Entwicklung schädlicher Websites – Januar bis Juni 2007

  1. Verbreitungsmethoden
  2. TOP 20 der über das Internet verbreiteten Schadsoftware
  3. TOP 20 der Länder, die Malware hosten
  4. Besondere Fälle
  5. Fazit

In den vergangenen Jahren haben sich die Verbreitungsmechanismen von

Schadprogrammen immer wieder geändert: Sie schrieben sich auf Datenträger wie Disketten oder gelangten, wie der berüchtigte Wurm LoveLetter, per E-Mail auf den Rechner. Wiederum andere Viren wie CodeRed schlugen über Netzwerkattacken den direkten Weg zum Rechner ein. Inzwischen verbreitet sich Malware aber in erster Linie über das World Wide Web. Aus diesem Grund haben sich die Experten von Kaspersky Lab entschlossen, dem Thema gefährliche Webseiten in diesem Jahr zum ersten Mal eine eigene Analyse zu widmen.

Nach Meinung der Kaspersky-Analysten sind vor allem zwei Faktoren für die Zunahme webbasierter Schadprogramme verantwortlich. Zum einem liegt die Schuld an der relativ großen Menge der zwischen 2003 und 2006 für den Microsoft Internet Explorer entdeckten Sicherheitslücken. Andererseits lässt sich die Zunahme auch damit erklären, dass es den meisten Antivirus-Engines Schwierigkeiten bereitet, die Datenübertragung von Internet-Seiten zu kontrollieren. Die meisten Antiviren-Programme benötigen nämlich eine vollständige Kopie einer Datei, um bestimmen zu können, ob diese infiziert ist oder nicht. Beim Scannen von Datenströmen kommt es daher immer wieder zu Problemen. Diese lassen sich zwar mit Hilfe von Proxy-Lösungen beheben, die Streams zwischenspeichern und erst dann an die Antivirus-Engine weiterleiten, wenn sie vollständig heruntergeladen sind, allerdings haben sich derartige Lösungen bisher noch nicht durchgesetzt.

Vermutlich haben auch die Versuche, ausführbare E-Mail-Anhänge wie EXE-, SCR- und PIF-Dateien zu blockieren, zur Verbreitung webbasierter Malware beigetragen. In den Jahren 2003 und 2004 wurden die meisten schädlichen Programme über E-Mail verbreitet. Deswegen blockierten manche System-Administratoren kurzerhand alle ausführbaren Anhänge. Die Reaktion der Virenautoren erfolgte prompt: Sie begannen, ihre Machwerke mit Hilfe von Archiven wie zum Beispiel ZIP-Dateien zu verbreiten. Im Jahr 2006 arbeiteten die Malware-Programmierer zudem vermehrt mit Exploits für Microsoft-Office-Dokumente.

Die Virenautoren lösten das Problem der blockierten Anhänge aber bald auf simple Weise: Anstatt das Schadprogramm direkt per E-Mail zu versenden, begannen sie, URLs zu Websites zu verschicken, auf der Malware gehostet wird. Da Gateways nur den E-Mail-Körper überprüfen, erkennen herkömmliche Antivirus-Programme keine Malware, auf die lediglich mit einem Link verwiesen wird.

Diese Faktoren haben dazu beigetragen, dass immer mehr Schadprogramme direkt im E-Mail-Eingangsordner landen – und zwar in Form von Malware, die auf einem Webserver bereitgestellt wird. Die User werden mittels Social Engineering dazu gebracht, selbst in ihr Unglück zu rennen, oder aber die Schadprogramme gelangen über Browser-Schwachstellen auf den Computer des Anwenders.

