Kaspersky Security Bulletin 2009: Malware-Statistik

  1. Kaspersky Security Bulletin 2009: Entwicklung der IT-Bedrohungen
  2. Kaspersky Security Bulletin 2009: Malware-Statistik
  3. Kaspersky Security Bulletin 2009: Spam

Die Jahresstatistik 2009 beruht auf Daten, die mit Hilfe des Kaspersky Security Network (KSN) gewonnen und ausgewertet wurden. KSN ist eine der wichtigsten Neuerungen bei den Produkten für Privatanwender, und Kaspersky Lab arbeitet derzeit an der Integration des Systems in seine Unternehmenslösungen.

Mit Hilfe des Kaspersky Security Network können die Kaspersky-Experten in Echtzeit auf neue Schadprogramme reagieren, für die noch keine Signaturen vorliegen, und die noch nicht heuristisch erfasst sind. KSN macht es möglich, die Verbreitungsquelle von Schadprogrammen im Internet zu lokalisieren und diese für die Anwender zu sperren.

Gleichzeitig verbessert KSN die Reaktionszeit auf neue Bedrohungen entscheidend. Zum gegenwärtigen Zeitpunkt kann die Ausführung eines neuen Schadprogramms auf den Computern der KSN-User innerhalb weniger Sekunden nach Feststellung seines schädlichen Charakters blockiert werden. Anders als bisher ist eine Aktualisierung der Antiviren-Datenbanken dafür nicht mehr nötig.

Schadprogramme im Internet (Web-Attacken)

Im ersten Teil dieses Jahresberichts wurde ausführlich das Problem der Gumblar-Epidemie im Netz behandelt. In Wirklichkeit ist diese Epidemie aber nur die Spitze des Eisbergs von Web-Infektionen, die in den letzten Jahren zur wichtigsten Infizierungsart bei den Computern von Anwendern geworden sind.

Auf diesem Gebiet hat sich die Cyberkriminalität also ganz offensichtlich recht schnell weiterentwickelt und ist jetzt bereits in der Lage, vollwertige Botnetze aus gehackten Websites aufzubauen, die sich selbst erhalten und weiter ausbreiten.

Zudem werden alle Möglichkeiten ausgeschöpft, die soziale Netzwerke bieten. Die Beobachtungen von Kaspersky Lab haben gezeigt, dass das Vertrauen unter den Usern sehr groß ist: Die Wahrscheinlichkeit, dass ein Anwender eines sozialen Netzwerks eine von „Freunden“ geschickte Datei öffnet oder auf einen Link klickt, der von einem „Freund“ empfohlen wurde, ist ungefähr 10 Mal höher als beim Versand der Datei oder des Links per E-Mail. Die Kriminellen machen sich ­diese Tatsache bei der Verbreitung von Schadprogrammen und Spam zunutze.

Schon häufiger hat Kaspersky Lab über Drive-by-Downloads berichtet. Bei dieser Methode wird der Computer bei der ganz gewöhnlichen Arbeit im Internet infiziert, ohne dass es der Anwender bemerkt. Im Jahr 2009 stieg die Zahl derartiger Angriffe drastisch an, und es wurden in etwa drei Mal so viele Attacken wie im Jahr zuvor registriert. Dabei muss man bedenken, dass hier von mehreren Dutzend Millionen Angriffen die Rede ist.

Mit Hilfe des Kaspersky Security
Network registriert und analysiert Kaspersky Lab alle Versuche, die Computer der Anwender bei aktiver Internetverbindung zu infizieren.

Im Jahr 2009 registrierte das KSN 73.619.767 erfolgreich abgewehrte Angriffe auf die Computer seiner Kunden (im Jahr 2008 waren es 23.680.646). Neben dem versuchten Download von schädlicher und potentiell gefährlicher Software waren unter den registrierten Vorfällen 14.899.238 Versuche, auf Phishing- oder Schad-Websites zuzugreifen, die von Kaspersky-Programmen blockiert wurden.

