Kaspersky Security Bulletin 2008. Entwicklung der IT-Bedrohungen im ersten Halbjahr 2008

In vorliegendem Halbjahresbericht vergleicht Kaspersky Lab die aktuelle Entwicklung von Schadprogrammen mit den entsprechenden Daten des zweiten Halbjahres 2007.

Die Analyse stützt sich auf zahlreiche Statistiken und Fakten und ist damit besonders für IT-Sicherheits-Experten interessant. Allerdings stellt der Jahresbericht von Kaspersky Lab auch für jeden interessierten Anwender eine spannende Lektüre dar.

Halbjahresergebnisse

Das erste Halbjahr 2008 hat alle Prognosen und Befürchtungen von Kaspersky Lab hinsichtlich der Malware-Entwicklung bestätigt. Gegen Ende 2007 sagten wir folgende Tendenzen für das Jahr 2008 voraus, die allesamt eingetroffen sind:

  • Weiterentwicklung der so genannten Malware 2.0
  • Weiterentwicklung von Rootkits
  • Rückkehr der Dateiviren
  • Angriffe auf soziale Netzwerke
  • Malware für mobile Geräte

Einer der herausragendsten Schädlinge in der ersten Jahreshälfte 2008 war zweifellos der Sturmwurm (Zhelatin), der nach wie vor zur Avantgarde der Malware 2.0 zählt. In diesem Zeitraum zählte Kaspersky Lab mehr als 10 Phasen gesteigerter Aktivität, in denen der Wurm jedes Mal auf erprobte Verbreitungsmethoden zurückgriff. Das umfasst den Versand von E-Mails, die Links auf gehackte Websites oder speziell präparierte Server enthalten, auf denen der Hauptteil des Schädlings lauert. Die Malware-Links wurden aber auch in sozialen Netzwerken platziert und über Instant-Messenger-Programme verbreitet.

Bei den Rootkits wurden „Bootkits“ wieder akut. Sie kamen Ende 2007 auf und traten mit dem Erscheinen neuer Modifikationen der Malware-Familie Sinowal zwischen Januar und März 2008 erneut in Aktion. Ihre Entwicklung machte zwar keine weiteren Fortschritte, doch das Problem Bootkits kann noch nicht ad acta gelegt werden, zumal ihre Technologie den aktuellen Antivirus-Lösungen zahlreiche Probleme bereitet. Das Ausbleiben neuer Bootkits lässt sich eher auf eine Auszeit der Virenschreiber zurückführen. Sie werden nämlich kaum darauf verzichten, eine aus ihrer Perspektive überaus aussichtsreiche Malware-Technologie weiterzuentwickeln.

Auch bei den klassischen Rootkits gab es Neuigkeiten: Endlich wurde das „mystische“ Rootkit Rustock.c entdeckt, dessen Geschichte Kaspersky Lab in einer separaten Analyse bereits beleuchtet
hat. Dieses Ereignis offenbarte allerdings auch einige ernsthafte Probleme der Antivirus-Industrie, die nicht nur das Aufspüren und Entfernen von Rootkits betraf. Thematisiert wurden auch die Methoden zum Sammeln und Analysieren neuer Samples sowie die Reaktionsgeschwindigkeit von AV-Anbietern auf derartige Bedrohungen.

Die in Rustock eingesetzten Technologien sind logisch und technologisch mit zwei anderen wichtigen Methoden verknüpft, nämlich Obfuskation und Polymorphismus.

Die in Rustock verwendeten Abwehrmechanismen und Methoden zur „Verunreinigung“ des Codes sollen dessen Analyse erschweren und werden schon seit langem in Dateiviren eingesetzt.

Auch die Dateiviren wurden meist von chinesischen Virenschreiben aktiv weiterentwickelt. Das beschränkte sich allerdings darauf, verschiedenen Backdoors und Würmern Virusfunktionen hinzuzufügen. Wirklich neue Dateiviren gingen daraus nicht hervor.

Moderne Viren infizieren längst nicht mehr nur Dateien. Heute sind Viren vielmehr leistungsstarke Komponenten von Botnetzen, die unter anderem auf den Diebstahl von Anwenderdaten und die Organisation von DDoS-Attacken ausgerichtet sind. Die besten Beispiele für derartige Programme sind die Viren Virut, Alman, Allaple sowie die Würmer Fujack und Autorun. Diese Schädlinge verursachten im ersten Halbjahr 2008 weltweit zahlreiche Infizierungen. Das bedeutet, dass Virusfunktionen wieder vermehrt in Backdoors und Würmern eingesetzt werden.

Praktisch alle mehr oder weniger populären sozialen Netzwerke wurden mit verschiedenen Viren- und Spammer-Technologien so massiv angegriffen wie nie zuvor. Im Gegensatz zu früher kommen heute nicht nur XSS-Würmer zum Einsatz, mit denen die Virenschreiber nach Schwachstellen in den Engines suchen. Inzwischen haben sich die Cyberkriminellen mit dem Social Engineering wieder auf eine alte, aber immer noch effektive Methode verlegt. Dabei reicht es schon aus, im Namen von angeblichen „Freunden“ Links auf infizierte Websites zu verschicken.

Weltweit wurden die Netzwerke MySpace und Orkut noch vor Facebook zum häufigsten Angriffsziel. Russische Anwender hatten verstärkt mit Viren und Trojanern zu kämpfen, die sich in den Netzen Odnoklassniki.ru und VKontakte verbreiten.

Mobile Geräte sehen sich plötzlich einer neuen Bedrohungslage ausgesetzt. Anstatt weiterhin Smartphones anzugreifen, haben sich die Virenschreiber nun auf ein weitaus größeres Betätigungsfeld verlegt. Sie spezialisierten sich auf trojanische Programme für die Plattform J2ME, die praktisch jedes Mobiltelefon unterstützt. Die Schädlinge, von denen fast 50 neue Varianten gefunden wurden, machen im Wesentlichen immer dasselbe: Sie versenden eine SMS an kostenpflichtige Telefonnummern, belasten damit das Konto des Anwenders und bringen so dem Schadprogramm-Autor direkten Gewinn.

Im ersten Halbjahr 2008 fügte Kaspersky Lab seinen Datenbanken 440.311 Programme hinzu. Im vorausgegangenen Halbjahr waren es dagegen 136.953 neue Einträge.

 

Summe neu entdeckter Schadprogramme
(zweites Halbjahr 2007 und erstes Halbjahr 2008)

Gefundene Programme 2007-II 2008-I 2007-II% 2008-I% Veränderung Zuwachs
TrojWare 117307 340426 85,65% 77,31% 8,34% 190,20%
AdWare 8168 46134 5,96% 10,48% -4,51% 464,81%
RiskWare 1302 17894 0,95% 4,06% -3,11% 1274,35%
VirWare 6358 14561 4,64% 3,31% 1,34% 129,02%
Andere Schadprogramme 3660 12785 2,67% 2,90% -0,23% 249,32%
PornWare 158 8511 0,12% 1,93% -1,82% 5286,71%
Insgesamt 136953 440311 100,00% 100,00%    


Malware-Aufkommen im ersten Halbjahr 2008 nach Klassen

Die Daten zeigen, dass sich die Bedrohungen innerhalb der ersten sechs Monate des Jahres 2008 im Vergleich zum zweiten Halbjahr 2007 verdreifacht haben.

Bei Erstellung des vorliegenden Berichts verwendeten wir als Beurteilungskriterium die Anzahl erkannter Einträge, die den AV-Datenbanken von Kaspersky Lab im ersten Halbjahr 2008 hinzugefügt wurden

Derzeit gibt es innerhalb der AV-Industrie keinen einheitlichen Ansatz zum Zählen von Schadprogrammen. Zwei Zählmethoden sind jedoch weit verbreitet – zum einen geht man nach der Anzahl der unikalen Dateien und zum anderen nach der Zahl der entdeckten Einträge. Beide Methoden haben jedoch ihre Vor- und Nachteile. Das Zählen der unikalen Dateien (also der Dateien, die eine unikale MD5 haben), die innerhalb eines bestimmten Zeitraums den Datenbanken eines AV-Unternehmens hinzugefügt wurden, ist ein sehr sinnvoller Ansatz, um die Bedrohungen zu zählen, doch das Ergebnis kann nicht direkt mit der Anzahl der Signaturen verglichen werden. Diese Methode ist besonders zum gegenwärtigen Zeitpunkt sehr sinnvoll, da es sich bei der überwiegenden Mehrheit der aktuellen Bedrohungen um trojanische Programme handelt, die ihren Körper nicht verändern und andere Dateien nicht infizieren.

Dabei sollte man allerdings nicht vergessen, dass ein nicht geringer Anteil dieser unikalen Dateien mit einem Dateivirus infiziert ist und es sich bei weiteren Dateien dieser Gruppe um verschiedene Dropper handelt, die für sich betrachtet keine Schädlinge sind und sich voneinander unterscheiden, in ihrem Inneren aber ein und dasselbe trojanische Programm enthalten. In diese Mengenangabe fallen zudem verschiedene Skripte und html-Dateien, Office-Dokumente und viele mehr – alles also, was in jedem konkreten Fall unikal ist, kann unter ein und derselben Bedrohung zusammengefasst werden.

