Kaspersky Lab Security Bulletin 2011/2012. Statistik für das Jahr 2011

  1. Entwicklung der IT-Bedrohungen im Jahr 2011 und Ausblick auf das Jahr 2012
  2. Statistik für das Jahr 2011
  3. Spam im Jahr 2011

Über die Statistiken

Die aufgeführten Statistiken beruhen auf Daten, die mit Hilfe des Kaspersky Security Network (KSN) gesammelt und ausgewertet wurden. Die Anwender haben ihre Zustimmung zur Übermittlung der statistischen Daten gegeben. Das KSN verwendet eine Cloud-Architektur in den Produkten für Heimanwender und Unternehmen und zählt zu den wichtigsten Technologien von Kaspersky Lab.

Schadprogramme im Internet (Attacken über das Web)

Die Zahl der Attacken über den Browser stieg innerhalb eines Jahres von 580.371.937 auf 946.393.693. Mit anderen Worten schützten unsere Produkte die Anwender beim Surfen im Netz durchschnittlich 2.592.859-mal am Tag.

Die Zahl der im Jahr 2011 abgewehrten Internet-Attacken übertraf den Wert des Jahres 2010 um den Faktor 1,63 und liegt damit deutlich unter dem Wachstumstempo der letzten drei Jahre. So registrierten wir im Jahr 2010 achtmal mehr Infizierungsversuche als im Jahr 2009.

Der verlangsamte Zuwachs der Infizierungsversuche über das Web hängt damit zusammen, dass die Cyberkriminellen im Jahr 2011 keine prinzipiell neuen Methoden zur Computer-Masseninfektion eingesetzt haben. Die wichtigste Infektionsmethode über den Browser sind Exploit-Packs, die die Durchführung von Drive-by-Attacken ermöglichen, die für den Anwender völlig unbemerkt bleiben. Im Laufe des Jahres wurden auf dem Schwarzmarkt hauptsächlich zwei Exploit-Packs aktiv verkauft: BlackHole und Incognito. Beide brachten es unter Cyberkriminellen schnell zu großer Beliebtheit und hielten Einzug in die Top 5 der am häufigsten eingesetzten Exploit-Packs. Geschäfte dieser Art werden alle im Umfeld von Partnerprogrammen durchgeführt, die von Hackern organisiert werden.

Daran wird sich voraussichtlich auch nichts ändern, so dass die Zahl der Web-Attacken in nächster Zeit noch langsamer steigen wird. Daraufhin wird eine allmähliche Stabilisierung der Angriffsmenge eintreten.

Top 20 der Schadprogramme im Internet

Aus allen Schadprogrammen, die an Internet-Attacken beteiligt waren, haben wir die 20 aktivsten nachfolgend aufgeführt. Auf sie entfielen 87,5 Prozent aller Web-Attacken.

Position Name Anzahl der Attacken Anteil in Prozent*
1 Malicious URL 712 999 644 75,01%
2 Trojan.Script.Iframer 35 522 262 3,67%
3 Exploit.Script.Generic 17 176 066 1,81%
4 Trojan.Script.Generic 15 760 473 1,66%
5 Trojan-Downloader.Script.Generic 10 445 279 1,10%
6 Trojan.Win32.Generic 10 241 588 1,08%
7 AdWare.Win32.HotBar.dh 7 038 405 0,74%
8 Trojan.JS.Popupper.aw 5 128 483 0,54%
9 AdWare.Win32.FunWeb.kd 2 167 974 0,23%
10 Trojan-Downloader.Win32.Generic 1 979 322 0,21%
11 AdWare.Win32.Eorezo.heur 1 911 042 0,20%
12 AdWare.Win32.Zwangi.heur 1 676 633 0,18%
13 Hoax.Win32.ArchSMS.heur 1 596 642 0,17%
14 Trojan.HTML.Iframe.dl 1 593 268 0,17%
15 Trojan.JS.Agent.uo 1 338 965 0,14%
16 AdWare.Win32.FunWeb.jp 1 294 786 0,14%
17 Trojan-Ransom.Win32.Digitala.bpk 1 189 324 0,13%
18 Trojan.JS.Iframe.tm 1 048 962 0,11%
19 AdWare.Win32.Agent.uxx 992 971 0,10%
20 AdWare.Win32.Shopper.ee 970 557 0,10%
* Anteil an allen Web-Attacken, die auf den Computern einzelner Anwender registriert wurden.

