Kaspersky Security Bulletin: Jahresstatistik 2008

  1. Entwicklung der IT-Bedrohungen im Jahr 2008
  2. Jahresstatistik 2008
  3. Spam im Jahr 2008

Im Gegensatz zu unseren bisherigen jährlichen und halbjährlichen Virenstatistiken beruht die vorliegende Statistik fast vollständig auf Daten, die wir mit Hilfe des Kaspersky Security Network (KSN) gewonnen und ausgewertet haben. Für Privatanwender ist KSN eine der wichtigsten Neuerungen der Produktreihe 2009. Derzeit arbeitet Kaspersky Lab an der Integration von KSN in seine Unternehmens-Produkte.

Dank Kaspersky Security Network können unsere Experten in Echtzeit auf neue Schadprogramme reagieren, für die noch keine Signaturen vorliegen oder die noch nicht heuristisch erfasst sind. KSN erlaubt es, Schadprogramm-Quellen im Internet ausfindig zu machen und für Benutzer zu sperren.

Gleichzeitig kann Kaspersky Lab mit KSN wesentlich schneller auf neue Bedrohungen reagieren. Wir sind damit in der Lage, ein neues Schadprogramm auf den Computern der KSN-Nutzer innerhalb weniger Sekunden zu blockieren, nachdem dieses als schädlich eingestuft wurde. Dazu müssen die Experten, anders als bisher üblich, keine Antiviren-Datenbank aktualisieren.

Schadprogramme im Internet (Web-Attacken)

Schadprogramme werden nicht mehr hauptsächlich per E-Mail verbreitet, sondern immer häufiger über das Internet. Die Angreifer nutzen Web-Ressourcen, um Computer zu infizieren und um neue Varianten von Schadprogrammen auf bereits verseuchte Rechner herunterzuladen. Dafür kommen sowohl „graue“ Hosting-Provider wie McColo und Atrive als auch das berüchtigte Russian Business Network (RBN) sowie gehackte legale Websites zum Einsatz.

Die überwiegende Mehrheit der Web-Attacken erfolgt per Drive-by-Download. Dabei wird ein Computer unbemerkt von dessen Benutzer über Internet-Webseiten infiziert. Viele gehackte Sites kommunizieren verdeckt mit anderen Web-Ressourcen. Auf diesen liegt der Schadcode und wird auf dem betroffenen Rechner ausgeführt. Das geschieht in erster Linie über Schwachstellen in Web-Browsern und über Browser-PlugIns wie ActiveX oder RealPlayer.

Die Top 20 der Schadprogramme im Internet

Im Jahr 2008 registrierte das Kaspersky Security Network insgesamt 23.680.646 erfolgreich verhinderte Angriffe auf die Computer unserer Kunden. Dabei bringen es die 100 aktivsten Schadprogramme zusammen auf 3.513.355 Angriffe.

Jeder einzelne dieser 100 Schädlinge trat mehr als 7.000 Mal in Aktion. Die Top 20 dieser Programme führte über 59 Prozent der Angriffe durch. Damit sind sie die am weitesten verbreiteten Internet-Schadprogramme des Jahres 2008.

Platz Name Anzahl Angriffe Prozentualer
Anteil an
den Top 100
1 Heur.Trojan.Generic 248.857 7,08%
2 Trojan-Downloader.Win32.Small.aacq 228.539 6,50%
3 Trojan-Clicker.HTML.IFrame.wq 177.247 5,04%
4 Exploit.JS.RealPlr.nn 157.232 4,48%
5 Trojan-Downloader.SWF.Small.ev 135.035 3,84%
6 Trojan-Clicker.HTML.IFrame.yo 121.693 3,46%
7 Exploit.Win32.Agent.cu 120.079 3,42%
8 Trojan-Downloader.HTML.IFrame.wf 107.093 3,05%
9 Exploit.SWF.Downloader.hn 85.536 2,43%
10 Trojan-Downloader.Win32.Small.abst 78.014 2,22%
11 Trojan-Downloader.JS.Agent.dau 73.777 2,10%
12 Exploit.Win32.PowerPlay.a 70.749 2,01%
13 Exploit.JS.RealPlr.nl 70.082 1,99%
14 Exploit.SWF.Downloader.ld 69.804 1,99%
15 Trojan-Downloader.JS.IstBar.cx 68.078 1,94%
16 Trojan-GameThief.Win32.Magania.gen 66.136 1,88%
17 Trojan-Downloader.JS.Iframe.yv 62.334 1,77%
18 Trojan.HTML.Agent.ai 60.461 1,72%
19 Trojan-Downloader.JS.Agent.czf 41.995 1,20%
20 Exploit.JS.Agent.yq 40.465 1,15%

Den ersten Platz nimmt mit Heur.Trojan.Generic ein neuer Trojaner ein, für den noch keine exakte heuristische Signatur vorliegt. Im Jahr 2008 griff dieser Schädling etwa 250.000 Mal die Rechner unserer Kunden an.