Die Top 20 der Schadprogramme im Internet

Von allen an Internet-Attacken beteiligten Schädlingen hat Kaspersky Lab die 20 aktivsten Schadprogramme ausgewählt. Jede dieser 20 Bedrohungen wurde mehr als 170.000 Mal registriert, allein auf die Top 20 insgesamt entfielen über 37 Prozent (27. 443. 757) aller erfassten Vorfälle.

Name Anzahl der Angriffe Prozentualer Anteil
1 HEUR:Trojan.Script.Iframer 9858304 13,39
2 Trojan-Downloader.JS.Gumblar.x 2940448 3,99
3 not-a-virus:AdWare.Win32.Boran.z 2875110 3,91
4 HEUR:Exploit.Script.Generic 2571443 3,49
5 HEUR:Trojan-Downloader.Script.Generic 1512262 2,05
6 HEUR:Trojan.Win32.Generic 1396496 1,9
7 Worm.VBS.Autorun.hf 1131293 1,54
8 Trojan-Downloader.HTML.IFrame.sz 935231 1,27
9 HEUR:Exploit.Script.Generic 752690 1,02
10 Trojan.JS.Redirector.l 705627 0,96
11 Packed.JS.Agent.bd 546184 0,74
12 Trojan-Clicker.HTML.Agent.aq 379872 0,52
13 HEUR:Trojan-Downloader.Win32.Generic 322166 0,44
14 Trojan.JS.Agent.aat 271448 0,37
15 Trojan-Downloader.Win32.Small.aacq 265172 0,36
16 Trojan-Clicker.HTML.IFrame.ani 224657 0,31
17 Trojan-Clicker.JS.Iframe.be 216738 0,3
18 Trojan-Downloader.JS.Zapchast.m 193130 0,27
19 Trojan.JS.Iframe.ez 175401 0,24
20 not-a-virus:AdWare.Win32.GamezTar.a 170085 0,23
  TOP 20 insgesamt 27443757 37,3

Den ersten Platz der Hitliste belegt mit beträchtlichem Abstand die heuristische Erkennung von schädlichen Links, die von Hackern und teilweise von den Schadprogrammen selbst in den Code der gehackten Sites eingeschleust wird. Diese Links stellen eine verborgene Verbindung zwischen dem Browser und einer anderen Website her, auf der sich in der Regel die eigentlichen Exploits für Browser und Anwendungen befinden.

Auf dem zweiten Platz befindet sich Gumblar. Bedenkt man den Umfang der von diesem Schädling verursachten Epidemien, so ist das keine Überraschung: Fast 3.000.000 Anfragen von Usern an Server des entsprechenden Botnetzes wurden von der Kaspersky-Software registriert. Man kann sich also ausmalen, wie viele Millionen PCs diesem Schadprogramm zum Opfer hätten fallen können.

Bemerkenswert ist auch, dass das Werbeprogramm Boran.z den dritten Platz der Top 20 des Jahres belegt. Adware gehört neben Spam und Pornographie schon seit langem zu den treibenden Kräften in der Struktur der Cyberkriminalität.

Bei praktisch allen anderen Schädlingen der Hitliste handelt es sich mehr oder weniger um verschiedene Varianten von Exploits von Sicherheitslücken.

Die Top 20 der Länder, die Schadprogramme hosten

73.619.767 der von Kaspersky Lab im Jahr 2009 registrierten Angriffe gingen von Internet-Ressourcen in 174 verschiedenen Ländern aus. Über 97 Prozent aller erfassten Attacken haben ihren Ursprung in nur 20 Ländern.

1 CHINA 52,70%
2 VEREINIGTE STAATEN 19,02%
3 NIEDERLANDE 5,86%
4 DEUTSCHLAND 5,07%
5 RUSSISCHE FÖDERATION 2,58%
6 GROßBRITANNIEN 2,54%
7 KANADA 2,22%
8 UKRAINE 2,17%
9 LETTLAND 1,53%
10 FRANKREICH 0,60%
11 SPANIEN 0,49%
12 SÜDKOREA 0,48%
13 BRASILIEN 0,44%
14 ZYPERN 0,34%
15 SCHWEDEN 0,32%
16 TAIWAN 0,27%
17 NORWEGEN 0,23%
18 ISRAEL 0,21%
19 LUXEMBURG 0,16%
20 ESTLAND 0,16%
    97,38%