Die Entwicklung neuer auf den Möglichkeiten von KSN basierender Erkennungstechnologien hat dazu geführt, dass sich der Anteil der Bedrohungen, die mit heuristischen Methoden ohne Aktualisierungen der klassischen Antiviren-Datenbanken entdeckt werden, von 60 Prozent auf 75 Prozent erhöht hat. Schädliche Webseiten, die mit Hilfe dieser Methoden entdeckt werden, belegen den ersten Platz in unserem Ranking. Anzumerken ist dabei, dass ein wesentlicher Teil der schädlichen Weblinks (Malicious URL) auf Webseiten mit Exploits entfällt.

Auf Position zwei liegen schädliche Skripte, die Cyberkriminelle mit Hilfe spezieller Programme in den Code von gehackten legitimen Webseiten einschleusen. Die Injektion des Skript-Tags mit einem Link auf eine schädliche Ressource wird im Zuge einer Drive-by-Attacke eingesetzt: Der Anwender besucht die legitime Seite und der Browser leitet ihn unbemerkt auf eine Ressource um, die eine Exploitsammlung enthält. Ähnliche schädliche Skripte, die mit einfacheren, nämlich Signatur-basierten Methoden entdeckt wurden, positionierten sich auf den Rängen 14 und 18.

Die Positionen 3 bis 6 belegen verschiedene heuristische Entdeckungen von Schadprogrammen in Form von Skripten und ausführbaren PE-Dateien. Solche Programme initiieren den Download und die Ausführung anderer Schadprogramme und haben zudem auch eine Payload – sie stehlen zum Beispiel Daten für das Online-Banking und andere Services sowie Accounts von sozialen Netzwerken.

Bei weiteren sieben Vertretern aus den Top 20 handelt es sich um Werbeprogramme der Familien Zwangi, FunWeb, Eorezo, Shopper und HotBar, die nicht zum ersten Mal in unserem Jahresrating vertreten sind. Diese Programme versuchen auf unterschiedliche Arten in einen Computer einzudringen, wobei sie teilweise sehr grenzwertig vorgehen.

Gegenüber dem Jahr 2010 gibt es zwei neue Arten von Schadprogrammen. Zum einen sind das Programme wie Hoax.Win32.ArchSMS.heur (13. Platz), die beim Betrug mit Kurznummern verwendet werden. Unsere Produkte registrierten mehr als eine Million Vorfälle unter Mitwirkung dieser Machwerke, wobei der Löwenanteil auf das russischsprachige Internetsegment entfällt. Zum anderen handelt es sich um den Erpresser-Trojaner Digitala (Platz 17). Dieser Schädling setzt die normale Funktionsweise des Computers außer Kraft und fordert vom Anwender ein Lösegeld, damit das System wieder ordnungsgemäß funktioniert.

Top 20 der Länder und Gebiete, auf deren Webressourcen Schadprogramme untergebracht sind

Zur Durchführung der 946.393.693 Attacken über das Internet verwendeten die Cyberkriminellen 4.073.646 Domains. Die Server, auf denen der Schadcode untergebracht war, wurden in 198 Ländern der Welt lokalisiert. 86,4 Prozent aller von Kaspersky Lab im Netz registrierten schädlichen Hostings waren auf Servern in zwanzig Ländern untergebracht.

Position Land* Anzahl der Attacken** Prozentualer Anteil an allen Attacken
1 United States 240 022 553 25,4%
2 Russian Federation 138 554 755 14,6%
3 Netherlands 92 652 499 9,8%
4 Germany 82 544 498 8,7%
5 Ukraine 47 886 774 5,1%
6 China 46 482 840 4,9%
7 United Kingdom 44 676 036 4,7%
8 British Virgin Islands 26336323 2,8%
9 Canada 19723107 2,1%
10 Sweden 15 472 406 1,6%
11 France 14 706 167 1,6%
12 Romania 12685394 1,3%
13 South Korea 7 220 494 0,8%
14 Czech Republic 6009847 0,6%
15 Latvia 5 371 299 0,6%
16 Spain 5066469 0,5%
17 Japan 3 468 602 0,4%
18 Turkey 3150767 0,3%
19 Brazil 2 712 440 0,3%
20 Belize 2 660 150 0,3%
* Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen wir die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).
** Gesamtzahl der von Kaspersky Lab registrierten einzelnen Attacken von Webressourcen, die in dem jeweiligen Land untergebracht sind.