Verbreitungsmethoden

Verbreitungsweg 1: URL zur Webseite:
Der YouTube-Link in oben dargestelltem Beispiel ist nur ein Köder und führt ins Leere („video missing”). Allerdings verweist der HREF-Link auf eine IP-Adresse, hinter der eine Website des Viren-Programmierers steckt:


Abbildung 1: E-Mail mit einem Link, der auf Malware verweist

Besucht der User diese Site, erscheint folgender Bildschirm:


Abbildung 2: gefälschte Website, auf der kein Video, sondern eine schädliche ausführbare Datei abgerufen wird

Hinter dem vermeintlichen Video-Link („click here”) versteckt sich eine ausführbare Datei namens „video.exe“, bei der es sich um eine Variante des Zhelatin-Virus handelt. Dieser ist auch als „Sturm-Wurm“ bekannt .

Eine andere Methode, Computern via Internet schädliche Programme unterzuschieben, basiert auf Browser-Exploits. Hier ein Beispiel:


Abbildung 3: HTML-Quellcode eines Exploits, der Mozilla Firefox angreift

Abbildung 3 zeigt ein Fragment einer Site, die einen verschlüsselten Webbrowser-Exploit beherbergt. Solche Webseiten versuchen, sich vor Intrusion Detection-Systemen zu verstecken. Enttarnen lassen sie sich, indem entweder der TCP/IP-Stream auf bekannte Muster untersucht oder einfache signaturbasierte Antivirus-Systeme eingesetzt werden. Sind die Daten einmal entschlüsselt, kann das Exploit analysiert werden:


Abbildung 4: Ein Teil des entschlüsselten Exploits Trojan-Downloader.JS.Agent.ep

In diesem Fall versucht der Schadcode eine WMV-Datei zu laden, deren Name extrem lang ist. Dieser Exploit nutzt eine Sicherheitslücke des Windows Media Player Plug-ins aus. Verwendet man die Microsoft-Erweiterung in Browsern anderer Hersteller, lässt sich darüber schädlicher Programmcode via Internet einschleusen (siehe auch Microsoft Security Bulletin MS06-006). Interessanterweise werden auch Systeme infiziert, die zwar die neueste Browser-Version verwenden, aber einen angreifbaren Windows Media Player einsetzen.

Es überrascht nicht, dass Virenautoren meist eine Kombination dieser beiden Haupt-Infektionswege – also Social-Engineering-Techniken und Webbrowser-Exploits – verwenden, um ihre Erfolgschancen zu steigern.

Der bereits erwähnte Wurm Zhelatin ist ein anschauliches Beispiel für die Kombination beider Strategien. Der Webseiten-Code, der den Wurm verbreitet, ist anscheinend in PHP geschrieben. Bevor der Besucher die schädliche Site zu sehen bekommt, versucht das Programm, den verwendeten Browser zu ermitteln. Das geschieht über den Identifikations-String „User-Agent“. Stellt sich heraus, dass es sich dabei um einen wenig verbreiteten Browser wie etwa den unter MacOS laufenden Safari oder die Linux-Software Lynx handelt, versucht der Schädling eine Site anzubieten, die mit Social Engineering-Techniken arbeitet. Liefert der Browser-Identifikations-String aber Ergebnisse wie „Mozilla/4.0 (compatible;MSIE 6.0; Windows NT 5.1)“ zurück, nutzt der Anwender den Internet Explorer und damit einen weit verbreiteten Browser. In diesem Fall bietet der Wurm eine spezielle Page mit einem IE-Exploit an. Dasselbe gilt für den Browser Firefox.

TOP 20 der via Internet verbreiteten Schadsoftware

Anfang 2006 stieg der Anteil der via Internet verbreiteten Malware gegenüber den damals klassischen Verbreitungsmethoden E-Mail und Netzwerkattacken stark an. Daraufhin entwickelte Kaspersky Lab mit Akross ein System, das Websites kontinuierlich auf schädliche Inhalte überprüft. Mittlerweile hat Akross bereits mehr als 53.000 verschiedene Websites identifiziert, die Malware enthalten. Allein während der ersten Jahreshälfte 2007 wurden 28.000 schädliche Sites entdeckt.

