player. Die Nutzer sollten in erster Linie diese Programme aktualisieren – oder noch besser – automatische Updates aktivieren.

    q2malware2012_pic04

    Verteilung der Exploits nach angegriffenen Anwendungen, zweites Quartal 2012

    Länder, auf deren Ressourcen die meisten Schadprogramme platziert sind

    Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen wir die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

    85 Prozent der Webressourcen (rund 1 Prozentpunkt mehr als im vorherigen Quartal), die zur Verbreitung von Schadprogrammen genutzt wurden, verteilen sich im zweiten Quartal 2012 auf zehn Länder der Erde.

    q2malware2012_pic05

    Länder, auf deren Ressourcen die meisten Schadprogramme platziert sind, zweites Quartal 2012

    Die Zusammensetzung der Top 10 hat sich nicht verändert, denn es waren dieselben Länder vertreten wie im vorangegangenen Quartal. Innerhalb der letzten drei Monate stieg jedoch der Anteil der Hostings, die sich in den USA befinden, entscheidend an (plus 7 Prozentpunkte). Diese Zunahme lässt sich in erster Linie darauf zurückführen, dass sich die Anteile der übrigen Länder aus den Top 10 verringert haben: Russland (minus 1,5 Prozentpunkte), Deutschland (minus 1,9 Prozentpunkte), Niderlande (minus 1,2 Prozentpunkte), Großbritannien (minus 1 Prozentpunkt) und Frankreich (minus 1,7 Prozentpunkte). Russland belegte in diesem Rating den zweiten Platz (14 %) und verwies die Niederlande (12 %) damit auf Rang drei.

    Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

    Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem Computer in den verschiedenen Ländern ausgesetzt sind, haben wir für jedes Land berechnet, wie häufig Kaspersky Anti-Virus im Laufe des Quartals bei den Anwendern Alarm geschlagen hat.

    Entwicklung der IT-Bedrohungen im zweiten Quartal

    Top 20 der Länder, in denen die Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind*, zweites Quartal 2012

    * Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
    ** Prozentualer Anteil von Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

    In den Top 20 überwiegen Länder aus der ehemaligen UdSSR sowie aus Afrika und Südostasien.

    Alle Länder lassen sich in verschiedene Gruppen einteilen.

    1. Gruppe mit erhöhtem Risiko. Zu dieser Gruppe mit Werten zwischen 41 und 60 Prozent gehören 18 Länder aus den Top 20, darunter Russland (59,5 %), Kasachstan (54 %), die Ukraine (47,3 %), Indien (48 %), Indonesien (42,2 %) und Malaysia (41,8 %).
    2. Risikogruppe. In der Gruppe mit Werten zwischen 21 und 40 Prozent sind 103 Länder vertreten, unter anderem Spanien (37,8 %), Italien (34,8 %), Kanada (36 %), die USA (35,7 %) und Großbritannien (31,6 %).
    3. Gruppe der beim Surfen im Internet sichersten Länder. Im zweiten Quartal 2012 gehörten zu dieser Gruppe 16 Länder mit Werten zwischen 12,3 und 20 %.

    Am seltensten wurden die Anwender beim Surfen im Internet in den folgenden Ländern angegriffen: Taiwan (15,2 %), Japan (18,1 %), Dänemark (18,9 %), Luxemburg (19,7 %) und Tschechien (20 %). Wir weisen darauf hin, dass zu dieser Gruppe auch Länder im SüdenAfrikas gehören, allerdings sieht es dort hinsichtlich der lokalen Bedrohungen weniger rosig aus.

    q2malware2012_pic07

    Weltweites Risiko für Computer, sich über das Internet zu infizieren, zweites Quartal 2012

    Durchschnittlich 39,7 % der Computer aller KSN-Anwender, das heißt vier von sieben Computern weltweit wurden beim Surfen im Internet im Laufe des zweiten Quartals mindestens einmal angegriffen. Damit ist der durchschnittliche prozentuale Anteil im Vergleich zum vergangenen Quartal um 11 Prozentpunkte gestiegen.

    Lokale Bedrohungen

    In diesem Abschnitt werden statistische Daten analysiert, die auf der Arbeit des Echtzeit-Scanners basieren. Hinzu kommen Statistiken für den Scan verschiedener Datenträger, darunter auch mobile Speichermedien (On-Demand Scanner).

    Auf Computern entdeckte schädliche Objekte

    Im zweiten Quartal 2012 blockierten unsere Antiviren-Lösungen 1.041.194.194 Versuche einer lokalen Infektion auf den Computern der KSN-Teilnehmer.

    Beim Versuch, sich auf den Computern der KSN-Teilnehmer auszuführen (Echtzeit-Scanner), wurden insgesamt 383.667 verschiedene Modifikationen schädlicher und potenziell unerwünschter Programme registriert.

