Kaspersky Security Bulletin 2007: Malware im E-Mail-Fach

  1. Entwicklung der IT-Bedrohungen im Jahr 2007
  2. Entwicklung von Schadprogrammen für Online-Spiele
  3. Spam im Jahr 2007
  4. Malware im E-Mail-Fach

Cyberkriminelle nutzen E-Mails nicht nur zum Verschicken von Spam. Auch ein Großteil der Malware gelangt auf diese Weise in Umlauf. Virenprogrammierer setzen bei ihren Spam- und Phishing-Mails bevorzugt Social-Engineering-Methoden ein, um Anwender auf schädliche Webseiten zu locken. Dieses Kapitel des Jahresberichts beschäftigt sich jedoch ausschließlich mit Malware, die als E-Mail-Anhang in elektronischen Briefkästen landet.

Ursprungsländer schädlicher E-Mails

Das folgende Kuchendiagramm zeigt, aus welchen Ländern die meisten infizierten E-Mails stammen Wie man sieht, erreichen zwei Länder einen besonders hohen Prozentanteil.



Länder, aus denen die meisten E-Mail-Schadprogramme stammen

Der Großteil der 2007 erfassten Malware wird in Indien (??? Others), den USA, Deutschland, Schweden und Spanien produziert. Diese Reihenfolge ist jedoch mit Vorsicht zu genießen, da infizierte Mails nicht zwangsläufig die Grenzen ihres Ursprungslands überschreiten. Lokal erfasste Malware-Mengen spielen für den Rest der Welt daher nicht immer eine große Rolle.

Via E-Mail verbreitete Schadprogramme

Die Software Kaspersky Anti-Virus läuft weltweit auf unzähligen E-Mail-Servern und liefert das Zahlenmaterial für eine sehr aufschlussreiche Statistik. Die folgende Grafik zeigt die zehn am meisten verbreiteten Malware-Typen, die via E-Mail verbreitet werden. Nicht in den Top 10 enthaltene Schädlinge machen nur etwa ein Prozent aller gefährlichen E-Mail-Anhänge aus. Im Folgenden werden die unten aufgeführten Schadprogramme näher betrachtet



Weltweit am häufigsten in E-Mail-Anhängen verborgene Malware

Kaspersky Anti-Virus is installed on mail servers around the world. The figure above shows the Top 10 verdicts returned by the solution, giving a picture of the most widespread malicious behaviors of programs distributed via email. These leading behaviors represent an overwhelming majority of malicious programs detected in mail traffic, with other detections making up 1% of the total volume of infected attachments.

The Top 10 behaviors are examined in more detail below.

E-Mail-Würmer

Mehr als die Hälfte der mittels elektronischer Post verschickten Malware zählt zu den E-Mail-Würmern. Ihr großer Anteil von 55 Prozent überrascht jedoch nicht, da Cyberkriminelle die E-Mail-Würmer einerseits massenhaft versenden. Zum anderen können sich die Programme auch selbständig ausbreiten.

Kaspersky Lab ordnet E-Mail-Würmer wie etwa Net-Worm oder Worm, die Komponenten noch gefährlicherer Malware-Typen enthalten, automatisch der gefährlicheren Klasse zu. Die klassische Funktion eines E-Mail-Wurms, nämlich sich selbst zu verbreiten, wird dann nur noch als eine zusätzliche Eigenschaft des Schadprogramms gewertet. Obwohl sie nur Anteile von 6 Prozent beziehungsweise 0,56 Prozent erreichen, zählen damit auch Net-Worm und Worm zu den sich selbst verbreitenden Programmen. Der Verbreitungsgrad von Malware, die über Funktionen eines E-Mail-Wurms verfügt, liegt daher höher als 55 Prozent. Von den via E-Mail in Umlauf gebrachten Schädlingen breiten sich über 61 Prozent selbständig aus.

Im Jahr 2007 variierte die Gesamtzahl von E-Mail-Würmern laufend und unterlag dabei deutlichen Schwankungen.



Im Jahr 2007 erfasste Zahl neuer Schadprogramme des Typs E-Mail-Wurm

Die drei Extremwerte im Kurvenverlauf lassen sich auf den in Hackerkreisen sehr populären Wurm Email-Worm.Win32.Zhelatin zurückführen. Der auch als Sturmwurm bekannte Schädling war im Jahr 2007 der am meisten verbreitete E-Mail-Wurm.



Verteilung des Schädlingstyps E-Mail-Wurm nach Familien

Zhelatin (Sturmwurm)

Die Programmierer des Wurms Zhelatin verlegen sich mittlerweile darauf, ihren Schädling immer auf dem neuesten Stand zu halten. Dabei versuchen sie sogar, die Aktualisierungs-Frequenz von Antiviren-Tools zu übertreffen und haben dazu so etwas wie eine eigene Produktionsstätte aufgebaut. In dieser „Fabrik“ werden laufend neue Schadprogramme erstellt und anschließend von Antivirus-Programmen überprüft. Dabei entdeckte Malware landet im Papierkorb, alle anderen Schädlinge dagegen automatisch auf verschiedenen und eigens dafür eingerichteten Webservern und werden von dort aus verbreitet. Das macht Entwicklern von Antiviren-Software schwer zu schaffen: Weil sie nicht an den Generierungs-Code der Schadprogramme herankommen, können sie diesen weder analysieren noch dazu verwenden, um ein Erkennungsprogramm zu entwickeln.