Berücksichtigt man nur die Signaturen, so ist Trojan-Downloader.Win32.Small.aacq das am weitesten verbreitete und aktivste Schadprogramm des Jahres 2008.

Die Schadprogramme aus den Top 20 verwenden sieben verschiedene Exploits, die fast ausschließlich Schwachstellen im RealPlayer und FlashPlayer ausnutzen (RealPlr und SWF). Diese im Jahr 2008 entdeckten Schwachstellen sind bei den mit KSN überwachten Computern das Haupteinfalltor für Angreifer.

Zehn der zwanzig Schädlinge sind JavaScript-Programme und in herkömmliche HTML-Tags eingebettet. Das unterstreicht einmal mehr, wie wichtig eine Web-Antivirus-Komponente ist, die ausgeführte Skripte überprüft. Ein besonders wirksames Instrument im Kampf gegen derartige Bedrohungen sind verschiedene Browser-PlugIns, die Skripte nur mit Zustimmung des Benutzers ausführen. Ein Beispiel dafür ist das PlugIn NoScript für Firefox. Wir empfehlen dringend, solche Lösungen zusätzlich zum Virenschutz einzusetzen. Sie senken nicht nur das Infektionsrisiko, sondern schützen gleichzeitig auch vor anderen Angriffen im Netz, die beispielsweise über die zahlreichen XSS-Schwachstellen laufen.

Die Top 20 der Länder, die Schadprogramme hosten

Wie bereits oben erwähnt verwenden Angreifer sowohl „graue“ Hosting-Provider als auch gehackte Sites zum verbreiten von Schadprogrammen und Exploits.

23.508.073 der im Jahr 2008 registrierten Angriffe gingen von Internet-Ressourcen in 126 Ländern aus. Lediglich die übrigen 172.573 Angriffe ließen sich keinem Ursprungsort zuordnen. Die Zahlen belegen, dass die Cyber-Kriminalität endgültig globalen Charakter angenommen hat. Heute gibt es in praktisch jedem Land der Welt Internet-Ressourcen, auf denen Schadprogramme liegen.

Über 99 Prozent aller von Kaspersky Lab registrierten Attacken gehen von nur zwanzig Ländern aus. Wir sind nicht so weit gegangen, einen Infektionsgrad dieser Länder zu ermitteln, also das Verhältnis infizierter Ressourcen zur Gesamtzahl der Internet-Ressourcen zu bilden. Wer über entsprechende Zahlen verfügt, kann auf Basis der nachfolgenden Statistik aber leicht selbst ein Länder-Rating mit dem höchsten Anteil infizierter Ressourcen erstellen.

Platz Land Anzahl Angriffe Prozentualer
Anteil an der
Gesamtzahl
der Angriffe
1 CHINA 18.568.923 78,990%
2 USA 1.615.247 6,871%
3 NIEDERLANDE 762.506 3,244%
4 DEUTSCHLAND 446.476 1,899%
5 RUSSISCHE FÖDERATION 420.233 1,788%
6 LETTLAND 369.858 1,573%
7 GROSSBRITANNIEN 272.905 1,161%
8 UKRAINE 232.642 0,990%
9 KANADA 141.012 0,600%
10 ISRAEL 116.130 0,494%
11 LITAUEN 110.380 0,470%
12 SÜDKOREA 46.167 0,196%
13 HONGKONG 44.487 0,189%
14 ESTLAND 41.623 0,177%
15 SCHWEDEN 40.079 0,170%
16 FRANKREICH 31.257 0,133%
17 ITALIEN 29.253 0,124%
18 BRASILIEN 25.637 0,109%
19 PHILIPPINEN 19.920 0,085%
20 JAPAN 16.212 0,069%

Im Jahr 2008 gingen von China mit großem Abstand die meisten Angriffe aus.

Fast 80 Prozent aller Schadprogramme und Exploits, die auf den Computern unserer Kunden identifiziert werden konnten, kamen von chinesischen Servern. Das deckt sich völlig mit einer anderen uns vorliegenden Statistik: Über 70 Prozent aller neuen Schadprogramme sind chinesischen Ursprungs.

Chinesische Web-Ressourcen werden oft von Angreifern aus anderen Ländern benutzt, weil niemand die Registrierungsdaten bei chinesischen Hosting-Providern überprüft und die Justizbehörden anderer Länder chinesische Sites nicht vom Netz nehmen können.

