Kaspersky Security Bulletin 2006: Entwicklung der Schadprogramme

Bedrohungen und Epidemien im Jahr 2006

In dieser Analyse werden die wichtigsten Fälle des vergangenen Jahres aufgeführt und die Entwicklungstendenzen des illegalen Software-Markts erläutert – unterstützt von einer Vielzahl von Statistiken und Fakten.

In erster Linie wendet sich dieser Bericht an IT-Sicherheits-Experten, er ist aber auch interessant für alle Anwender.

  1. Entwicklung der Schadprogramme
  2. Schadprogramme für Unix-ähnliche Systeme
  3. Schadprogramme für mobile Geräte
  4. Internet-Attacken
  5. Spam in 2006

Im Jahr 2006 setzten sich jene Entwicklungstendenzen der Schadprogramme fort, die sich auch schon in den vorhergehenden Jahren abgezeichnet hatten, wie etwa das Übergewicht von Trojanern gegenüber anderen Schadprogrammen sowie der Zuwachs von Programmen, die den Anwendern finanziellen Schaden zufügen.

Die Zunahme neuer Schadprogramme im Vergleich zum Vorjahr betrug 41%.

Die interessantesten Tendenzen des Jahres 2006 waren zum einen der stetige Anstieg von Spyware, die auf den Diebstahl von Anwender-Daten in Online-Spielen abzielt und zum anderen die weitere Entwicklung von Verschlüsselungs-Trojanern, in denen ernstzunehmende kryptografische Algorithmen zur Datenverschlüsselung zum Einsatz kommen. Ebenso erwähnenswert ist das gestiegene Interesse der Virenschreiber an Microsoft Office, angefacht durch die Entdeckung einer großen Anzahl neuer Schwachstellen in Office. Natürlich erschienen daraufhin Schadprogrammen, die diese Sicherheitslücken ausnutzten.

Bemerkenswert waren auch die ersten echten Viren und Würmer für MacOS sowie Trojaner für die mobile Plattform J2ME, mit denen Geld vom Konto der Anwender gestohlen werden kann. Das Jahr 2006 brachte auch eine Reihe von interessanten – teils theoretischen, teils praktischen – Entwicklungen im Bereich Rootkits, aber auch auf dem Gebiet der Anti-Rootkit-Technologien. Wirklich wichtig sind in diesem Zusammenhang aber nur die Konzeption des Rootkits SubVir, das für Produkte von Microsoft entwickelt wurde, und BluePill von Johanna Rutkowska.

Nicht weniger interessant ist die Rückkehr der Virenschreiber zu ihren Ursprüngen sowie die aktuelle Entwicklung im Bereich polymorpher Technologien, die jetzt auch in Scriptviren angewandt werden.

Die Autoren von Schadprogrammen nutzten immer häufiger unkonventionelle Infektionswege: Instant-Messenger-Systeme (ICQ, AOL, MSN) wurden zu den am stärksten gefährdeten Anwendungen im Internet. Das hing natürlich direkt mit einer großen Anzahl neuer Schwachstellen in populären Browsern – insbesondere im Internet Explorer – zusammen.

Vom technischen Standpunkt aus betrachtet war das Jahr 2006 durchaus interessant und verlief glücklicherweise ohne große weltweite Epidemien. Andererseits traten an die Stelle globaler nun endgültig lokale, nach geografischen Gesichtspunkten organisierte Epidemien mit regionaler Begrenzung oder solche, die sich über einen nur sehr kurzen Zeitraum erstreckten.

Über all dies und noch vieles mehr informierten wird im Laufe des Jahres bereits in unseren Quartalsberichten, daher konzentriert sich der vorliegende Artikel auf die Auswirkungen der Ereignisse auf die Statistik.

Die größten Virusepidemien

Im Jahr 2006 wurden 7 weit um sich greifende Virusepidemien registriert – halb so viele wie im Vorjahr (14 Epidemien).

Die Epidemien des letzten Jahres lassen sich vier verschiedenen Bedrohungen zuordnen: dem Wurm Nyxem.e, den Wurm-Familien Bagle und Warezov sowie einigen Varianten des Erpressungs-Trojaners GpCode.

Ende Januar kam es zur Massenversendung einer neuen Variante des E-Mail-Wurms Nyxem. Besonderes Aufsehen erregte eine Funktion von Nyxem, die es ermöglichte, nach der Infizierung eines Systems Kontakt zu einer Website aufzunehmen, auf der ein Counter lag, der die Anzahl der Infektionen registrierte. Innerhalb weniger Tage wurden von Antivirus-Unternehmen hunderttausende von Verbindungen zu der entsprechenden Site gemeldet, was von einer wirklich umfangreichen Epidemie zeugte. Eine weiterführende Analyse zeigte, dass sich die meisten der infizierten Computer in Indien oder in Staaten Südamerikas (vor allem in Peru) befanden.

Der Wurm verfügte über eine besondere Schadfunktion, die alle Dateien, Dokumente und Archive des Anwenders am dritten Tag jedes Monats löscht. Davon ausgehend, dass Nyxem.e zum 3. Februar 2006 mehr als eine Million Computer infiziert haben könnte, wurde in den Massenmedien viel zu diesem Thema veröffentlicht, um die Anwender zu informieren. Vielleicht ist es gerade diesem Umstand zu verdanken, dass ein Löschen von Daten weltweit ausblieb, denn am dritten Februar gab es keine wesentliche Anzahl von Anwendermitteilungen zu diesem Thema.

Allerdings ist Nyxem.e selbst nie von der Bildfläche verschwunden, sondern war im Laufe des gesamten letzten Jahres im elektronischen Postverkehr präsent – und zwar mit einem recht hohen prozentualen Anteil. Der zweite Höhepunkt seiner Aktivität wurde von August bis September registriert. All das bescherte ihm den fünften Platz im Ranking der am weitesten verbreiteten Schadprogramme des Jahres 2006.