Zhelatin markiert einen wichtigen Entwicklungsschritt bei Schadprogrammen. Die Autoren des Sturmwurms setzen in ihrem Schädling praktisch sämtliche in den letzten Jahren gereiften Techniken der Virenschreiberszene erfolgreich um. Die erste Generation des Wurms sammelte lediglich auf befallenen Computern gespeicherte E-Mail-Adressen und leitete sie an die Cyberkriminellen weiter. Danach wurden die Adressen vermutlich an Spammer verkauft. Mit einer aktualisierten Zhelatin-Variante begannen die Virenschreiber aber eine besondere Form von Zombie-Netzen aufzubauen, nämlich Peer-to-Peer-Botnetze. Das Besondere: Zu einem P2P-Netz zusammengeschlossene Zombie-Computer funktionieren auch ohne ein zentrales Steuerungszentrum, verbinden sich also selbstständig miteinander. Jeder infizierte Rechner verfügt dabei über eine Liste seiner Nachbar-Computer, mit denen er kommuniziert. Zhelatin besitzt zwar keine eindeutig zerstörerischen Funktionen. Seine Autoren haben allerdings dafür gesorgt, dass sich der Schädling im System verbirgt und ihn dazu mit Rootkit-Technologie ausgestattet.

Bereits ein Jahr vor dem Erscheinen von Zhelatin vermutete Kaspersky Lab, dass schon bald eine „Wurmfabrik“ auftauchen würde. Die Experten stuften die dahinter stehende Technologie als äußerst gefährlich ein und machten ihre Spekulationen daher zunächst nicht publik.

Zhelatin war nicht der erste Schädling, der sich selbst in neuen Versionen reproduziert. Im September und Oktober 2006 verbreitete sich der Wurm Email-Worm.Win32.Warezov rasant, und täglich kamen Dutzende neuer Modifikationen hinzu. Bereits damals war den Experten von Kaspersky Lab klar, dass hier eine neue Generation von E-Mail-Würmern am Werk war. Warezov und Zhelatin waren maßgeblich für den starken Malware-Anstieg im Jahr 2007 verantwortlich. Das veranschaulicht auch die folgende Grafik, in der man sehr deutlich erkennt, dass sich die Kurvenverläufe von Zhelatin und Warezov verblüffend ähneln.



Anzahl neuer Schadprogramme der Familien Warezov und Zhelatin

Obwohl ihre Zahl nicht besonders stark ansteigt, werden uns E-Mail-Würmer noch lange erhalten bleiben. Wie auch die Grafik zeigt, findet ihre Zunahme eher spontan statt.

Andere Schadprogramm-Typen

Mit einem Anteil von 15 Prozent sind Trojan-Downloader die am zweithäufigsten per E-Mail verschickten Schadprogramme. Versenden Virenschreiber nur einen Trojan-Downloader anstelle der eigentlichen Malware, erhöhen sie damit die Chancen, dass ein System auch tatsächlich infiziert wird. Zunächst versucht der Downloader, den Antivirus-Schutz eines Rechners auszuschalten. Gelingt das, lädt der Schädling umgehend ein weiteres Schadprogramm aus dem Internet und startet es. Weil der Antivirus-Schutz des Systems nicht mehr greift, funktioniert das mit jedem beliebigen Schädling. Virenautoren müssen ihre Machwerke also nicht mehr den neuesten Erkennungsroutinen anpassen, sondern brauchen lediglich einen simplen Trojan-Downloader zu entwickeln. Das erklärt auch die gute Platzierung dieses Schädlings-Typs.

Trojan-Spy ist die Schadprogramm-Klasse, die sich am dritthäufigsten in E-Mail-Anhängen verbirgt. Diese Schädlinge kommen auf einen Anteil von 13 Prozent und werden bevorzugt zum Informationsdiebstahl eingesetzt. Dabei geben sie sich sehr vielseitig und stehlen Daten in Unternehmen als auch auf privaten Rechnern.

Anders als die drei erstplatzierten E-Mail-Schadprogramme spielen die Plätze vier bis sechs nur eine untergeordnete Rolle. Ihr Anteil beträgt insgesamt drei Prozent.

Trojan-Dropper

Programme dieses Typs verfolgen dasselbe Ziel wie die Trojan-Downloader und versuchen, auf infizierten Rechnern Malware zu installieren. Während ein Trojan-Downloader diese erst aus dem Web beziehen muss, sind sie in einem Trojan-Dropper bereits fest integriert. Der Statistik nach zu urteilen bevorzugen Cyberkriminelle die Download-Variante.