Die Ergebnisse der Signatur-Zählmethode können andererseits nicht direkt der Anzahl der Dateien gegenübergestellt werden. Überdies fallen die Resultate auf Grund der unterschiedlichen Technologien und Engines von AV-Unternehmen zu AV-Unternehmen unterschiedlich aus

Für die Auswertung der Statistik innerhalb eines AV-Unternehmens erscheint uns die Signatur-Methode allerdings am besten geeignet, um die allgemeine Entwicklungsdynamik der Bedrohungen widerzuspiegeln.

Im ersten Halbjahr 2008 überstieg die Zahl der von Kaspersky Lab entdeckten unikalen Dateien 5.000.000 Exemplare. Alle diese Dateien verteilen sich recht gleichmäßig auf über 440.000 entdecke Einträge.

Berücksichtigt man den Rhythmus, in dem gegenwärtig neue Schadprogramme erscheinen, so lässt sich die Vorhersage treffen, dass die allgemeine Zahl unikaler Dateien, die verschiedene Schädlinge und potentiell gefährliche Programme enthalten, zum Jahresende etwa 15.000.000 Exemplare betragen wird.

Schadprogramme

Im ersten Halbjahr 2008 nahm Kaspersky Lab jeden Monat durchschnittlich 61.295,33 Schadprogramme in seine Datenbanken auf und verzeichnete insgesamt 367.772 Neuzugänge. Gegenüber der zweiten Jahreshälfte 2007 sind das 188,85 Prozent beziehungsweise 2,9-mal mehr Schädlinge. Damit wachsen sie schneller als noch im Vorjahr, in dem ihre Anzahl verglichen mit 2006 nur um 114 Prozent anstieg.

Kaspersky Lab unterscheidet derzeit drei Gruppen von Schadprogrammen:

  1. TrojWare: Trojanische Programme, die sich nicht reproduzieren können. Dazu zählen Backdoors, Rootkits und Trojaner jeglicher Art.
  2. VirWare: sich selbst reproduzierende Schadprogramme wie etwa Viren und Würmer.
  3. Andere Schadprogramme (Other MalWare): Software, mit denen Cyberkriminelle Schadprogramme erstellen und Web-Angriffe vorbereiten.

Im ersten Halbjahr 2008 änderten sich die prozentualen Anteile der einzelnen Schadprogrammklassen nur wenig. Mit deutlichem Abstand führt hier nach wie vor die Kategorie TrojWare, auf die insgesamt mehr als 92 Prozent aller Schadprogramme entfallen. Die Anzahl der im ersten Halbjahr 2008 neu entdeckten trojanischen Programme stieg verglichen zum letzten Halbjahr zwar um 190,2 Prozent. Allerdings stieg der Gesamtanteil der TrojWare- Klasse lediglich um 0,43 Prozent und fällt damit deutlich geringer aus als das 2-prozentige Wachstum aus dem Jahr 2007.

Die letzten beiden Jahre markieren eine deutliche Trendwende. Während dieser Zeit nahm die Anzahl trojanischer Programme jeder Art zu, aber gleichzeitig gingen die Anteile der Klassen VirWare und Andere Malware zurück. Letztere Kategorie konnte im ersten Halbjahr 2008 allerdings einen Anstieg um 0,5 Prozent verbuchen – damit wächst sie schneller als die Klasse TrojWare.


Verteilung der Schadprogrammklassen (zweites Halbjahr 2007 und erstes Halbjahr 2008)


Anzahl der im ersten Halbjahr 2008 neu entdeckten Schadprogramme (nach Klassen)

Insgesamt 2008 2007 Anteil 2008 Anteil 07 Veränderung des Anteils Zuwachs
TrojWare 340426 117307 92,56% 92,13% 0,43% 190,20%
VirWare 14561 6358 3,96% 4,99% -1,03% 129,02%
Andere Schadprogramme 12785 3660 3,48% 2,87% 0,60% 249,32%
Schadprogramme 367772 127325 100 100   188,85%

Noch im Sommer 2007 gehörten 1,95 Prozent aller schädlichen Programme zur Kategorie Andere Schadprogramme. Dieser Wert stieg in der zweiten Jahreshälfte 2007 auf 2,87 Prozent und erhöhte sich im ersten Halbjahr 2008 noch weiter. Im Halbjahresergebnis erreicht die Klasse Andere Schadprogramme einen Anteil von 3,48 Prozent. Damit legen die „nicht klassischen Bedrohungen“ ein rasantes Wachstum hin. Verglichen mit der zweiten Jahreshälfte 2007 ist der Anteil neuer Programme dieser Kategorie um den Faktor 3,5 gestiegen.

Die Rubrik Andere Malware wuchs um knapp 250 Prozent und konnte damit fast zur Kategorie VirWare aufschließen. Im ersten Halbjahr 2008 wurden in der Klasse VirWare 14.561 neue Programme entdeckt und damit nur 1.776 mehr als in der Klasse Andere Schadprogramme. Behalten beide ihr Wachstumstempo bei, wird die Kategorie Andere Schadprogramme zum Jahresende sehr wahrscheinlich den zweiten Platz belegen.

Der Anteil der Klasse Andere Schadprogramme stieg insbesondere aus zwei Gründen: Zum einen erschienen viele neue Exploits, andererseits hat sich das Spektrum neuer Schadprogramme auch erheblich erweitert. Viele dieser Schädlinge wie zum Beispiel FraudTool standen bis vor kurzem nicht im Fokus der Antiviren-Experten und werden erst seit dem ersten Halbjahr 2008 in die Antiviren-Datenbanken aufgenommen.

Während sich die Klasse Andere Schadprogramme positiv entwickelt, nimmt der Anteil der Kategorie VirWare seit nunmehr fünf Jahren stetig ab. Die damals dominierenden Viren und Würmer werden nun praktisch nicht mehr weiterentwickelt. Dieser Trend setzte sich auch 2008 fort. Nach den Ergebnissen des ersten Halbjahres entfallen weniger als 4 Prozent aller schädlichen Programme auf diese Klasse. Das sind 1,03 Prozent weniger als in der zweiten Jahreshälfte 2007, wobei ihr mengenmäßiger Anteil schneller abgenommen hat als noch in den Jahren zuvor. Die Wachstumsrate neuer Viren und Würmer liegt weit unter derjenigen anderer Klassen und betrug gegenüber 2007 129,0 Prozent .

Insgesamt nehmen sich die einzelnen Klassen bezüglich ihrer Anteile nicht viel. Das liegt daran, dass trojanische Programme klar dominieren und sich die allgemeine Bedrohungsrichtung andererseits langasam in Richtung Andere Schadprogramme verschiebt.

Im Folgenden werden die Veränderungen innerhalb der einzelnen Klassen im Detail beschrieben.

Trojanische Programme

Die Anzahl der monatlich von Kaspersky Lab neu entdeckten trojanischen Programme sieht in der grafischen Darstellung folgendermaßen aus:


Anzahl der von Kaspersky Lab entdeckten neuen Programme der Klasse TrojWare
(Juli 2007 – Juni 2008)

In der zweiten Jahreshälfte 2007 verringerte sich die Anzahl der monatlich neu entdeckten trojanischen Programme. Anfang 2008 stieg sie aber erneut an und bescherte dieser Kategorie im ersten Halbjahr einen Zuwachs von 190,2 Prozent. Im Januar, März und Mai 2008 traten besonders starke Wachstumsphasen auf, nach denen der Trojaner-Anteil jeweils nur geringfügig abnahm oder konstant blieb. Ähnliches gab es auch im Jahr 2007. Damals wuchs der Anteil der trojanischen Programme im Mai und August besonders stark an und fiel anschließend wieder. Beide Entwicklungen unterscheiden sich jedoch deutlich von der Situation des Jahres 2006, als die Zahl neuer Trojaner noch ununterbrochen zunahm.

Sehr wahrscheinlich wird sich das schnelle Wachstum neuer trojanischer Programme auch künftig fortsetzen, dabei jedoch nicht mit einer technischen Weiterentwicklung einhergehen. In den allermeisten Fällen sind es nämlich Script-Kiddies, die per Software-Baukasten primitive trojanische Programme erstellen. Die Zahl neuer Trojaner wird auch deswegen immer größer, weil sie auf dem Schwarzmarkt angeboten werden und sich zudem relativ einfach verbreiten lassen.

Die bedeutendste Entwicklung innerhalb der Klasse TrojWare hat der Typ Trojan – also herkömmliche Trojaner – hingelegt, der vom fünften auf den dritten Platz aufstieg.