Dass sich unter den Top 20 so kleine Länder wie Estland, Lettland und Litauen befinden, liegt daran, dass die dortige Cyberkriminellen-Szene enge Beziehungen zu ihren Kollegen in Russland und der Ukraine pflegt. Nach wie vor fühlen sich Online-Langfinger im Baltikum sehr wohl. Russischsprachige Cyberkriminelle haben sich in der Vergangenheit mehrmals baltischer Banken zur Geldwäsche bedient, um ihre Einnahmen aus Carding und ähnlichen Spielarten der Cyberkriminalität zu waschen. Die Ereignisse rund um den estländischen Webhoster EstDomains, der seine Dienste tausenden von Cyber-Verbrechern anbot, fand Ende 2008 großes Echo in den Medien.

Diese Fakten widerlegen größtenteils Berichte, die in jüngster Zeit sehr häufig zu hören waren. Nämlich, dass beispielsweise Estland in Europa führend beim Kampf gegen Cyberspace-Bedrohungen sei und über Erfahrung in der Abwehr von Netzangriffen verfüge.

Die Top 20 der Länder, deren Computer im Jahr 2008 am häufigsten angegriffen wurden

Es gibt noch einen weiteren, nicht weniger wichtigen Indikator für die Verbreitung von Schadprogrammen: in welchen Ländern Computer am häufigsten Angriffen ausgesetzt waren.

Im Jahr 2008 wurden Computer in 215 Ländern und Regionen 23.680.646 Mal über das Internet attackiert. Das betrifft ohne Übertreibung die ganze Welt. In allen Ländern, sogar den kleinsten und entlegensten wie Mikronesien (15 Angriffe), Kiribati (2 Angriffe) und den Cayman-Inseln (13 Angriffe) waren Rechner von Internetschädlingen bedroht. Und niemand weiß, wie viele solcher Angriffe trotz aller Schutzvorkehrungen erfolgreich verliefen.

Auf die folgenden zwanzig Länder entfielen etwa 89 Prozent aller registrierten Angriffe:

Platz Land Anzahl
Angriffe
Prozentualer
Anteil an der
Gesamtzahl
der Angriffe
1 CHINA 1.2708.285 53,665%
2 ÄGYPTEN 3.615.355 15,267%
3 TÜRKEI 709.499 2,996%
4 INDIEN 479.429 2,025%
5 USA 416.437 1,759%
6 VIETNAM 346.602 1,464%
7 RUSSISCHE FÖDERATION 335.656 1,417%
8 MEXIKO 308.399 1,302%
9 SAUDI ARABIEN 287.300 1,213%
10 DEUTSCHLAND 253.097 1,069%
11 MAROKKO 230.199 0,972%
12 THAILAND 204.417 0,863%
13 INDONESIEN 190.607 0,805%
14 GROSSBRITANNIEN 188.908 0,798%
15 FRANKREICH 182.975 0,773%
16 SYRIEN 134.601 0,568%
17 BRASILIEN 123.736 0,523%
18 TAIWAN 122.264 0,516%
19 ITALIEN 121.508 0,513%
20 ISRAEL 118.664 0,501%

Dieses Rating zeigt, in welchen Ländern die Computer unserer Kunden den meisten Angriffen ausgesetzt waren. Es überrascht nicht, dass China diese Liste anführt. Chinesische Schadprogramme richten sich in erster Linie gegen chinesische Computer, die mit 53,66 Prozent mehr als die Hälfte der Angriffe einstecken mussten. Höchstƒwahrscheinlich sollten die meisten davon der Verbreitung von Trojanern dienen, die Zugangsdaten von Online-Spielern ausspionieren.

Auch die hohe Anzahl der Angriffe auf Länder wie Ägypten, die Türkei und Indien verwundert nicht. Diese Länder erleben im Moment einen Internet-Boom. Die User-Zahlen steigen rasant an, doch gleichzeitig haben die Nutzer einen außerordentlich niedrigen technischen Kenntnisstand. Meist sind es genau diese unerfahrenen Anwender, die zu Opfern von Cyberƒkriminellen werden. In diesen Ländern infizierte Computer dienen hauptsächlich zur Bildung von Zombie-Netzen. Über sie starten die Cyberkriminellen dann Phishing-Attacken, versenden Spam-Mails und verbreiten neue Schadprogramme.

Auch Länder wie die USA, Russland, Deutschland, Großbritannien, Frankreich, Brasilien, Italien und Israel finden sich unter den Top 20. Hier interessieren sich die Kriminellen für die Zugangsdaten für Online-Banking, Web-Bezahlsysteme und diverse andere Netzressourcen sowie personenbezogene Daten.

Lebensdauer einer schädlichen URL

Durch Analyse der über sechsundzwanzig Millionen registrierten Angriffe fand Kaspersky Lab eine ziemlich interessante Zahl heraus: die mittlere Lebensdauer einer schädlichen URL.