Die beiden ersten Positionen belegen dieselben Länder wie im Vorjahr – die USA mit 25,4 Prozent und Russland mit 14,6 Prozent. Wichtig ist dabei, dass die aktive Zunahme des Anteils von schädlichen Hostings gestoppt ist, die wir in diesen Ländern in den letzten Jahren registriert haben. Zu dieser Entwicklung hat vor allem die Schließung verschiedener Botnetze durch die Strafverfolgungsbehörden beigetragen. Doch obwohl der prozentuale Anteil der schädlichen Hostings in diesen Ländern sogar ein wenig zurückgegangen ist, bleiben die Werte doch insgesamt auf einem hohen Niveau.

Die strenge Regulierung der Domain-Registrierung in China hat weiterhin einen positiven Effekt. Noch vor zwei Jahren war China nach der Zahl der schädlichen Hostings mit riesigem Abstand Spitzenreiter. Auf dieses Land entfielen mehr als die Hälfte aller Schädlings-Quellen im World Wide Web (52 %). Im darauffolgenden Jahr sank dieser Wert auf 13 Prozent. Im Jahr 2011 fiel der Anteil der schädlichen chinesischen Hostings um weitere 8,2 Prozent und das Land rutschte damit von Position drei auf Platz sechs ab.

Die Niederlande und Deutschland belegen das zweite Jahr in Folge die Plätze 3 respektive 4. Das ist zum Teil mit den Angeboten der Provider in diesen Ländern für günstiges und hochwertiges Hosting zu erklären, die nicht nur für ehrliche Kunden interessant sind, sondern auch für Cyberkriminelle.

Neben den Drive-by-Attacken verfügen Cyberkriminelle auch noch über andere Methoden, um die Anwender auf schädliche Webseiten zu locken, wie etwa Black-SEO, Spam in sozialen Netzwerken und das Setzen von Weblinks mit verlockenden Kommentaren auf populären Seiten.

Wir haben zusammengefasst, auf welchen Seiten die KSN-Anwender im Jahr 2011 am häufigsten versucht haben, schädlichen Links zu folgen. Die Top 20 der Seiten, von denen die meisten dieser Versuche unternommen wurden, haben wir in verschiedene Kategorien eingeteilt.



Kategorien von Webseiten, von denen die Anwender im Jahr 2011 am häufigsten versucht haben, schädlichen Links zu folgen

Auf Position eins befinden sich verschiedene Videoportale wie Youtube. Den zweiten Platz belegen Suchsysteme. Die Anwender klicken in den Suchergebnissen der größten Suchmaschinen Google und Yandex immer wieder direkt auf schädliche Links. Mit einem Abstand von einem Prozent positionierten sich soziale Netzwerke auf Platz drei. Am vorsichtigsten muss man bei Facebook und Vkontakte sei, denn in diesen sozialen Netzwerken verbreiten Cyberkriminelle schädliche Inhalte besonders aktiv. Platz vier und fünf belegen verschiedene Werbenetze (zumeist Banner) und Webseiten mit Inhalten für Erwachsene.

Von Cyberkriminellen ausgenutzte angreifbare Anwendungen

Wie bereits erwähnt, sind Exploits bereits das zweite Jahr in Folge die wichtigste Waffe im Arsenal der Online-Gangster bei der Durchführung von Web-Attacken. Eine Analyse der populärsten Exploits hat diejenigen Programme zutage gefördert, bei denen Hacker im Jahr 2011 am häufigsten Sicherheitslücken zur Durchführung von Attacken auf Computer ausnutzten.



Anwendungen, deren Sicherheitslücken im Jahr 2011 von Web-Exploits ausgenutzt wurden

35 Prozent der Vorfälle mit Exploits zielten auf Sicherheitslücken im Adobe Acrobat Reader ab. Im Jahr 2011 stieg die Popularität von Exploits für Java drastisch an, so dass die Sicherheitslücken in Java den zweiten Platz im Rating der Exploit-Zielscheiben belegen – mit ihnen stand ein Viertel aller Vorfälle in Verbindung. Wir weisen darauf hin, dass die aktuellen Exploit-Packs zur Hälfte aus Java-Exploits bestehen.