Der Januar 2006 stach auch durch das Erscheinen des ersten Erpressungs-Trojaners hervor, der ernsthafte kryptografische Algorithmen zur Verschlüsselung von Anwenderdaten einsetzte. GpCode.ac verwendete den RSA-Algorithmus mit einer Schlüssellänge von 56 Bit. Dieses Schadprogramm verschlüsselt Dateien und verlangt für die Entschlüsselung Lösegeld von den Opfern.

GpCode.ac war durch Spam-Versand im russischen Internet sehr weit verbreitet. Ungeachtet zahlreicher Warnungen, keine Anhänge von unbekannten Absendern zu öffnen, waren sehr viele User betroffen. Kaspersky Lab stellte aber sehr kurzfristig Mechanismen zur Entschlüsselung der Anwenderdaten zur Verfügung.

Anfang Juni 2006 wurden nacheinander drei Varianten von GpCode in Umlauf gebracht, die jeweils einen sehr viel längeren Schlüssel verwendeten, was ihre Analyse bedeutend erschwerte.

Die Schlüssellänge der letzten Variante GpCode.af betrug 330 Bit, was die Angelegenheit erheblich verkomplizierte. Die Entschlüsselung der verschiedenen, in den Modifikationen von GpCode.af verwendeten Schlüssel erforderte den Einsatz neuester Technologien und 10 Stunden angestrengter Arbeit der Experten von Kaspersky Lab. Doch kurz darauf erschien eine neue Variante – GpCode.ag – mit einer Schlüssellänge von 660 Bit. Auch dieses Problem konnte übrigens in kürzester Zeit gelöst werden. Seither tauchten keine weiteren neuen Varianten des Trojaners GpCode auf.

Seit dem Jahr 2004 verfolgen wir die Aktivitäten der gefährlichen Familie des E-Mail-Wurms Bagle. In dieser Zeit hat er eine Entwicklung vom einfachen Wurm hin zu einem Multikomponenten-Schadprogramm mit den Funktionen eines Proxy-Servers, Downloaders und Spions mit verschiedenen Verbreitungswegen durchgemacht. Im Jahr 2005 erreichte er den Höhepunkt seiner Aktivität. Und auch wenn die Autoren des Wurms ihre Tätigkeit im Jahr 2006 deutlich zurückschraubten, organisierten sie im Februar und Juni doch zwei ernsthafte Virenepidemien. Unweigerlich folgte auf jede dieser Epidemien ein Anstieg von Spam im E-Mail-Verkehr, was dadurch zu erklären ist, dass die von Bagle infizierten Computer als trojanische Proxy-Server benutzt wurden.

Eine sehr ähnliche Verbreitungstaktik (massenhafte, zeitlich sehr begrenzte lokale Aussendungen) wandten im Folgenden auch die unbekannten Autoren des Wurms Warezov an. Dieser ist Bagle in seiner Funktionalität sehr ähnlich und ebenso darauf ausgerichtet, die infizierten Systeme zur weiteren Versendung von Spam einzusetzen. Von September bis Ende des Jahres wurden über 300 Varianten dieses Wurms registriert, wobei wir es an manchen Tagen mit mehr als 20 Modifikationen zu tun hatten, von denen sich jede einzelne zielstrebig im E-Mail-Traffic ausbreitete. Trotz allem schaffte es – auf Grund der vielfältigen Modifikationen – nicht eine der Varianten in die Top Ten der am weitesten verbreiteten E-Mail-Viren. Doch tatsächlich gehört er nach wie vor zu den sich am schnellsten ausbreitenden und gefährlichsten Schadprogramme im Internet.

Rang Name Entwicklung
1 Net-Worm.Win32.Mytob.c 0
2 Email-Worm.Win32.LovGate.w +4
3 Email-Worm.Win32.NetSky.b +2
4 Email-Worm.Win32.NetSky.t Neu
5 Email-Worm.Win32.Nyxem.e Neu
6 Email-Worm.Win32.NetSky.q -4
7 Net-Worm.Win32.Mytob.u +2
8 Net-Worm.Win32.Mytob.t +7
9 Net-Worm.Win32.Mytob.q -1
10 Email-Worm.Win32.Scano.gen Neu

Die Top Ten der am weitesten verbreiteten Schadprogramme im E-Mail-Verkehr für das Jahr 2006

Entwicklung der Schadprogramme im Jahr 2006

Im vorliegenden Jahresbericht betrachten wir die Entwicklung der verschiedenen Schadprogramme im letzten Jahr. Gemäß der Klassifizierung von Kaspersky Lab existieren drei Klassen von Schadprogrammen:

  • TrojWare: verschiedene trojanische Programme, die nicht in der Lage sind, sich selbst zu reproduzieren. Dazu zählen Backdoors, Rootkits und Trojaner jeglicher Art
  • VirWare: sich selbst reproduzierende Schadprogramme, etwa Viren und Würmer
  • Andere MalWare: Software, die von Kriminellen vor allem zur Erstellung von Schadprogrammen und zur Organisation von Angriffen verwendet wird

Anzahl neuer Schadprogramme im Monatsdurchschnitt

Das prozentuale Verhältnis neuer Familien und Varianten von Schadprogrammen stellt sich folgendermaßen dar:


Verteilung der Schadprogramme nach Klassen Ende 2006
Klasse Anteil in Prozent Veränderung innerhalb eines Jahres in Prozent
TrojWare 91,79% +2,79%
VirWare 4,70% -1,3%
Andere MalWare 3,51% -1,49%