Position Malwarebezeichnung Anteil in %
1 Trojan-Downloader.Win32.Small.on 11.26
2 Trojan-Downloader.Win32.Zlob.bbr 6.01
3 Trojan-Downloader.Win32.Zlob.bjt 4.59
4 Trojan.Win32.DNSChanger.is 3.19
5 Trojan-Downloader.Win32.Zlob.bon 3.17
6 Trojan.Win32.DNSChanger.ih 2.74
7 Trojan.Win32.DNSChanger.hk 2.50
8 not-a-virus:Porn-Dialer.Win32.PluginAccess.s 2.08
9 Trojan.Win32.DNSChanger.io 1.77
10 Trojan.Win32.DNSChanger.jb 1.02
11 Trojan.Win32.DNSChanger.ik 0.76
12 Trojan-Downloader.Win32.Small.damtd>

0.62
13 Trojan-Spy.Win32.Banker.ciy 0.59
14 Trojan-PSW.Win32.OnLineGames.es 0.48
15 Backdoor.Win32.Rbot.gen 0.48
16 Trojan-Spy.Win32.Banker.anv 0.42
17 Trojan-Spy.Win32.Banker.awa 0.40
18 Trojan-Downloader.Win32.CWS.j 0.36
19 Trojan.Win32.DNSChanger.hj 0.36
20 Trojan-Spy.Win32.Bancos.zm 0.34

Abbildung 5: Top 20 der Exploits, die Computer sich auf schädlichen Websites einfangen können (Januar bis Juli 2007)

Beim Spitzenreiter Trojan-Downloader.Win32.Small.on handelt es sich um einen typischen Downloader, der eine ausführbare Datei von einer fest vorgegebenen URL holt und diese dann startet. Schad-Websites setzen sehr häufig Trojan Downloader ein, die ihre Arbeit mehrstufig verrichten. Gelangt ein solcher speicherresidenter Schädling auf den Rechner, lädt er üblicherweise einen kleinen Trojan Downloader, der wiederum die eigentliche Malware holt oder einen weiteren Downloader herunterlädt.

Ein weiterer interessanter Fall ist Zlob, der mit verschiedenen Varianten gleich mehrere Plätze im Top-20-Ranking belegt. Zlob war zu Beginn des Jahres noch sehr weit verbreitet, doch inzwischen ist seine Popularität so stark gesunken, dass man ihn kaum noch antrifft. Zlob gelangte meist mit Hilfe umsichtiger Social Engineering-Techniken auf Computer. Dazu wurden spezielle Websites erstellt, die angeblich Video-Codecs zum Download anboten, mit denen sich DVDs und verschiedene Movie-Formate abspielen lassen.


Abbildung 6: Kein Video-Codec, sondern eine Fake-Website zur Verbreitung von Zlob-Varianten

Ein Blick auf die Top 20 zeigt, dass auch der Trojaner DNSChanger recht weit verbreitet ist. Tatsächlich besteht auch ein Zusammenhang zwischen Zlob und DNSChanger. Nach Meinung der Kaspersky-Experten hat ein und dieselbe Hacker-Gruppe beide Schädlinge entwickelt. Obgleich DNSChanger im Laufe seiner Existenz vielfach verändert wurde, blieb seine Aufgabe stets gleich. Auf einem befallenen Rechner manipuliert er die Adresse des DNS-Servers und leitet sie auf zwei feste IP-Adressen um. Diese werden aus einem großen Pool ausgewählt. Mittlerweile sind von DNSChanger tausende Varianten im Umlauf , von denen jede die DNS-Server auf andere IP-Adressen umleitet. Beispielsweise lassen sich mit dieser Methode Websites wie Amazon.com oder Bank of America auf Phishingsites umleiten, ohne dass der User etwas davon bemerkt. Um das Entfernen dieser Schadsoftware zu erschweren, enthalten die neuesten DNSChanger-Variationen sogar Rootkit-Komponenten und laden auch häufig weitere Malware auf die befallenen Computer.

Wie der Name schon andeutet, handelt es sich bei „not-a-virus:Porn-Dialer.Win32.PluginAccess.s“ nicht um einen Virus. Dieser Schädling gehört zu einer Programm-Familie, die sich im Grenzbereich zwischen Malware und Software bewegt, die von manchen Usern durchaus erwünscht ist.


