Kaspersky Security Bulletin 2007: Entwicklung der IT-Bedrohungen im Jahr 2007

Im vorliegenden Jahresbericht vergleicht Kaspersky Lab die aktuelle Entwicklung von Malware, Adware und potentiell gefährlichen Programmen mit den entsprechenden Daten des Jahres 2006. Dazu verwendet der russische Anti-Malware-Profi eine neue statistische Auswertungs-Methode, die bereits im letzten Jahresbericht eingesetzt wurde.

Die Analyse stützt sich auf zahlreiche Statistiken und Fakten und ist damit besonders für IT-Sicherheits-Experten interessant. Allerdings stellt der Jahresbericht von Kaspersky Lab auch für jeden Anwender eine spannende Lektüre dar.

  1. Entwicklung der IT-Bedrohungen im Jahr 2007
  2. Entwicklung von Schadprogrammen für Online-Spiele
  3. Spam im Jahr 2007
  4. Malware im E-Mail-Fach

Die wichtigsten Malware-Entwicklungen im Jahr 2007

Das Jahr 2007 markiert das Ende der „nicht kommerziellen“ Schadprogramme. Diese Cyber-Schädlinge kamen 2006 noch häufiger vor, wie etwa der Wurms Nyxem.E. Seine einzige Funktion bestand jedoch darin, sich weiterzuverbreiten und Dateien zu löschen. Dagegen hatten sämtliche im Jahr 2007 registrierten Schadprogramme einen finanziellen Hintergrund. Im gleichen Zeitraum gab es zwar auch Viren-Epidemien. Sie waren aber allesamt von kurzer Dauer und traten nicht weltweit auf, sondern nur innerhalb einzelner Regionen oder Länder vertreten. Mittlerweile sind lokale Epidemien gang und gäbe.

Aus der Masse der 2007 neu erschienenen Schadprogramme hebt sich der Sturmwurm deutlich hervor. Dieser von Kaspersky Lab als Zhelatin klassifizierte Schädling tauchte erstmals im Januar 2007 auf und kam im Laufe des Jahres unter zahlreichen Varianten in Umlauf. Diese unterschieden sich hinsichtlich Verbreitungswegen, Social-Engineering-Tricks und dem Zusammenspiel ihrer Komponenten aber so stark voneinander, dass es Antivirus-Experten Schwierigkeiten bereitete, sie einer gemeinsamen Malware-Familie zuzuordnen.

Mit Zhelatin setzten Virenprogrammierer zahlreiche Malware-Techniken erfolgreich um, die bis dato nur als Konzepte innerhalb der Szene kursierten. Egal, ob Rootkit-Technologien, Code-Verunreinigung, Botnetze mit Tarnmechanismus, Infizierung von Computern über P2P-Netze – mit Zhelatin ließ sich das alles realisieren und darüber hinaus auch noch dezentral steuern. Der Wurm griff nicht nur auf traditionelle Distributionswege wie E-Mails und Instant Messenging zurück, sondern schlich sich auch über Web-2.0-Services. Nutzer von Blogs, Foren und RSS-Feeds in die Rechner ein. Zudem nutzten die Cyberkriminellen die steigende Beliebtheit von Video-Plattformen wie Youtube aus und tarnten Zhelatin als Video-Datei.

Die wichtigste Funktion des Sturmwurms liegt jedoch woanders. Der Schädling eignet sich besonders gut dafür, Botnetze aufzubauen und sie anschließend für Spam-Versand und DoS-Attacken zu missbrauchen. Diese Angriffe traten 2007 in so großem Umfang auf, dass sich IT-Sicherheitsexperten mit kaum einem anderen Thema beschäftigten. Die Spam-Entwicklung des Jahres 2007 beleuchtet Kaspersky Lab in einem separaten Jahresbericht.

Cyberkriminelle nutzen DoS-Attacken in den Jahren 2002 und 2003 besonders häufig, griffen anschließend aber immer seltener darauf zurück. Die Methode erlebte 2007 jedoch ein Comeback, allerdings mit neuem Einsatzzweck. DoS-Attacken waren nun nicht mehr ausschließlich ein Mittel von Cyber-Erpressern oder Störenfrieden, sondern dienten vielmehr als Instrument bei politischen Auseinandersetzungen und Konkurrenzkämpfen. Beispielsweise löste der Internet-Angriff auf Estland im Mai vergangenen Jahres ein großes Medienecho aus und wurde von vielen Fachleuten als erster Cyberkrieg überhaupt eingestuft. DoS-Attacken entwickelten sich auch immer mehr zur Handelsware und lassen sich mittlerweile ebenso einfach bestellen wie maßgefertigter Spam-Versand oder Schadprogramme. Inzwischen ist Werbung für diese illegalen Dienstleistungen nicht mehr ungewöhnlich. Zudem liegen DoS-Attacken und massenhafter Spam-Versand preislich gleichauf.

In der Malware-Szene etablierten sich 2007 einige neue Geschäftszweige. darunter die Programmierung von Malware auf Bestellung inklusive technischem Support für den Käufer. Wie diese Businessform funktioniert, zeigt das Beispiel des trojanischen Spionageprogramms Pinch. Dessen Autoren entwickelten innerhalb weniger Jahre mehr als 4000 Varianten dieses Schädlings und die Mehrzahl davon auf Bestellung. Als der russische Nachrichtendienst FSB im Dezember 2007 meldete, die Cyberkriminellen seien verhaftet worden, nahmen die Pinch-Maßanfertigungen jedoch ein jähes Ende.

Ein weiteres Beispiel für kommerzielle Malware ist der als Virus oder Wurm eingestufte Fujack. Dieser chinesische Cyberschädling ist darauf spezialisiert, Zugangsdaten für Online-Games zu stehlen und hat sich weltweit in mehreren hundert Varianten verbreitet. Nachdem die chinesische Polizei den Autor des Schadprogramms mitsamt einigen seiner Kunden verhaftet hatte, stellte sich heraus, dass ihm sein Machwerk einiges an Geld einbrachte. Laut Angaben der Behörden nahm der Programmierer durch den Verkauf rund 12 000 US-Dollar ein. Im Jahr 2007 stellten die „Game-Trojaner“ die größte Familie der trojanischen Programme. Noch 2006 überwogen in dieser Gruppe diejenigen Schädlinge, die darauf spezialisiert sind, Passwörter für Online-Banking zu stehlen.

Die Experten von Kaspersky Lab prognostizierten, dass die „Game-Trojaner“ 2007 den „Bankern“ mengenmäßig Konkurrenz machen würden – und das sollte sich bewahrheiten. Wie sich herausstellte, überstieg die Anzahl der „Game-Trojaner“ die der Bank-Schädlinge sogar deutlich. Weil jede dieser Trojaner-Familien eine andere Zielgruppe angreift, sind bislang auch keine Schadprogramme aufgetaucht, die beide Funktionen miteinander kombinieren. Ein „Game-Trojaner“, der Bank-Zugangsdaten stiehlt, scheint für die Virenschreiber weder erforderlich noch interessant zu sein.

Eines der bemerkenswertesten Ereignisse des vergangenen Jahres war das massenhafte Hacken und „Verminen“ von Webseiten. Cyberkriminelle platzierten dort ihre Schadprogramme oder verlinkten auf ihre Machwerke. Mit dieser Methode wurden im Juni 2007 ungefähr 10 000 italienische Sites gehackt und mit der Exploit-Sammlung Mpack verseucht. Die Anzahl derartiger Angriffe nahm im Laufe des Jahres stetig zu und erreichte gegen Ende 2007 ihren Höchstwert. Zu diesem Zeitpunkt wurde auf über 70 000 Webseiten schädlicher Code entdeckt, der auf infizierten Computern einen „Game-Trojaner“ installierte.