Veränderungen der Anteile der einzelnen Schadprogramm-Klassen innerhalb des letzten Jahres

Der Anteil verschiedener trojanischer Programme hat 2006 – wie auch schon im Laufe der letzten Jahre – weiter zugenommen. Der Anstieg von 2,79% im Vergleich zum Jahr 2005 ist bedeutend niedriger als der Vorjahreswert (8,76% Anstieg). Die technisch relativ einfache Entwicklung von Schadprogrammen dieser Klasse (im Gegensatz zu Würmern und Viren) und die Möglichkeit, damit Daten zu stehlen, Botnetze zu schaffen und Spam zu versenden, sind nach wie vor die Hauptgründe für den Zuwachs von Trojanern im Internet. Bestätigt wird dies durch die Tatsache, dass der Anteil an trojanischen Programmen im Verhältnis zur Gesamtzahl neuer Schadprogramme 90% überstiegen hat.

Die Zahl der Würmer und Viren (VirWare) ist nicht ganz so stark zurückgegangen wie im Jahr 2005 (-6,53%), was allerdings leicht durch das ohnehin schon sehr niedrige Niveau zu erklären ist. In näherer Zukunft ist kaum ein weiterer Rückgang von VirWare zu erwarten, vielmehr wird sich diese Klasse der Schadprogramme auf einem gewissen Level einpendeln. Würmer und Viren werden nicht von der Bildfläche verschwinden, sie werden sich im Jahr 2007 vermutlich eher einer steigenden Beliebtheit erfreuen, was aber sehr stark davon abhängt, ob im Betriebssystem Windows im Allgemeinen, und speziell in Vista neue kritische Verwundbarkeiten entdeckt werden können.

Schadprogramme, die wir zur Klasse „Andere Malware“ zählen, repräsentieren die prozentual kleinste Gruppe von Malware – mit der gleichzeitig größten Anzahl verschiedener Typen – wobei Exploits den weitaus interessantesten Vertreter dieser Klasse darstellen. Das bedeutendste Ereignis im letzten Jahr im Zusammenhang mit dieser Klasse war das Erscheinen einer großen Anzahl von Exploits für MS Office. Für 2007 prognostizieren wir einen Anstieg derartiger Bedrohungen. Auch in diesem Fall werden Windows Vista und die neue Version des Office-Pakets MS Office 2007 großen Einfluss auf die weitere Entwicklung der Situation haben.

Im Folgenden werden die Veränderungen des letzten Jahres gesondert nach den einzelnen Klassen näher betrachtet.

Trojanische Programme

Die Anzahl der monatlich von den Kaspersky Lab-Analytikern entdeckten neuen Trojaner ist in der folgenden Grafik dargestellt:


Anzahl der monatlich von den Kaspersky Lab-Analytikern entdeckten neuen Trojaner

Selbst ein flüchtiger Blick auf die Grafik lässt den gleichmäßig steilen Anstieg trojanischer Programme erkennen. Dadurch ergibt sich eine immer größere Bedrohung, da die überwiegende Mehrzahl dieser Programme darauf abzielt, den Usern finanziellen Schaden zuzufügen.

Der prozentuale Anteil an Trojanern ist bereits jetzt so hoch, dass selbst der im Vergleich zum Vorjahr (124%) geringere formale Zuwachs an neuen trojanischen Programmen von 46% keinesfalls von einer allmählich abnehmenden Aktivität der Online-Kriminellen zeugt.

Die Verteilung der verschiedenen Trojaner-Typen ist im folgenden Diagramm dargestellt:


TrojWare: Prozentuale Verteilung der einzelnen Trojaner-Typen

Um die Veränderungen innerhalb des letzten Jahres besser zu verdeutlichen, hier nun einige Zahlen:

Trojaner-Typ Veränderung innerhalb eines Jahres
Backdoor +29%
Trojan +11%
Trojan-Clicker +3%
Trojan-Downloader +93%
Trojan-Dropper -15%
Trojan-Proxy +58%
Trojan-PSW +125%
Trojan-Spy +27%
TrojWare +46%

Prozentuale Veränderungen neuer Schadprogramme der Klasse TrojWare innerhalb eines Jahres

Der einzige Trojaner-Typ, dessen Anteil an neuen Schadprogrammen im Vergleich zum Vorjahr abgenommen hat, ist der Trojan-Dropper. Verwunderlich ist diese Entwicklung allerdings nicht, wenn man bedenkt, dass für diesen Typus 2005 ein Wachstum von 212% registriert wurde, was eine der höchsten Kennziffern aller Schadprogramme insgesamt war. Ein solches Tempo beizubehalten ist überaus schwierig, daher ist selbst ein Rückgang von 15% kein Anzeichen für eine tatsächliche Verringerung dieser Art von Bedrohungen.

Angeführt haben die Tabelle im Jahr 2006 die Typen Trojan-Downloader und Trojan-PWS – ihre Anteile sind um 93% beziehungsweise 125% gestiegen.

Für den Trojan-Downloader ist ein derartiger Wert keine Premiere (2005 überstieg sein Wachstum 270%). Es handelt sich hierbei um den am häufigsten anzutreffenden Trojaner, wobei das Interesse der Cyber-Kriminellen an diesem Programm-Typ daran liegt, dass sich mit seiner Hilfe problemlos Schadprogramme auf andere Computer transportieren lassen. Ein Trojan-Downloader ist in der Lage, jedes beliebige andere Schadprogramm im System zu installieren, was dem Autor eines solchen Trojaners ein breites Spektrum an Möglichkeiten zur weiteren Nutzung des infizierten Computers eröffnet.