Exploit

Dieser Schädlings-Typ war früher nur sehr selten im E-Mail-Traffic anzutreffen. Elektronische Post wurde damals üblicherweise nur bei gezielten Hackerangriffen mit Exploits vermint. Heutzutage sind viele Anwender zu vorsichtig, um eine als Attachment angehängte unbekannte Datei zu öffnen. Exploits erleben deshalb einen Aufschwung, da sie schädlichen Code bereits automatisch beim Öffnen der E-Mail ausführen. Es ist also gar nicht mehr notwendig, dass Anwender die ausführbare Datei zuerst speichern und anschließend aufrufen. Kaspersky Lab vermutet, dass der Exploit-Anteil im E-Mail-Verkehr deutlich zunehmend wird und sich innerhalb weniger Jahre sogar den Spitzenplatz sichern könnte.

Passwortgeschützte EXE-Dateien

Interessanterweise findet sich in der Top 10 der E-Mail-Malware auch die Kategorie der passwortgeschützten EXE-Dateien. Dabei handelt es sich um chiffrierte selbstentpackende Archive, deren Passwort im E-Mail-Text steht. Solche Files sind nicht zwangsläufig schädlich, ihr Inhalt kann allerdings eine Gefahr für den Computer darstellen. Antivirus-Scanner können das verschlüsselte Archiv nicht öffnen und somit auch darin enthaltene Schadprogramme nicht finden.

Die Schlusslichter: Trojan und Virus

Auf den beiden letzten Plätzen unter den E-Mail-Schädlingen landen die Typen Trojan (1,51 Prozent) und Virus (1,15 Prozent). Ein Vertreter der Kategorie Trojan besteht aus mehreren trojanischen Programmen, die über die unterschiedlichsten Funktionen verfügen. Daher lässt sich diese Malware nicht eindeutig einer Klasse zuordnen und ist auch nur von geringem Interesse. Bei der Kategorie Virus handelt es sich üblicherweise um Dateien, die auf befallenen Rechnern mit einem Virus infiziert wurden. Anwender verbreiten diese selbst per E-Mail weiter, ohne zu wissen, dass die Files infiziert sind.

Die meistverbreiteten Schadprogramm-Familien im E-Mail-Traffic

Jede Malware, die im E-Mail-Postfach landet, gehört einer bestimmten Schadprogramm-Familie an. In unten stehendem Diagramm sieht man, wie sich deren Top 10 zusammensetzt.



Schädlicher E-Mail-Traffic weltweit, nach Schadprogramm-Familien sortiert

Obwohl die meisten im Jahr 2007 erfassten Schadprogramme vom Malware-Typ Zhelatin abstammen, ist der Sturmwurm nicht in den Top 10 vertreten. Lediglich dem ebenso bekannten E-Mail-Wurm Warezow gelang der Sprung auf Platz 5. Den Spitzenplatz der am häufigsten verbreiteten Schadprogramm-Familien belegt Email-Worm.Win32.Netsky. Mit einigem Abstand folgt Trojan-Spy.HTML.Bankfraud, der gefälschte Bank-Mitteilungen versendet.

Sehr wahrscheinlich haben die Autoren von Zhelatin bewusst versucht, ihr Machwerk nicht allzu prominent im elektronischen Postverkehr erscheinen zu lassen. Verglichen mit seinen anderen Features zählt die Funktion E-Mail-Wurm aber auch nicht unbedingt zu den Stärken dieses Schädlings.

Fazit

Die für den E-Mail-Wurm Warezow aufgebaute Vertriebs-Infrastruktur ist für Virenanalysten sehr interessant. Besondere Beachtung verdient dabei die automatische und regelmäßige Code-Generierung. Die Experten von Kaspersky Lab sind jedoch der Meinung, dass sich derartige „Fabriken“ nicht lange halten werden. Andererseits sind sie bis zum heutigen Tag aktiv und produzieren laufend neue Warezov-Varianten. 2007 erschien mit Zhelatin der ähnlich aufgebaute Nachkomme dieses E-Mail-Wurms. Insgesamt gesehen verlieren die von Zhelatin und Warezov ausgelösten Malware-Epidemien aber allmählich an Kraft, werden mittlerweile also erfolgreich bekämpft.

Im Jahr 2007 wurden Exploits bei Virenschreibern immer beliebter und daher auch häufiger per E-Mail verschickt. Diese Entwicklung ist bedenklich, da großflächig verteilte Exploits sowohl die Rechner unerfahrener als auch fortgeschrittener Anwender gefährden können.

Beim Verbreiten von Malware spielen E-Mails aber eine zunehmend geringere Rolle. Das liegt an den mittlerweile zahlreichen Möglichkeiten, Schadprogramme über das Internet verteilen. Das heißt aber nicht, dass man die E-Mail-Bedrohungen nun komplett vernachlässigen könnte.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.