Durch den Mpack-Angriff auf die italienischen Websites wurden die Antiviren-Experten auf einen weiteren Tätigkeitsbereich der Cyberkriminellen aufmerksam. Es stellte sich nämlich heraus, dass die Schadprogramme nicht nur auf italienischen Servern, sondern auch auf Webseiten des Russian Business Network (RBN) kursierten. Eine genauere Analyse ergab, dass die Virenprogrammierer Bulletproof-Hosts nutzten, um ihre Malware massenweise zu verbreiten. Solche Dienstleister werben mit Anonymität sowie Schutz vor strafrechtlicher Verfolgung und bieten den Cyberkriminellen damit eine offizielle Plattform für ihr Treiben. Nach dieser Entdeckung verschwand das RBN erst gegen Ende des Jahres wieder aus den Schlagzeilen. Im Herbst 2007 zerfiel es in mehrere unterschiedliche Hosting-Plattformen und konnte damit das tatsächliche Ausmass seiner illegalen Tätigkeiten verschleiern.

Im Jahr 2007 registrierte Kaspersky Lab so viele neue Schadprogramme wie noch nie zuvor. In den Datenbanken des Antiviren-Profis landeten sogar mehr Neuzugänge als sämtliche innerhalb von 15 Jahren erfassen Schädlinge. Teilt man die Summe der Viren in einzelne Klassen wie Malware, Adware und andere potentiell gefährliche Software auf, ergibt sich folgendes Bild:


Summe aller neuen Schadprogramme in den Jahren 2006 und 2007

Gesamtanteil 2007 2006 Zuwachs
TrojWare 201958 91911 119,73%
VirWare 12416 6282 97,64%
MalWare 5798 4558 27,20%
AdWare 14382 2583 456,79%
RiskWare 2690    
Insgesamt 237244 105334 125,23%


Aufkommen von Schadsoftware für das Jahr 2007, nach Klassen getrennt

Eine derart große Schädlingsmenge kursierte bis dato noch nicht im Internet. Kaspersky Lab war daher mehr als je zuvor gefordert, sämtliche dieser IT-Bedrohungen zu erfassen. Da es jedoch keinerlei Anzeichen gibt, dass sich die Situation dieses Jahr bessert, besteht Anlass zu ernsthafter Sorge. Steigt die Virenzahl weiterhin so rasant an, dürfte sich ihre Gesamtzahl binnen Jahresfrist verdoppeln.

Schadprogramme

Kaspersky Lab unterscheidet drei Klassen von Schadprogrammen:

  1. TrojWare: Trojanische Programme, die sich nicht reproduzieren können. Dazu zählen Backdoors, Rootkits und Trojaner jeglicher Art.
  2. VirWare: Sich selbst reproduzierende Schadprogramme wie etwa Viren und Würmer.
  3. Andere Schadprogramme (Other MalWare): Software, die Cyberkriminelle dazu einsetzen, um Schadprogramme zu erstellen und Web-Angriffe vorzubereiten.

Zuwachs an neuen Schadprogrammen. Im Jahr 2007 nahm Kaspersky Lab jeden Monat durchschnittlich 18 348 Schadprogramme in seine Datenbanken auf und verzeichnete insgesamt 220 172 Neuzugänge. Das sind 114,28 Prozent mehr als im Vorjahr, in dem monatlich 8563 neue Schädlinge erschienen.

Trojanische Programme lassen sich im Gegensatz zu Würmen und Viren nach wie vor leicht entwickeln und vielseitig einsetzen. Daher stieg ihre Zahl im Jahr 2007 um 119,73 Prozent gegenüber 2006 an.

Auch die Virware-Schädlinge tauchten 2007 häufiger auf als noch im vergleichbaren Zeitraum des Vorjahres. Aufgrund der steigenden Beliebtheit klassischer Dateiviren erlebten sie ihren zweiten Frühling und wuchsen zahlenmäßig um 97,64 Prozent. Auf diese Entwicklung geht der Bericht später noch genauer ein.

Mit dem rasanten Anstieg der Virware- und Trojware-Schädlinge können die „anderen Schadprogramme“ nicht konkurrieren. Zwar vergrößerte sich ihre Zahl im Jahr 2007 um 30 Prozent, kommt damit aber nicht an die Wachstumsraten der anderen Klassen heran, die bei mehr als 90 Prozent liegen. Es ist daher nicht ausgeschlossen, dass die Entwicklung der „anderen Schadprogramme“ im Jahr 2008 sogar rückläufig sein wird.


Anzahl der von Kaspersky Lab im Jahr 2007 neu entdeckten Schadprogramme

Aufteilung in einzelne Schadprogramm-Klassen. Die Aufteilung der einzelnen Schadprogramm-Typen änderte sich 2007 nicht. Allerdings nimmt der Anteil der trojanischen Programme ebenso wie in den Jahren zuvor stetig zu, während die Werte für die Klassen Virware und Other Malware weiterhin sinken.


Verteilung der Schadprogramm-Klassen in den Jahren 2006 und 2007

Total 2007 2006 Anteil 2007 Anteil 2006 Änderung des Anteils Zuwachs
TrojWare 201958 91911 91,73% 89,45% +2,28% 119,73%
VirWare 12416 6282 5,64% 6,11% -0,47% 97,64%
MalWare 5798 4558 2,63% 4,44% -1,80% 27,20%
Âñåãî 220172 102751 100% 100%   114,28%

Der Anteil trojanischer Programme an sämtlichen im Jahr 2007 entdeckten Schädlingen stieg um 2,28 Prozent und beträgt nun beeindruckende 91,73 Prozent.

Viren und Würmer spielen dagegen eine immer kleinere Rolle. Verglichen mit dem Vorjahreszeitraum nahm der Anteil der Virware-Klasse auch im ersten Halbjahr 2007 weiter ab und verringerte sich um 2,26 Prozent. Gegen Ende des Jahres war dieser Schädlingstyp aber wieder etwas prominenter vertreten und verschlechterte sich insgesamt nur noch um 0,47 Prozent gegenüber dem Vorjahr. Damit betrug der Anteil der Virware an der Gesamtmenge nunmehr 5,64 Prozent.

Gegenüber 2006 büßte die Gruppe der „anderen Schadprogramme“ mit einem Rückgang von 1,80 Prozent am deutlichsten ein. Zur Jahresmitte 2007 waren es sogar 1,95 Prozent Verlust. Auch der Anteil an der Gesamtmenge aller Schädlinge ist weiter gesunken und liegt 2007 bei nur noch 2,63 Prozent.

Der nächste Abschnitt beschreibt die Veränderungen innerhalb der einzelnen Schadprogramm-Klassen im Detail.

Trojanische Programme

Wertet man die monatlich von Kaspersky Lab neu entdeckten Trojaner grafisch aus, ergibt sich für das Jahr 2007 folgendes Bild:


Jahresbilanz 2007: Anzahl der monatlich neu von Kaspersky Lab entdeckten Trojaner

Während die Schädlingsmenge im Jahr 2006 noch stetig zunahm, schwankte sie 2007 teilweise sehr stark. Die beiden Extremwerte in der Grafik zeigen, dass im Mai und August 2007 besonders viele trojanische Programme im Umlauf waren. Auf den plötzlichen Anstieg folgte dabei aber jeweils ein steiler Absturz. Möglicherweise werden derartige Schwankungen künftig zum Normalfall. Trifft das zu, sollte gleich zu Beginn des Jahres 2008 der nächste Trojaner-Höhenflug anstehen.