Der Trojan-PSW ist der einzige Typ dieser Klasse, der seine Ergebnisse gegenüber 2005 sogar noch verbessern konnte: +125% gegenüber +122% im letzten Jahr. Das liegt zum großen Teil daran, dass die Mehrheit der Trojan-PSWs zu den so genannten Game-Trojanern gehört, die zum Diebstahl von Spielerdaten verschiedener Online-Spiele eingesetzt werden. Online-Spiele erleben zurzeit einen regelrechten Beliebtheitsboom und in den virtuellen Welten von „World of Warcraft“, „Lineage“ oder „Legend of Mir“ tummeln sich Millionen von Spielern weltweit, insbesondere aus asiatischen Ländern. Häufig liegt der Preis für das Game-Personal oder verschiedenes Zubehör dieser Spiele bei Zehntausenden von Dollar. Da lassen natürlich auch die Online-Kriminellen nicht lange auf sich warten. Sie rauben Zugangs-Accounts und versteigern die gestohlenen virtuellen Werte auf Internet-Auktionen.

Game-Trojaner wurden im Jahr 2006 zu einem der Schlüsselprobleme und ihre Entwicklungstendenz deutet darauf hin, dass sie auch in näherer Zukunft zu den sich am schnellsten verbreitenden Typen von Schadprogrammen gehören werden. Für 2007 wird das Erscheinen verschiedener neuer Online-Games erwartet, was zweifellos Millionen neue Spieler – und in ihrem Windschatten – Cyber-Kriminelle anziehen wird.

Außer den beiden oben beschriebenen Trojaner-Typen zieht – gerade vor dem Hintergrund des sich verlangsamenden Wachstums von trojanischen Programmen – auch der Trojan-Proxy unsere Aufmerksamkeit auf sich. 2005 stieg sein Anteil um 68%, 2006 um 58%. Das gleich bleibende Interesse an diesem Trojaner-Typ lässt sich dadurch erklären, dass er zum Spam-Versand über die von ihm infizierten Computer eingesetzt wird. Trotz des aktiven Kampfes gegen Spam – sowohl auf gesetzlicher als auch auf technischer Ebene – steigt die Anzahl unerwünschter Mitteilungen von Jahr zu Jahr und machte gegen Ende 2006 fast 80% des gesamten E-Mail-Verkehrs aus. Unserer Meinung nach besteht eine direkte Verbindung zwischen der Anzahl neuer Trojan-Proxys und der Zunahme von Spam. Sollte es 2007 also gelingen, die Wachstumsgeschwindigkeit dieses Trojaner-Typs zu drücken, so müsste sich das in der Folge auch auf die Menge von Spam im Internet niederschlagen.

Eine weitere Familie trojanischer Programme, nämlich Rootkits, sollte hier nicht unerwähnt bleiben – auch wenn sie in der Tabelle der verschiedenen Trojaner-Typen nicht eigens aufgeführt werden, da ihre Anzahl bisher noch geringer ist als selbst die des Trojan-Clicker. Allerdings fungiert dieser Typ häufig als eine Art Tarnkappe für unterschiedlichste trojanische Programme und ein und dasselbe Rootkit kann von verschiedenen Kriminellen eingesetzt werden. Im Jahr 2005 – als wir diese Programm-Familie erstmals als eigenen Typus klassifizierten – verzeichneten Rootkits ein nie da gewesenes Wachstum von 413%. Von diesem Moment an wurden Rootkits zu einem der heißesten Themen innerhalb der Antivirus-Industrie und die Virenschreiber betrieben aktive Entwicklungsarbeit auf diesem Gebiet. Nach einem so steilen Aufstieg war zumindest eine gewisse Verlangsamung des Wachstums zu erwarten, doch auch im Jahre 2006 hielten sich Rootkits auf einem hohen Niveau, nämlich 74%. Das zeigt, wie aktuell das Thema Rootkits nach wie vor ist. Mit großem Interesse erwarten wir den Einfluss von Windows Vista, unter dem – nach Aussage der Entwickler – Rootkits keine Überlebenschance haben.

Zu dem Trojaner-Typ Trojan-Spy, der ein Wachstum von 27% zu verzeichnen hatte, gehören auch die so genannten Banker. Diese Trojaner rauben Zugangsdaten zu verschiedenen Online-Bezahlsystemen und zum Internet-Banking sowie Kreditkartendaten. Hierbei handelt es sich um die wohl offensichtlichste Ausprägung illegaler Geschäftemacherei im Internet. Im Jahr 2006 setzte sich die Entwicklung dieses „Business“ fort, bei gleichzeitiger Verdoppelung der Anzahl neuer Banker: ein Zuwachs von 97% im Vergleich zu 2005. Das unaufhaltsame Wachstum dieser Trojaner konnte weder durch die von Banken ergriffenen Maßnahmen zur Abschirmung ihrer Kunden vor derartigen Bedrohungen noch durch die bedeutende Zunahme von Phishing-Attacken, die auf den Raub derselben Daten abzielen, eingedämmt werden. Der Zugang zum eigenen Konto und die Möglichkeit dieses via Internet zu verwalten sowie die Nutzung des Internets als Ort unbegrenzter Einkaufsmöglichkeiten ziehen mehr und mehr Benutzer an. Das bedeutet aber auch, dass im Jahre 2007 ein bedeutender Teil der trojanischen Programme auf den Raub vertraulicher Daten ausgelegt sein wird.