Position drei belegen Programme, die Sicherheitslücken in Windows-Komponenten ausnutzen. Die auffälligsten Vertreter dieser Art sind Exploits zur Sicherheitslücke MS10-042 aus dem Jahr 2010. 4 Prozent aller Schwachstellen entfallen auf den standardmäßig in allen Windows-Versionen installierten Browser Internet Explorer.

Besonders interessant ist, dass sich auf Platz sechs Exploits für die mobile Plattform Android OS positionieren konnten, die bis zum Jahr 2011 in keinem derartigen Rating vertreten waren (4 Prozent). Sie alle ermöglichen es Schadprogrammen, Administratorrechte und volle Kontrolle über das Telefon oder den Tablet-PC zu erlangen (Jailbreak).

Für die Masseninfektion nutzen Cyberkriminelle bereits seit langem bekannte Sicherheitslücken aus, während Zero-Day-Exploits für zielgerichtete Attacken aufgespart werden. Der Grund dafür ist simpel – auf der Welt gibt es genügend Computer, auf denen veraltete Software und veraltete Betriebssysteme laufen. Im KSN laufen 63 Prozent der Computer, die Attacken ausgesetzt waren, unter Windows XP, während auf die moderneren Betriebssysteme Windows 7 und Vista nur 37 Prozent der Vorfälle entfallen.

Lokale Infizierungen

Die Statistik der lokalen Infizierungen ist von besonderer Bedeutung. In diese Daten fließen die Objekte ein, die nicht über das Web, per E-Mail oder über Netzwerkports eingedrungen sind. Unsere Antiviren-Lösungen haben über 2.367.130.584 Virenvorfälle auf den Computern entdeckt. Bei diesen Vorfällen wurden 1.590.861 verschiedene schädliche und potenziell unerwünschte Programme registriert.

Top 20 der auf den Computern der Anwender entdeckten schädlichen Objekte

Bei den Schadprogrammen aus den Top 20 handelt es sich um die am weitesten verbreiteten Bedrohungen des Jahres 2011.

Position Name Anzahl infizierter Computer* Anteil in Prozent
1 Trojan.Win32.Generic 12 804 003 24,2%
2 DangerousObject.Multi.Generic 12 327 029 23,3%
3 Net-Worm.Win32.Kido.ih 5 073 357 9,6%
4 Virus.Win32.Sality.aa 4 017 673 7,6%
5 Net-Worm.Win32.Kido.ir 3 927 070 7,4%
6 Virus.Win32.Sality.bh 3 222 166 6,1%
7 Trojan.Win32.Starter.yy 2 985 017 5,7%
8 Worm.Win32.Generic 2 113 422 4,0%
9 Hoax.Win32.ArchSMS.heur 1 771 798 3,4%
10 Virus.Win32.Sality.ag 1 566 186 3,0%
11 Packed.Win32.Katusha.o 1 507 697 2,9%
12 HiddenObject.Multi.Generic 1 416 697 2,7%
13 Virus.Win32.Nimnul.a 1 310 704 2,5%
14 Worm.Win32.VBNA.b 1 136 110 2,2%
15 HackTool.Win32.Kiser.zv 1 102 150 2,1%
16 Hoax.Win32.Screensaver.b 1 067 025 2,0%
17 Packed.Win32.Klone.bq 979 917 1,9%
18 Exploit.Script.Generic 951 659 1,8%
19 Trojan.Script.Iframer 945 149 1,8%
20 AdWare.Win32.HotBar.dh 849 450 1,6%
* Prozentualer Anteil der Computer, auf denen Kaspersky Web-Anti-Virus einen Schädling erkannt hat, an allen Computern mit Kaspersky-Produkten, auf denen Web-Anti-Virus Alarm geschlagen hat.

Mit verschiedenen heuristischen Methoden haben wir auf mehr als 18 Millionen Computern (18.230.930) Versuche einer Infizierung registriert: Trojan.Win32.Generic (Platz 1), Worm.Win32.Generic (Platz 8), HiddenObject.Multi.Generic (Platz 12) und Exploit.Script.Generic (Platz 18).

