Kaspersky Security Bulletin 2007: Entwicklung von Schadprogrammen für Online-Spiele

  1. Entwicklung der IT-Bedrohungen im Jahr 2007
  2. Entwicklung von Schadprogrammen für Online-Spiele
  3. Spam im Jahr 2007
  4. Malware im E-Mail-Fach

2007 geht ohne weiteres als „Online-Betrugsjahr“ in die Malware-Annalen ein. Innerhalb von nur einem Jahr verbreiteten sich auf Passwortdiebstahl von Online-Spielen spezialisierte Schadprogramme wie noch nie zuvor. In punkto Wachstum machen sie bereits denjenigen Würmern und Viren Konkurrenz, die Epidemien auslösen. Mehr dazu liefert der unter www.viruslist.com/de/analysis?pubid=200883586 verfügbare Viren-Top-20-Bericht für November 2007. Hinsichtlich ihrer Komplexität sind die Online-Übeltäter bereits mit solchen Schädlingen vergleichbar, die besonders effektiv Bot-Netze aufbauen (siehe Whitepaper „Online-Games als illegale Einnahmequelle“).

Verglichen mit dem Vorjahr stieg 2007 die Zahl der Schadprogramme, die ausschließlich auf Internet-Spiele abzielen, exponentiell um 145 Prozent an. Diese Entwicklung belegt eindrucksvoll, dass Online-Diebstahl geistigen Eigentums eine immer größere Rolle spielt.



Anzahl der Schädlinge, die Passwörter für Online-Games stehlen

Unterteilt man Schädlinge, die Zugangsdaten für Online-Games ausspionieren, in die Klassen Trojware und Virware, lässt sich ihr starker Anstieg wesentlich leichter nachvollziehen.

Trojware – die „Game-Trojaner“

Beeindruckende 96 Prozent aller Programme, die Passwörter für Online-Games stehlen, sind Trojaner. Zu den bekanntesten Vertretern dieser Gruppe zählen folgende Schädlinge:

  • Trojan-PSW.Win32.OnlineGames,
  • Trojan-PSW.Win32.Lmir,
  • Trojan-PSW.Win32.Nilage,
  • Trojan-PSW.Win32.WOW,
  • Trojan-PSW.Win32.Magania,
  • Trojan-PSW.Win32.Gamec,
  • Trojan-PSW.Win32.Tibia,
  • Trojan-PSW.Win32.Hangame.

Die „Game-Trojaner“ führt Kaspersky Lab aus gutem Grund in einer eigenen Klasse namens Trojan-PSW. Im Jahr 2007 lag deren Anteil an der Gesamtmenge aller Trojaner bei 69,8 Prozent und wuchs das ganze Jahr hindurch stetig. Im Januar waren es etwa 65 Prozent, im September bereits 75 Prozent und gegen Ende des Jahres sogar über 80 Prozent. Man kann also davon ausgehen, dass Cyberkriminelle Zugangsdaten für Online-Spiele weitaus interessanter finden als Passwörter für E-Mail-Accounts, Instant-Messaging-Programme oder Online-Banking.



Anteil trojanischer Programme, die vertrauliche Daten stehlen
(Trojan-PSW)

Aus dem Quellcode unterschiedlicher Versionen von Game-Trojanern konnten die Experten von Kaspersky Lab manch interessante Erkenntnis herauslesen. Virenschreibern diente anscheinend das gesamte Jahr 2006 sowie die erste Jahreshälfte 2007 als Testphase für neue Trojaner-Technologien. In der zweiten Jahreshälfte 2007 setzten die Passwortdiebe ihre Erkenntnisse um und konnten ihre Programme den aktuellsten Spiele-Patches anpassen oder so modifizieren, dass sie vor Antiviren-Tools verborgen blieben.

Das im Jahr 2007 konstant hohe Trojaner-Wachstum beweist, dass es sich bei diesem Schädlingstyp um keine Eintagsfliege handelt.



Monatlich entdeckte Anzahl von „Game-Trojanern“ im Jahr 2007

Es hängt vermutlich mit der Urlaubszeit und der damit verbundenen geringeren Anzahl von Spiele-Updates zusammen, dass im Juli 2007 weniger Game-Trojaner in Umlauf kamen. Weil damit bereits kursierende Schädlinge aber auch länger Schaden anrichten konnten, mussten die Virenschreiber keine eigenen Updates nachlegen.

Im Jahr 2007 wurden die Game-Trojaner vielseitiger. Statt sich auf ein einziges Online-Spiel zu beschränken, nahmen sie nun mehrere Spiele gleichzeitig ins Visier.



Vergleich von „Game-Trojanern“, die nur auf einziges Online-Spiel
oder gleich mehrere Games abzielen

Trojan-PSW.Win32.OnlineGames war 2007 die Trojanerfamilie mit der größten Zuwachsrate. Ihre Vertreter spionieren die Passwörter gleich mehrerer Spiele aus, teilweise bis zu zehn Games.



Zahlenmäßig größte Game-Trojaner-Familien im Jahr 2007

Wertet man den Anteil derjenigen Trojaner aus, die nur ein einziges Spiel angreifen, lässt sich leicht ermitteln, welche Online-Games bei den Virenschreibern derzeit am beliebtesten sind.