Würmer und Viren

Die Anzahl der monatlich von Kaspersky Lab entdeckten neuen Programme der Klasse VirWare zeigt die folgende Grafik:


Anzahl der monatlich von Kaspersky Lab entdeckten neuen Programme der Klasse VirWare

Aus der Grafik wird ersichtlich, dass die Periode der Stagnation der dargestellten Klasse, die in den Jahren 2004/2005 zu beobachten war, 2006 einem gewissen Wachstum gewichen ist, das insbesondere in der zweiten Jahreshälfte deutlich zu Tage trat. Das erklärt sich vor allem dadurch, dass die Virenschreiber gerade in diesem Zeitraum so taktisch vorgingen, dass sie zahlreiche und zeitlich sehr kurz angelegte Virenepidemien organisierten. Diese Taktik wurde besonders von den Autoren der weit verzweigten Familie des Wurms Warezov ausgereizt. An einzelnen Tagen wurden von uns bis zu zwei Dutzend neuer Varianten dieses Wurms registriert, die sich nur durch minimale Veränderungen des Codes voneinander unterschieden und unter anderem nach geografischen Merkmalen versendet wurden (einige wurden innerhalb Russlands verschickt, andere innerhalb Deutschlands usw.). Das Auftauchen einer Vielzahl von Varianten innerhalb eines sehr kurzen Zeitraums führte dazu, dass Warezov bereits nach zwei Monaten zur am schnellsten wachsenden Familie aller Schadprogramme des Jahres 2006 geworden war!

Außer Warezov hatte auch der asiatische Wurm Viking großen Einfluss auf die Entwicklung der VirWare. Auch dieser Wurm verbreitet sich, etwa in China, sehr aktiv und zeichnet sich durch einen großen Variantenreichtum aus. Das führte dazu, dass die Klasse VirWare im Vergleich zum Vorjahr ein Plus an neuen Programmen von 8% zu verzeichnen hatte. Wir erinnern daran, dass die gegebenen Schadprogramme im Jahr 2005 einen Rückgang von 2% zeigten.

Insgesamt lässt sich feststellen, dass sich die Klasse – wie auch schon 2005 – nur deswegen auf ihrem Niveau halten kann, weil einzelne Wurm-Typen stark zunahmen, wohingegen bei den restlichen ein deutlicher Rückgang zu beobachten ist. Das Wachstum von 8% geht auf nur zwei Typen der Klasse VirWare zurück, nämlich den E-Mail-Wurm und den Wurm.

Die Verteilungen der verschiedenen Typen von VirWare ist in folgendem Diagramm dargestellt:


VirWare: prozentuales Verhältnis der Typen innerhalb der Klasse

Die stabilsten Typen aller Viren-Programme waren auch im Jahr 2006 der E-Mail-Wurm und der Wurm mit einer Veränderung des Anteils innerhalb der Klasse von +2 und -3 Prozent. Man kann davon ausgehen, dass sie auch in diesem Jahr die Zugpferde in dieser Klasse bleiben werden.

Typ Veränderung innerhalb eines Jahres
Email-Wurm +43%
IM-Wurm -45%
IRC-Wurm -63%
Net-Wurm -55%
P2P-Wurm -5%
Wurm +221%
Virus -29%
VirWare +8%

Prozentuale Veränderungen neuer Schadprogramme in der Klasse VirWare

Wie schon gesagt, ist der Anstieg von Schadprogrammen innerhalb der gegebenen Klasse hauptsächlich auf die Aktivitäten von E-Mail-Worm.Win32.Warezov und Worm.Win32.Viking zurückzuführen.

Erwähnenswert ist auch der deutliche Rückgang neuer Netzwürmer (Net-Wurm). Dieser gefährlichste und sich am schnellsten vermehrende Wurm-Typ war in den letzten Jahren ungemein aktiv. Man erinnere sich nur an die globalen Epidemien von Lovesan (2003), Sasser (2004) und Mytob (2005). Im Jahr 2005 verzeichnete dieser Ty einen Zuwachs von 43%. Glücklicherweise hat sich die Situation im letzten Jahr in ihr Gegenteil verkehrt (-55% im Verhältnis zu 2005). Das liegt in erster Linie daran, dass in den Systemanwendungen von Windows nicht viele kritische Sicherheitslücken entdeckt wurden, dass alte Verwundbarkeiten von den meisten Anwendern mit Hilfe entsprechender Patches geschlossen wurden und dass Firewalls ebenso zum Standard-Schutz wurden wie auch Antivirus-Programme. Zu einem nicht geringen Teil ist dies aber auch der Verdienst großer Internet-Provider, die verschiedene Systeme zur Filterung des Traffics und Antivirus-Software installiert haben, die es ermöglichen, eine Epidemie schon vor Erreichen des Endanwenders im Keim zu ersticken.

Höchstwahrscheinlich wird die Anzahl von Netz-Würmern auch im Jahr 2007 weiter abnehmen, doch die weitere Existenz dieses Wurm-Typs hängt ausschließlich von seinen Verwendungsmöglichkeiten in Verbindung mit anderen Medien (E-Mail, Netzressourcen, Würmer für Instant-Messenger) ab.

IM-Würmer konnten im Übrigen keine nennenswerte Position im Viren-Ranking erreichen. Im Jahr 2005 richtete sich die Aufmerksamkeit von Virenschreibern verstärkt auf diesen Wurm-Typ, obwohl er schon 2001 zum ersten Mal in Erscheinung getreten war. Ende 2005 erschienen im Monatsdurchschnitt 32 neue Exemplare von IM-Würmern. 2006 verlangsamte sich das Wachstum dieser Wurmart zunächst, und in der Folge nahm deren Anzahl schließlich allgemein stetig ab, was auch in diesem Fall auf den erfolgreichen Einsatz von Gegenmaßnahmen seitens der Anbieter von IM-Diensten, AOL und MSN, zurückzuführen ist. Sie integrierten eine Reihe von Filtern und Beschränkungen in ihre Programme, was es den Autoren von IM-Würmern bedeutend erschwerte, Schadprogramme auf diesem Wege zu verbreiten. Das Ergebnis ist ein Rückgang neuer IM-Würmer um 45% mit der Tendenz zur völligen Ausrottung im Jahr 2007.