Folgendes Diagramm zeigt, wie sich die verschiedenen Trojaner-Typen aufteilen:


Trojware: Prozentuale Verteilung der einzelnen Trojaner-Typen

Besonders anschaulich sind die Veränderungen innerhalb der der Trojware-Klasse, wenn man sie für jeden einzelnen Vertreter gesondert darstellt. Praktisch alle Trojaner-Arten haben im letzten Jahr mengenmäßig zugelegt:


Anzahl neuer Schadprogramme der Klasse Trojware, nach Typen getrennt


Nach Typen aufgeschlüsselte Trojaner-Wachstumsraten im Jahr 2007

TrojWare 2007 2006 Veränderung Anteil
Backdoor 64900 22444 189,16% 32,135
Trojan-PSW 44218 14747 199,84% 21,895
Trojan-Downloader 43751 23443 86,63% 21,663
Trojan-Spy 19035 10479 81,65% 9,425
Trojan 18592 11699 58,92% 9,206
Trojan-Dropper 4224 3771 12,01% 2,092
Trojan-Proxy 3415 2859 19,45% 1,691
Trojan-Clicker 2294 1641 39,79% 1,136
Rootkit 1381 639 116,12% 0,684
Trojan-DDOS 89 59 50,85% 0,044
Trojan-SMS 15 3 400,00% 0,007
Trojan-IM 15 37 -59,46% 0,007
Trojan-Notifier 13 15 -13,33% 0,006
Trojan-AOL 9 67 -86,57% 0,004
Trojan-ArcBomb 7 8 -12,50% 0,003
Trojware insgesamt 201958 91911 119,73% 100%

Trojan-PSW und Backdoor wuchsen im Jahr 2007 unter allen trojanischen Programmen am stärksten. Zwar stieg der Anteil von Trojan-SMS um 400 Prozent, allerdings macht dieser Typ nur wenige Promille der Gesamtmenge aus und wird daher nicht berücksichtigt.

Die Trojware Backdoor legte um fast 190 Prozent zu und ist damit nicht nur der am häufigsten vertretene Trojaner-Typ, sondern hat auch den bisherigen Spitzenreiter Trojan-Downloader abgelöst. Der steile Aufstieg von Backdoor lässt sich nur mit der rasanten Entwicklung der E-Mail-Würmer in den Jahren 2002 bis 2004 vergleichen. Derzeit sind beinahe ein Drittel aller weltweit entwickelten Schadprogramme vom Typ Backdoor, von denen die meisten aus China stammen.

Im Jahr 2007 wurde China seinem Ruf als Viren-Supermacht endgültig gerecht. Dort ansässige Virenschreiber entwickelten neben Backdoors auch zahlreiche Trojaner, die es besonders auf Zugangsdaten für Online-Games abgesehen haben. Das spiegelt sich im 200-prozentigen Anstieg der Klasse Trojan-PSW wider. Ebenso wie im Vorjahr ist dieser Trojaner-Typ der zweithäufigste und lässt mit Trojan Downloader sogar den Spitzenreiter des Jahres 2006 hinter sich.

In der Klasse Trojware unterscheidet Kaspersky Lab derzeit drei Hauptgruppen:

  1. Backdoor, Trojan-PSW, Trojan-Downloader: Die am weitesten verbreiteten trojanischen Programme, die insgesamt mehr als 75 Prozent der Klasse Trojware stellen. Der Anteil jedes einzelnen Typs an der Gesamtmenge beträgt jeweils mehr als 20 Prozent.
  2. Trojan, Trojan-Spy: Diese Typen machen jeweils rund neun Prozent Prozent der Trojaner-Gesamtmenge aus, kommen aber nur auf durchschnittliche Zuwachsraten. Daher ist es unwahrscheinlich, dass Trojan und Trojan-Spy auf das Niveau der dritten Klasse fallen. Sie werden allerdings auch nicht zur ersten Gruppe aufschließen können.
  3. Trojan-Proxy, Trojan-Dropper, Trojan-Clicker, Rootkit: Typen dieser Gruppe kommen auf Anteile zwischen 0,7 Prozent und 2,1 Prozent an der Gesamtmenge aller Trojaner. Abgesehen von den Rootkits liegt die Wachstumsrate dieser Typen bei maximal 40 Prozent. Wegen ihrer starken Zunahme wurden Rootkits erst 2007 in diese Gruppe aufgenommen. Zwar kann man nicht ausschließen, dass einer dieser Typen so weit zulegt, um in die zweite Kategorie zu kommen. Wahrscheinlich nimmt der Anteil von Trojan-Proxy, Trojan-Dropper, Trojan-Clicker und Rootkit unter dem Druck der ersten Gruppe aber weiter ab.

Spionage-Trojaner sind für Anwender sehr gefährlich. Diese Machwerke haben es vor allem auf die Zugangsdaten für Online-Games und Banksysteme abgesehen und verbreiten sich äußerst rasant.

Rootkits

Rootkits transportieren verschiedene trojanische Programme, die sich ohne Wissen des Administrators auf einem Rechner installieren. Zudem versuchen Rootkits, neue Hintertüren im System öffnen, um weitere Malware auf den Computer zu laden.


Von Kaspersky Lab im Jahr 2007 neu entdeckte Rootkits

2005 nahm Kaspersky Lab erstmals Rootkits in seine Datenbank auf. Damals versuchten sich unzählige Virenprogrammierer an diesem Malware-Typ und hielten die Hersteller von Antiviren-Software permanent in Atem. Innerhalb eines Jahres erhöhte sich die Anzahl neuer Rootkits um 413 Prozent. Im Jahr 2006 ging die Wachstumsrate zwar leicht zurück, lag mit 74 Prozent aber immer noch auf hohem Niveau.

Auch 2007 stieg die Anzahl der Rootkits mit 166 Prozent gegenüber dem Vorjahr deutlich an. Wie die Grafik zeigt, waren in der ersten Jahreshälfte 2007 besonders viele dieser Schädlinge in Umlauf. Die Zuwachsrate lag innerhalb der ersten sechs Monate bei 178 Prozent, verminderte sich anschließend aber stetig bis zum Jahresende. Möglicherweise liegt das daran, dass die Autoren von Zhelatin in diesem Zeitraum nicht sehr aktiv waren. Das Sturmwurm genannte Rootkit ist einer der aktivsten Schädlinge des Jahres 2007.

Wie stark sich Trojaner in diesem Jahr verbreiten werden, lässt sich derzeit kaum abschätzen und hängt zum großen Teil vom Marktanteil von Windows Vista abWie stark sich Trojaner in diesem Jahr verbreiten werden, lässt sich derzeit kaum abschätzen und hängt zum großen Teil vom Marktanteil von Windows Vista ab.