    Top 20 der auf den Computern entdeckten schädlichen Objekte

    Position

    Name

    Prozentualer Aanteil an allen Objekten*

    1

    Trojan.Win32.AutoRun.gen

    17,8 %

    2

    Trojan.Win32.Generic

    17,4 %

    3

    DangerousObject.Multi.Generic

    16,1 %

    4

    Trojan.Win32.Starter.yy

    7,4 %

    5

    Virus.Win32.Sality.bh

    6,7 %

    6

    Virus.Win32.Virut.ce

    5,4 %

    7

    Net-Worm.Win32.Kido.ih

    5,1 %

    8

    Virus.Win32.Sality.aa

    4,2 %

    9

    HiddenObject.Multi.Generic

    3,6 %

    10

    Virus.Win32.Nimnul.a

    3,1 %

    11

    Trojan.WinLNK.Runner.bl

    2,2 %

    12

    Worm.Win32.AutoRun.hxw

    2,0 %

    13

    Trojan.Win32.Hosts2.gen

    1,4 %

    14

    Virus.Win32.Sality.ag

    1,4 %

    15

    Worm.Win32.Mabezat.b

    1,0 %

    16

    AdWare.Win32.GoonSearch.b

    0,8 %

    17

    AdWare.Win32.BHO.aqbp

    0,7 %

    18

    Trojan-Dropper.Script.Generic

    0,5 %

    19

    AdWare.Win32.HotBar.dh

    0,3 %

    20

    Trojan-Downloader.WMA.Wimad.ag

    0,3 %

    Die Statistik basiert auf Daten der Module OAS und ODS von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.
     
    * Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Anti-Virus Alarm geschlagen hat.

    Den ersten Platz im Rating mit einem Wert von 17,8 Prozent belegen aktualisierte Schädlinge, die mit heuristischen Methoden erkannt und über Wechseldatenträger verbreitet werden, meist über USB-Sticks. Die Positionierung dieses Schädlings auf Rang eins beweist, dass die Anzahl von mobilen Datenträgern, auf denen Schadprogramme ihre Spuren hinterlassen haben, äußerst hoch ist.

    Auf Position zwei befindet sich Trojan.Win32.Generic (17,4 %). Die dazugehörende Ereignismeldung gibt die heuristische Analysefunktion im Rahmen der proaktiven Erkennung bei einer Vielzahl von Schadprogrammen aus.

    Die Schadprogramme, die mit Hilfe von Cloud-Technologien erkannt werden (16,1 %), rutschten vom ersten auf den dritten Platz des Ratings. Diese Technologien greifen dann, wenn in den Antiviren-Datenbanken bisher keine Signaturen vorhanden sind und keine Heuristiken zur Erkennung von Schadprogrammen zur Verfügung stehen, in der Cloud des Unternehmens aber bereits Informationen über das Objekt vorhanden sind. In diesem Fall wird das Objekt als DangerousObject.Multi.Generic bezeichnet.

    Die Positionen 16, 17 und 20 belegten Werbeprogramme. Hier gab es einen Neuling, und zwar die Familie AdWare.Win32.GoonSearch (0,8 %). Bei diesen Programmen handelt es sich um eine Ergänzung für den Internet Explorer, allerdings wurden Fälle registriert, in denen die Werbeprogramme ohne Zustimmung des Anwenders installiert wurden. Zudem wehren diese Programme Antiviren-Lösungen ab.

    Schädlinge aus der Familie Net-Worm.Win32.Kido (5,1 %) verlieren im Rating weiterhin an Boden. Gleichzeitig wurde das Ranking durch einen anderen Vertreter von Datei-Infektoren erweitert: Im zweiten Quartal konnte sich neben Virus.Win32.Sality.bh, Virus.Win32.Sality.аа, Virus.Win32.Nimnul.a und Trojan.Win32.Starter.yy auch der wohlbekannte Schädling Virus.Win32.Virut.ce (5,4 %) in unserer Hitliste platzieren. Dieses Schadprogramm baut aus den infizierten Rechnern ein umfangreiches Botnetz auf, über das andere Schadprogramme verbreitet werden.

    Länder, in denen Computer dem höchsten Infektionsrisiko ausgesetzt sind

    Die hier aufgeführten Zahlen spiegeln das durchschnittliche Infektionsrisiko der Computer in verschiedenen Ländern der Erde wider. Bei 36,5 Prozent aller KSN-Rechner weltweit wurde mindestens einmal eine schädliche Datei auf dem Computer oder einem Wechseldatenträger gefunden, der an den Computer angeschlossen war – das sind 5,7 Prozentpunkte weniger als im vorhergehenden Quartal.

    q2malware2012_pic08

    Infektionsniveau der Computer in verschiedenen Ländern, zweites Quartal 2012


    * Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
    ** Prozentualer Anteil von Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

    Die Top 20 setzen sich nahezu ausschließlich aus afrikanischen und südostasiatischen Ländern zusammen. In Bangladesch stießen unsere Produkte bei 98 von 100 Computern auf schädliche Programme.