Die traditionellen Dateiviren nehmen weiterhin ab, was allerdings nicht bedeutet, dass die Virenschreiber das Interesse am Infizieren von Dateien verloren hätten. Im Gegenteil setzten sie diese Methode immer häufiger ein, so dass wir hier von einer Wiedergeburt sprechen können. Allerdings wird sie jetzt nicht mehr separat eingesetzt, sondern in Verbindung mit anderen Schadprogrammen (wie zum Beispiel dem WWorm.Win32.Viking) die in der Lage sind, Dateien zu infizieren. Zudem werden Viren technisch gesehen immer komplizierter, in ihnen kommen immer häufiger verschiedene Polymorphismen und Codemutationen zum Einsatz, was den Antivirus-Unternehmen seit jeher Kopfzerbrechen bereitet. Insgesamt betrachtet verlangsamt sich das Tempo, mit dem die Anzahl der Viren abnimmt: im Jahr 2006 um nur 29%, im Vergleich zu -45% im Jahr 2005 und -54% im Jahr 2004.

Die übrigen Wurm- und Virus-Typen sind von nur geringem Interesse, da sie sich nur wenig verbreiten und ihr Anteil an der Gesamtmenge der VirWare ständig schrumpft.

Andere Schadprogramme

Diese Klasse weist zwar die geringste Anzahl an entdeckten Schadprogrammen auf, sie verfügt allerdings über die größte Bandbreite an verschiedenen Typen und Varianten.

Bezogen auf die Menge aller Schadprogramme hat der Anteil dieser Klasse abgenommen (siehe Tabelle 1), und die Veränderungen in der Anzahl neuer Programme sind innerhalb dieser Klasse im Schnitt geringer als die Wachstumsgeschwindigkeit der beiden anderen Klassen.


Anzahl der monatlich von Kaspersky Lab entdeckten neuen Programme der Klasse Andere MalWare

Der träge Zuwachs neuer Schadprogramme in dieser Klasse in den Jahren 2004 bis 2005 (13% beziehungsweise 43%) ist im Jahr 2006 einem Rückgang von 7% gewichen, was allerdings noch nicht auf eine Tendenz schließen lässt. Doch in Verbindung mit der allgemeinen Abnahme des Anteils von Software dieser Klasse an der Gesamtmenge der Schadprogramme um 3,5% kann man schon von einem erlahmenden Interesse der Virenschreiber an dieser Art von Malware sprechen.

Die Popularität der einzelnen Vertreter von Malware ist in Abb. 8 grafisch dargestellt:


MalWare: prozentuale Verteilung der Typen innerhalb der Klasse

Von der Vielzahl der zu dieser Klasse gehörenden Typen sind insgesamt lediglich sieben von besonderem Interesse. Schadprogramme, die anderen Typen zuzuordnen sind, treten recht selten in Erscheinung, weswegen man hier kaum von einer ernsthaften Entwicklung sprechen kann. Die Veränderungen für 2006 im Einzelnen sind in Tabelle 4 aufgeführt:

Typ Veränderung innerhalb eines Jahres
Constructor -18%
BadJokes, Hoax +167%
Exploit -21%
Flooder -34%
HackTool -21%
IM-Flooder +40%
SpamTool +107%
Andere -64%
Andere MalWare -7%

Prozentuale Veränderungen neuer Schadprogramme in der Klasse Andere MalWare innerhalb des letzten Jahres

Der am häufigsten in Erscheinung tretende Typ dieser Klasse ist das Exploit. Im Jahr 2006 hat sein Anteil leicht abgenommen, was mit der geringeren Anzahl entdeckter Sicherheitslücken, die Cyberkriminelle für ihre Zwecke nutzen können, zusammenhängt. Die problematischen Verwundbarkeiten des Jahres 2006 waren zum großen Teil Sicherheitslücken in MS Office, so dass die Schadprogramme, die diese Lücken nutzten, von uns entsprechend als trojanische Programme und nicht als Exploits registriert wurden.

Wie in vielen anderen bereits erläuterten Fällen, hängt auch die Entwicklung dieser Klasse im Jahr 2007 ausschließlich davon ab, was mit Exploits für Windows Vista und MS Office 2007 geschehen wird. Es ist nicht ausgeschlossen, dass in diesen Programmen zahlreiche kritische Verwundbarkeiten entdeckt werden, was zur Folge hätte, dass der aktuelle Rückgang (-21%) durch einen signifikanten Anstieg von Exploits abgelöst wird.

Von besonderem Interesse ist auch der Zuwachs des einstmals exotischen Typs IM-Flooder. Programme dieser Art werden zum Spam-Versand in den Instant-Messengern ICQ, AOL und MSN verwendet. Der 40-prozentige Anstieg hängt mit der großen Popularität dieser Art von Spam zusammen, zumal für IM-Kunden bisher kein Spam-Filter existiert, der auch nur annähernd ein ähnliches Schutzlevel bieten würde wie moderne Antispam-Systeme für E-Mails.

Vertreter des Typs SpamTool werden zum Sammeln von E-Mail-Adressen auf infizierten Computern und deren Weiterleitung an die Online-Kriminellen zur folgenden Verwendung beim Spam-Versand eingesetzt. Im Jahr 2005 konnten wir ein zwar minimales, doch bereits stabiles Interesse an diesem Typ feststellen. Im Jahr 2006 legte er explosionsartig zu, und zwar um 107%. Allerdings nahm zum Jahresende die Anzahl der Vertreter dieser Art wieder ab, was zum großen Teil durch die Realisierung der Funktion „email harvesting“ in einer Reihe anderer trojanischer Programme und Würmer –insbesondere in Email-Worm.Win32.Warezov – hervorgerufen wurde.