TrojWare: Prozentuale Verteilung der einzelnen Trojaner-Typen innerhalb der Klasse

Die Veränderungen innerhalb der Klasse TrojWare werden noch anschaulicher, wenn man sie für jeden Typus einzeln aufschlüsselt:


Anzahl neuer Schadprogramme der Klasse TrojWare (nach Typen)


Zunahme neuer Schadprogramme der Klasse TrojWare

TrojWare Erstes Halbjahr 2008 Zweites Halbjahr 2007 Zuwachs Anteil 2008 Anteil 2007 Veränderung des Anteils
Backdoor 100864 39566 154,90% 29,63% 33,73% -4,100%
Trojan-Downloader 66517 25689 158,90% 19,54% 21,90% -2,360%
Trojan 61452 10451 488,00% 18,05% 8,91% 9,142%
Trojan-PSW 59973 23835 151,60% 17,62% 20,32% -2,701%
Trojan-Spy 22823 11914 91,60% 6,70% 10,16% -3,452%
Trojan-Dropper 19994 2620 663,10% 5,87% 2,23% 3,640%
Trojan-Clicker 4089 1168 250,10% 1,20% 1,00% 0,205%
Trojan-Proxy 2540 1428 77,90% 0,75% 1,22% -0,471%
Rootkit 1917 554 246,00% 0,56% 0,47% 0,091%
Trojan-DDOS 117 45 160,00% 0,03% 0,04% -0,004%
Trojan-SMS 47 9 422,20% 0,01% 0,01% 0,006%
Trojan-IM 40 8 400,00% 0,01% 0,01% 0,005%
Trojan-AOL 22 5 340,00% 0,01% 0,004% 0,002%
Trojan-Mailfinder 14 0   0,0040% 0,000% 0,004%
Trojan-Notifier 13 11 18,20% 0,0040% 0,009% -0,006%
Trojan-ArcBomb 3 4 -25,00% 0,0010% 0,003% -0,003%
Trojan-Ransom 1 0   0,0003% 0,000% 0,000%
TrojWare insgesamt 340426 117307 190,20%      

Im ersten Halbjahr 2008 legten die Typen Trojan-Dropper, Trojan, Trojan-Clicker und Rootkit das beeindruckendste Wachstum aller trojanischen Programme an den Tag. Die entsprechenden Wachstumsraten von Trojan-AOL, Trojan-IM und Trojan-SMS werden im Halbjahresbericht nicht berücksichtigt, da es nur sehr wenige Programme dieser Typen gibt.

Mit Abstand am stärksten zugelegt hat Trojan-Dropper. Mit einem Wert von 660 Prozent bricht er alle in den letzten Jahren in der Klasse TrojWare aufgestellten Wachstumsrekorde. Dieser Schädlingstyp wird deswegen immer beliebter, weil viele Virenautoren dazu übergehen, eine trojanische Datei in Softwarepakete einzuschleusen. Damit versuchen sie, so viele verschiedene Rechner wie möglich mit einem Trojaner zu infizierten.Diese Entwicklung ist eine direkte Folge davon, dass heute bestimmte Gruppen von Cyberkriminellen für die Verbreitung der Schädlinge verantwortlich sind und nicht mehr deren Autoren oder Käufer.

Dieselben Ursachen beeinflussen sicherlich auch den prozentualen Anteil des Typs Trojan-Downloader an der Kategorie TrojWare. Trojan-Downloader belegte 2006 innerhalb seiner Klasse den ersten Platz und trat im vergangenen Jahr die Spitzenposition an Backdoor ab. Im ersten Halbjahr 2008 konnte Trojan-Downloader sich mit einem Prozent Vorsprung gegenüber Trojan auf dem zweiten Platz behaupten. Dabei nahm der Anteil der Downloader an allen trojanischen Programmen mit einem Minus von 2,4 Prozent weiter ab.

Interessant ist auch die Zunahme „gewöhnlicher“ Trojaner (Trojan) um 488 Prozent. Bis vor kurzem war dieser Typ anteilsmäßig sehr unauffällig und es gab keinerlei Anzeichen für sein explosionsartiges Wachstum. Diese Entwicklung hängt größtenteils damit zusammen, dass die Virenschreiber ihre Trojaner zunehmend als Allroundlösungen konzipieren. Anstatt mehrere und miteinander interagierende Module zu entwickeln, versuchen sie nun, alle Funktionen in eine einzelne Anwendung zu packen. Mit diesem Ansatz reagiert die Virenschreiberzunft auf die verbesserten AV-Technologien, denn es ist einfacher, einen einzelnen Trojaner zu aktualisieren als mehrere.

Die steigende Popularität des Typs Trojan-Clicker hängt mit bestimmten illegalen Web-Verdienstmöglichkeiten zusammen, auf die Cyberkriminelle in letzter Zeit aufmerksam geworden sind. Genauer gesagt handelt es sich um Einnahmen durch Werbelinks und der Manipulation von Internet-Ratings. Diese Spielarten der Gaunerei sind seit langem bekannt, waren für die Virenautoren bisher aber anscheinend nicht sonderlich interessant. In diesem Jahr hat sich die Situation allerdings geändert: Innerhalb eines halben Jahres stieg die Zahl der neu entdeckten Trojan-Clicker um 250 Prozent im Vergleich zu den vorherigen sechs Monaten.

Der Anteil des Typs Rootkit an allen trojanischen Programmen hat sich trotz eines beachtlichen Zuwachses von 246 Prozent nicht wesentlich verändert und stieg nur um 0,9 Prozent.

Im Juni 2008 teilte Kaspersky Lab einige Schadprogramm-Familien, die sich deutlich von den klassischen Vertretern bereits existierender Typen unterschieden, in eigene Typen ein. So entstanden die neuen Schadprogramm-Typen Trojan-Mailfinder und Trojan-Ransom.

Zur wichtigsten Funktion eines Trojan-Mailfinder gehört es, E-Mail-Adressen auf infizierten Rechnern zu sammeln und Spammern zu schicken. Diesem Schädlings-Typ lassen sich sowohl verschiedene trojanische Programme als auch Programmteile zuordnen, die früher zum Typ SpamTool der Kategorie Andere Schadprogramme gehörten.

Kaspersky Lab hat eine Gruppe von sehr wenigen, aber dafür sehr gefährlichen Erpresser-Trojanern im Typ Trojan-Ransom zusammengefasst. Dazu zählen alle schädlichen Programme, die die Funktionsfähigkeit des Betriebsystems beeinträchtigen und Anwenderdateien verschlüsseln. Mit dieser Methode erpressen Online-Kriminelle Geld für die Wiederherstellung von chiffrierten Daten.

Im Juli 2008 fügte Kaspersky Lab mit Trojan-Banker und Trojan-GameThief noch zwei weitere Typen seiner Klassifizierung hinzu.

Trojan-Banker umfasst alle Trojaner, die auf den Diebstahl von Kreditkartendaten und Online-Banking-Accounts spezialisiert sind. Bisher wurden diese Programme meist den Typen Trojan-Spy und Trojan-PSW zugeordnet.

Der Typ Trojan-GameThief umfasst die meisten solcher trojanischen Programme, die Zugangsdaten für populäre Online-Spiele stehlen. Im letzten Jahr zählten diese Gametrojaner zur am weitesten verbreiteten Art von Schadprogrammen. Zum Typ Trojan-GameThief gehören verschiedene Familien, die bisher ebenfalls als Trojan-Spy und Trojan-PSW klassifiziert wurden.

Die neue Kategorisierung wird sich vermutlich deutlich auf die prozentuale Verteilung der trojanischen Programme nach Typen auswirken. Vielleicht wird davon schon im Gesamtjahresbericht 2008 die Rede sein.

Die Klasse TrojWare unterteilt Kaspersky Lab anhand ihrer prozentualen Anteile in drei Hauptgruppen:

  1. Backdoor, Trojan-Downloader, Trojan, Trojan-PSW. Diese am weitesten verbreiteten trojanischen Programme stellen insgesamt etwa 85 Prozent der Klasse TrojWare. Jeder einzelne Typ hat einen Anteil von mindestens 17 Prozent an der Gesamtmenge der Trojaner.

    Trojan legte innerhalb des letzten halben Jahres um 9 Prozent zu und hat es damit in die Trojaner-Spitzengruppe geschafft. Auf den vorderen Plätzen ist dieser Typ damit auch der einzige, dessen Gesamtanteil sich vergrößerte. Dagegen verringerte sich beispielsweise der Anteil von Backdoor um mehr als 4 Prozent.

    TrojWare wird auch im zweiten Halbjahr 2008 eine hohe Wachstumsrate von mehr als 150 Prozent erreichen. Dabei wird der Anteil von Trojan kontinuierlich steigen, der von Trojan-Downloader und Trojan-PSW dagegen weiterhin sinken. Der Typ Backdoor wird auch im nächsten Halbjahr der populärste Schadprogramm-Typ überhaupt bleiben, was insbesondere chinesischen Virenautoren zuzuschreiben ist.