Würmer und Viren

Die Klasse Virware unterteilt Kaspersky Lab in zwei Hauptgruppen:

  1. E-Mail-Wurm, Wurm, Virus. Diese Schädlinge machen knapp 90 Prozent aller Virware-Programme aus, wobei jeder einzelne mehr als 20 Prozent zur Gesamtmenge beiträgt. Während die Ausbreitung des Spitzenreiters E-Mail-Wurm auf hohem Niveau stagniert, gibt es explosionsartige Wachstumsraten bei den Typen Wurm und Virus.
  2. IM-Wurm, Net-Wurm, P2P-Wurm, IRC-Wurm. Mit Ausnahme des IM-Wurms trägt jeder dieser Malware-Typen weniger als fünf Prozent zur Virware-Gesamtmenge bei. Das Wachstumstempo in dieser Gruppe ist nur durchschnittlich, lediglich der IM-Wurm hat wegen der steigenden Beliebtheit von Instant-Messaging-Services wie Skype noch Chancen, seinen Anteil zu vergrößern. Dagegen sieht es für den Virware-Typ Net-Wurm schlecht aus. Die Sicherheitslücken in den Windows-Netzdiensten, auf die er abzielt, sind geschlossen und neue Angriffspunkte bieten sich keine mehr an.

Die mittlere Wachstumsrate der Klasse Virware liegt mit 98 Prozent nur wenig unter derjenigen der Klasse Trojware, die es auf 120 Prozent gegenüber 2006 bringt. Virware entwickelt sich allerdings bedeutend schneller als „andere Schadprogramme“.

Die folgende Grafik zeigt die Anzahl der im Jahr 2007 monatlich neu von Kaspersky Lab entdeckten Programme der Klasse Virware.


Anzahl der 2007 von Kaspersky Lab neu entdeckten Virware-Schädlinge

Virware-Schädlinge kursierten in den Jahren 2004 und 2005 nur in geringen Mengen, verbreiteten sich Ende des Jahres 2006 aber wieder stärker. Dieser Trend setzte sich auch 2007 fort, wobei in diesem Jahr jedoch nicht der Höchstwert vom Oktober 2006 erreicht wurde. Damals erschienen hunderte neuer Varianten des Wurms Warezov.

Wie die Grafik zeigt, blieb der Virware-Zuwachs keineswegs stabil, sondern war von Auf- und Abschwüngen begleitet. Momentan scheint der Anteil dieses Schädlingstyps aber recht konstant zu steigen. Diese Tendenz könnte sich 2008 fortsetzen.

Während die Klasse Virware im Jahr 2006 um lediglich acht Prozent wuchs, hat sich 2007 ihre Anzahl mit 98 Prozent nahezu verdoppelt. Doch selbst mit dieser Entwicklung sank ihr Anteil an der Gesamtzahl der Schadprogramme von 6,11 Prozent im Jahr 2006 auf nunmehr 5,64 Prozent.

Die folgende Grafik zeigt, aus welchen Schädlingen sich die Virware-Klasse prozentual zusammensetzt:


Prozentuale Aufteilung der einzelnen Virware-Typen

Um die Veränderungen innerhalb der Virware zu veranschaulichen, zeigt die nächste Grafik alle Veränderungen gegenüber 2006, und zwar getrennt nach Typen. Jeder einzelne davon hat mengenmäßig stark zugelegt:


Zuwachs der Virware-Typen zwischen 2006 und 2007


Zuwachstempo neuer schädlicher Programme der Klasse Virware

Virware-Typ Anzahl 2007 Anzahl 2006 Veränderung Anteil
Email-Worm 4758 3490 36,35% 38,32
Virus 3437 704 389,60% 27,68
Worm 2778 1311 111,80% 22,37
IM-Worm 681 245 178,19% 5,48
Net-Worm 426 283 50,42% 3,43
P2P-Worm 282 215 31,28% 2,27
IRC-Worm 54 34 60,71% 0,43
Insgesamt 12416 6282 97,64% 100,00

Verglichen mit dem Vorjahr sind 2007 deutlich mehr Schadprogramme vom Typ Virware im Umlauf. Virware ist übrigens die einzige Klasse, deren Vertreter ausnahmslos zulegen konnten.

Der E-Mail-Wurm ist nach wie vor der am weitesten verbreitete Virware-Schädling und wuchs wie schon im Vorjahr innerhalb dieser Klasse am stärksten. Während es im Jahr 2006 noch 43 Prozent waren, kamen E-Mail-Würmer 2007 auf 36,35 Prozent Wachstum. Dass lässt sich in beiden Jahren auf den hohen Anteil an den E-Mail-Würmern Warezov, Zhelatin und Bagle zurückführen. Trotz dieser Entwicklung ist der Abstand dieser Klasse zu anderen Virware-Typen nicht allzu groß und beträgt weniger als 11 Prozent.

Im Halbjahresbericht 2007 sagte Kaspersky Lab voraus, der Schädings-Typ Virus auf Platz innerhalb der Virware-Klasse aufsteigen würde. Diese Prognose hat sich eindrucksvoll bestätigt. Der Viren-Anteil wuchs 2007 mit 389,6 Prozent stärker als sämtliche anderen Virware-Typen zusammen lag und zu Jahresende bei fast 28 Prozent. Diese Entwiclung hängt vor allem damit zusammen, dass sich Viren nun auch verstärkt über Flash-Speicherkarten verbreiten. Bemerkenswert ist allerdings, dass die Anzahl der Viren noch im Jahr 2006 um 29 Prozent zurückging.

Viren stehen anscheinend vor einem Comeback. Das gibt durchaus Anlass zur Sorge, weil sich diese Schädlinge nur mit deutlich mehr Aufwand aus einem infizierten System entfernen lassen als beispielsweise trojanische Programme. Zudem kommen die meisten Antivirus-Programme bei komplexen polymorphen Viren nur auf schlechte Erkennungsraten. Durch diese nicht allzu engen Maschen könnten zukünftig viele Viren schlüpfen, zumal deren Programmierer ebenfalls diese spezielle Schwachstelle der Antiviren-Tools kennen.

Der Virware-Typ Wurm wuchs 2006 mit 220 Prozent geradezu explosionsartig, im Jahr 2007 jedoch nicht mehr so stark. Das hängt vermutlich auch mit der Festnahme des chinesischen Autors der weit verzweigten Wurm-Familie Viking zusammen. Gegen Jahresende lag die Zuwachsrate dennoch bei sehr hohen 111,8 Prozent.

Auch Würmer, die sich über Instant-Messaging-Systeme wie AOL und MSN verbreiten, tauchten 2007 erstmals in größerer Menge auf. Noch 2006 konnte sich dieser Schädlingstyp nicht in der Virenszene durchsetzen und nahm mengenmäßig sogar um 45 Prozent ab. Obwohl es keine Anzeichen gab, dass sich 2007 etwas daran ändern würde, verschwanden IM-Würmer nicht in der Versenkung, sondern traten sogar wieder in größerer Anzahl auf. Das lässt sich einerseits darauf zurückführen, dass immer mehr Anwender den IM-Dienst Skype anstelle von AOL und MSN verwenden. Zum anderen haben auch ICQ-Würmer wie Zhelatin (Sturmwurm) dazu beigetragen, dass sich Schadprogramme über IM-Clients verbreiten. Diese Entwicklungen bescherten der Kategorie IM-Wurm mit 5,5 Prozent ganz unerwartet den vierten Platz in der Hitliste der Virware-Schadprogramme und mit 178,2 Prozent sogar das zweithöchste Wachstumstempo.

Andere Schadprogramme (Other Malware)

Verglichen mit Viren oder Würmern sind „andere Schadprogramme“ recht wenig verbreitet. Dafür tummeln sich in dieser Klasse die meisten unterschiedlichen Malware-Typen.