Den zweiten Platz im Rating belegen verschiedene Schadprogramme, die mit Hilfe von Cloud-Technologien entdeckt und als DangerousObject.Multi.Generic eingeordnet wurden. Cloud-Technologien greifen dann, wenn in den Datenbanken bisher noch keine Signaturen enthalten sind und eine heuristische Erkennung eines Schadprogramms nicht möglich ist, dafür aber in der Cloud von Kaspersky Lab bereits Informationen über das Objekt existieren. Mit Hilfe des Urgent Detektion Systems (UDS), das zum Kaspersky Security Network gehört, wurden mehr als 12 Millionen Computer in Echtzeit geschützt.

Acht Programme aus den Top 20 besitzen entweder einen Selbstverbreitungsmechanismus oder werden als Element von Würmern verwendet: Net-Worm.Win32.Kido.ih (3. Platz), Virus.Win32.Sality.aa (4. Platz), Net-Worm.Win32.Kido.ir (5. Platz), Virus.Win32.Sality.bh (6. Platz), Trojan.Win32.Starter.yy (7. Platz), Virus.Win32.Sality.ag (10. Platz), Virus.Win32.Nimnul.a (13. Platz) und Worm.Win32.VBNA.b (14. Platz).

Fast 2 Millionen Anwender (1.771.798) hatten es mit Betrug mit kurzen SMS-Nummern zu tun (Hoax.Win32.ArchSMS.heur, 9. Platz). Unter verschiedenen Vorwänden, meist indem der Zugriff auf ein Archiv oder eine Installationsdatei versprochen wird, versuchen die Cyberkriminellen, den Anwender dazu zu bringen, eine SMS an eine Premium-Nummer zu schicken. In den meisten Fällen erhält er nach dem Senden der Mitteilung keinerlei Gegenleistung.

Die klassischen Dateiviren haben mit Virus.Win32.Nimnul.a Zuwachs erhalten. Dieses Schadprogramm verbreitet sich auf zwei Arten: Durch Infektion ausführbarer Dateien und über Wechseldatenträger mittels Autostart-Funktion. Das Hauptverbreitungsgebiet liegt in asiatischen Ländern – zum Beispiel in Indien (21 %), Indonesien (16 %), Vietnam (18 %) und Bangladesch (10 %) – wo die Betriebssysteme selten aktualisiert werden und längst nicht auf jedem Computer eine Sicherheitssoftware installiert ist. Die Hauptaufgabe des Schädlings besteht darin, das Schadprogramm Backdoor.Win32.IRCNite.yb auf den infizierten Computer zu transportieren, anschließend mit einem entfernten Server Verbindung aufzunehmen und den Rechner an ein Botnetz anzuschließen.

Um die Schadprogramme vor Entdeckung zu schützen, setzen Cyberkriminelle bevorzugt auf die Verschleierung und das Verpacken ihrer Machwerke: Auf den Plätzen 11, 14 und 17 liegen derartige Programme aus den Familien Katusha, VBNA und Klone. Bemerkenswert ist, dass alle drei Programme praktisch gleichzeitig entdeckt wurden, und zwar in der Zeit zwischen Ende August und Anfang September 2010.

„Die Weltkarte“

Eine der interessantesten Fragen, die unsere Statistik beantworten kann, lautet, in welchen Ländern es die Anwender am häufigsten mit Cyberbedrohungen zu tun hatten. So erhält man einen Index für die Aggressivität der Umgebung, in der der Computer läuft.

Um den Grad des Infektionsrisikos einschätzen zu können, dem die Computer in den verschiedenen Ländern der Welt ausgesetzt sind, haben wir für jedes Land berechnet, wie häufig Kaspersky Anti-Virus auf den Computern im Laufe des Jahres 2011 Alarm geschlagen hat.