Auf den ersten fünf Plätzen gibt es im Vergleich zum Jahr 2008 keine Veränderung. Wie schon im Vorjahr war der absolute Spitzenreiter unter den Ländern, von deren Ressourcen die meisten Attacken ausgingen, auch im Jahr 2009 wieder China. Der prozentuale Anteil der von China aus durchgeführten Webattacken hat sich allerdings von 79 Prozent auf etwas unter 53 Prozent verringert. Den zweiten Platz belegen nach wie vor die USA, wobei sich der Anteil der infizierten Server auf dem Gebiet der Vereinigten Staaten wesentlich vergrößert hat, nämlich von 6,8 Prozent auf 19 Prozent. Russland, Deutschland und die Niederlande bilden die „zweite Garde“, deren Anteil im Jahr 2009 unwesentlich zurückgegangen ist.

Die Führungsrolle Chinas sowohl bei der Entwicklung von Schadprogrammen als auch nach Zahl der infizierten Websites hat bereits die Aufmerksamkeit der Regierung und der Rechtschutzorgane des Landes auf sich gezogen. Zur Bereinigung der Situation haben die Behörden bereits eine Reihe von Maßnahmen ergriffen, die das Erscheinen von schädlichen Ressourcen erschweren sollen. Jetzt kann ein Domainname in der Zone .cn ausschließlich schriftlich per Formular beantragt werden, und zwar erst, nachdem der Antragsteller persönlich eine Bescheinigung und Lizenz zur Bestätigung seiner kommerziellen Tätigkeit vorgelegt hat. Aufgrund der Nichtbeachtung dieser Normen wurden bereits verschiedene chinesische Firmen geschlossen, die Domains registrieren.

Praktisch umgehend nach der Einführung der genannten Maßnahmen Ende 2009 wurde in Spam-Mails ein Rückgang von Links auf chinesische Domains verzeichnet. Es bleibt zu hoffen, dass sich diese Tendenz im Jahr 2010 auch auf andere Infizierungs- und Betrugsmethoden ausweiten wird.

Die Top 20 der Länder, deren Computer im Jahr 2009 am häufigsten angegriffen wurden

Ein weiterer nicht weniger aussagekräftiger Indikator beschreibt, in welchen Ländern und Regionen die Computer der Anwender am häufigsten Angriffen ausgesetzt waren. Die Tabelle „Anteil an der Gesamtzahl der Angriffe“ auf der vorhergehenden Seite zeigt die zwanzig am stärksten von Virus-Infektionen betroffen Länder — auf die Computer ihrer Einwohner entfielen mehr als 86 Prozent der 73.619.767 registrierten Infizierungen.

1 CHINA 46,75%
2 VEREINIGTE STAATEN 6,64%
3 RUSSISCHE FÖDERATION 5,83%
4 INDIEN 4,54%
5 DEUTSCHLAND 2,53%
6 GROßBRITANNIEN 2,25%
7 SAUDI ARABIEN 1,81%
8 BRASILIEN 1,78%
9 ITALIEN 1,74%
10 VIETNAM 1,64%
11 MEXIKO 1,58%
12 FRANKREICH 1,49%
13 ÄGYPTEN 1,37%
14 TÜRKEI 1,23%
15 SPANIEN 1,20%
16 UKRAINE 0,91%
17 KANADA 0,81%
18 MALAYSIA 0,80%
19 THAILAND 0,76%
20 KASACHSTAN 0,71%
    86,37%

Im Vergleich zum Vorjahr haben sich hier bedeutende Veränderungen ergeben. China ist nach Anzahl der potenziellen Opfer immer noch führend, doch sein Gesamtanteil verringerte sich auf 7 Prozent. Ägypten, die Türkei und Vietnam waren die anderen Spitzenreiter des Jahres 2008, scheinen aber bei weitem nicht mehr so interessant für die Cyberkriminellen zu sein wie noch im Vorjahr. Gleichzeitig ist die Zahl der Angriffe auf Bürger der USA, Deutschlands, Großbritanniens und Russlands wesentlich gestiegen.