Abbildung 7: Zwei ausführbare Dateien von “not-a-virus:Porn-Dialer.Win32.PluginAccess.s“ mit sehr speziellen Icons

Varianten von PluginAccess.s enthalten gewöhnlich eine ganze Reihe von länderspezifischen Premium-Nummern. Diese lassen sich im Windows-Applet „Options Control Panel“ abhängig von den Wählregeln des jeweiligen Telefons und Modems festlegen. Hat der User die Premium-Nummer einmal gewählt, erhält er einen Authentifizierungs-Ttoken, welcher den Zugriff auf verschiedene Internet-Services freischaltet. Weil das Programm mit dem Zugang zu nicht jugendfreien Seiten beworben wird, ist Social Engineering das Mittel der Wahl, um PluginAccess zu installieren. Die Verbindungskosten werden allerdings genannt, daher sind zufällige Infektionen mit PluginAccess selten. Aus diesem Grund klassifiziert Kaspersky Lab das Programm nicht als Malware, sondern als „not-a-virus“. Vermutlich sind derartige Tools so populär, weil sie verschiedene kostenpflichtige Services auch ohne den Einsatz einer Kreditkarte zugänglich machen – die Kosten begleicht der User über seine Telefonrechnung.

Erwähnenswert ist auch die Nummer 13 der Charts, Trojan-Spy.Win32.Banker.ciy. Banker-Trojaner versuchen, Zugangsdaten für Online-Banking zu ergaunern. Einige führen sogar Man-in-the-Middle-Attacken gegen die Websessions der User durch. In den vergangenen Monaten nahm die Zahl der Trojaner-Angriffe gegen Banken rapide zu. In seinem Viren-Almanach vom März 2007 hat Kaspersky Lab Trojan-Spy.Win32.Banker.ciy zum “gierigsten Schädling für Key Cards“ gekürt (www.viruslist.com/de/weblog?weblogid=207318824). Diese zweifelhafte Ehre wurde ihm zuteil, da es der Trojaner auf fünf Keycard-Systeme gleichzeitig abgesehen hatte. Der bisherige Rekord lag bei drei verschiedenen Systemen.

Ein anderer Malware-Trend liegt in der Entwicklung und Verbreitung von Trojanern, die virtuelle Werte aus Online-Spielen wie World of Warcraft, EVE Online und Legend of Mir stehlen. Diese Spiele sind vor allem in Asien sehr populär, insbesondere in Korea und China. Die Zahl der Gamer geht weltweit in die Millionen. Seltene virtuelle Spielgegenstände wechseln zum Teil für unglaublich hohe Summen – virtuelle Währung oder reales Geld – auf Ebay oder anderen Internetauktionen den Besitzer. Die Nachfrage nach derartigen Artikeln ist sehr groß, weshalb auch die Zahl der Betrugsfälle stetig zunimmt. Wie viel reales Geld virtuelle Gegenstände wert sein können, zeigt ein Beispiel aus dem Spiel EVE Online (www.eve-online.com): Dort hat das teuerste Raumschiff, wenn es komplett mit Waffen und Abwehrsystemen ausgestattet ist, einen Gegenwert von bis zu 10.000 US-Dollar. Daher überrascht es wenig, dass auch Virenautoren am Profit teilhaben wollen und Schadprogramme entwickeln, um virtuelles Vermögen zu stehlen.

Trojan-PSW.Win32.OnLineGames.es ist ein typischer Vertreter dieses Genres. Auch wenn viele Varianten dieses Trojaners existieren, attackieren die meisten das Online-Game World of Warcraft (www.worldofwarcraft.com). Die Schädlinge verfolgen den Spielprozess, zeichnen alle Tastatureingaben auf und leiten sie an die Hacker weiter. Diese können sich anschließend mit dem gestohlenen Account im Spiel einloggen und Gegenstände, Währung oder Spielpersonal verkaufen. Um sich vor Entdeckung zu schützen, verwenden die Hacker komplexe virtuelle Geldwäschemechanismen, die es zusätzlich erschweren, den Weg virtueller Wertgegenstände zurückzuverfolgen.