Anteil der Trojaner, die nur ein bestimmtes Online-Game angreifen

Aus der Grafik lassen sich schnell die Tops und Flops unter den Spielen herauslesen. So kann man an der Entwicklung des Schädlings Trojan-PSW.Win32.Nilage erkennen, dass Malware-Autoren im Laufe des Jahres immer mehr das Interesse an dem Spiel „Lineage 2“ verloren haben. Genau andersherum verhielt es sich mit Trojan-PSW.Win32.Magania, der gegen das Online-Spiel „Gamania“ losschlägt. „World of Warcraft“ blieb von solchen Schwankungen unberührt und erfreute sich das ganze Jahr über gleich hohem Interesse der Virenschreiber. Zeitgleich mit der im August 2007 abgehaltenen „Blizzcon 8“ (http://www.blizzard.com/blizzcon07/highlights.shtml) stand das Spiel besonders stark unter Trojaner-Beschuss.

Mit Hilfe von Google Trends (www.google.com/trends) lässt sich einschätzen, wie beliebt Online-Games wie Lineage 2 oder World of Warcraft in der Virenszene sind. Der zeitliche Verlauf der Google-Treffer für jedes der beiden Spiele sieht wie folgt aus:



Ergebnisse von Google Trends für den Suchbegriff „lineage“



Ergebnisse von Google Trends für den Suchbegriff „wow“

Wie man sieht, nahm das Interesse an „Lineage 2“ im Laufe des Jahres 2007 ab, während „World of Warcraft“ seinen Spitzenplatz behaupten konnte. Daraus folgt, dass Virenautoren ihre schädlichen Programme besonders auf populäre Spiele ansetzen.

Virware-Programme

Unter Virware fallen schädliche Programme, die sich selbst verbreiten. Ihr Anteil an sämtlichen auf Online-Games spezialisierten Schadprogrammen beträgt vier Prozent und schwankte im Lauf des Jahres beträchtlich. In dieser Kategorie tummeln sich allerdings auch einige äußerst berüchtigte Schädlinge:

  • Worm.Win32.Viking,
  • Worm.Win32.Fujack,
  • Virus.Win32.Alman,
  • Virus.Win32.Hala,
  • Worm.Win32.AutoRun.



Monatlicher Anteil von Virware, die auf Online-Games abzielt

Die Daten belegen, dass Virenprogrammierer ihre Machwerke besonders fleißig im Winter entwickeln, also dann, wenn auch die Spieler am aktivsten sind. Und wie die folgende Grafik zeigt, greift in diesem Zeitraum jedes fünfte Virware-Programm Online-Games an



Anzahl monatlich neuer Virware-Programme, die Passwörter für Online-Games stehlen

Auch im Juli 2007 wurden auffallend viele Virware-Programme für Online-Games entwickelt. Dieser Zeitpunkt fällt mit dem Erscheinungstermin eines besonders effektiven Game-Wurms namens Worm.Win32.AutoRun zusammen, der sich hauptsächlich über Flash-Speichermedien verbreitete. Nach seinem erfolgreichen Debüt blieb AutoRun in der Szene weiterhin beliebt. Auch der erneute Anstieg der Game-Virware im Dezember 2007 lässt sich unter anderem auf ihn zurückführen.

Fazit

Online-Games sind schon lange nichts Besonderes oder gar Exotisches mehr und haben inzwischen schon Millionen von Usern in ihren Bann gezogen. Und dass sich mit gestohlenen Zugangsdaten viel Geld verdienen lässt, ist auch in der Piratenszene kein Geheimnis mehr. Account-Diebstahl hat sich zu seinem gut organisierten Geschäft entwickelt. Zwar fehlte es Anfang 2007 noch an universellen Algorithmen für den Passwortklau, allerdings wurde dieses „Problem“ zu Jahresende gelöst.

Gegenwärtig erscheinen täglich weltweit acht bis neun neue Würmer für Online-Games. Bei Trojanern liegt diese Zahl mit stündlich fünf bis sechs neuen Programmen sogar noch höher. Die jüngste Generation der Online-Schädlinge gleicht hinsichtlich ihrer Komplexität bereits einigen multifunktionalen Trojanern, mit denen Zombie-Netze aufgebaut werden.

Inzwischen gibt es einen regen Handel mit gestohlenen Zugangsdaten für Online-Spiele. Die folgende Grafik präsentiert die Anzahl der Links, die Google Trends (www.google.com/trend) im Jahr 2006 und 2007 für die folgenden einschlägigen Suchanfragen findet: „sell account“ (verkaufe Zugangsdaten, blaue Linie), „buy account“ (kaufe Zugangsdaten, rote Linie) und „hack account“ (knacke Zugangsdaten, gelbe Linie). Alle Suchanfragen kombiniert liefert www.google.com/trends?q=sell+account%2C+buy+account%2C+hack+account&ctab=0&geo=all&date=all&sort=0.



Suchergebnisse von Google Trends für „hack account“, buy account“ und „sell account“

Aus der Google-Analyse lässt sich schließen, dass es einen regen Account-Handel bei Online-Spielen gibt und die Nachfrage sogar das Angebot übersteigt. Der Bedarf an gestohlenen Zugangsdaten ist allerdings noch größer und zeigt, welche kriminelle Energie in diesem Markt steckt. Gegen Ende 2007 nahmen alle drei Varianten stark zu.

Weil die Nachfrage nach virtuellen Gütern kontinuierlich steigt, bleiben Online-Spiele auch weiterhin im Fokus der Virenschreiber. Diese werden sich auf den Selbstschutz ihrer Game-Schädlinge konzentrieren und dazu übergehen, auch andere Schadprogramm-Typen wie etwa Backdoors mit Funktionen zum Passwortdiebstahl auszustatten.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.