Nach Meinung der Kaspersky-Experten sind diese Veränderungen in Richtung Web-Attacken eine Folge der weltweiten Wirtschaftskrise. Auch im Netz stand immer weniger Geld zur Verfügung, und die anfänglich rasche Zunahme von Online-Banking-Usern hat sich in manchen Ländern stark verlangsamt. Die Kriminellen waren also gezwungen, sich auf „reichere“ Märkte zu konzentrieren, wo die Wahrscheinlichkeit wesentlich höher ist, mit der Infizierung von Rechnern auch wirklich Geld zu verdienen.

Auch die chinesischen Kriminellen haben ihren Beitrag zu diesem Prozess geleistet und attackieren ihre eigenen Landsleute nun seltener. Über die abnehmende Aktivität von Game-Trojanern hat Kaspersky Lab bereits berichtet. Möglicherweise sehen wir nun mit den Attacken über das Web die Folge dieser Tendenz.

Netzattacken

Ein nicht mehr wegzudenkender Teil jedes modernen Antiviren-Programms ist die Firewall. Sie blockiert verschiedene Angriffe von außen, die nicht über den Browser durchgeführt werden, und soll zudem Versuche vereiteln, Anwenderdaten vom Computer zu stehlen. Die in Kaspersky Internet Security integrierte Firewall verfügt über eine Funktion zur Erkennung eingehender Pakete (Intrusion Detection System, IDS). Dazu gehören Exploits, die Schwachstellen in Netzservices des Betriebssystems ausnutzen und ungepatchte Systeme infizieren können oder den Kriminellen sogar den vollständigen Zugriff auf diese ermöglichen. Im Jahr 2009 wehrte das in Kaspersky Internet Security 2010 integrierte IDS ganze 219.899.678 Netzattacken ab. Im Jahr 2008 betrug dieser Wert nur etwas über 30 Millionen derartiger Angriffe.

    Anzahl %
1 DoS.Generic.SYNFlood 156550484 71,192
2 Intrusion.Win.NETAPI.buffer-overflow.exploit 32605798 14,828
3 Intrusion.Win.MSSQL.worm.Helkern 23263431 10,579
4 Intrusion.Win.DCOM.exploit 3245943 1,476
5 Scan.Generic.UDP 1799685 0,818
6 Intrusion.Win.LSASS.exploit 812775 0,37
7 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 604621 0,275
8 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 555107 0,252
9 DoS.Generic.ICMPFlood 131925 0,06
10 Scan.Generic.TCP 101737 0,046
11 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 86511 0,039
12 Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit 24375 0,011
13 Intrusion.Win.SMB.CVE-2009-3103.exploit 19378 0,009
14 Intrusion.Win.WINS.heap-overflow.exploit 15200 0,007
15 Intrusion.Generic.OmniWeb.Alert.format-string.exploit 14291 0,006
16 Intrusion.Win.Messenger.exploit 10296 0,005
17 DoS.Win.IGMP.Host-Membership-Query.exploit 8976 0,004
18 Intrusion.Win.PnP.exploit 8783 0,004
19 Intrusion.Win.EasyAddressWebServer.format-string.exploit 6561 0,003
20 DoS.Generic.Land 3505 0,002
      99,986

Platz 1 der Top 20 (siehe Grafik auf der linken Seite) belegt wie auch im Vorjahr die simple und weit verbreitete Attacke DoS.Generic.SYNFlood, die bei erfolgreichem Einsatz den angegriffenen Computer außer Gefecht setzen kann. Dieser Angriffstyp wird heute von den meisten modernen Erkennungssystemen aufgedeckt. Auf dem zweiten Platz befindet sich mit NETAPI.buffer-overflow.exploit eine interessantere und gefährlichere Bedrohung, bei der es sich um die Umsetzung der Sicherheitslücke MS08-067 handelt.