    Auch hinsichtlich des Risikos einer lokalen Infektion lassen sich alle Länder in verschiedene Gruppen einteilen:

    1. Maximales Infektionsniveau (über 60 %): 20 Länder, überwiegend aus der asiatischen Region (Indien, Vietnam, Mongolei und andere), dem Nahen Osten (Irak, Afghanistan) und aus Afrika (Sudan, Angola, Nigeria, Kamerun und andere).
    2. Hohes Infektionsniveau (41 bis 60 %): 51 Länder, darunter Indonesien (58,3 %), Kasachstan (46,1 %), China (43,9 %), Ecuador (43,8 %), Russland (42,6 %) und die Vereinigten Arabischen Emirate (42,3 %).
    3. Mittleres Infektionsniveau (21bis 40 %): 43 Länder, unter anderen die Türkei, Mexiko, Israel, Lettland, Portugal, Italien, die USA, Australien, Frankreich.
    4. Geringstes Infektionsniveau: 23 Länder, darunter Kanada, Neuseeland, Puerto Rico, 13 europäische Länder (u.a. Norwegen, Finnland, Niederlande, Irland, Deutschland, Estland) sowie Japan und Hongkong.

    Risiko einer lokalen Infektion in verschiedenen Ländern, zweites Quartal 2012

    Top 10 der Länder, in denen die Computer dem geringsten Risiko einer Infektion über das Internet ausgesetzt sind:

    Position Land Prozentualer Anteil
    1 Dänemark 12,0
    2 Réunion 13,4
    3 Tschechien 13,6
    4 Japan 14,6
    5 Luxemburg 15,0
    6 Schweden 15,0
    7 Schweiz 16,2
    8 Finnland 16,3
    9 Deutschland 17,2
    10 Niederlande 17,7

    Dänemark, Luxemburg, Tschechien und Japan sind ebenfalls im Rating der beim Surfen im Internet sichersten Länder vertreten. Doch selbst in Dänemark entdeckten wir auf 12 von 100 Computern schädliche Objekte.

    Sicherheitslücken

    Im zweiten Quartal 2012 wurden auf den Computern der KSN-Nutzer 31.687.277 verwundbare Anwendungen und Dateien entdeckt. Durchschnittlich entdeckten wir auf jedem verwundbaren Rechner 9 verschiedene Sicherheitslücken.

    Top 10 der Sicherheitslücken

    Secunia ID Name, Link mit der Beschreibung der Sicherheitslücke Möglichkeiten, die sich durch die Ausnutzung der Sicherheitslücke ergeben Prozentualer Anteil der Computer, bei denen die Sicherheitslücke entdeckt wurde * Letzte Änderung Einstufung
    1 SA 48009 Oracle Java JDK / JRE / SDK Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers
    Zugriff auf vertrauliche Daten
    Datenmanipulation
    DoS-Attacke
    31,4% 4/10/2012 Hochkritisch
    2 SA 48281 Adobe Flash Player Two Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers
    Zugriff auf vertrauliche Daten
    20,9% 4/10/2012 Hochkritisch
    3 SA 48500 VLC Media Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 19,3% 3/21/2012 Hochkritisch
    4 SA 49472 Oracle Java Multiple Vulnerabilities

    DoS-Attacke

    Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

    Cross-Site Scripting

    Zugriff auf vertrauliche Daten

    Datenmanipulation

    16,5% 7/18/2012 Hochkritisch
    5 SA 47133 Adobe Reader/Acrobat Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 14,4% 1/11/2012 Extrem kritisch
    6 SA 23655 Microsoft XML Core Services Multiple Vulnerabilities

    Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

    DoS – Attacke

    Cross-Site Scripting

    13,5% 7/13/2011 Hochkritisch
    7 SA 49086 Adobe Shockwave Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 11,4% 5/10/2012 Hochkritisch
    8 SA 47447 Apple QuickTime Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 11,3% 6/29/2012 Hochkritisch
    9 SA 47932 Adobe Shockwave Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 9,8% 2/15/2012 Hochkritisch
    10 SA 49388 Adobe Flash Player Multiple Vulnerabilities

    Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

    Umgehen der Systemsicherheit

    9,2% 6/18/2012 Hochkritisch


    * Von 100 Prozent der Anwender, auf deren Computern mindestens eine Sicherheitslücke entdeckt wurde.

    Wie bereits im letzten Quartal befindet sich eine Java-Sicherheitslücke auf Position eins. Sie wurde auf 31 Prozent der angreifbaren Rechner entdeckt. Insgesamt sind zwei Java-Sicherheitslücken in unserem Rating vertreten.