Web-Bedrohungen

Position Land Prozentualer Anteil der Anwender*
1 Russian Federation 55,9
2 Oman 54.8
3 United States 50,1
4 Armenia 49,6
5 Belarus 48,7
6 Azerbaijan 47,5
7 Kazakhstan 47,0
8 Iraq 45,4
9 Ukraine 45,1
10 Guinea-Bissau 45,1
11 Malaysia 44,4
12 Sri Lanka 44,2
13 Saudi Arabia 43,9
14 India 43,8
15 Sudan 43,5
16 United Kingdom 43,2
17 Tajikistan 43,1
18 Qatar 42,4
19 Kuwait 42,3
20 Canada 42,1
Aus unseren Berechnungen haben wir die Länder ausgeschlossen, in denen die Zahl der Anwender von Kaspersky Lab-Produkten vergleichsweise gering ist (weniger als 10.000).
*Prozentualer Anteil der Anwender, die Webattacken ausgesetzt waren, an allen Computern mit Kaspersky-Produkten im entsprechenden Land.

Im Jahr 2011 hat sich das prozentuale Verhältnis zwischen Entwicklungs-/Schwellenländern und Industrienationen in den Top 20 geändert. Im vergangenen Jahr war mit den USA nur eine Industrienation in diesem Rating vertreten. Im Jahr 2011 gesellten sich England und Kanada dazu.

Auch beim Führungstrio gab es Veränderungen. Innerhalb eines Jahres sank im Irak das Infektionsrisiko beim Surfen im Netz deutlich, von 61,8 Prozent auf 45,4 Prozent. Dieses Land rutschte in unserem Rating von Platz eins auf Platz acht ab. Russland hingegen legte 2,2 Prozentpunkte zu und stieg damit von Rang drei auf Platz eins. Hier betrug der Anteil der beim Surfen angegriffenen Computer 55,9 Prozent. Position zwei belegt mit 54,8 Prozent nach wie vor Oman. Die USA stiegen zwei Plätze auf und belegen nun mit 50,1 Prozent Position drei. Ein wesentlicher Anteil der Attacken auf die amerikanischen User wurde im Jahr 2011 von gehackten Webseiten mit Hilfe des Exploit-Packs „BlackHole Exploit Pack“ durchgeführt. Durch einen erfolgreichen Angriff auf einen Computer konnte dort eine ganze Menagerie verschiedener Schadprogramme installiert werden: der Trojan-Banker Zbot (Zeus), die multifunktionalen Backdoor-Klicker ZeroAccess, falsche Antiviren-Lösungen und Erpresser-Software.

Nach dem Grad des Infektionsrisikos beim Surfen im Web lassen sich alle Länder in verschiedene Gruppen einteilen.

  1. Gruppe mit erhöhtem Risiko
    Zu dieser Gruppe mit Werten zwischen 41 und 60 Prozent gehören 22 Länder. Neben den Ländern aus den Top 20 sind das Australien (41,5 %) und China (41,4 %).
  2. Risikogruppe
    In der Gruppe mit Werten von 21 bis 40 Prozent sind 118 Länder vertreten, darunter Italien (38,9 %), die Vereinigten Arabischen Emirate (38,2 %), Frankreich (37 %), Schweden (32 %), Holland (37,1 %) und Deutschland (26,6 %).
  3. Gruppe der beim Surfen im Internet sichersten Länder (0 – 20%)
    Im Jahr 2011 zählten zu dieser Gruppe insgesamt 9 Länder: Äthiopien (20,5 %), Haiti (20,2 %), Dänemark (19,9 %), Niger (19,9 %), Togo (19,6 %), Burundi (18,6 %), Simbabwe (18,6 %), Benin (18,0 %) und Myanmar (17,8 %).

Die bedeutendsten Veränderungen gab es im Jahr 2011 in der letzten Gruppe, denn ihre Zusammensetzung hat sich praktisch komplett geändert. Deutschland, Japan, Luxemburg, Österreich und Norwegen, deren Werte im Jahr 2010 noch zwischen 19 und 20 Prozent lagen, sind nun in der Risikogruppe. Mit Ausnahme von Dänemark besteht die Gruppe der sichersten Länder nun fast ausschließlich aus Neulingen im Rating.