Früher zogen sich E-Mail-Epidemien über mehrere Monate, manchmal auch Jahre hin. Doch seit sich der Infektionsweg immer mehr aufs Web verlagert, bemisst sich die Dauer eines Angriffs nur noch in Tagen oder sogar Stunden.

Grund für die kurze Dauer dieser Angriffe ist nicht allein, dass die Betreiber der gehackten Seiten die Schadprogramme schnell wieder entfernen, sondern auch, dass die Cyberkriminellen ihre Schädlinge ständig auf andere Ressourcen verlagern. Damit umgehen sie die schwarzen URL-Blacklists verschiedener Antiviren-Produkte und moderner Browser und erschweren die Erkennung neuer Varianten ihrer Schadsoftware.

Im Jahr 2008 betrug die mittlere Lebensdauer einer schädlichen URL lediglich 4 Stunden.

Port-Angriffe

Untrennbarer Bestandteil jeder modernen Antiviren-Software ist die Firewall. Sie kann unterschiedliche Angriffe auf den Computer abwehren, die von außen und nicht über den Browser initiiert werden. Die Firewall hat zudem die Aufgabe, Datendiebstahl auf dem Computer zu verhindern.

Kasperksy Internet Security enthält eine Firewall, die verdächtige eingehende Netzwerk-Pakete erkennt. Bei diesen handelt es sich meist um Exploits, die Schwachstellen im Netzwerkprotokoll-Stack des Betriebssystems ausnutzen. Dadurch können sie ein ungepatchtes System infizieren oder dem Angreifer sogar kompletten Zugriff auf das System gewähren.

Im Jahr 2008 wehrte das in Kaspersky Internet Security 2009 (KIS2009) integrierte System UDS 30.234.287 Netzangriffe ab.

Platz Angriff Anzahl Prozentualer
Anteil an der
Gesamtzahl
der Angriffe
1 DoS.Generic.SYNFlood 20.578.951 68,065
2 Intrusion.Win.MSSQL.worm.Helkern 6.723.822 22,239
3 Intrusion.Win.DCOM.exploit 783.442 2,591
4 Intrusion.Win.NETAPI.buffer-overflow.exploit 746.421 2,469
5 Scan.Generic.UDP 657.633 2,175
6 Intrusion.Win.LSASS.exploit 267.258 0,884
7 Intrusion.Win.LSASS.ASN1-kill-bill.exploit 194.643 0,644
8 Intrusion.Generic.TCP.Flags.Bad.Combine.attack 172.636 0,571
9 DoS.Generic.ICMPFlood 38.116 0,126
10 Scan.Generic.TCP 38.058 0,126
11 Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 13.292 0,044
12 Intrusion.Win.Messenger.exploit 5.505 0,018
13 DoS.Win.IGMP.Host-Membership-Query.exploit 2.566 0,008
14 Intrusion.Win.EasyAddressWebServer.format-string.exploit 1.320 0,004
15 Intrusion.Win.PnP.exploit 1.272 0,004
16 Intrusion.Win.MSFP2000SE.exploit 1.131 0,004
17 Intrusion.Win.VUPlayer.M3U.buffer-overflow.exploit 1.073 0,004
18 DoS.Win.ICMP.BadCheckSum 986 0,003
19 Intrusion.Unix.Fenc.buffer-overflow.exploit 852 0,003
20 Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit 821 0,003

Unter den ersten zehn Plätzen lassen sich gleich mehrere Angriffe auf Würmer zurückführen, die in den Jahren 2003 bis 2005 eine globale Epidemie hervorriefen.

Den zweiten Platz belegt der Wurm Helkern (Slammer) mit mehr als sechs Millionen Angriffen. Im Januar 2003 löste dieser Schädling eine Epidemie aus. Dies liegt mittlerweile sechs Jahre zurück, doch es gibt immer noch infizierte Computer, von denen diese Angriffe ausgehen.

Der dritte Platz betrifft verschiedene Würmer, die die RPC-DCOM-Schwachstelle (MS03-026) ausnutzen. Im August 2003 löste der Wurm Lovesan über diesen Exploit eine weltweite Epidemie aus.

Den vierten Platz belegt MS08 067, eine der gefährlichsten Schwachstellen des Jahres 2008. Von ihrer Existenz erfuhr die Fachwelt erst, als im Internet mehrere Schadprogramme aufgetaucht waren, die diese Lücke im Netzwerkdienst NetAPI bereits ausnutzten. Der Netzwurm Gimmiv verursachte mehrere tausend Infektionen. Nachdem die Schwachstelle und das dazu passende Exploit im Internet publik wurden, tauchten Dutzende Schadprogramme auf, die MS08-063 ausnutzten. Ende 2008 waren diese Schadprogramme bereits zur größten Gefahr für Computer avanciert.