Schließlich soll auch der auf schädlichen Websites weit verbreitete Malware-Vertreter Trojan-Downloader.Win32.CWS.j nicht unerwähnt bleiben. Bei diesem Downloader handelt es sich um ein winziges Programm, das verschiedene Varianten von CWS lädt und installiert. Besser bekannt ist die Software auch unter dem Namen CoolWebSearch. Dieses Schadprogramm erschien erstmals im Jahr 2003. Seitdem werden immer wieder neue Varianten in freier Wildbahn gefunden, die aber meistens nach dem gleichen Schema vorgehen: Sie tauschen die Startseite des Browsers aus und zeigen pornographische Pop-ups. Mit der Zeit wurden die CWS-Varianten immer komplexer, und so enthalten die neuesten Versionen sogar Rootkit-Komponenten und Retro-Features, welche die Antivirus-Programme außer Gefecht setzen sollen.

Die meisten schädlichen Programme, die im ersten Halbjahr 2007 via Internet verbreitet wurden, lassen sich in vier Kategorien einteilen: Zum einen angebliche DVD-Player und Codecs, die mit Hilfe von Social-Engineering-Techniken wie Zlob installiert werden. Die Kategorien zwei und drei umfassen Bank-Trojaner sowie auf Online-Games spezialisierte Schadprogramme. Und schließlich gibt es noch so genannte „Grauzonen“-Software, die Zugriff auf nicht jugendfreie Sites ermöglicht.

Top 20 der Länder, die Malware hosten

Woher aber kommen all diese Schadprogramme? Um diese Frage beantworten zu können, müssen zuerst die Methoden näher betrachtet werden, mit denen Cyberkriminelle Malware hosten.

Im Internet bereitgestellte Malware liegt an vielen unterschiedlichen Speicherorten. Man kann sie auf infizierten Computern finden, bei denen Bots winzige Web-Server unterhalten und den Rechner so zur Verteilerzentrale umfunktionieren. Schadprogramme können aber auch auf gehackten Websites von Internet-Providern liegen. Sehr beliebt bei Virenautoren sind auch solche Unternehmen, die Anwendern für ihre eigene Homepage kostenlosen Webspace zur Verfügung stellen. Dazu gehören unter anderem www.pochta.ru, www.googlepages.com, www.100freemb.com, www.dump.ru oder www.home.ro.

Es sind auch Fälle bekannt, bei denen Hacker mit gestohlenen Kreditkarten-Daten bei einem Internetprovider Domain-Namen samt Hosting-Paket erwerben und den Webspace anschließend zur Verbreitung von Malware nutzen.

Anfang 2007 wurde ein US-Hosting-Unternehmen Opfer von Angriffen. Durch eine fehlerhafte Version des Control Panels erlangten Kriminelle Zugriff auf sämtliche Accounts, welche der Unternehmensserver beherbergte. Die Angreifer durchforsteten die Index-Seiten aller auf den gehackten Rechnern bereitgestellten Websites und fügten jeweils ein kleines Skript hinzu, das eine Schwachstelle im Internet Explorer ausnutzt. Das Exploit installierte anschließend weitere Malware, unter anderem ein Rootkit. Auf ähnliche Weise wurde im Februar dieses Jahres die Website des Super Bowl Dolphins Stadions gehackt, in deren Quellcode die Hacker Exploits einschleusten. Der vermutlich jüngste Fall in einer langen Reihe von Website-Hacks betraf die Bank of India. Ende August 2007 wurde deren Homepage-Code um einen Internet-Explorer-Frame ergänzt, der daraufhin Malware verbreitete.

Aus den IP-Adressen sämtlicher von Akross entdeckten Malware-Webseiten resultiert eine Top-20-Liste derjenigen Länder, auf deren Servern der meiste schädliche Inhalt gehostet wird.