  2. Trojan-Spy und Trojan-Dropper. Aus dieser Gruppe stieg im letzten Halbjahr der Typ Trojan in die erste Hauptgruppe auf und belegt dort Platz 3 der am meisten verbreiten TrojWare-Schädlinge. An seine Stelle ist der Typ Trojan-Dropper getreten, der aus Gruppe drei stammt. Die Gesamtanteile der Typen aus der zweiten Gruppe liegen zwischen 5 und 7 Prozent, wobei sich die Zuwachsraten von Trojan-Spy und Trojan-Dropper sehr stark voneinander unterscheiden. Trojan-Dropper schlägt mit 663,1 Prozent alle Rekorde.

    In der zweiten Jahreshälfte 2008 wird der Anteil von Trojan-Dropper an der Gesamtmenge der trojanischen Programme vermutlich weiter wachsen, womit dieser Typ in die erste Gruppe aufsteigen dürfte. In die zweite Gruppe schaffen es vermutlich die neuen Kategorien Trojan-Banker und Trojan-GameThief.

  3. Trojan-Proxy, Trojan-Clicker und andere. Der Anteil jeder dieser Typen liegt jeweils unter 1,2 Prozent und steigt abgesehen von Trojan-Clicker kaum.

    Möglicherweise kann mit Trojan-Clicker ein Vertreter dieser Gruppe in Gruppe zwei aufsteigen. Doch es ist wahrscheinlicher, dass ihre Anteile unter dem Druck von Gruppe eins weiterhin sinken.

Mit Trojan-SMS ist ein Typ aus Gruppe drei besonders interessant. Dieser legte in der ersten Jahreshälfte um 422 Prozent zu und nähert sich innerhalb der Gruppe der 50-Prozent-Marke. Da im gleichen Zeitraum aber mehr als 100.000 neue Bank-Trojaner erfasst wurden, erscheint das zunächst kaum signifikant. Doch Trojan-SMS unterscheidet sich von allen anderen Schadprogrammen dadurch, dass seine Vertreter auf Mobiltelefonen laufen und wohl die aktuellste Bedrohung für mobile Geräte überhaupt darstellen.

Mobile Bedrohungen: Beginn der Kommerzialisierung

Die Entwicklungen im Bereich mobile Bedrohungen waren im ersten Halbjahr 2008 äußerst interessant. Eine besondere Rolle spielen dabei trojanische Programme, die unbemerkt vom Anwender kostenpflichtige SMS-Nachrichten verschicken.

Folgende Punkte sind besonders erwähnenswert:

  1. Programme des Typs Trojan-SMS nahmen mengenmäßig zu.
  2. Mobile Trojaner laufen plattformübergreifend. Potenziell gefährdet sind alle Mobiltelefone, die Java-Anwendungen oder die Programmiersprache Python unterstützen.
  3. Auf immer mehr WAP-Sites liegen trojanische Programme.
  4. Erscheinen von ICQ-Spam, der infizierte WAP-Sites oder dort untergebrachte Schadprogramme bewirbt.
  5. Social-Engineering-Methoden werden zum verbreiten und tarnen von Schadprogrammen eingesetzt.
  6. Feste Anzahl von Telefonnumnern , an die heimlich SMS-Nachrichten geschickt werden.

Diese und weitere Tendenzen werden im Folgenden genauer betrachtet.

Im ersten Halbjahr 2008 wurden mehr Schädlinge des Typs Trojan SMS gefunden als jemals zuvor. Am 27. Februar 2006 entdeckte Kaspersky Lab den ersten Vertreter dieses Typs und klassifizierte diesen als Trojan-SMS.J2ME.RedBrowser.a.


Anzahl neuer, von Kaspersky Lab entdeckter Schadprogramme des Typs Trojan-SMS
(nach Monaten 2008)

Insgesamt wurden in den ersten sechs Monaten 2008 rund 422 Prozent mehr Trojan-SMS-Schädlinge gefunden als im zweiten Halbjahr 2007.

Für die Plattform J2ME gibt es derzeit 9 Familien dieses Typs, für Symbian sind es drei und für Python eine.

Wie sind solche Trojaner aufgebaut? Im Prinzip sind es reichlich primitive Machwerke.

Ein Jar-Archiv mit einigen Class-Dateien bildet die Struktur fast jedes J2ME-Trojaners. Dabei verschickt eine dieser Dateien kostenpflichtige SMS-Nachrichten an eine bestimmte Telefonnummer. Das geschieht selbstverständlich ohne Wissen und Einverständnis des Anwenders. Die restlichen Class-Dateien dienen ausschließlich der Tarnung. Im Archiv können einerseits mehrere meist freizügige Bilder enthalten sein. Zum anderen setzen einige Schädlinge auf eine Manifest-Datei, die sich als Schadprogramm zum SMS-Versand einsetzen lässt.

Die Familie Trojan-SMS.Python.Flocker unterscheidet sich nur durch die Plattform von den oben beschriebenen Schädlingen, nicht aber durch ihren Aufbau und ihren Einsatzzweck. In einem SIS-Archiv befinden sich dazu mehrere Skripte. Eines davon übernimmt den SMS-Versand an eine kostenpflichtige Nummer, andere verschleiern die Aktivität des Schadprogramms.

Trojan-SMS-Schädlinge sind hauptsächlich deswegen gefährlich, weil sie plattformübergreifend laufen. Unterstützt ein Handy die Java-Plattform, läuft der Schädling Trojan-SMS.J2ME problemlos auch auf diesem Gerät. Programme aus der Kategorie Trojan-SMS.Python funktionieren dagegen plattformübergreifend auf Symbian-Smartphones. Verfügt ein mit beliebiger Symbian-Version ausgestattetes Handy über einen Python-Interpreter, so funktioniert Trojan-SMS.Python auch dort.

Unter den wenigen Verbreitungsarten für derartige Schädlinge sind WAP-Portale besonders beliebt. Besucher können dort Klingeltöne, Bilder, Spiele und Anwendungen für ihre Mobiltelefone herunterladen. Die überwiegende Mehrheit der Trojaner tarnt sich als Anwendung, die angeblich kostenlose SMS-Nachrichten versenden kann oder eine kostenlose Internet-Verbindung herstellt. Wieder andere geben sich als Anwendungen mit erotischem oder pornografischen Inhalt aus.

Hin und wieder greifen die Virenautoren zu durchaus originellen Tricks, um die schädliche Aktivität ihrer Programme zu verbergen. So erscheint nach dem Start von Trojan-SMS.J2ME.Swapi.g ein Willkommensgruß auf dem Handy-Display. Dabei wird der Anwender aufgefordert, ein pornografisches Bild abzurufen und das über die Schaltfläche „Ja“ zu bestätigen. Im Jar-Archiv des Programms kann sich dazu eine PNG-Datei befinden, die ein Bild eine Midi-Melodie enthält. Während der Anwender die Schaltfläche anklickt, ist ihm nicht bewusst, dass mit jedem Klick die Versendung einer SMS an eine kostenpflichtige Nummer und die Abbuchung einer bestimmten Summe von seinem Konto verbunden sind.

Inzwischen ist es kein Problem mehr, an kostenlosen WAP-Webspace heranzukommen. Cyberkriminellen wird dadurch die Verbreitung ihrer primitiven Machwerke erleichtert. Sie können auf den entsprechenden Seiten schnell einen Account eröffnen und dort ihre Schädlinge hochladen. Dann genügt es, möglichst verführerische Dateinamen wie free_gprs_internet, versand_sms_kostenlos oder nackte_frau zu wählen.

Ist die schädliche Software erst einmal platziert, muss sie nur noch beworben werden. Dabei helfen ICQ-Massenversendungen und Spam-Mitteilungen in verschiedenen Foren. Warum aber ausgerechnet ICQ? Weltweit ist dieser IM-Service besonders beliebt. Viele Anwender möchten sich online in Echtzeit austauschen und nutzen deshalb ICQ. Für Online-Kriminelle sind solche User potentielle Opfer.

So entsteht eine interessante Handlungskette: Entwicklung des Schadprogramms è Platzierung des Schadprogramms mit ansprechendem Namen und Kommentar auf einer WAP-Site è Spam-Versand, der auch ICQ-Nutzer mit einschließen kann.

Bleibt nur noch die Frage der von mobilen Trojanern verwendeten Telefonnummern zu klären. Alle von Kaspersky Lab entdeckten Schadprogramme nutzen hauptsächlich die drei Kurzwahlnummern 1171, 1161 und 3649. Diese Nummern werden jedoch nicht ausschließlich von Kriminellen, sondern auch von legalen Dienstleistungs-Unternehmen eingesetzt. Wer die Gebühr kassiert, hängt von dem Präfix der Kurzwahlnummer ab. Diese ändern sich in verschiedenen Trojan-SMS-Nachrichten, doch ab und zu kommt es zu Wiederholungen.

Die Bezahlung per SMS ist sehr einfach und deshalb auch bei Online-Kriminellen äußerst populär.

Die von Mobilfunkanbietern vermieteten Kurzwahlnummern sind für Privatpersonen zwar zu teurer. Allerdings gibt es Content-Provider, die angemietete Nummern ihrerseits weitervermieten, indem sie ein bestimmtes Präfix hinzufügen.