Eben diese Schwachstelle nutzt auch der zu trauriger Berühmtheit gelangte Wurm Kido aus. Der Exploit wurde Ende 2008 entdeckt und positionierte sich im entsprechenden Ranking desselben Jahres auf Platz 4. Im Jahr 2009 entfiel der Löwenanteil der 32 Millionen erkannten und abgewehrten Infizierungsversuche unter Ausnutzung von MS08-067 zweifellos auf Kido.

Auch der Wurm Helkern (Slammer) hält sich weiter hartnäckig im Netz. Obwohl er bereits seinen siebten Geburtstag feiert, ist er in der Hitliste weiterhin vorne mit dabei – auf ihn entfielen 23 Millionen blockierter ­Infizierungsversuche. Ein ebenso alter Hase ist der Exploit auf Position 4 – RPC-DCOM (MS03-026). Diese Sicherheitslücke war die Ursache für den Ausbruch der globalen Epidemie des Wurms Lovesan im August 2003.

Lokale Infektionen

Untrennbarer Bestandteil jeder modernen Antiviren-Software ist die Firewall. Sie kann unterschiedliche Angriffe auf den Computer abwehren, die von außen und nicht über den Browser initiiert werden. Die Firewall hat zudem die Aufgabe, Datendiebstahl auf dem Computer zu verhindern.

Ein überaus wichtiger Indikator ist die Statistik der lokalen Infizierungen von Anwendercomputern. Zu diesen Daten gehören Objekte, die über das Web, über E-Mail oder Netzwerkports in die Computer eindringen. Die AV-Lösungen von Kaspersky Lab erkannten erfolgreich über 100 Millionen — nämlich genau 107.370.258 — Viren-Vorfälle auf Anwendercomputern, die an das Kaspersky Security Network angeschlossen sind.

Bei diesen Vorfällen wurden 703.700 verschiedene schädliche und potentiell unerwünschte Programme registriert. Auf die ersten Hundert von ihnen entfielen 28.597.901 Vorfälle, das entspricht 27 Prozent. Die Schadprogramme der folgenden Top 20 sind die am weitesten verbreiteten Bedrohungen des Jahres 2009.

Nr. Gefundenes Objekt Anzahl von
Computern
, auf denen
ein Objekt
gefunden
wurde
1 HEUR:Trojan.Win32.Generic 3050753
2 Net-Worm.Win32.Kido.ih 2924062
3 Virus.Win32.Sality.aa 1407976
4 Net-Worm.Win32.Kido.ir 1176726
5 UDS:DangerousObject.Multi.Generic 620716
6 Packed.Win32.Black.d 527718
7 Net-Worm.Win32.Kido.iq 518120
8 HEUR:Worm.Win32.Generic 516467
9 Virus.Win32.Virut.ce 488852
10 not-a-virus:AdWare.Win32.Boran.z 466106
11 Virus.Win32.Induc.a 455798
12 HEUR:Trojan-Downloader.Win32.Generic 436229
13 HEUR:Trojan.Win32.StartPage 412245
14 MultiPacked.Multi.Generic 377741
15 Trojan-Downloader.Win32.VB.eql 362685
16 Worm.Win32.FlyStudio.cu 361056
17 Trojan-Dropper.Win32.Flystud.yo 356950
18 Packed.Win32.Black.a 333705
19 Packed.Win32.Klone.bj 320665
20 Trojan.Win32.Chifrax.a 296947
  Всего: 97,38%

Auf mehr als drei Millionen Computern wurden Infizierungsversuche blockiert, die erfolgreich mit Hilfe heuristischer Methoden aufgedeckt werden konnten. Die meisten der auf diese Weise erkannten Objekte hielten Einzug in das Jahresranking, und zwar: HEUR:Trojan.Win32.Generic, HEUR:Worm.Win32.Generic, HEUR:Trojan-Downloader.Win32.Generic und HEUR:Trojan.Win32.StartPage.

Wie schon an anderer Stelle beschrieben, geht die weitreichendste Epidemie des Jahres auf das Konto des Wurms Kido (Conficker), der Millionen Computer rund um den Globus infizierte. In der Liste der 20 am weitesten verbreiteten Bedrohungen sind gleich drei Modifikationen dieses Wurms vertreten – Kido.ir, Kido.ih und Kido.iq. Die Gesamtzahl der von ihnen kompromittierten Computer übersteigt den Anteil des Spitzenreiters HEUR:Trojan.Win32.Generic um mehr als eineinhalb Millionen.