Position Land Anteil in %
1 China 31.44
2 USA 25.90
3 Russland 11.05
4 Brasilien 4.40
5 Südkorea 3.64
6 Argentinien 2.90
7 Deutschland 2.31
8 Frankreich 1.70
9 Panama 1.53
10 Niederlande 1.31
11 Ukraine 1.26
12 Kanada 1.24
13 Spanien 1.15
14 Großbritanien 1.15
15 Hong Kong 0.83
16 Italien 0.72
17 Portugal 0.70
18 Rumänien 0.68
19 Taiwan 0.65
20 Malaysia 0.52

Abbildung 8: Aus diesen Ländern stammt der Großteil der Malware

Mit 31,44 Prozent steht China an der Spitze der Länder, welche die meisten schädlichen Websites hosten. Mit einem Anteil von 25,90 Prozent folgen die USA auf dem zweiten Platz. Beide Länder führen seit Jahren nahezu jedes Ranking an, das in irgendeiner Weise mit Malware in Verbindung steht. Je nach Malware-Trend und

Entwicklungsstand der Betriebssysteme tauschen sie dabei hin und wieder die Plätze. Malware kursiert in China vor allem auf gehackten Websites und wird durch das so genannte „Bullet-proof-Hosting“ verteilt. In den USA gehören gehackte „.com“-Sites sowie mit gestohlenen Kreditkarten finanzierte Hosting-Pakete zu den beliebtesten Distributions-Plattformen für Schadprogramme.

Russland und Brasilien belegen den dritten und vierten Platz der Malware-Hitliste – in beiden Ländern werden die meisten schädlichen Programme auf kostenlosen Webseiten bereit gestellt. Deren Internetprovider ermöglichen es Anwendern, ihre persönlichen Websites online zu stellen.

Bei den übrigen Ländern lässt sich kein bevorzugtes Verteilungsmedium erkennen: Gehackte Computer, kostenlose Hosting-Pakete und illegal finanzierte Hosting-Pakete halten sich ungefähr die Waage.

Besondere Fälle

Beim Überprüfen schädlicher Webseiten entdeckte Kaspersky Lab im laufenden Jahr einige Sites, hinter denen mehr steckte als der übliche Webserver. Normalerweise liefert dieser auf Anfrage eine ausführbare Datei oder auch eine mit einem Exploit gespickte HTML-Page. Die auffälligen Webseiten verwendeten dagegen den so genannten „serverseitigen Polymorphismus“.

Der überwiegende Teil polymorpher Schadsoftware wird größtenteils durch polymorphe Viren repräsentiert, die ihren Code bei jedem Reproduktionszyklus ändern. Da der für die Modifikationen verantwortliche Code im Virus selbst enthalten ist, lassen sich aber sämtliche Varianten vorhersagen. Antivirus-Labore können daher die passenden Detektions-Algorithmen entwickeln.

Ein Beispiel aus der Praxis: Anfang 2006 entdeckten die Kaspersky Lab-Analysten auf einer Webseite eine Trojaner-EXE-Datei, die sich bei jedem Download ein wenig veränderte. Die letzten 42 Bytes allerdings sahen bei jeder heruntergeladenen Version anders aus. Es hatte den Anschein, als würde jeder Datei eine Kombination aus Zeitstempel und der herunterladenden IP-Adresse hinzugefügt. In unregelmäßigen Zeitabständen tauchten auf der Webseite auch in größerem Umfang modifizierte Versionen auf, was auf ein Schadprogramm des Typs Trojan-Spy schließen ließ: Die vorherigen Versionen der Malware erstatteten dem Autor Rückmeldung. Mit Hilfe der Kennung am Ende der Datei war dieser in der Lage, jede einzelne Version seines Schadprogramms anhand der IP-Adressen zu orten. So konnte er seinen Trojaner auch mit allen Infektionen rund um den Globus in Zusammenhang bringen und sein Programm weiter optimieren.