Insgesamt betrachtet war das Jahr 2006 für die Klasse Andere MalWare vernichtend. Im Laufe des Jahres verloren die Vertreter der Klasse – vor dem Hintergrund der wachsenden Popularität von TrojWare – immer weiter an Boden.

Begleitende Tendenzen

Ransomware (Erpresser-Viren)

Eine der gefährlichsten Tendenzen des Jahres 2006 ist die Zunahme von Erpressungen durch Cyber-Kriminelle: Mit Hilfe bestimmter Programme modifizieren oder verschlüsseln sie Daten auf den Opfer-Computern, um daraufhin Lösegeld für die Wiederherstellung der Daten zu fordern. Programme dieser Art unterscheiden sich untereinander nicht besonders in ihrer Funktionsweise und ihr Einsatz führt entweder dazu, dass ein normales Arbeiten mit dem Computer unmöglich oder der Zugang zu den Daten blockiert wird.

Im Januar 2006 wurde diese Programm-Art fast ausschließlich durch einen einzigen Trojaner repräsentiert: Trojan.Win32.Krotten. Der Autor von Krotten gab mit beneidenswerter Regelmäßigkeit innerhalb von nur zwei Wochen 13 Modifikationen dieses Schadprogramms aus, wobei er immer wieder den Code veränderte und versuchte, die Entdeckung von Krotten zu verhindern.

Dieser Höhenflug nahm aber ein jähes Ende, als eine ganze Serie ähnlicher Trojaner erschien, von denen Gpcode der bemerkenswerteste ist. Innerhalb von nur sechs Monaten des letzten Jahres machte er enorme Entwicklungsschritte durch: Von der Verwendung eines einfachen symmetrischen Verschlüsselungs-Algorithmus, über einen asymmetrischen bis hin zu Schlüssellängen von 56, 64, 26, 330 und daraufhin sogar von 660 Bit.

Über unseren Kampf gegen Gpcode haben wir im Sommer 2006 ausführlich berichtet.

Innerhalb des ersten Halbjahres 2006 wuchs die Zahl der trojanischen Erpresser-Programme von zwei auf sechs (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive und Gpcode). Beschränkten sich Anfang des Jahres, also im frühen Entwicklungsstadium dieser Programme, die Angriffe in der Hauptsache auf Russland und andere Länder der GUS, so wurden diese zur Jahresmitte auch geografisch deutlich ausgeweitet, denn auch in Deutschland, Großbritannien und verschiedenen anderen Ländern wurden Fälle von Computer-Erpressung bekannt.

AdWare

Kommen wir zu den Vertretern von AdWare, Programmen also, die auf die eine oder andere Weise Werbung machen. Ihre Anzahl hat im Vergleich zum Vorjahr um 29% abgenommen. Wie wir schon an andere Stelle näher ausgeführt haben, bewegen sich die Vertreter dieser Klasse immer häufiger im Grenzgebiet zwischen Schadprogrammen und nicht schädlichen Programmen. Das äußert sich auch dadurch, dass immer häufiger AdWare anzutreffen ist, in der ganz unverhohlen Virus-Technologien verwendet werden. Die Wachstumsgeschwindigkeit von AdWare verminderte sich schon 2005 erheblich (insgesamt 63%) und wir sagten einen weiteren Rückgang dieser Klasse voraus, was sich auch bewahrheiten sollte. Zum größten Teil ist diese Entwicklung darauf zurückzuführen, dass Geschäfte dieser Art in vielen Ländern mittlerweile als illegal eingestuft werden und daher viele Produzenten von AdWare entweder zur Verantwortung gezogen wurden oder den Code ihrer Programme dahingehend änderten, dass sie für die Antivirus-Industrie nicht mehr von Belang sind.

Aller Wahrscheinlichkeit nach wird sich im Jahr 2007 die Anzahl von AdWare auch weiterhin entscheidend verringern.

Antivirus-Datenbanken

Auf die wachsende Zahl von Bedrohungen und das Erscheinen neuer Schadprogramme in immer kürzeren Intervallen reagierte Kaspersky Lab mit häufigeren Aktualisierungen der Antivirus-Datenbanken und immer kürzeren Reaktionszeiten.

Die Anzahl der monatlich registrierten neuen Signaturen in den Antivirus-Datenbanken von Kaspersky Lab lag monatlich zwischen 5.000 und 10.0000. Im Jahresdurchschnitt betrug die Zahl neuer Signaturen pro Monat 7.240 (ohne Berücksichtigung der erweiterten Datenbank), wohingegen dieser Wert im Jahre 2005 bei 4.496 lag.


Neue Signaturen in den Antivirus-Datenbanken (gelb – allgemeine Datenbank, rot – erweiterte Datenbank)

Wie aus der Grafik ersichtlich, hat sich die Anzahl neuer Signaturen pro Monat in den Antivirus-Dateien im Laufe des Jahres ungleichmäßig erhöht. Jedem Monat der Zunahme folgte ein Monat der Abnahme. Allerdings ist zum Jahresende ein gleichmäßiges Wachstum zu beobachten, was zur Folge hat, dass im Jahresdurchschnitt 10.000 neue Schadprogramme pro Monat ermittelt wurden.

Kaspersky Lab reagierte auf das Erscheinen neuer Schadprogramme mit der Ausgabe zweier verschiedener Update-Typen: der regulären Aktualisierung (etwa einmal pro Stunde) und der akuten Aktualisierung (im Falle einer Epidemie).

Im Jahr 2006 wurden mehr als siebentausend reguläre Updates ausgegeben, was einen Monatsdurchschnitt von über 600 Aktualisierungen ergibt.