In den Jahren 2004 und 2005 erreichten diese Schadprogramme nur geringe Wachstumsraten zwischen 13 und 14 Prozent. 2006 verringerte sich ihre Anzahl zwar um sieben Prozent, allerdings war das nur eine kurzfristige Verschnaufpause. Im Jahr 2007 stieg die Anzahl neu entdeckter „anderer“ Schadprogramme nämlich wieder um mehr als 27 Prozent. Allerdings konnten sie damit nicht ihren Anteil an der Gesamtmenge aller Schadprogramme aufrechterhalten – er sank von 4,44 Prozent im Jahr 2006 auf nunmehr 2,63 Prozent.


Von Kaspersky Lab im Jahr 2007 neu entdeckte „Andere Schadprogramme“

Die prozentuale Verteilung der einzelnen Typen stellt sich in einem Tortendiagramm wie folgt dar:


Prozentuale Verteilung der einzelnen Typen innerhalb der Klasse „Andere Schadprogramme“

Die beiden nächsten Grafiken zeigen, in welchem Maß der Anteil der einzelnen Malware-Typen gegenüber 2006 zu- oder abgenommen hat.


2006 und 2007 neu entdeckte Malware der Kategorie „Andere Schadprogramme“


2007 registrierte Zu- und Abnahmen aller Vertreter der Kategorie „Andere Schadprogramme“

Andere Schadprogramme 2007 2006 Veränderung Anteil
Hoax 1315 341 285,63% 22,68
Exploit 1219 1860 -34,46% 21,02
Packed 753 0 0,00% 12,99
FraudTool 617 0 0,00% 10,64
HackTool 520 360 44,44% 8,97
SpamTool 501 263 90,49% 8,64
Constructor 353 948 -62,76% 6,09
IM-Flooder 110 128 -14,06% 1,90
BadJoke 100 112 -10,71% 1,72
Flooder 92 88 4,55% 1,59
VirTool 79 46 71,74% 1,36
DoS 68 28 142,86% 1,17
Nuker 27 19 42,11% 0,47
Email-Flooder 13 346 -96,24% 0,22
Spoofer 12 5 140,00% 0,21
Sniffer 11 6 83,33% 0,19
SMS-Flooder 8 8 0,00% 0,14
Insgesamt 5798 4558 27,2% 100

Der Malware-Typ Exploit nahm seit zwei Jahren zahlenmäßig stetig ab. In der Klasse „andere Schadprogramme“ betrug sein Anteil über 30 Prozent, allerdings waren das schon 21 Prozent weniger als noch im Vorjahr. 2007 sank der Exploit-Anteil auf 21,02 Prozent, wobei sich dessen Wachstumsgeschwindigkeit um 34 Prozent verringerte und damit noch geringer als im Vorjahr war. Am Rückgang dieses Malware-Typs haben die Browser-Hersteller den größten Anteil. Anders als in den Jahren 2003 bis 2005 tauchten 2007 keine neuen kritischen Sicherheitslücken auf, die von den Schädlingen hätten ausgenutzt werden können.

Neuer Spitzenreiter in der Kategorie „andere Schadprogramme“ ist nun der Typ Hoax. Dessen Verbreitung stieg gegenüber dem Vorjahr um 285,63 Prozent an und liegt damit schon im zweiten Jahr in Folge über 150 Prozent. Der Vorsprung gegenüber Exploit ist mit 1,56% allerdings noch recht klein.

Mit Packed und Fraud Tool nahm Kaspersky Lab 2007 zwei neue Malware-Typen in die Klasse „andere Schadprogramme“ auf. Beide landeten dort noch im selben Jahr auf den Plätzen 3 und 4 der am weitesten verbreiteten Cyberschädlinge. Zu Fraud Tool gehören die so genannten falschen Antivirus-Programme. Diese täuschten hunderte von Anwendern, indem sie vorgaben, auf deren Rechnern angeblich trojanische Programme entdeckt zu haben. Die betroffenen User erhielten kurz darauf eine E-Mail, in der ihnen angeboten wurde, ihren PC gegen Bezahlung von dieser Plage zu befreien. Es handelt sich hier also um echte Erpressungsfälle, bei denen Cyberkriminelle die Angst der Anwender vor Malware ausnutzen.

Spam- und DoS-Attacken hielten IT-Sicherheitsexperten im Jahr 2007 besonders auf Trab. Das liegt vor allem am rasanten Anstieg von Malware des Typs SpamTool, der bereits 2006 um 107 Prozent zulegen konnte. Damals landete SpamTool noch auf Platz fünf der Kategorie „andere Schadprogramme“. Aber schon im ersten Halbjahr 2007 war SpamTool mit einer Wachstumsrate von 222 Prozent der absolute Spitzenreiter, was ihm dort prompt den zweiten Platz bescherte. Gegen Ende des Jahres fiel SpamTool zwar wieder auf Rang sechs zurück und lag damit auf Niveau von 2006. Wahrscheinlich wird dieser Malware-Typ aber auch 2008 wieder sehr stark vertreten sein.

Verglichen mit Spam-Angriffen ist die Zahl von DoS-Attacken derzeit noch recht gering, steigt aber stetig an. In diesem Jahr werden daher einige hundert Programme kursieren, mit denen sich DoS-Angriffe durchführen lassen.

Potentiell unerwünschte Programme (PUPs)

Bei potentiell unerwünschten Programmen (Potentially Unwanted Programs, PUPs) handelt es sich vordergründig um ganz gewöhnliche Software. Diese Tools sind allerdings mit verschiedenen Funktionen ausgestattet, mit denen Cyberkriminelle allerlei Unfug auf einem befallenen Rechner anstellen können. PUPs sind nicht zwangsläufig eine Gefahr, entfalten ihre zerstörerische Wirkung aber je nachdem, in wessen Hände sie geraten.

Für Kaspersky Lab gehören die Kategorien Riskware, Pornware und Adware zu potentiell unerwünschten Programmen. Obwohl die Software Kaspersky Anti-Virus diese Schädlinge schon seit Jahren problemlos erkennt, wurden sie bisher in keinem Bericht erwähnt. Das liegt einerseits an ihrer relativ geringen Anzahl und zum anderen daran, dass sich die Einstufungs-Kriterien für PUPs immer wieder ändern. Im Jahr 2007 haben sich die Hersteller von Anti-Viren-Programmen aber auf einheitliche Merkmale geeinigt, anhand derer sich Schädlinge nun treffsicher als potentiell unerwünschte Programme klassifizieren lassen.

Riskware und Pornware

Die Kategorie Riskware enthält Programme, mit denen Cyberkriminelle Informationen löschen, blockieren, modifizieren und kopieren können und mit denen sich Computer oder ganze Netzwerke außer Kraft setzen lassen. Bisher existieren zwar weniger Riskware-Tools als „andere Schadprogramme“, die beachtliche Zuwachsrate von Riskware könnte das aber schnell ändern. Immer mehr Programme lassen sich von Virenexperten nicht mehr eindeutig als schädlich oder harmlos einordnen, was sowohl Anwendern als auch Antiviren-Profis einige Probleme bereitet. Zudem kommt es immer wieder zu juristischen Auseinandersetzungen zwischen Riskware-Anbietern und Herstellern von Antivirus-Software. Letztere konnten die im Jahre 2007 geführten Prozesse aber mehrheitlich für sich entscheiden.