Die Würmer auf dem sechsten und siebten Platz nutzen die Schwachstelle MS04-011 aus. Der prominenteste dieser Schädlinge ist der Wurm Sasser, der im April 2004 eine Epidemie auslöste.

Diese Daten zeigen, dass der Höhepunkt der Epidemien zahlreicher Netzwürmer zwar schon weit in der Vergangenheit liegt, diese Schädlinge aber weiterhin im Internet kursieren und neue Opfer suchen. Einen Rechner mit den Würmern zu infizieren ist sehr einfach. Dazu genügt es schon, ein altes und nicht aktualisiertes Betriebssystem ohne Firewall zu verwenden.

Lokale Infektionen

Ein außerordentlich wichtiger Indikator sind Statistiken über lokale Infektionen auf den Computern unserer Anwender. Darunter fallen Objekte, die weder über das Internet noch über E-Mail oder Netzwerkports auf den Rechner gelangt sind.

Unsere Antiviren-Lösungen haben auf den Computern, die am Kaspersky Security Network teilnehmen, mehr als 6.000.000 (6.394.359) Virenbefälle aufgedeckt.

Insgesamt wurden bei diesen Infektionen 189.785 unterschiedliche Schadprogramme und potentiell unerwünschte Programme registriert.

Auf die ersten hundert davon entfielen 941.648 Infektionen oder 14,72 Prozent.

Die folgenden 20 Schadprogramme sind die am weitesten verbreiteten Bedrohungen des Jahres 2008.

Nummer Erkanntes
Schadobjekt
Anzahl eindeutiger
Computer, auf denen
das Objekt gefunden
wurde
1 Virus.Win32.Sality.aa 29.804
2 Packed.Win32.Krap.b 27.575
3 Trojan-Downloader.Win32.Small.acmn 25.235
4 Worm.Win32.AutoRun.dui 22.127
5 Trojan-Downloader.Win32.VB.eql 21.615
6 Packed.Win32.Black.a 19.586
7 Trojan.Win32.Agent.abt 17.832
8 Virus.Win32.Alman.b 16.799
9 Trojan-Downloader.JS.IstBar.cx 16.264
10 Trojan.Win32.Obfuscated.gen 15.795
11 Worm.VBS.Autorun.r 15.240
12 Trojan-Downloader.WMA.Wimad.n 15.152
13 Trojan.Win32.Agent.tfc 15.087
14 not-a-virus:AdWare.Win32.BHO.ca 14.878
15 Trojan-Downloader.WMA.GetCodec.c 14.638
16 Virus.Win32.VB.bu 14.452
17 Trojan-Downloader.HTML.IFrame.sz 14.247
18 not-a-virus:AdWare.Win32.Agent.cp 14.001
19 Email-Worm.Win32.Brontok.q 13.142
20 Worm.Win32.AutoRun.eee 12386

Man darf nicht vergessen, dass diese Statistik lediglich Infektionen auf den Computern derjenigen Anwender berücksichtigt, die am Kaspersky Security Network teilnehmen.

Spitzenreiter nach Anzahl befallener Computer war im Jahr 2008 der Virus Sality.aa. Somit ist zum ersten Mal in den letzten sechs Jahren, in denen Kaspersky Lab die Verbreitung von Schadprogrammen beobachtet, ein klassischer Dateivirus die „Bedrohung des Jahres“ und nicht wie früher ein E-Mail- oder Netzwurm.

Sality.aa hat 2008 eine weltweite Epidemie ausgelöst und ist nachweislich in Russland, Europa, Amerika und Asien aufgetaucht.

Wechseldatenträger wie USB-Sticks werden immer beliebter und sind damit eine für die Schädlingsverbreitung relevante Entwicklung der letzten Jahre, auf die wir bereits mehrmals hingewiesen haben. Die in Windows integrierte Autostart-Funktion aktiviert Schadprogramme auf USB-Sticks, sobald sie an den Computer angeschlossen sind. Im Prinzip läuft dabei derselbe Vorgang ab wie bereits vor 15 Jahren, als klassische Bootsektor-Viren beim Starten des Rechners per Diskettenzugriff aktiviert wurden.

Der Virus Sality.aa verbreitet sich auf diese Weise. Er kopiert mit sich selbst infizierte Dateien auf USB-Sticks und fügt der dort abgelegten Datei autorun.inf einen speziellen Eintrag hinzu. Beim anschließen des Sticks werden die befallenen Dateien automatisch gestartet.