Die Kurzwahlnummer 1171 gehört beispielsweise einem solchen Provider. Wird nun eine SMS an die Nummer 1171 gesendet, die mit „S1“ beginnt, überweist der Provider einen Teil des Geldes für diese Nachricht auf das Konto des Untermieters „S1“.

Für den SMS-Versand an eine Kurzwahlnummer verlangt ein Mobilfunkanbieter zwischen 45 und 49 Prozent der erhobenen Gebühren. Der Provider, der diese Nummer gemietet hat, erhält etwa 10 Prozent des Geldes. Die restliche Summe wird dem Untermieter überwiesen, in diesem Fall also dem Betrüger.

Die Schädlinge dienen eindeutig also nur dazu, auf illegalem Weg an Geld zu kommen. Weil die Programme des Typs Trojan-SMS sich zudem sehr einfach entwickeln und verbreiten lassen, könnte ihre Zahl im zweiten Halbjahr 2008 weiter zunehmen.

Game-Trojaner: Das Spiel geht weiter

Es war eine der deutlichsten Entwicklungen überhaupt: Im vergangenen Jahr nahm die Zahl derjenigen Schadprogramme rasant zu, die auf den Diebstahl von Passwörtern für Online-Spiele spezialisiert sind. Diese Tendenz hat sich auch im ersten Halbjahr 2008 weiter fortgesetzt. Innerhalb von sechs Monaten wurden 49.094 neue „Game-Trojaner“ entdeckt. Das sind eineinhalbmal so viele Trojaner wie im gesamten Jahr 2007. Das Ergebnis des vorhergehenden Halbjahres wurde damit um 264,6 Prozent übertroffen.


Anzahl neuer, von Kaspersky Lab entdeckter trojanischer Programme, die Passwörter für Online-Games stehlen


Anzahl neuer, von Kaspersky Lab entdeckter Game-Trojaner
(Juni 2007-Juni 2008)

95 Prozent aller im ersten Halbjahr 2008 gefundenen neuen „Game-Trojaner“ stehlen nicht nur die Zugangsdaten für ein bestimmtes Spiel, sondern sind auf mehrere Games gleichzeitig spezialisiert. Zu diesen Programmen zählen die Vertreter der Familien Trojan-PSW.Win32.OnLineGames und Trojan-PSW.Win32.Magania.

Die Familie OnLineGames ist die umfangreichste und ihr Anteil an sämtlichen Game-Trojanern belief sich in den ersten sechs Monaten des Jahres auf 57,6 Prozent. Ihre Anzahl stieg im Laufe des ersten Halbjahres 2008 stetig an und sie ließ damit diejenigen Trojaner mengenmäßig weit hinter sich zurück, die Passwörter von nur einem Online-Spiel stehlen.

Trojanische Programme der Familie Magania sind deshalb interessant, weil sie nur die Accounts eines beliebten Game-Portals angreifen. Genauere Informationen stehen unter http://en.wikipedia.org/wiki/Gamania. Auch wenn diese Familie durch Einstellung verschiedener Online-Spiele wie „MapleStory“ seit Mai deutlich Anteile verliert, gehen 37,4 Prozent aller neuen Game-Trojaner des ersten Halbjahres 2008 auf das Konto dieser Familie.

 

Anzahl neuer Schadprogramme der populärsten Familien von Game-Trojanern
(nach Monaten des Jahres 2008)

Trojan-PSW.Win32.OnLineGames – Stiehlt Passwörter für mehrere Online-Games
Trojan-PSW.Win32.Magania – Richtet sich gegen das Game-Portal Gamania
Trojan-PSW.Win32.Ganhame – Zielt auf das Spiel Spiel „Hangame Online“ ab
Trojan-PSW.Win32.Lmir – Legend of Mir
Trojan-PSW.Win32.Nilage – Lineage
Trojan-PSW.Win32.WOW – World of Warcraft

Wie beliebt Online-Spiele bei Virenschreibern sind, hängt von ihrer Verbreitung ab und wie gut der Markt für virtuelle Gegenstände des jeweiligen Spielsentwickelt ist.

Der Löwenanteil derjenigen Game-Trojaner, die Passwörter nur für ein einziges Spiel stehlen, entfällt auf die in China beliebten Games „Legend of Mir“ und „Hangame“ sowie auf „Lineage“ und „World of Warcraft“, die beide weltweit gespielt werden.


Verteilung der beliebtesten Game-Trojaner, die auf ein einziges Spiel abzielen

Die Grafik zeigt, dass sich die meisten trojanischen Passwortklau-Programme gegen das 1999 veröffentlichte Spiel „Lineage“ richten, eines der ersten Online-Games. Laut einer von mmogchart.com
veröffentlichten Statistik hatte „Lineage“ vier Jahre lang die meisten Abonnenten. Gegenwärtig verfügt „Lineage“ über die am besten entwickelte Wirtschaft aller Online-Games. Daher gibt es für diese Spiel auch einen voll funktionierenden Markt für virtuelles Eigentum, das keinesfalls nur gegen virtuelles Geld gehandelt wird.

Das heute weltweit führende Online-Spiel „World of Warcraft“ belegt auf der Beliebtheitsskala der Virenautoren nur den zweiten Platz. Allerdings schlägt gerade dieses Spiel bezüglich der monatlich neu erscheinenden trojanischen Programme alle Rekorde. Im Mai wurden 209 neue Trojaner entdeckt, die Accounts von „World of Warcraft“ angreifen. Das entspricht 6 bis 7 neuen Trojanern pro Tag.

 

Verteilung der Abonnenten populärer Online-Games
Quelle:
mmogchart.com

Im ersten Halbjahr 2008 änderte sich der Hauptverbreitungsweg von Schadprogrammen, die Zugangspasswörter für Online-Games stehlen. Im Jahr 2007 setzten Online-Kriminelle zur Verbreitung der Schädlinge bevorzugt sich selbst vermehrende Trägerprogramme wie Viren und Würmer ein. Heute werden die meisten Game-Trojaner über Massenhacks von Websites, zum Beispiel mittels sql-Injections, auf den PCs der Online-Spieler platziert.

Diese Verbreitungsart erwies sich als recht erfolgreich. In den meisten Fällen kann man allerdings nicht von zielgerichteten Angriffen sprechen. Nicht nur die PCs von Online-Spielern, sondern prinzipiell jeder Computer, dessen Browser eine gehackte Website ansteuert, kann von einem Game-Trojaner infiziert werden. Die Cyberkriminellen haben sich deshalb für einen effektiveren Übertragungsweg entschieden und die Funktionen ihrer Game-Trojaner erweitert. In der ersten Jahreshälfte 2008 verfügten ihre Passwortdiebstahl-Schädlinge erstmals über Backdoor-Module, die infizierte Computer zu einem Zombie-Netz zusammenschließen.

So entwickelte sich das illegale Geschäft mit Accounts und virtuellem Eigentum auch in der ersten Jahreshälfte 2008 weiter. Täglich entdeckte Kaspersky Lab durchschnittlich 273 neue Game-Trojaner. Davon waren 259 in der Lage, Passwörter nicht nur für ein Spiel, sondern für mehrere gleichzeitig zu stehlen. Mengenmäßig belegt die Familie Trojan-PSW.Win32.OnLineGames den zweiten Platz in der Klasse TrojWare, gleich hinter Backdoor.Win32.Hupigon.

Die Virenautoren haben bereits existierende Angriffstechniken nun optimiert. Zur Verbreitung ihrer Machwerke verwendeten sie vermehrt gehackte Websites. Während Game-Trojaner bis vor kurzem nur für Spieler von Online-Games gefährlich waren, so stellen sie nun für jedermann eine Bedrohung dar. Denn fast alle in den letzten Monaten gefundenen Game-Trojaner verfügen zusätzlich über Backdoor-Funktionen.

Schadprogramme, die Zugangsdaten von Online-Games stehlen, werden sich auch in Zukunft weiterentwickeln

Würmer und Viren

Im Vergleich zu den anderen beiden Schadprogramm-Klassen wächst VirWare am langsamsten, und zwar insgesamt „nur“ um 129 Prozent gegenüber dem letzten Halbjahr. Aber selbst ein solch bescheidenes Ergebnis macht sich in der Praxis monatlich durch mehr als 2.000 neue Viren und Würmer bemerkbar.

Die folgende Grafik zeigt die Anzahl der im ersten Halbjahr 2008 monatlich neu von Kaspersky Lab entdeckten Programme der Klasse VirWare:


Anzahl der von Kaspersky Lab entdeckten neuen VirWare-Schädlinge
(Juni 2007 – Juni 2008)

Auf den ersten Blick sind die Wachstumskurven der Klassen VirWare und TrojWare fast identisch. In beiden Fällen gibt es Phasen des Anstiegs mit darauf folgenden Abschwüngen. Doch im Jahr 2008 traten in der Klasse VirWare nur zwei solche Extremwerte auf, bei TrojWare dagegen drei. Das bedeutet, dass letztere Schadprogramm-Klasse sich nach ihren eigenen Regeln entwickelt. Auch das verglichen mit den anderen Schädlings-Klassen langsame VirWare-Wachstumstempo von lediglich 129 Prozent zeigt, dass sich Würmer und Viren anders entwickeln. In der ersten Jahreshälfte 2008 verringerte sich der Gesamtanteil von VirWare um mehr als ein Prozent.