Tools der Klasse Pornware tragen auf eine bestimmte Weise dazu bei, pornografische Inhalte darzustellen und gehören beispielsweise zu Kategorien wie Porno-Soft-Dialer, Downloader oder Porn-Tool. Allerdings wurden im Jahr 2007 nicht mehr als 500 Exemplare entdeckt. Daher bezieht Kaspersky Lab bei der Riskware-Analyse auch die Klasse Pornware mit ein.

Wieviel neue Programme der Klassen Riskware und Pornware Kaspersky Lab im Jahr 2007 entdeckt hat zeigt folgende Grafik:


Im Jahr 2007 monatlich von Kaspersky Lab neu entdeckte Riskware und Pornware

Die Verteilung der einzelnen Riskware- und Pornware-Typen sieht folgendermaßen aus:


Prozentuale Verteilung innerhalb der Klassen Riskware und Pornware

Im Jahr 2007 liegen Monitor und Porno-Dialer in ihren Klassen Riskware und Pornware ganz vorne. Sie kommen auf Anteile von 36,65 Prozent und 13,98 Prozent.

Zum Typ Monitor gehören diejenigen Keylogger, die auf offiziellem Wege entwickelt und verkauft werden. Wenn sich diese Programme allerdings auch im System verbergen können, sind sie vollwertige trojanische Spionage-Tools.

Porn-Dialer stellen eine Telefonverbindung zu kostenpflichtigen pornografischen Angeboten her. Dabei verwenden sie meistens teure Sonderrufnummern, was nicht selten zu juristischen Auseinandersetzungen zwischen Teilnehmern und Telefongesellschaften führt. Im Jahr 2007 führten Dialer und Porn-Dialer monatelang die von Kaspersky Lab geführte Top-20-Hitliste der am weitesten verbreiteten Online-Schädlinge an.

Die Verteilung der Programme innerhalb der beiden Klassen Riskware und Pornware zeigt diese Grafik:


Im Jahr 2007 neu registrierte Programme der Klassen Riskware und Pornware

RiskWare und PornWare 2007 Anteil
Monitor 986 36,65
Porn-Dialer 376 13,98
PSW-Tool 213 7,92
RemoteAdmin 198 7,36
Dialer 163 6,06
Downloader 162 6,02
AdTool 122 4,54
Net-Tool 112 4,16
RiskTool 90 3,35
Server-FTP 61 2,27
Server-Proxy 38 1,41
Tool 23 0,86
Porn-Downloader 21 0,78
Porn-Tool 17 0,63
Client-IRC 13 0,48
Server-Web 8 0,30
Client-SMTP 2 0,07
Server-Telnet 1 0,04
Other 84 3,12
Insgesamt 2690 100

In der Riskware- und Pornware-Kategorie sind neben Monitor und Porn-Dialer auch die Typen PSW-Tool und RemoteAdmin stark vertreten. Von Kaspersky Lab als PSW-Tool klassifizierte Programme stellen verlorene Passwörter wieder her. Cyberkriminelle können diese Tools aber auch problemlos zur Kennwort-Spionage einsetzen. RemoteAdmin-Programme sind bei Systemadministratoren sehr beliebt, bergen aber ebenfalls Risiken. Sie ermöglichen Hacker, die Kontrolle über Computersysteme zu erlangen. Dabei können sie einen nicht zu unterschätzenden Vorteil ausnutzen. RemoteAdmin-Programme sind nämlich legal und werden von zahlreichen Antivirus-Produkten als harmlos eingestuft.

Da Kaspersky Lab diese Schädlings-Klasse zum ersten Mal statistisch auswertet, sind leider keine Daten zur Wachstumsdynamik verfügbar. Zukünftige Analysen werden jedoch genauere Angaben zu Riskware und Pornware enthalten.

AdWare

Programme aus der Kategorie Adware bringen Werbung auf den Bildschirm des Anwenders und leiten Suchanfragen auf entsprechende Reklame-Webseiten um. Da sie außerdem dessen Surfverhalten und damit seine Interessen protokollieren, können Hersteller ihn schnell mit maßgeschneiderter Werbung versorgen.

Adware ist eine sehr umfangreiche Programm-Kategorie, die Antivirus-Lösungen aber schon seit einiger Zeit erfolgreich herausfiltern. Zwischenzeitlich gab es sogar zahlreiche Anbieter von Anti-Adware-Tools, die mittlerweile jedoch fast allesamt vom Markt verschwunden sind.

Die folgende Grafik zeigt, wie viele neue Adware-Programme Kaspersky Lab im Jahr 2007 Monat für Monat entdeckt hat:


Von Kaspersky Lab im Jahr 2007 neu entdeckte Adware-Programme

  2007 2006 Veränderung
AdWare 14382 2583 +456,79%

Im Jahr 2007 stieg die Anzahl der Adware-Programme um sagenhafte 456 Prozent. Experten sehen darin nichts anderes als die Reaktion der Adware-Autoren auf die Bemühungen vieler Staaten, illegale Werbung im Internet stärker einzuschränken. Obwohl dazu besonders in den USA zahlreiche Gesetze verabschiedet wurden, welche die Pflichten der Hersteller eindeutig regeln, hat sich die Adware-Situation weiter verschlechtert.

Plattformen und Betriebssysteme

Der letzte Jahresbericht von Kaspersky Lab berücksichtigte nicht, wie sich schädliche und potentiell gefährliche Programme sowie Adware auf die einzelnen Betriebssysteme verteilen. Die folgende Analyse befasst sich daher nicht nur mit den einzelnen Windows-Plattformen, sondern auch mit Mac OS und populären Systemen auf Unix-Basis.

Malware kann sich nur dann in einem Betriebssystem festsetzen, wenn dieses gestattet, systemfremden Code auszuführen. Diese Bedingung erfüllt jedes OS, allerdings können sich die Schädlinge auch über Programme wie Office-Suiten, Grafik-Tools und Skript-Sprachen verbreiten.

2007 entdeckte Kaspersky Lab bei insgesamt 43 Plattformen und Betriebssystemen schädliche und potenziell gefährliche Programme sowie Adware. Allerdings zielt fast jeder der erfassten Schädlinge auf ein Windows-OS ab und kommt als ausführbare binare Datei daher. Lediglich vier Prozent der Malware wurden für andere Betriebssysteme und Plattformen entwickelt.


Verteilung potenziell schädlicher Programme auf Windows und andere Betriebssysteme

2006 wurden 96,36 Prozent aller Cyberschädlinge auf Windows-Systeme angesetzt. Mittlerweile nehmen Malware-Autoren aber auch immer häufiger Betriebssysteme ins Visier, die nicht von Microsoft stammen. Deren Schädlings-Anteil stieg im ersten Halbjahr 2007 bereits von 3,18 Prozent auf 3,42 Prozent und überschritt während der zweiten Jahreshälfte sogar die Vier-Prozent-Marke. Nicht für Windows-Systeme konzipierte Malware kommt im Jahr 2007 also auf einen Anteil von 3,64 Prozent.

Verglichen mit der ersten Jahreshälfe 2007 stieg die Anzahl potentiell gefährlicher Programme und Adware im zweiten Halbjahr um 36 Prozent, bei anderen Plattformen sogar um 63 Prozent. Das zeigt, dass die Virenschreiber ihre Machwerke nun nicht mehr ausschließlich für Windows-Systeme erstellen.