Wir weisen darauf hin, dass die Länder aus der sichersten Gruppe beim Surfen hinsichtlich einer lokalen Bedrohung in die Gruppe mit dem höchsten und maximalen Infektionsniveau fallen. Dass sie dennoch zu der Gruppe der beim Surfen sichersten Länder gehören, erklärt sich durch die Verbreitungsart von Dateien in diesen Ländern: Das Internet ist dort bisher noch nicht sehr weit entwickelt, daher werden für den Austausch von Dateien unter Usern verschiedene mobile Datenträger verwendet. Als Folge erscheinen diese Länder bezüglich der Internet-Bedrohungen praktisch gar nicht auf unserem Radar, doch eine Unmenge von Anwendern hat hier mit Viren und Würmern auf ihren Rechnern zu kämpfen, die sich zum Beispiel über USB-Sticks oder über infizierende Dateien verbreiten.

Insgesamt ist das Niveau der Infektionsgefahr im Internet innerhalb eines Jahres weltweit um 2 Prozentpunkte gestiegen und betrug 32,3 Prozent. Zudem ist das Abrutschen vieler westeuropäischer Länder und Japans in die Risikogruppe ein beunruhigendes Zeichen, denn gerade auf die Anwender in diesen Ländern haben es die professionellsten Cyberkriminellen abgesehen.

Lokale Bedrohungen

Neben den Bedrohungen über das Internet sind auch die Daten über die Erkennung von Schadprogrammen von Interesse, die direkt auf Computern oder daran angeschlossenen Wechselmedien gefunden werden, etwa auf USB-Sticks, Speicherkarten, Telefonen oder externen Festplatten. Diese Statistik spiegelt das Infektionsniveau von PCs in verschiedenen Ländern der Welt wider.

Position Land Prozentualer Anteil der Anwender*
1 Sudan 94.6%
2 Bangladesh 92.6%
3 Iraq 81.0%
4 Tanzania 80.8%
5 Angola 79.4%
6 Rwanda 78.5%
7 India 77.5%
8 Nepal 77.1%
9 Uganda 75.5%
10 Sri Lanka 74.6%
11 Oman 74.3%
12 Malawi 73.9%
13 Indonesia 73.6%
14 Afghanistan 73.6%
15 Mongolia 72.9%
16 Nigeria 71.9%
17 Mauritania 71.8%
18 Maldives 71.7%
19 Iran 71.5%
20 Ethiopia 70.7%
Aus unseren Berechnungen haben wir die Länder ausgeschlossen, in denen die Zahl der Anwender von Kaspersky Lab-Produkten vergleichsweise gering ist (weniger als 10.000).
*Prozentualer Anteil der Anwender, auf deren Computern lokale Bedrohungen blockiert wurden, an allen Computern mit Kaspersky-Produkten im entsprechenden Land.

Die gesamten Top 20 des Jahres 2011 setzen sich aus Ländern Afrikas und Asiens zusammen. Die Situation in einigen Regionen ist besorgniserregend wie etwa im Sudan und Bangladesch, wo 9 von 10 Computern im Laufe des Jahres mindestens einmal von einem Schadprogramm infiziert wurden. Der noch ungenügende Einsatz von Antiviren-Programmen und die nur oberflächlichen Kenntnisse der Anwender über mögliche Computerbedrohungen machen die Rechner in diesen Ländern zur leichten Beute für Schadprogramme.

Auch bei den lokalen Bedrohungen lassen sich die Länder der Welt in verschiedene Kategorien einteilen. Wir haben unsere Berechnungsmethode im Vergleich zum Vorjahr umgestellt und die Daten über die vom On-Demand-Scanner gefundenen Bedrohungen mit einbezogen, der die Festplatte und externe Datenträger überprüft. Infolgedessen stieg das allgemeine Infektionsniveau. Daher haben wir auch die Gruppeneinteilung überarbeitet, um die aktuelle Situation möglichst adäquat wiederzugeben.

  1. Maximales Infektionsniveau (über 75 %): 9 Länder aus Asien und Afrika.
  2. Hohes Infektionsniveau (56 – 75 %): 70 Länder der Welt, darunter die Philippinen (61 %), Russland (60,6 %), Ecuador (57,8 %), Kolumbien (57,7 %) und China (57,5 %).
  3. Mittleres Infektionsrisiko (35 – 55 %): 55 Länder, unter anderem Mexiko (55 %), die Türkei (55 %), Brasilien (54,1 %), Rumänien (48,6 %), Spanien (44,9 %), USA (40,2 %), Australien (39,1 %), Frankreich (37,9 %), Kanada (37,4 %) und England (37%).
  4. Geringstes Infektionsrisiko (0 – 35 %): 14 Länder.