Einen Platz unter Kido.ih und damit auf Position 3 befindet sich der Virus Sality.aa, der im vergangenen Jahr eine globale Epidemie auslöste und die Jahresstatistik 2008 anführte. Dazu sei gesagt, dass er sich nicht lange halten konnte und die Netzwürmer ihre Positionen verteidigten.

Neben Sality sind im Ranking allerdings noch zwei weitere Viren enthalten, von denen einer ein klassischer Datei-Virus ist und der andere sich noch nicht einmal in das bestehende Klassifizierungsschema einordnen lässt.

Der erste – Virus.Win32.Virut.ce – infiziert nicht nur ausführbare Dateien, sondern auch Webserver und verbreitet sich zudem auch mit Hilfe von P2P-Netzen. Diese Virus-Epidemie zählte auch zu den auffälligsten Ereignissen des Jahres.

Bei dem zweiten – Virus.Win32.Induc.a – handelt es sich um ein hochinteressantes Machwerk der Virenschreiberzunft. Für die Selbstreproduktion verwendet der Virus einen Mechanismus der zweistufigen Entwicklung ausführbarer Dateien, der in der Delphi-Umgebung umgesetzt wird. Entsprechend diesem Mechanismus wird der Quellcode der Anwendungen zunächst in Übergangs-Modulen (dci-Dateien, Delphi Compiled Units) kompiliert, aus denen daraufhin die in Windows ausführbaren Dateien entnommen werden. Glücklicherweise verfügt der Virus bisher neben der Infizierung selbst über keine weiteren Funktionalitäten, doch er demonstriert sehr anschaulich einen poten­tiell neuen Typ von Infizierungen. Auch die verspätete Entdeckung von Induc (infizierte Dateien traten Ende 2008 auf, entdeckt wurde er erst im August 2009) ist damit zu erklären, dass diesem Virus außer der Reproduktion jegliche schädliche Funktion fehlt.

Dank dem zum Kaspersky Security Network gehörenden Urgent Detection System (UDS) zur schnellen Erkennung von Bedrohungen konnten mehr als 600.000 Computer von Usern in Echtzeit geschützt werden, und neue Schaddateien wurden innerhalb kürzester Zeit als UDS:DangerousObject.Multi.Generic klassifiziert.

Zu erwähnen ist auch eine große Anzahl an Schadprogrammen, die mit Hilfe der Skriptsprache FlyStudio entwickelt wurden. Drei Vertreter dieser Schädlingsart konnten sich im Ranking platzieren — Worm.Win32.FlyStudio.cu, Trojan-Dropper.Win32.Flystud.yo und Packed.Win32.Klone.bj. Bedenkt man, dass ­FlyStudio in erster Linie von chinesischen Kriminellen eingesetzt wird, so ist die Tatsache, dass seine Vertreter den Sprung ins Jahresranking schafften, eine Bestätigung für das im ersten Teil des Kaspersky Virus Bulletin Gesagte: China gehört jetzt tatsächlich zu den führenden Lieferanten von Schadprogrammen.

Eine weitere sehr auffällige Tendenz in der Entwicklung von Schadprogrammen war im letzten Jahr das Packen und die Verschleierung mit Hilfe speziell entwickelter Packprogramme, was selbst die Entdeckung und Erkennung bereits bekannter Samples erschwert. In der Hitliste erscheinen einige Vertreter derartiger Packer, die zu dem Typ Packed gehören: Black.a, Black.d und Klone.bj.

Schwachstellen

Schwachstellen in Softwareprodukten stellen die größte Gefahr für die Sicherheit von Computern dar. Sie können es Cyberkriminellen unter Umständen ermöglichen, die bestehenden Schutzmechanismen zu umgehen und den Computer anzugreifen.