Hier ein Beispiel für Autostart-Kommandos:

[AutoRun] ;sgEFA
;uloN hbXYcKOjfOmfO

sHelLoPenDEfAult=1
;ajdsvAswgioTfv
sheLlopenCOmmAnD= qwail.cmd
;
sheLlexPLoRecommANd= qwail.cmd
;LtCTlKvhfbrDtfPpmnkawlLHemPefllTI aDekTmqqhj
opEn =qwail.cmd
;sAmqcWVlGkgqe
shElLAUtOplaycommANd=qwail.cmd
;JduAKbkYnfWejLP cNLU PyAdJo TkGRDlpvoMvJPqvD
kptHbu

Die Befehle des Schädlings sind mit grüner Farbe markiert. Die übrigen Zeilen hat der Autor des Virus einfach in der Hoffnung eingefügt, sein Programm vor Erkennung durch Antiviren-Software verstecken zu können.

Eine ähnliche Verbreitungsstrategie verfolgen noch fünf weitere Schadprogramme aus den Top 20: Worm.Win32.AutoRun.dui, Virus.Win32.Alman.b, Worm.VBS.Autorun.r, Email-Worm.Win32.Brontok.q sowie Worm.Win32.AutoRun.eee.

30,77 Prozent der Rechner sind mit einem dieser sechs Vertreter der Gattung Autorun-Malware infiziert. Gemessen an den Rechnern, die mit den hundert häufigsten Schadprogrammen verseucht sind, beträgt ihr Anteil immer noch über 18 Prozent.

Die Verbreitung von Schädlingen per USB-Wechseldatenträger ist unter den Virenautoren derzeit mit Abstand am beliebtesten. Sie geht fast immer mit weiterer Funktionalität wie dem Befall von Dateien, Informationsdiebstahl oder der Errichtung von Botnetzen einher. Dieser Verbreitungsweg ist mittlerweile fester Bestandteil von Trojanerfamilien wie Trojan-GameThief.

Aus den zwanzig am meisten verbreiteten Schadprogrammen gehören sechs der Klasse der Trojaner-Downloader an. Davon befinden sich zwei unter den ersten fünf. Das bedeutet, dass Virenschreiber sehr häufig versuchen, den Computer zunächst mit einem Downloader zu infizieren und nicht gleich das eigentliche Schadprogramm einzuschleusen. Mit diesem Ansatz steht ihnen der verseuchte Computer für alle weiteren Einsatzmöglichkeiten offen. Außerdem können auf dem Rechner später weitere Trojaner installiert werden.

An dieser Stelle erinnern wir an die altgriechische Legende vom trojanischen Pferd. Es handelte sich dabei um ein Geschenk der listigen Griechen an die Einwohner der von ihnen belagerten Stadt Troja. Die Trojaner fanden das riesige hölzerne Pferd vor den Mauern ihrer Stadt und trugen es hinein. Nachts, als Troja schlief, krochen griechische Soldaten aus dem Pferd hervor, die sich darin versteckt hatten und öffneten von innen das Stadttor. Damit konnte die griechische Armee in die Stadt einfallen und Troja erobern. Trojaner-Downloader sind unter allen modernen Trojaner-Programmen die einzigen, die auf dem Computer als echtes trojanisches Pferd fungieren.

Schwachstellen

Schwachstellen bei installierter Software sind für Computer die weitaus gefährlichste Bedrohung. Sie können es Übeltätern ermöglichen, bestehende Schutzmechanismen außer Kraft zu setzen und den Computer anzugreifen. In der Regel missbrauchen sie neu entdeckte Schwachstellen, für die es noch keine Patches gibt. Man spricht von so genannten „Zero-Day-Attacken“.

Im Jahr 2008 lancierten Angreifer mehrmals Zero-Day-Attacken, die in erster Linie Schwachstellen in Microsoft Office und den zugehörigen Anwendungen ausnutzten.

Im September machten sich unbekannte chinesische Hacker eine neue Schwachstelle im Windows-Netzwerkdienst NetApi zu Nutze, die die Infektion des Computers per Netzattacke ermöglichte. Diese Sicherheitslücke erhielt die Nummer MS08-063. Die NetApi-Angriffe auf die Computer unserer Kunden schafften es in unserer Statistik über Port-Angriffe auf den vierten Platz (siehe Abschnitt „Port-Angriffe“).

Nach wie vor attackieren Hacker am liebsten Schwachstellen in Browsern und Browser-PlugIns.

Kaspersky Lab hat als erster Antivirensoftware-Hersteller einen Schwachstellenscanner in seinem Produkt für Heimanwender integriert. Diese Lösung ist der erste Schritt zu einem vollwertigen Patch-Verwaltungs-System, das nicht nur die Antiviren-Branche, sondern auch die Betriebssystem- und Softwarehersteller dringend benötigen.