Länder mit minimalen Computer-Infizierungsraten:

Position Land Prozentualer Anteil
1 Denmark 20,6
2 Japan 21,1
3 Germany 25,3
4 Finland 26,3
5 Czech Republic 27
6 Switzerland 27,6
7 Luxembourg 27,9
8 Austria 28,4
9 Sweden 28,8
10 Norway 29,5
11 Netherlands 29,7
12 Belgium 32,3
13 Slovenia 32,7
14 New Zealand 34,7

Ungeachtet der veränderten Berechnungsmethode sieht die Gruppe der sichersten Länder praktisch genauso aus wie im Vorjahr.

Netzattacken

Ein unverzichtbares Element jedes modernen Schutzprogramms ist die Firewall. Sie ermöglicht es, Angriffe auf den Computer zu blockieren, die von außen über den Browser durchgeführt werden und wehrt zudem Versuche ab, Anwenderdaten vom Computer zu stehlen.

In vielen Kaspersky-Lösungen ist eine Firewall mit Intrusion Detection System (IDS) zur Erkennung eingehender Pakete integriert. Dabei handelt es sich meist um Exploits, die Schwachstellen in Netzwerkdiensten von Betriebssystemen ausnutzen und in der Lage sind, ein System mit nicht geschlossenen Sicherheitslücken zu infizieren oder Cyberkriminellen vollen Zugriff auf das System zu verschaffen.

Im Jahr 2011 wehrten die Systeme von Kaspersky Lab 2.656.409.669 Versuche von unerlaubtem Eindringen in die Computer ab – doppelt so viele wie noch im Vorjahr.

Top 20 der Netzattacken

Position Name Prozentualer Anteil*
1 Intrusion.Win.MSSQL.worm.Helkern 67,7%
2 Intrusion.Win.NETAPI.buffer-overflow.exploit 24,7%
3 DoS.Generic.SYNFlood 14,6%
4 Scan.Generic.UDP 8,7%
5 Scan.Generic.TCP 3,9%
6 Intrusion.Win.DCOM.exploit 2,0%
7 Intrusion.Win.LSASS.exploit 1,8%
8 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 1,3%
9 DoS.Generic.ICMPFlood 1,2%
10 DoS.Win.ICMP.BadCheckSum 0,8%
11 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 0,8%
12 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 0,4%
13 DoS.Generic.PingOfDeath 0,4%
14 Intrusion.Generic.WebApp.DirTravers.exploit 0,4%
15 Intrusion.Win.EasyAddressWebServer.format-string.exploit 0,4%
16 Intrusion.Win.PnP.exploit 0,2%
17 Intrusion.Win.CVE-2010-2729.a.exploit 0,1%
18 Intrusion.Win.MSFP2000SE.exploit 0,1%
19 Intrusion.Unix.Efscsar.buffer-overflow.exploit 0,1%
20 Intrusion.Win.MSSQL.preauth.buffer-overflow.exploit 0,1%
*Anteil an allen Vorfällen, die vom IDS auf den teilnehmenden Computern registriert wurden.

Auf Position eins des Ratings befindet sich einmal mehr der Wurm Slammer (Helkern). Sein Verhalten im Laufe des Jahres war äußerst seltsam – einige Wochen lang war er komplett vom Radar verschwunden, dann tauchte er ganz plötzlich wieder aus der Versenkung auf.

Intrusion.Win.NETAPI.buffer-overflow.exploit, der Spitzenreiter des Vorjahrs, rutschte auf Platz zwei der Top 20. Zur Erinnerung: Dieses Exploit nutzt die Sicherheitslücke MS08-067, die erstmals von dem Wurm Kido und später von dem berühmt-berüchtigten Wurm Stuxnet ausgenutzt wurde.

Ein großer Teil der Hitliste besteht aus bewährten Exploits, die sich über infizierte Computer verbreiten. Eine neunstellige Zahl von Infektionsversuchen über das Netz belegt außerdem, dass es im Wesentlichen eine Heerschar komplett ungeschützter Computer gibt, die mit dem World Wide Web verbunden sind.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.