Die umfassendste Epidemie des Jahres 2009 war die des Wurms Kido und wurde durch die Entdeckung einer weiteren kritischen Sicherheitslücke im Betriebssystem Windows verursacht. Allerdings ist die Infizierung der Computer über den Browser wie auch schon im Jahr 2008 die am weitesten verbreitete Eindringungsmethode von Schadprogrammen ins System. Dabei muss der Browser selbst gar keine Sicherheitslücke aufweisen, wenn Schwachstellen in verschiedenen Plug-ins und Anwendungen vorhanden sind, mit denen der Browser interagiert.

Mit Hilfe seines Schwachstellenscanners konnte Kaspersky Lab im Jahr 2009 insgesamt 404 verschiedene Sicherheitslücken aufdecken. Dabei kamen die Experten auf eine Gesamtzahl von 461.828.538 verwundbaren Dateien und Anwendungen auf den Computern der Anwender. Kaspersky Lab hat die 20 am weitesten verbreiteten Schwachstellen analysiert. Auf sie entfielen 90 Prozent (415.608.137) aller verwundbaren Dateien und Anwendungen, die die Antiviren-Lösungen auf den Computern der Anwender identifiziert haben.

  Nr. Name Anzahl
verbundbarer
Dateien und
Anwendungen
Prozentualer
Anteil an allen
verwundbaren
Dateien und
Anwendungen
Einstufung Auswirkung Ausgabe-Datum
1 33632 Apple QuickTime Multiple Vulnerabilities 165658505 35,87 Hochkritisch Systemzugriff 22.01.2009
2 35091 Apple QuickTime Multiple Vulnerabilities 68645338 14,86 Hochkritisch Systemzugriff 22.05.2009
3 31821 Apple QuickTime Multiple Vulnerabilities 58141113 12,59 Hochkritisch Systemzugriff 10.09.2008
4 29293 Apple QuickTime Multiple Vulnerabilities 38368954 8,31 Hochkritisch Systemzugriff 10.06.2008
5 23655 Microsoft XML Core Services Multiple Vulnerabilities 8906277 1,93 Hochkritisch Cross-Site-Scripting, DoS, Systemzugriff 09.01.2007
6 34012 Adobe Flash Player Multiple Vulnerabilities 7728963 1,67 Hochkritisch Umgehung der Systemsicherheit, Aufdecken vertraulicher Informationen, Rechteausweitung, Systemzugriff 25.02.2009
7 34451 Sun Java JDK / JRE Multiple Vulnerabilities 6783414 1,47 Hochkritisch Umgehung der Systemsicherheit, DoS, Systemzugriff 26.03.2009
8 29320 Microsoft Outlook „mailto:“ URI Handling Vulnerability 6336962 1,37 Hochkritisch Systemzugriff 11.03.2008
9 35364 Microsoft Excel Multiple Vulnerabilities 6290278 1,36 Hochkritisch Systemzugriff 09.06.2009
10 35377 Microsoft Office Word Two Vulnerabilities 6088207 1,32 Hochkritisch Systemzugriff 09.06.2009
11 34572 Microsoft PowerPoint OutlineTextRefAtom Parsing Vulnerability 5704617 1,24 Extrem kritisch Systemzugriff 03.04.2009
12 31744 Microsoft Office OneNote URI Handling Vulnerability 5652570 1,22 Hochkritisch Systemzugriff 09.09.2008
13 32270 Adobe Flash Player Multiple Security Issues and Vulnerabilities 5078221 1,1 Mäßig kritisch Umgehung der Systemsicherheit, Cross-Site-Scripting, Datenmanipulation, Aufdecken vertraulicher Informationen 16.10.2008
14 35948 Adobe Flash Player Multiple Vulnerabilities 5073297 1,1 Hochkritisch Umgehung der Systemsicherheit, Aufdecken vertraulicher Informationen, Systemzugriff 23.07.2009
15 30285 Microsoft Office Word Multiple Vulnerabilities 4984582 1,08 Hochkritisch Systemzugriff 09.12.2008
16 31453 Microsoft Office PowerPoint Multiple Vulnerabilities 4203122 0,91 Hochkritisch Systemzugriff 12.08.2008
17 30150 Microsoft Publisher Object Handler Validation Vulnerability 3965019 0,86 Hochkritisch Systemzugriff 13.05.2008
18 32991 Sun Java JDK / JRE Multiple Vulnerabilities 2980650 0,65 Hochkritisch Umgehung der Systemsicherheit, Aufdecken von Systeminformationen, Aufdecken von vertraulichen Daten, DoS, Systemzugriff 04.12.2008
19 31593 Microsoft Excel Multiple Vulnerabilities 2604816 0,56 Hochkritisch Systemzugriff 09.12.2008
20 26027 Adobe Flash Player Multiple Vulnerabilities 2413232 0,52 Hochkritisch Aufdecken von vertraulichen Informationen, Systemzugriff 11.07.2007
    Top 20 415608137 89,99      