Der Scanner spürt verwundbare Anwendungen und Dateien auf dem Computer auf, so dass der Anwender entsprechende Gegenmaßnahmen ergreifen kann. Entscheidend dabei ist, dass Schwachstellen nicht nur im Windows-Betriebssystem entdeckt werden, das über einen eigenen Update-Mechanismus verfügt, sondern auch in Anwendungen von Drittanbietern.

Mit Hilfe dieses Systems hat Kaspersky Lab im Jahr 2008 die 100 am weitesten verbreiteten Schwachstellen ermittelt. Sie verteilten sich auf 130.518.320 Dateien und Anwendungen, die auf den Computern der KSN-Teilnehmer entdeckt wurden.

Auf die zwanzig am häufigsten vorkommenden Schwachstellen entfielen 125.565.568 Dateien und Anwendungen, das sind mehr als 96 Prozent.

Nummer Secunia ID Schwachstelle Anzahl verwundbarer
Dateien und Anwendungen
Gefährlichkeit Auswirkung Quelle Release-Datum
1 29293 Apple QuickTime Multiple Vulnerabilities 70.849.849 Hochgefährlich Systemzugriff Remote 10.06.2008
2 31821 Apple QuickTime Multiple Vulnerabilities 34.655.311 Hochgefährlich Systemzugriff Remote 10.09.2008
3 31010 Sun Java JDK / JRE Multiple Vulnerabilities 2.374.038 Hochgefährlich Systemzugriff, Aufdecken von Systeminformationen, Aufdecken von vertraulichen Daten, DoS (Dienstverweigerung), Umgehen der Systemsicherheit Remote 07.09.2008
4 31453 Microsoft Office PowerPoint Multiple Vulnerabilities 2.161.690 Hochgefährlich Systemzugriff Remote 12.08.2008
5 30975 Microsoft Word Smart Tag Invalid Length Processing Vulnerability 1.974.194 Extrem gefährlich Systemzugriff Remote 09.07.2008
6 28083 Adobe Flash Player Multiple Vulnerabilities 1.815.437 Hochgefährlich Umgehen der Systemsicherheit, Cross-Site Scripting, Systemzugriff Remote 09.04.2008
7 31454 Microsoft Office Excel Multiple Vulnerabilities 1.681.169 Hochgefährlich Aufdecken von vertraulichen Daten, Systemzugriff Remote 12.08.2008
8 32270 Adobe Flash Player Multiple Security Issues and Vulnerabilities 1.260.422 Mäßig gefährlich Umgehen der Systemsicherheit, Cross-Site Scripting, Manipulation von Daten, Aufdecken von vertraulichen Daten Remote 16.10.2008
9 29321 Microsoft Office Two Code Execution Vulnerabilities 1.155.330 Hochgefährlich Systemzugriff Remote 11.03.2008
10 29320 Microsoft Outlook „mailto:“ URI Handling Vulnerability 1.102.730 Hochgefährlich Systemzugriff Remote 11.03.2008
11 29650 Apple QuickTime Multiple Vulnerabilities 1.078.349 Hochgefährlich Aufdecken von vertraulichen Daten, Systemzugriff, DoS (Dienstverweigerung) Remote 03.04.2008
12 23655 Microsoft XML Core Services Multiple Vulnerabilities 800.058 Hochgefährlich Cross-Site Scripting, DoS (Dienstverweigerung), Systemzugriff Remote 09.01.2007
13 30150 Microsoft Publisher Object Handler Validation Vulnerability 772.520 Hochgefährlich Systemzugriff Remote 13.05.2008
14 26027 Adobe Flash Player Multiple Vulnerabilities 765.734 Hochgefährlich Aufdecken von vertraulichen Daten, Systemzugriff Remote 11.07.2007
15 27620 RealNetworks RealPlayer Multiple Vulnerabilities 727.995 Hochgefährlich Aufdecken von vertraulichen Daten, Systemzugriff Remote 25.07.2008
16 32211 Microsoft Excel Multiple Vulnerabilities 606.341 Hochgefährlich Systemzugriff Remote 14.10.2008
17 30143 Microsoft Word Two Code Execution Vulnerabilities 559.677 Hochgefährlich Systemzugriff Remote 13.05.2008
18 25952 ACDSee Products Image and Archive Plug-ins Buffer Overflows 427.021 Hochgefährlich Systemzugriff Remote 02.11.2007
19 31744 Microsoft Office OneNote URI Handling Vulnerability 419.374 Hochgefährlich Systemzugriff Remote 09.09.2008
20 31371 Winamp „NowPlaying“ Unspecified Vulnerability 378.329 Mäßig gefährlich Unbekannt Remote 05.08.2008

Gemessen an der Zahl der verwundbaren Dateien und Anwendungen kamen Schwachstellen in Apple QuickTime 7.x im Jahr 2008 am häufigsten vor. Auf dieses Produkt entfielen mehr als 80 Prozent aller Sicherheitslücken.