Hacker schufen im Jahr 2006 zudem zwischen 1000 und 5000 Exemplare eines Trojaners, der seinen Code bei jedem Webseiten-Aufruf mit einem beliebig gewählten Schlüssel chiffrierte. Anschließend wählte ein PHP-Frontend ein zufälliges Exemplar aus, um es an den User weiterzugeben. Mit dieser Technik nicht vertraute Antivirus-Unternehmen können diesen Trojaner-Typ mit einem nicht enden wollenden Strom neuer Infektionen verwechseln – zumindest so lange, bis genügend Samples für eine generische Erkennung vorliegen. Durch die genaue Überwachung dieser und ähnlicher Websites konnte Kaspersky Lab eine generische Erkennungsmethode entwickeln. Diese ermöglicht in manchen Fällen sogar das generische Entpacken neuer Trojaner, die immer wieder auf der Bildfläche erscheinen.

Ein anderer interessanter Fall wurde zu Beginn des Jahres aufgedeckt. Damals begann Kaspersky Lab, eine Website genauer zu überwachen, die Zhelatin-Exemplare verbreitete. Die auf dem Server bereitgestellten Samples änderten sich etwa alle 90 Sekunden. Mit ungefähr jedem fünfhundertsten Exemplar geschah allerdings etwas anderes: Der Trojaner schien einen Zufallswert von ungefähr 9 Byte Größe zu verwenden, um sich selbst zu verschlüsseln. Bei bestimmten Zahlen blieb das entsprechende Exemplar allerdings unverschlüsselt. Dadurch erhielten die Experten eine Reihe von Zhelatin-Exemplaren, die im „Klartext“ vorlagen und dadurch für die Analyse äußerst nützlich waren.

Fazit

Da sich die Methoden zur MalwareVerbreitung ständig ändern, werden die Virenschreiber in diesem Bereich wohl auch weiterhin einfallsreich bleiben. Derzeit verbreiten sie Schadsoftware vor allem über P2P-Netzwerke und Open-Source-Software.

Gegenwärtig nutzen Malware-Autoren vor allem Webseiten, um ihre Machwerke zu verbreiten. Diese Methode scheint den Höhepunkt ihrer Popularität aber seit Mai 2007 hinter sich zu haben, denn seither ist die Anzahl neuer, mit Schadsoftware verseuchter Websites leicht rückläufig. Das ist zwar eine gute Nachricht, doch nach wie vor erscheinen täglich viele schädliche Sites, die User mit immer raffinierteren Social Engineering-Techniken und Exploits locken.

China und die USA sind Weltklasse, was die Anzahl schädlicher Websites betrifft. Trotz großer Anstrengungen, diese Entwicklung zu bremsen, belegen beide Länder nach wie vor unangefochten die vorderen Plätze. Während in den USA eine entdeckte Malware-Website normalerweise in weniger als 48 Stunden abgeschaltet werden kann, sieht die Situation in China ganz anders aus. Kaspersky Lab wieß von schädlichen Websites, die länger als ein Jahr aktiv waren und bei denen alle Versuche scheiterten, sie offline zu nehmen, Da China ein verlässliches Pflaster für Malware zu sein scheint, ist es überaus wahrscheinlich, dass künftig immer mehr verseuchte Websites dort gehostet werden.

Kaspersky Lab beobachtet die Malware-Situation weiterhin intensiv. Künftige Analysen werden zudem zeigen, ob sich die Zahl schädlicher Websites durch die Zusammenarbeit von Viren-Laboren und Unternehmen eindämmen lässt.

Wie dem auch sei, sollte jeder Anwender sein Betriebssystem auf dem neuesten Stand halten und eventuell vom unsicheren Internet Explorer 6 zu Browsern wie Firefox, Internet Explorer 7 oder Opera wechseln. Darüber hinaus ist ein Antivirus-Produkt Pflicht, das den Web-Traffic überwachen kann. Denn wie der Bericht zeigt, ist das Internet das derzeit am häufigsten genutzte Übertragungsmedium für Schadsoftware.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.