Die ersten beiden der fünf am weitesten verbreiteten Sicherheitslücken wurden im Jahr 2009 entdeckt, die Schwachstellen auf Position 3 und 4 schon im Jahr 2008, und die fünftplatzierte Microsoft XML Core Services Multiple Vulnerabilities bereits im Jahr 2007.

Gemessen an der Zahl der auf den Computern der Anwender entdeckten Dateien und Anwendungen war eine Schwachstelle in Apple QuickTime 7.x die am weitesten verbreitete Sicherheitslücke des Jahres 2009. Mehr als 70 Prozent aller Schwachstellen wurden in eben diesem Produkt erkannt. Bereits im Vorjahr war QuickTime nach Anzahl der Schwachstellen mit über 80 Prozent der Spitzenreiter dieser Statistik.

Es folgt eine Aufstellung der Hersteller, in deren Produkten die meisten der Top-20-Schwachstellen gefunden wurden:


Im vergangenen Jahr waren noch sieben Firmen in dieser Aufstellung vertreten, jetzt sind es nur noch vier.

Wie auch schon im Vorjahr ist Microsoft mit zehn ­Sicherheitslückend führend, was nicht weiter überrascht, da es hier um die Plattform Windows geht. Neun dieser Schwachstellen wurden in Programmen des ­Office-Pakets gefunden, also zum Beispiel in Word, Excel, Outlook oder PowerPoint.

Auf Apple entfielen vier Schwachstellen, die alle in QuickTime entdeckt wurden.

Die Gesamtsituation hat sich also gegenüber dem Jahr 2008 überhaupt nicht verändert. Die verwundbarsten Anwendungen auf modernen Windows-Systemen sind nach wie vor QuickTime und MS Office.

Adobe ist der dritte Software-Hersteller in unserem Diagramm und nicht viel weniger anfällig. Alle vier Schwachstellen, die auf sein Konto gehen, gehören allesamt zu ein und demselben Produkt, und zwar zu Adobe Flash Player. Zwei der vier Sicherheitslücken wurden im Jahr 2009 entdeckt. Auch hier hat sich die Situation im Laufe eines Jahres nicht zum Besseren gewandelt, sondern höchstens weiter verschlechtert.

Die Siegertreppe der gefährlichsten Anwendungen des Jahres 2009 ist also folgendermaßen besetzt:

  1. QuickTime
  2. Microsoft Office
  3. Adobe Flash Player

Die Aufstellung der zwanzig am weitesten verbreiteten Schwachstellen hinsichtlich ihrer Auswirkungen ergibt folgende Grafik:

Alle zwanzig am häufigsten entdeckten Sicherheits­lücken zählen zu der Kategorie “remote”. Das bedeutet, dass sie von den Cyberkriminellen ausgenutzt werden können, selbst wenn sie keinen lokalen Zugriff auf den Computer haben.

Die Ausnutzung jeder dieser Schwachstellen hat unterschiedliche Auswirkungen auf das angegriffene ­System. Die gefährlichste Folge ist der „Systemzugriff“, der den Kriminellen vollen Zugriff auf das System ermöglicht. Neunzehn der aufgeführten Sicherheitslücken ermöglichen den „Systemzugriff“, fünf davon können das Abfließen wichtiger Informationen zur Folge haben.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.