Setzt sich diese Tendenz im zweiten Halbjahr 2008 fort, so könnte VirWare den dritten Platz aller Malware-Klassen belegen und die Klasse Andere Schadprogramme damit auf den zweiten Platz vorrücken.

In der Klasse VirWare veränderte sich im letzten Halbjahr einiges. Die prozentuale Verteilung der VirWare-Typen zeigt folgendes Diagramm:


VirWare: Prozentuale Verteilung der Typen innerhalb der Klasse

Die nächste Grafik stellt die prozentualen Veränderungen bei den einzelnen VirWare-Typen dar:


Anzahl neuer Schadprogramme der Klasse VirWare (nach Typen)


Zunahme neuer Schadprogramme der Klasse VirWare

VirWare 2008 insgesamt 2007-2 Zuwachs 2008% „+/-“
Worm 6386 1413 351,95% 43,857 21,63%
Net-Worm 3393 258 1215,12% 23,302 19,24%
Email-Worm 2757 1629 69,24% 18,934 -6,69%
IM-Worm 755 431 75,17% 5,185 -1,59%
Virus 666 2468 -73,01% 4,574 -34,24%
P2P-Worm 516 126 309,52% 3,544 1,56%
IRC-Worm 88 33 166,67% 0,604 0,09%
Insgesamt 14561 6358 129,02% 100  

Die klassischen Dateiviren machen im ersten Halbjahr 2008 die gravierendste Veränderung durch. Was dort vor sich ging, ist nur schwer zu erklären. Noch im Jahr 2007 waren die Viren hinsichtlich ihrer Wachstumsgeschwindigkeit mit 390 Prozent absoluter Spitzenreiter unter allen Schädlingen. Gegen Ende 2007 belegten sie mit soliden 38,8 Prozent den ersten Rang innerhalb der Klasse VirWare. Dagegen nahm das Wachstumstempo der Viren im ersten Halbjahr 2008 um 73 Prozent und damit sehr stark ab und ihr Anteil sank auf knapp über 4,5 Prozent.

Die Experten von Kaspersky Lab hatten erwartet, dass die Anzahl sehr komplexer Viren weiter zunimmt und hatten ebenfalls mit zahlreichen neuen polymorphen Technologien gerechnet. Anscheinend haben die Cyberkriminellen die Entwicklung neuer trojanischer Programme zwar weiter vorangetrieben, verfügen aber nicht über ausreichende Kenntnisse, um Virentechnologien massenhaft zu verbreiten. Für die Antiviren-Industrie ist das zweifellos ein gutes Zeichen.

Die Vertreter des Typs Wurm sind führend bei den Virenprogrammen. Mit einer Zuwachsrate von 352 Prozent haben sie ihren Anteil an der Klasse VirWare insgesamt verdoppelt und sind mit fast 44 Prozent auf den ersten Platz vorgerückt. Doch ausgerechnet Würmer, die sich über mobile Speichermedien und lokale Netzwerke verbreiten, sind am schwierigsten wieder von infizierten Computern zu entfernen.

In der ersten Jahreshälfte haben sich die Netzwürmer (Net-Worm) am schnellsten verbreitet. Der mengenmäßige Anstieg dieses Typs ist beispiellos, denn Kaspersky Lab entdeckte über 1.200 Prozent (!) mehr Netzwürmer als im vorhergehenden Halbjahr. Dieser Schädlingstyp war 2007 praktisch vollständig von der Bildfläche verschwunden und hat sich nun auf den zweiten Platz katapultiert. Dieses überaus starke Wachstum hängt ganz offensichtlich mit der stetigen Weiterentwicklung gewöhnlicher Würmer zusammen. Ihre Autoren versuchen sich an neuen Verbreitungswegen und setzen altbekannte Methoden nun anders ein. Da es nicht mehr so viele kritische Schwachstellen gibt, auf die frühere Würmer wie Lovesan und Sasser angewiesen waren, verbreiten sich moderne Netzwürmer immer häufiger über gehackte Websites und soziale Netzwerke.

Das schon seit einigen Jahren stabile Wachstum der E-Mail-Würmer setzte sich auch 2008 fort, für den zweiten Platz reichte es jedoch nicht aus. In der ersten Jahreshälfte 2008 verringerte sich der Anteil der E-Mail Würmer um 6,9 Prozent, so dass dieser Schädlingstyp mit insgesamt 19 Prozent auf Platz drei landete. Damit ist aber immerhin noch jeder fünfte Vertreter der Klasse VirWare ein Wurm, der sich via E-Mail ausbreitet. Die Zunahme derartiger Würmer geht wie auch schon im Jahr 2007 im Wesentlichen auf das Konto der drei Familien Warezov, Zhelatin und Bagle.

In der Klasse VirWare unterscheidet Kaspersky Lab zwei Hauptgruppen:

  1. Email-Worm, Worm, Netz-Worm. Jeder dieser Schädlinge hat einen prozentualen Anteil von über 18 Prozent an der Klasse VirWare. Die Entwicklung des früheren Spitzenreiters Email-Wurm stagniert und bei den Typen Wurm und Netz-Wurm gibt es explosionsartige Wachstumsraten.
  2. IM-Worm, Virus, P2P-Worm, IRC-Worm. Der Anteil jedes einzelnen Typs dieser VirWare-Gruppe beträgt jeweils weniger als 6 Prozent. Die Zuwachsgeschwindigkeit ist hier je nach Typ sehr unterschiedlich und reicht von negativen bis hin zu rekordverdächtigen Werten von über 300 Prozent. Ein deutlich steigender Anteil ist allerdings nur bei dem Typ Virus wahrscheinlich, da die übrigen Typen von zweitrangigen Internet-Services wie IM, IRC, und P2P abhängen.

Andere Schadprogramme (Other Malware)

Von allen drei Klassen sind die Programme der Kategorie Andere Schadprogramme nach wie vor am geringsten verbreitet, doch dafür tummeln sich die hier die meisten unterschiedlichen Schädlingstypen.

Anhand der Entwicklung der letzten Jahre ist es schwer, eine Prognose hinsichtlich der Anzahl anderer Schadprogramme zu treffen. Ihre Wachstumskurve stieg in den Jahren 2004 und 2005 geringfügig, fiel im Jahr 2006 leicht ab und verzeichnete 2007 ein Plus von 27 Prozent. Das erste Halbjahr 2008 war für die Klasse Andere Schadprogramme mehr als erfolgreich. Gegenüber dem vorhergehenden Halbjahr wurden in dieser Klasse 249,3 Prozent mehr neue Schadprogramme gefunden.


Anzahl der von Kaspersky Lab neu entdeckten Schädlinge der Klasse Andere Schadprogramme
(Juli 2007 – Juni 2008)

Die prozentuale Verteilung der einzelnen Typen stellt sich im Tortendiagramm wie folgt dar:


Prozentuale Verteilung der einzelnen Typen innerhalb der Klasse „Andere Schadprogramme“

Die folgenden beiden Grafiken zeigen, in welchem Maß der Anteil der einzelnen Malware-Typen dieser Klasse gegenüber dem zweiten Halbjahr 2007 zugenommen hat:


Anzahl neuer Anderer Schadprogramme (nach Typen)


Zunahme neuer Schädlinge der Klasse Andere Schadprogramme

MalWare 2008 insgesamt 2007-2 Zuwachs 2008% „+/-“
Hoax 3371 1085 210,69% 26,367 -3,28%
FraudTool 3339 387 762,79% 26,117 15,54%
Exploit 1975 711 177,78% 15,448 -3,98%
HackTool 1377 306 350,00% 10,77 2,41%
Constructor 731 292 150,34% 5,718 -2,26%
Packed 509 403 26,30% 3,981 -7,03%
SpamTool 431 184 134,24% 3,371 -1,66%
IM-Flooder 287 55 421,82% 2,245 0,74%
Flooder 196 51 284,31% 1,533 0,14%
BadJoke 174 69 152,17% 1,361 -0,52%
VirTool 153 50 206,00% 1,197 -0,17%
Email-Flooder 77 8 862,50% 0,602 0,38%
DoS 75 37 102,70% 0,587 -0,42%
Spoofer 36 6 500,00% 0,282 0,12%
Sniffer 24 10 140,00% 0,188 -0,09%
SMS-Flooder 15 4 275,00% 0,117 0,01%
Nuker 15 2 650,00% 0,117 0,06%
Insgesamt 12785 3660 249,32% 100%  

Der Typ Hoax bleibt auch 2008 der am weitesten verbreitete Typ innerhalb dieser Klasse. Bereits das dritte Jahr in Folge legt Hoax ein wahrhaft explosionsartiges Wachstum zwischen 150 und 286 Prozent hin. Trotzdem hat sich sein Anteil im ersten Halbjahr 2008 innerhalb dieser Klasse um mehr als 3 Prozent verringert.