    Fünf Plätze der Top 10 belegen nach wie vor Produkte der Firma Adobe: der Flash Player und Shockwave sowie der Adobe Reader, die gängige Anwendung zum Lesen von PDF-Dokumenten.

     

    Der einzige Neuzugang in unserem Rating ist eine Sicherheitslücke im kostenlosen Mediaplayer VLC.

    q2malware2012_pic10

    Hersteller verwundbarer Produkte aus den Top 10 der Sicherheitslücken, zweites Quartal 2012

    Alle Sicherheitslücken aus den Top 10 geben Cyberkriminellen die Möglichkeit, das System des infizierten Rechners vollständig zu kontrollieren. Drei Sicherheitslücken ermöglichen DoS-Attacken und eröffnen Online-Gangstern zudem den Zugriff auf vertrauliche Informationen. Zudem sind Schwachstellen im Rating vertreten, die Datenmanipulation, das Umgehen der Systemsicherheit und die Durchführung von XSS-Attacken ermöglichen.

    q2malware2012_pic11

    Verteilung der Sicherheitslücken aus den Top 10 nach Auswirkungen auf das System, zweites Quartal 2012

    Fazit

    Im zweiten Quartal 2012 nahm die Anzahl der Android-Schädlinge weiterhin stetig zu. Innerhalb von drei Monaten wurden unserer Kollektion fast 15.000 schädliche dex-Dateien hinzugefügt. Die Schädlinge für Andoid OS entwickeln sich auch qualitativ weiter: Die Virenautoren erfinden verschiedene Methoden, um die Erkennung und Analyse der Schadprogramme zu erschweren. Dementsprechend wächst auch die Zahl der Virenautoren, die auf die Entwicklung von Schädlingen für mobile Geräte umsteigen. Zudem wächst auch der Schwarzmarkt für Dienstleistungen zur Verbreitung von mobilen Schadprogrammen, was in nächster Zeit zu einer steigenden Zahl von Attacken auf die Nutzer mobiler Geräte führen wird. Zugleich werden diese Attacken immer raffinierter.

    Datenlecks bei großen Serviceanbietern, die aufgrund verschiedener Hacktivisten-Aktionen mit einer gewissen Regelmäßigkeit auftreten, hatten im zweiten Quartal den Verlust von Millionen von Passwörtern zur Folge. Leider verwendet eine Unmenge von Usern ein und dieselbe Kombination von Login und Passwort für eine Vielzahl von Webseiten, wodurch sich das Risiko drastisch erhöht, wertvolle Daten zu verlieren. Allerdings muss man dazu sagen, dass bei der schnellen Verschlüsselung der in den Datenbanken gespeicherten Passwörter gleichermaßen die Anwender selbst schuldig sind, die simple Kennwörter verwenden, wie auch die Website-Administratoren, die simple Chiffrierungstechniken einsetzen. Das Problem ist nicht neu, und es existieren mehrere Lösungsmöglichkeiten. Bleibt zu hoffen, dass die Administratoren aufgrund der regelmäßigen Hacks dazu übergehen werden, zuverlässigere Algorithmen zur Speicherung von Passwörtern einzusetzen.

    Im kommenden Quartal stehen mit BlackHat und Defcon zwei große Hackerkonferenzen an, auf denen traditionell neue Angriffstechniken präsentiert werden, die dann recht schnell auch im cyberkriminellen Milieu praktische Anwendung finden. Daher ist bereits im dritten Quartal mit dem Einsatz von neuen Technologien durch Cyberkriminelle zu rechnen.

    Das Hauptthema des zweiten Quartals war die Entdeckung des Cyberspionage-Programms Flame. Neben der riesigen Größe und dem breiten Spektrum von Werkzeugen zum Abfangen von Informationen von infizierten Rechnern verwendet Flame eine interessante Methode zur Verbreitung in lokalen Netzen über die Erstellung eines gefälschten Windows-Update-Servers. Zudem wurde in einer der Versionen des berüchtigten Wurms Stuxnet Code gefunden, der auf das Jahr 2009 datiert und identisch mit einem Teil des Flame-Codes ist. Das deutet darauf hin, dass die Entwickler dieser Programme miteinander in Verbindung stehen.

    Die Situation hinsichtlich der Cyberwaffen erinnert an die Büchse der Pandora, die sich nun nicht mehr schließen lässt. Viele Länder der Welt haben offiziell verlautbaren lassen, dass sie Doktrinen ausarbeiten werden, die vor Cyberwaffen schützen und spezielle Einheiten schaffen werden. Die Geschichte der Cyberwaffen endet also nicht mit Duqu und Flame. Das Hauptproblem in dieser Situation ist das Fehlen internationaler Regelungen auf diesem Gebiet.

    Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.