Für den starken Malware-Anstieg ist vor allem die steigende Beliebtheit verschiedener und zumeist in Java oder Visual Basic geschriebener Skript-Schädlinge verantwortlich. Dafür gibt es verschiedene Gründe. Der wichtigste liegt nach Meinung von Kaspersky Lab darin, dass Hersteller von Antiviren-Software einerseits zwar laufend neue heuristische Analysen, Code-Emulierungen und Prozess-Virtualisierungen für Windows-Malware entwickeln. Script-Schädlinge lassen sich mit diesen Methoden jedoch nur selten erfassen. Zudem nutzen Cyberkriminelle mit den Skript-Sprachen oftmals Schwachstellen in gängigen Browsern aus. Diese Variante wird derzeit am häufigsten verwendet, um Schadprogramme zu verbreiten.

№№ Plattformen 1. Halbjahr 2. Halbjahr 2007 gesamt Zunahme
1 Win32 96967 131626 228593 36%
2 JavaScript 1182 2240 3422 90%
3 Visual Basic Script 576 748 1324 30%
4 HTML 398 930 1328 134%
5 BAT 334 553 887 66%
6 PHP 84 186 270 121%
7 MSWord 145 83 228 -43%
8 ASP 45 135 180 200%
9 Linux 121 45 166 -63%
10 Perl 113 37 150 -67%
11 IRC 51 86 137 69%
12 .NET 33 31 64 -6%
13 MS_DOS 14 44 58 214%
14 WinREG 19 39 58 105%
15 Symbian 19 30 49 58%
16 MacOS 2 33 35 1550%
17 Java 12 25 37 108%
18 NSIS 15 17 32 13%
19 MSPPoint 17 16 33 -6%
20 MSExcel 19 10 29 -47%
21 SunOS 18 2 20 -89%
22 Multi 8 11 19 38%
23 RAR 4 12 16 200%
24 HTA 6 4 10 -33%
25 Win16 3 7 10 133%
26 Python 5 9 14 80%
27 Ruby 3 5 8 67%
28 MSAccess 5 4 9 -20%
29 AutoCad 1 5 6 400%
30 MSOffice 3 3 6 0%
31 Unix 4 3 7 -25%
32 Boot 5 0 5 -100%
33 SWF 3 3 6 0%
34 Win9x 1 3 4 200%
35 WMA 1 3 4 200%
36 AutoLISP 0 3 3  
37 ZIP 3 0 3 -100%
38 BeOS 1 0 1 -100%
39 Boot-DOS 1 0 1 -100%
40 FreeBSD 0 1 1  
41 SAP 1 0 1 -100%
42 SQL 0 1 1  
43 Win64 1 0 1 -100%

Wie folgende Grafik zeigt, nehmen schädliche Programme und Adware auch im Jahr 2007 auf verschiedenen Programmierumgebungen und Betriebssystemen unterschiedlich stark zu. Plattformen, für die es weniger als 20 der oben aufgeführten Programme gibt, werden dabei aber nicht berücksichtigt.


Im zweiten Halbjahr 2007 erfasstes Wachstum von Malware und Adware
auf verschiedenen Plattformen

Für die Skriptsprachen Java Script, PHP, Ruby und Microsoft Office entwickelte Schädlinge nahmen im ersten Halbjahr 2007 um jeweils mehr als 150 Prozent zu. Damit landen sie ganz oben auf der Malware-Hitliste. Ganz anders sah es dagegen in der zweiten Jahreshälfte aus. Für das Betriebssystem Mac OS X erschienen 35 neue Schädlinge, davon 33 gegen Ende des Jahres. Verglichen mit Windows-Systemen ist das zwar ein relativ geringer Wert. Bei der Apple-Plattform reicht das aber für einen Anstieg von 1550 Prozent. Trotz zunehmender Beliebtheit von Mac OS X erfasste Kaspersky Lab im ersten Halbjahr 2007 keinen einzigen neuen Schädling für diese Plattform, genauer gesagt von Juni 2006 bis Mai 2007. Fast alle Apple-Schädlinge sind trojanische Programme, darunter auch solche, die DNS-Anfragen austauschen und sich auf Phishing spezialisiert haben.

Eher in die Kuriositätenkammer gehören dagegen neue für MS-DOS erschienene Viren, Diese machen zudem nur fünf Zehntel aller „Remakes“ aus grauer Vorzeit aus.

Malware, die sich in ASP- oder HTML-Code verbirgt, ist dagegen eine durchaus ernst zu nehmende Gefahr. Phishing-Sites oder Webseiten, auf denen man Online-Postkarten verfassen kann, bedienen sich häufig eines HTML-Grundgerüsts. Surft der Anwender zu einer solchen Seite, kann dessen Computer infiziert oder seine Daten gestohlen werden. Chinesische Hacker setzen dagegen vornehmlich ASP programmierte Webinterfaces ein, um auf infizierte Sites und dort installierte Backdoors zuzugreifen.

Insgesamt hat sich im Jahr 2007 die Malware-Verteilung auf verschiedene Plattformen und Betriebssysteme nicht wesentlich verändert. Auch der 2006 registrierte steile Anstieg trojanischer Programme und die zahlreichen entdeckten Schwachstellen in Microsoft Office konnten daran nichts ändern. Mittlerweise ist die Zahl der dafür geschriebenen Schädlinge sogar rückläufig. Anscheinend gelang es Microsoft, viele kritische Office-Sicherheitslücken zu schließen. Alleine für Microsoft Word kursieren aber nach wie vor mehr als 200 Schadprogramme. Viele dieser Machwerke kamen im vergangenen Jahr bei zahlreichen Aufsehen erregenden Attacken zum Einsatz, hinter denen man chinesische Hacker vermutet.

JavaScript gebührt die zweifelhafte Ehre, die bei Hackern beliebteste Programmiersprache zu sein,. Mittlerweile werden damit nicht mehr nur simple Trojan-Downloader produziert, sondern auch Exploits für Browser-Schwachstellen sowie E-Mail-Würmer, verschiedene Spam-Bots und Grabber. Insgesamt traten 2007 fast dreimal so viele JavaScript- wie Visual-Basic-Schädlinge auf.

Alle 43 im Jahre 2007 angegriffenen Plattformen lassen sich nach einem gemeinsamen Merkmal sortieren, nämlich dem Betriebssystem, auf dem sie laufen. Beispielsweise ordnet man JavaScript und Visual Basic Script Windows zu, und Ruby und Perl dagegen den Unix-Derivaten. Wie ein Blick auf folgende Tabelle zeigt, beschränkt sich die Bedrohung nicht auf Windows-Rechner.

Betriebssystem Anzahl Malware Anteil
Windows

236430 99,660
Nix

602 0,254
Mac

35 0,015
Mobile

63 0,027
Sonstige

106 0,045

Zu den *nix-Derivaten zählen FreeBSD, Linux, Perl, PHP, Ruby und Unix.
Zur Kategorie Mobile zählen Python und Symbian.
Die „sonstigen“ Plattformen sind BeOS, Boot, Boot.DOS, MS-DOS, Multi, SAP, SQL und SunOS.

Aktualisierungs-Rythmus der Antivirus-Datenbanken

Der steigenden Menge sowie dem immer kürzen Erscheinungsrhythmus von Malware begegnen die Experten von Kaspersky Lab, indem sie ihre Antivirus-Datenbanken laufend aktualisieren.

Neuzugänge in den Antivirus-Datenbanken

Die Anzahl der monatlich neu in die Antivirus-Datenbanken aufgenommenen Schädlinge schwankt ständig. Während es Anfang 2007 rund 8000 Neuzugänge waren, kamen zur Jahresmitte 28 000 und gegen Ende 23 000 neue Programme hinzu, monatlich also durchschnittlich 19 770 neue Einträge.