Der ehemalige Spitzenreiter vom Typ Exploit verliert weiterhin an Boden. Trotz eines Zuwachses von 178 Prozent konnte sich dieser nicht auf dem zweiten Platz behaupten. Exploits belegen nunmehr Position drei und stellen insgesamt nur 15,5 Prozent an der Gesamtmenge der Anderen Schadprogramme.

Die beiden im Jahr 2007 neu in diese Klasse aufgenommenen Typen Packed und FraudTool verhalten sich unterschiedlich. Während Packed im letzten Halbjahr noch stark zunahm, ist sein Wachstum im ersten Halbjahr 2008 fast zum Stillstand gekommen und liegt nur noch bei 26 Prozent. Dadurch ging der Gesamtanteil von Packed um über 7 Prozent zurück. Dagegen wird FraudTool bei Virenschreibern immer beliebter und belegt durch seine Zuwachsrate von 760 Prozent nunmehr den zweiten Platz. Die wichtigste Spielart dieses Schädlingstyps sind die so genannten Rogue-Antivirus-Programme, die sich als vollwertige Antiviren-Lösungen ausgeben. Einmal auf einem Computer installiert melden sie selbst auf einem absolut sauberen System einen Virusbefall und werben anschließend mit einer kostenpflichtigen Softwareversion, die den Rechner desinfizieren soll. Diese Programme können für betrügerische Zwecke genutzt werden und verfügen zudem über Adware-Funktionen.

Potentiell unerwünschte Programme (PUPs)

Kaspersky Lab nahm die Kategorie Potentiell unerwünschte Programme (Potentially Unwanted Programs, PUPs) erst letztes Jahr in seine Berichte auf. Zu PUPs gehören legal entwickelte und verbreitete Programme, deren Funktionen in den Händen von Cyberkriminellen eine schädliche Wirkung entfalten können. Ob PUPs gefährlich sind oder nicht, hängt ganz davon ab, in wessen Hände sie geraten.

Kaspersky Lab ordnet potentiell unerwünschte Programme in folgende drei Klassen ein:

  1. AdWare: Software, die Werbung darstellt und Suchanfragen auf Werbe-Seiten umleitet. AdWare kann zu Marketingzwecken auch Anwenderdaten sammeln, zum Beispiel welche Websites ein User besucht.
  2. RiskWare: Legale Programme, mit denen Cyberkriminelle Computer oder darauf gespeicherten Daten schaden können, zum Beispiel durch zerstören, blockieren, modifizieren oder kopieren von Informationen.Sie können auch die Funktionsfähigkeit einzelner Computer oder ganzer Netzwerke beeinträchtigen.
  3. PornWare: Tools, die auf eine bestimmte Weise dazu beitragen, pornografische Inhalte darzustellen. Zu dieser Klasse gehören die drei Typen Porn-Tool, Porn-Dialer und Porn-Downloader.

Adware

Adware ist die Programmklasse mit dem stabilsten Wachstum und kommt schon das zweite Jahr in Folge auf einen Zuwachs von über 450 Prozent . Durchschnittlich spüren die Antiviren-Produkte von Kaspersky Lab jeden Monat fast 8.000 neue Werbeprogramme auf. Damit belegen sie den zweiten Platz unter sämtlichen entdeckten Schädlingen.

Die nächste Grafik zeigt, wie viele neue AdWare-Programme Kaspersky Lab monatlich entdeckt hat:


Anzahl neuer Programme der Klasse AdWare
(Juli 2007 – Juni 2008)

AdWare 2008 insgesamt 2007-2 Zuwachs
AdWare 46134 8168 464,81%

Die Grafik zeigt, dass die Zahl der Werbeprogramme Anfang 2008 steil ansteigt. Das belegt wieder einmal, dass die Antispam-Gesetze vieler Länder wirkungslos sind. Die meisten AdWare-Entwickler haben die Funktionen und das Verhalten ihrer Produkte verändert, womit sich auch die Zunahme der später im Detail besprochenen AdTool-Programmen erklären lässt

Noch bedenklicher ist jedoch, dass viele AdWare-Programme mittlerweile mit echter Trojaner-Funktionalität ausgestattet sind und teilweise sogar Rootkit-Technologien einsetzen, um ihre Anwesenheit im System zu verbergen. Ein besonders heftiges Beispiel dafür ist Virtumonde. Noch vor ein paar Jahren war dieses Programm „normale“ Adware, doch heute wird es von Kaspersky Lab als Trojaner klassifiziert. Seine Autoren setzen für dessen Verbreitung äußerst schmutzige Methoden ein.

RiskWare und PornWare

PornWare- und RiskWare-Programme sind in diesem Halbjahresbericht aus zwei Gründen in einer einzigen Analyse zusammengefasst. Zum einen gibt es insgesamt nur drei Typen von PornWare-Programmen, anderseits beträgt der Anteil der im ersten Halbjahr 2008 von Kaspersky Lab neu entdeckten Programme dieser Klasse lediglich 11,7 Prozent. FFolgende Grafik zeigt die Entwicklung für RiskWare und PornWare zwischen dem zweiten Halbjahr 2007 und dem ersten Halbjahr 2008:


Neue Programme der Klassen RiskWare und PornWare
(Juli 2007 – Juni 2008

Im ersten Halbjahr 2008 klassifizierte Kaspersky Lab über 26.000 Programme als Riskware und PornWare, wobei ihre Zuwachsrate bei über 1.700 Prozent lag.

Diese Werte lassen sich vor allem darauf zurückführen, dass den Antivirus-Datenbanken einige tausend Programme vom Typ AdTool hinzugefügt wurden. Aus der Grafik kann man ganz deutlich ablesen, dass der Höhepunkt dieser Entwicklung auf den März 2008 fiel. In den späteren Monten entwickelten sich die Klassen RiskWare und PornWare dann wieder erwartungsgemäß.

Die Verteilung der einzelnen RiskWare- und PornWare-Typen stellt sich in einem Tortendiagramm folgendermaßen dar:


RiskWare und PornWare: Prozentuale Verteilung nach Typen

Anzahl neuer Programme der Klassen RiskWare und PornWare (nach Typen):

RiskWare&PornWare 2008 insgesamt 2007-2 Zuwachs 2008% „+/-“
AdTool 13555 50 27010,00% 51,33 47,90%
Porn-Dialer 8311 130 6293,08% 31,48 22,60%
Monitor 1491 611 144,03% 5,65 -36,20%
PSW-Tool 719 131 448,85% 2,72 -6,20%
Downloader 688 104 561,54% 2,61 -4,50%
Server-FTP 396 36 1000,00% 1,5 -1,00%
Sonstige 246 47 423,40% 0,93 -2,30%
RemoteAdmin 228 107 113,08% 0,86 -6,50%
Net-Tool 200 73 173,97% 0,76 -4,20%
Porn-Tool 165 13 1169,23% 0,62 -0,30%
RiskTool 139 51 172,55% 0,53 -3,00%
Dialer 113 46 145,65% 0,43 -2,70%
Server-Proxy 67 17 294,12% 0,25 -0,90%
Porn-Downloader 35 15 133,33% 0,13 -0,90%
Tool 26 15 73,33% 0,1 -0,90%
Client-IRC 11 7 57,14% 0,04 -0,40%
Server-Web 7 5 40,00% 0,03 -0,30%
Server-Telnet 5 0   0,02  
WebToolbar 2 0   0,01  
Client-SMTP 1 2 -50,00% 0 -0,10%
Insgesamt 26405 1460 1708,56% 100%  

Spitzenreiter beider Klassen sind die Typen AdTool mit 51,33 Prozent und Porn-Dialer mit 31,48 Prozent.

AdTool umfasst verschiedene Werbemodule, die aber nicht zur Klasse AdWare zu zählen sind. AdTools werden erst dann aktiv, wenn der PC-Nutzer eine Lizenzvereinbarung bestätigt hat. Berücksichtigt man die Anzahl der gleichzeitig den Antivirus-Datenbanken neu hinzugefügten Exemplare dieses Typs, so überrascht die Spitzenposition von AdTool keineswegs (siehe oben).

Porn-Dialer stellen eine Telefonverbindung zu kostenpflichtigen pornografischen Angeboten her. Dabei verwenden sie meistens teure Sonderrufnummern, was nicht selten zu juristischen Auseinandersetzungen zwischen Geschädigten und Telefongesellschaften führt.

Der Anteil des Typs Monitor, dem Spitzenreiter 2007, ist stark zurückgegangen. Zu diesem Typ gehören Keylogger, die legal verkauft werden. Sobald sich die Monitor-Schädlinge aber auch im System verbergen können, sind sie vollwertige trojanische Spionage-Tools. Im Laufe der ersten sechs Monate des Jahres 2008 büßten sie mehr als 35 Prozent ein und belegten insgesamt nur den dritten Platz aller potentiell unerwünschten Programme.