Anzahl regulärer Updates pro Monat bei Kaspersky Lab

Die Statistik für die akuten Aktualisierungen ist aus zwei Gründen interessant: Zum einen ist sie ein Spiegel für die Anzahl der Epidemien im Jahr 2006 und ermöglicht somit einen Vergleich mit den entsprechenden Werten des Jahres 2005. Zum anderen lässt sie gewisse Rückschlüsse auf den Zusammenhang zwischen dem Ausbruch von Epidemien und den verschiedenen Monaten zu.


Anzahl akuter Updates der Datenbanken pro Monat (blau – 2005, rot – 2006) bei Kaspersky Lab

Die Daten zeigen, dass es im Jahr 2006 30% weniger Vorfälle gab, die eine akute Aktualisierung erforderlich machten, als im Jahr 2005! Wurden Updates dieser Art im vorletzten Jahr noch durchschnittlich über 30 Mal pro Monat ausgegeben, so waren es im Jahr 2006 weniger als 20.

Die Grafik verdeutlicht auch zwei Perioden außerordentlicher Aktivität der Virenschreiber im Jahr 2006, nämlich die Zeiträume zwischen Februar und April und zwischen Oktober und Dezember. Auch das traditionelle „Sommerloch“ in den Monaten Juni/Juli ist im Diagramm klar erkennbar.

Prognosen

Auf Grund der beschriebenen Tendenzen und Ereignisse erwarten wir, dass sich das Hauptaugenmerk der Virenschreiber auch im Jahr 2007 auf Trojaner richten wird, die auf den Raub von Anwenderdaten spezialisiert sind. Zielscheibe der Attacken werden nach wie vor Benutzer von verschiedenen Online-Banking- und Online-Bezahlsystemen sein sowie Spieler von Online-Games.

Virenautoren und Spammer werden sich weiterhin zusammentun, so dass auf Grund dieser „Symbiose“ die infizierten Computer nicht allein zur Organisation weiterer Attacken, sondern auch zum Versand von Spam genutzt werden können.

Auch die Wege, über die Schadprogramme in die Computer eindringen, bleiben unverändert, nämlich E-Mail und Sicherheitslücken. Mittel zum direkten Angriff auf die Ports werden weniger genutzt werden – deren Einsatz hängt vollständig von der Entdeckung (oder der Nicht-Entdeckung) kritischer Verwundbarkeiten in den Services von Windows ab. Andere Verbreitungswege wie P2P-Netze oder IRC-Kanäle werden nicht zum Massenphänomen, zum Einsatz werden sie aber trotzdem kommen, insbesondere in bestimmten Regionen (der P2P-Client Winny beispielsweise ist in Japan sehr beliebt und kann sich im Jahr 2007 zu einem ernsthaften Problem für den gesamten asiatischen Raum entwickeln). Instant-Messaging-Systeme verbleiben im Dreigestirn der am aktivsten angegriffenen Medien, wobei wir hier allerdings keinen bedeutenden Anstieg der Virenaktivität erwarten.

Insgesamt gesehen nehmen Epidemien und Virus-Attacken eine immer stärkere geografische Ausprägung an. So wird für den asiatischen Raum ein Übergewicht an Game-Trojanern und Würmern mit Virus-Funktionalität charakteristisch werden, in Europa und den USA hingegen werden Spion-Trojaner und Banker das Ranking anführen. Süd- und Lateinamerika werden auch in diesem Jahr unter allen erdenklichen Bank-Trojanern zu leiden haben.

Ohne Zweifel wird das Hauptthema des Jahres 2007 das neue Windows Vista und die in ihm enthaltenen Sicherheitslücken werden. Denn eben die Verwundbarkeiten und neuen Beschränkungen in Vista werden maßgeblich über die weitere Entwicklung der Virusbranche in den nächsten Jahren bestimmen. Schnelle oder grundlegende Veränderungen sind nicht zu erwarten, allerdings ist es unzweifelhaft, dass sich gerade hier die Tendenz des Jahres herausbilden wird.

Virenautoren werden ihre Technologien immer weiter verfeinern und die Methoden zum Verbergen im System weiter verbessern. Entwicklungen im Bereich Polymorphismus, Obsfukation des Codes und Rootkit-Technologie werden sich immer weiter ausbreiten und bei den meisten neuen Schadprogrammen praktisch zum Standard gehören.

Ein wesentlicher Zuwachs an Schadprogrammen ist auch für andere Betriebssysteme abzusehen – in erster Linie für MacOS und *nix-Systeme. Auch Spielekonsolen, wie PlayStation und Nintendo, werden nicht unbeachtet bleiben. Die immer größer werdende Anzahl dieser Geräte und deren Möglichkeit, miteinander und mit dem Internet zu kommunizieren, könnten die Aufmerksamkeit der Virenschreiber auf sich ziehen, wenn auch vorerst nur aus reinem „Forscherdrang“. Es könnte die Situation entstehen, dass die Zahl der Viren für „Nicht-Computer“ im Jahre 2007 eine gewisse Grenze erreicht und ins Unermessliche anwächst, allerdings besteht diesbezüglich nur eine geringe Wahrscheinlichkeit und unserer Meinung nach wird sich zunächst alles auf eine Menge konzeptueller Arbeiten auf diesem Gebiet beschränken.

Zielgerichtete Attacken auf mittelständische und große Unternehmen werden zunehmen. Neben dem traditionellen Diebstahl von Informationen werden diese Angriffe auf Erpressungen ausgerichtet sein, unter anderem Lösegeldforderungen für die Entschlüsselung von Daten (siehe Ransomware). Die wichtigsten Infektionswege von Schadprogrammen ins System werden MS-Office-Dateien und Sicherheitslücken in diesem Programm-Paket sein.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.