Monatsstatistik für alle 2007 neu in die Antivirusdatenbanken aufgenommenen Schädlinge

Wie die Grafik zeigt, schwankt die Zahl neuer Datenbank-Einträge jeden Monat deutlich. Die meisten Neuzugänge gab es im Mai und im August mit rekordverdächtigen 27 848 respektive 31 305 neuen Schadprogrammen.

Reguläre und außerplanmäßige Aktualisierungen

Kaspersky Lab aktualisiert seine Antivirus-Datenbanken regelmäßig. Im Jahr 2007 waren es jeden Monat durchschnittlich 900 Updates, was auf 10 000 Aktualisierungen jährlich hinausläuft. Im Falle einer Viren-Epidemie führen die Experten allerdings auch außerplanmäßige Updates durch.


Anzahl der monatlichen regulären Datenbank-Aktualisierungen im Jahr 2007

In den letzten drei Monaten des Jahres 2007 wurde die Antivirus-Datenbank besonders häufig aktualisiert. Beginnend mit Oktober führte Kaspersky Lab ein neues System ein, welches den Update-Rhythmus von etwa einer Stunde auf bis zu 30 Minuten verkürzte. Mit den täglich durchgeführten 40 bis 50 Aktualisierungen kann kein anderer Hersteller von Antivirensoftware mithalten.


Anzahl außerplanmäßiger Aktualisierungen pro Monat

Im Jahr 2007 traten 51 Prozent weniger Epidemie-Situationen auf, weswegen die Update-Frequenz deutlich unter dem des Vorjahrs lag. Vergleicht man erste und zweite Jahreshälfte miteinander, sind es sogar Halbjahr 88 Prozent weniger. Diese Verbesserung lässt sich teilweise dem neuen halbstündigen Aktualisierungsrhythmus zuschreiben. Durchschnittlich gab es 9,17 außerplanmäßige Updates pro Monat.

Tendenzen und Prognosen

1. MalWare 2.0

Bezieht man den allseits bekannten Begriff Web 2.0 auf die neue Schädlings-Generation, kann man ohne weiteres von Malware 2.0 sprechen. Im Laufe der letzten Jahre wurde der Aufbau von Malware stetig komplizierter. Statt begrenztem Funktionsumfang gab es nun immer mehr einzelne Komponenten, die miteinander zusammenarbeiten. Beispielsweise verwendete der Wurm Bagle vor vier Jahren erstmals eine Modulsystemkomponente. Mit dem Wurm Warezov trat Ende 2006 endgültig ein multifunktionales Schadprogramm die Nachfolge seiner simpleren Vorgänger an. Im darauf folgenden Jahr stellte der „Sturmwurm“ Zhelatin seine Widerstandsfähigkeit und Effektivität unter Beweis. Dieser wird nicht nur das Vorbild für eine Unmenge neuer Schadprogramme sein, sondern sich auch laufend weiterentwickeln.

Hauptmerkmale:

  • Steuern eines Netzes infizierter Computer über viele verteilte Zentralen.
  • Schutz vor Antivirenprogrammen und „unautorisiertem“ Zugriff.
  • Große Mengen von Spam werden innerhalb eines sehr kleinen Zeitraums versendet.
  • Einsatz von Social-Engineering-Methoden.
  • Verwendung verschiedener Verbreitungswege, darunter nicht nur so auffällige wie E-Mail.
  • Alle Funktionen sind auf verschiedene Module verteilt.

Derzeit setzen die drei bereits erwähnten Schädlinge Bagle, Warezov und Zhelatin auf „Malware 2.0“-Technik und eignen sich ebenso für Informationsdiebstahl wie für Spam-Versand. Inzwischen nutzen auch schon einige „Banker“ und „Game-Trojaner“ dieses Funktionsschema.

2. Rootkits und „Bootkits“

Mit Rootkit-Technologien werden sich künftig nicht nur trojanische Programme, sondern auch Dateiviren im System verbergen. Bereits die zu MS-DOS-Zeiten gängigen Stealth-Viren bedienten sich dieser Methode. Heute versuchen Schadprogramme dagegen, selbst dann noch im System zu bleiben, wenn sie bereits von einem Antivirenprogramm entdeckt wurden.

Ein Bootkit dient ebenso wie ein Rootkit dazu, die Anwesenheit eines Schädlings im System zu verbergen. Diese eigentlich schon alte Taktik ermöglicht es einem Schadprogramm, noch vor dem Booten wichtiger Teile des Betriebssystems und dessen Antivirusprogramm aktiv zu werden. Das Verfahren kam erstmals 2005 auf, wurde aber erst im Jahr 2007 mit dem Schädling Backdoor.Win32.Sinowal umgesetzt. In den letzten beiden Wochen des Jahres infizierte dieser Schädling weltweit mehrere tausend Rechner. Bootkits sind eine gefährliche Malware-Spezies und könnten 2008 zu einem Hauptproblem der IT-Sicherheit werden.

3. Dateiviren

Auch im nächsten Jahr dauert die Renaissance der Dateiviren an. Und wie gehabt werden es chinesische Hacker sein, die mit einen Großteil dieser Schädlinge die Zugangsdaten für Online-Games ausspähen. Zudem lässt es sich nicht ausschließen, dass auch die Autoren von Zhelatin oder Warezov die Dateiinfizierungs-Methode in ihr Programm aufnehmen. Dadurch könnten sie auf einen weiteren wichtigen Verbreitungsweg für ihre Programme zurückgreifen.

Im Jahr 2008 rücken auch Tauschbörsen stärker in den Fokus der Hacker. Das schließt auch infizierte Programme ein, die auf populären Websites zum Download angeboten werden.

4. Angriffe auf soziale Netzwerke

Anstatt ihre Machwerke auf gehackten Sites anzubieten, werden Cyberkriminelle die meisten trojanischen Programme künftig über die Accounts , Blogs und Userprofile verbreiten. Phishing-Attacken werden sich daher im Jahr 2008 weitaus stärker gegen soziale Netzwerke wie Facebook, MySpace, Livejournal und Blogger richten.

In diesem Zusammenhang könnten auch XXPPHPSQL-Attacken zunehmen. Anders als Phishing-Attacken basieren diese Angriffe nicht auf Social-Engineering-Methoden, sondern nutzen Fehler und Sicherheitslücken in Web-2.0-Services aus. Daher können selbst diejenigen Anwender ihre Daten verlieren, die ihren Account vorbildlich schützen. Über XXPPHPSQL-Angriffe erhaltene Userdaten dienen Hackern immer dazu, Folgeattacken zu starten, die dann mit Hilfe „traditioneller“ Mittel durchgeführt werden.

5. Bedrohungen für mobile Geräte

Von Malware-Bedrohungen für mobile Geräte sind in erster Linie Mobiltelefone betroffen. Darauf spezialisierte Schädlinge unterteilen sich einerseits in Trojaner, zu denen beispielsweise die zahlreichen Skuller-Varianten für Symbian sowie der erste iPhone-Trojaner gehören. Programme der zweiten Malware-Kategorie nutzen Schwachstellen in Smartphone- Betriebssystemen und -Anwendungen aus. Obwohl die technischen Voraussetzungen dafür bereits existieren, ist es aber unwahrscheinlich, dass sich ein „mobiler“ Wurm global verbreitet.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.