Die Typen PSW-Tool und Downloader sind wie schon im letzten Halbjahr recht gut positioniert. Erstere stellen vergessene Passwörter wieder her, können von Cyberkriminellen allerdings auch problemlos zur Passwort-Spionage genutzt werden. Der zweite Typ lässt sich zum Download von schädlichen Inhalten auf einen Computer einsetzen.

Erwähnenswert sind auch die starken Anteilsverluste der Programme vom Typ RemoteAdmin, die 6,5 Prozent verlieren.

Plattformen und Betriebssysteme

Im letzten Jahr schlüsselte Kaspersky Lab die Verteilung der schädlichen und potentiell unerwünschten Programme auf die einzelnen Betriebssysteme und Plattformen erstmals statistisch auf .

Schädlinge können sich nur dann in einem Betriebssystem festsetzen, wenn dieses die Ausführung von systemfremdem Code ermöglicht. Diese Bedingung erfüllt jedes OS, aber auch viele Office-Anwendungen, Grafik-Tools und Software-Plattformen, die über integrierte Skript-Sprachen verfügen.

In den ersten sechs Monaten dieses Jahres erfasste Kaspersky Lab schädliche und potentiell unerwünschte Programme für 41 verschiedene Plattformen und Betriebssysteme.

Mit 98,1 Prozent ist die überwältigende Mehrheit aller gefundenen Schädlinge selbstverständlich für eine Win32-Umgebung ausgelegt und kommt als ausführbare binäre Datei.

Die für andere Betriebssysteme und Plattformen entwickelten Schadprogramme bringen es folglich nur auf einen Anteil von unter 2 Prozent. Während die Anzahl der Win32-Schädlinge im ersten Halbjahr 2008 um 233 Prozent gegenüber dem zweiten Halbjahr 2007 stieg, kam Malware für andere Betriebsysteme und Plattformen hingegen nur auf 39 Prozent. Verglichen mit dem Ergebnis des vorhergehenden Halbjahres von 63 Prozent ist dieser Wert ist sogar niedriger. Anders als erwartet haben sich die Virenschreiber daher noch nicht verstärkt anderen Plattformen als Win32 zugewandt. Eher das Gegenteil war der Fall, denn die Zunahme der Nicht-Windows-Bedrohungen kam zum Stillstand und die Anzahl derartiger Bedrohungen ging ebenfalls zurück. Im zweiten Halbjahr 2007 betrug ihr Gesamtanteil 4 Prozent.


Verteilung neuer schädlicher und potentiell unerwünschter Programme auf verschiedene Plattformen

  2007-2 2008-1 Zuwachs 2007% 2008% „+/-“
Win32 130131 432862 232,60% 96,00% 98,30% -2,27
Sonstige 5362 7449 38,90% 4,00% 1,70% 2,27
Insgesamt 135493 440311 225,00%      
  I 2008 II 2007 Zuwachs
Acad 6 5 20%
ALS 1 3 -67%
ASP 39 135 -71%
BAT 765 553 38%
DOS 45 44 2%
HTML 1103 930 19%
HWP 1 0 0%
Ichitaro 1 0 0%
IIS 1 0 0%
IRC 51 86 -41%
J2ME 41 6 583%
Java 17 25 -32%
JS 3311 2240 48%
Linux 28 45 -38%
Mac 14 33 -58%
MSAccess 14 4 250%
MSExcel 94 10 840%
MSIL 327 31 955%
MSOffice 7 3 133%
MSPPoint 42 16 163%
MSWord 135 83 63%
Multi 4 11 -64%
MySQL 1 0 0%
NSIS 27 17 59%
OLE2 1 0 0%
OSX 6 0 0%
Perl 39 37 5%
PHP 155 186 -17%
Python 10 9 11%
RAR 7 12 -42%
Ruby 3 5 -40%
Shell 5 0 0%
SWF 260 3 8567%
SymbOS 34 30 13%
VBS 820 748 10%
Win16 6 7 -14%
Win32 432862 130131 233%
Win9x 5 3 67%
WinCE 3 0 0%
WinREG 15 39 -62%
WMA 5 3 67%
Insgesamt 440311 135493 225%

Die Zuwachsraten neuer Schädlinge für verschiedene Plattformen unterscheiden sich sehr stark voneinander. Die auffälligsten Veränderungen gegenüber dem letzten Halbjahr 2007 lassen sich wie folgt zusammenfassen:

  • In den Skript-Sprachen VBS und JS programmierte Schädlinge lagen letztes Jahr anteilsmäßig noch auf einem vorderen Platz, sind in diesem Halbjahr aber stark zurückgefallen.
  • Die Anzahl der Schädlinge für die Plattform J2ME ist um 583 Prozent gestiegen. Im Bericht wurde bereits die Zunahme des Typs Trojan-SMS erwähnt, dessen Vertreter überwiegend auf eben dieser Plattform laufen.
  • Die Zahl der Schadprogramme, die sich als XLS-Dateien tarnen und dementsprechend eine Schwachstelle in Microsoft Excel ausnutzen ist um 840 Prozent gestiegen. Im letzten Jahr wurden einige Dutzend solcher Schwachstellen entdeckt, die besonders fleißig von chinesischen Virenschreibern ausgenutzt werden.
  • Die Zahl der Schädlinge für die Plattform .NET wuchs um 955 Prozent. Diese Entwicklung begann im laufenden Jahr und wurde von Kaspersky Lab schon lange vorhergesagt. Die Antiviren-Experten erwarten zudem, dass diese Plattform JavaScript in der Beliebtheitsskala deutlich hinter sich lassen wird und den zweiten Platz unter den Schadprogramm-Plattformen belegt. Weil .NET-Dateien nicht nur auf Windows-Computern, sondern auch auf mobilen Geräten unter Windows Mobile ausgeführt werden können, wird diese Plattform für Virenschreiber besonders interessant,
  • Über 8.500 Prozent (!) betrug der Zuwachs von Schadprogrammen, die sich in Shockwave-Dateien verstecken (SWF). Dieses explosionsartige Wachstum entstand durch die Entdeckung einer gefährlichen Schwachstelle, die die Cyberkriminellen sofort als neuen Übertragungsweg für ihre Schadprogramme ausnutzten. Deshalb tauchten im Frühjahr dieses Jahres auch mehr als 250 Varianten schädlicher SWF-Dateien auf.

Alle im ersten Halbjahr 2008 angegriffenen Plattformen lassen sich nach einem gemeinsamen Merkmal sortieren, nämlich dem zugrunde liegenden Betriebssystem. Beispielsweise ordnet man JavaScript und Visual Basic Script Windows zu, Ruby und Perl dagegen den Unix-Derivaten. Dementsprechend gehören Linux, Perl, PHP, Ruby und Shell zu *nix. J2ME, Symbian, WinCE und Python sind Mobile zugeordnet, OS X und Mac zu Apple Mac. Schließlich umfasst die Kategorie Sonstige die Plattformen DOS, IIS, Multi und MySQL.

Fazit

Die Entwicklung der Malware-Bedrohungen setzt sich auch 2008 nach dem gleichen Muster fort, das sich bereits 2007 abgezeichnet hat. Die Virenschreiber entwickeln keine bahnbrechenden technologischen Neuheiten mehr, sondern setzten bei ihren Schadprogrammen vielmehr auf Quantität als auf Qualität.Gleichzeitig verkürzt sich die Lebensdauer der Schädlinge „in freier Wildbahn“. Von tausend neuen und innerhalb eines Tages gefundenen Trojanern sind nach Ablauf einer Woche oder eines Monats nur noch einige Dutzend eine ernsthafte Bedrohung für die Rechner der Internet-User. Die übrigen Schädlinge werden nach und nach von den Virenautoren aus dem Verkehr gezogen und von ständig neuen Modifikationen abgelöst, um die Sicherheitsmechanismen der Antiviren-Produkte zu umgehen.

Nach Ansicht von Kaspersky Lab kann die Zahl neuer Schadprogramme nicht unendlich weiter steigen. Wahrscheinlich wird sich das Wachstum noch dieses Jahr verlangsamen oder sogar stagnieren. Ohne Zweifel wird sich das bereits erreichte Niveau von zirka 500.000 neuen Schädlingen pro Halbjahr weiterhin halten, doch die meisten Hersteller von Antiviren-Programmen sind in der Lage, mit diesen Stückzahlen fertig zu werden.

Die Aufgaben, vor denen die Antivirus-Industrie heute steht, unterscheiden sich nicht sehr von früheren Problemen. Die größten Anstrengungen sollte sie daher auf die Entwicklung von Methoden verwenden, mit denen sich Bedrohungen schnellstmöglich erkennen lassen. Während die ausreichende und annehmbare Reaktionsgeschwindigkeit von Antivirus-Software früher in Stunden und manchmal sogar Tagen bemessen wurde, so geht es heute buchstäblich um Minuten. Innerhalb dieser Zeit sollten Antivirus-Experten in jedem Winkel der Erde neuen Schadcode im Internet erkennen, analysieren, Schutzmethoden entwickeln und sie dem Endanwender zugänglich machen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.