Die folgende Grafik zeigt, in welchen Produkten oder bei welchem Hersteller die meisten der Schwachstellen aus den Top 20 auftauchen:


Verteilung der Schwachstellen auf Hersteller und Produkte

Auf Microsoft-Programme kommen zehn der 20 am weitesten verbreiteten Schwachstellen. Sie alle finden sich in Office-Anwendungen wie Word, Excel, Outlook und PowerPoint. Schwachstellen in Apple QuickTime und Microsoft Office waren im Jahr 2008 die am weitesten verbreiteten Schwachstellen auf den Computern unserer Anwender.

Auf dem dritten Platz folgt der Adobe Flash Player. Dessen Schwachstellen wurden 2008 von den Virenautoren aktiv genutzt, da sie ihnen vielfältige Möglichkeiten eröffneten. Prompt erschienen tausende von Flash-Schadprogrammen, die PCs schon dann infizierten, wenn sich Anwender die kleinen Videos lediglich ansahen. SWF-Trojaner entwickelten sich zu einem der größten Probleme für die Antiviren-Hersteller. Plötzlich benötigten alle Produkte eine Scanfunktion für Flash-Dateien, was bis dato nicht erforderlich war.

Eine ähnliche Situation ergab sich auch bei einem weiteren beliebten Medien-Player, dem RealPlayer. Eine dort entdeckte Schwachstelle wurde von den Hackern äußerst intensiv genutzt. Das geht auch aus der weiter oben angeführten Top-20-Statistik der Web-Angriffe hervor, in der sich Schädlinge wie Exploit.JS.RealPlr finden.

Die Schwachstellen im populären Adobe-Produkt Acrobat Reader schafften es nicht unter die Top 20. Dennoch gab es eine Vielzahl unterschiedlicher PDF-Trojaner, die Schwachstellen in diesem Programm ausnutzten, so dass die Antiviren-Hersteller prompt reagieren mussten.

Nach Ansicht von Kaspersky Lab stellt sich das Rating der gefährdetsten Anwendungen für das Jahr 2008 wie folgt dar:

  1. Adobe Flash Player
  2. RealPlayer
  3. Adobe Acrobat Reader
  4. Microsoft Office

Besonders aussagekräftig ist die Tatsache, dass alle zwanzig der am häufigsten vorkommenden Schwachstellen der Kategorie „Remote“ angehören. Das bedeutet, dass ein Angreifer sie aus der Ferne ausnutzen kann und keinen lokalen Zugang zum Computer benötigt.

Angriffe über die jeweiligen Schwachstellen wirken sich unterschiedlich auf das angegriffene System aus. Am gefährlichsten ist der Systemzugriff, der es dem Angreifer erlaubt, praktisch uneingeschränkten Zugriff auf das System zu erlangen.

Gruppiert man die zwanzig am weitesten verbreiteten Schwachstellen nach ihrer Wirkung, erhält man folgende Darstellung:


Verteilung der Schwachstellen nach ihrer Auswirkung

18 Schwachstellen gewähren Systemzugriff, sechs erlauben den Zugriff auf vertrauliche Daten.

Die Ergebnisse dieser Untersuchung zeigen, wie groß das Problem der Schwachstellen und ihrer Behebung ist. Softwarehersteller verwenden uneinheitliche Verfahren zur Installation von Patches und seitens der Anwender fehlt das Verständnis für die Notwendigkeit von Aktualisierungen. Auf diesem Nährboden entwickeln Virenschreiber immer mehr Schadprogramme, die sich gegen Schwachstellen in den verschiedensten Softwareprodukten richten.

Microsoft benötigte viele Jahre und die Erfahrung aus dutzenden von weltweiten Virenepidemien, bis ein regelmäßiges und einfaches Verfahren zur Aktualisierung von Windows entwickelt war. Wie viel Zeit muss verstreichen und wie viele Vorfälle sind nötig, damit dieselben Schutzmechanismen auch von anderen Softwareherstellern umgesetzt und von den Anwendern akzeptiert und verwendet werden?

Plattformen und Betriebssysteme

Ein Betriebssystem oder eine Anwendung kann Angriffen durch Schadprogramme ausgesetzt sein, wenn sie den Start systemfremder Programme ermöglichen. Diese Bedingung erfüllen alle Betriebssysteme, viele Office-Anwendungen, Grafikprogramme sowie Planungs- und Softwaresysteme mit integrierten Skriptsprachen.

Im Jahr 2008 hat Kaspersky Lab Schadprogramme für 46 unterschiedliche Plattformen und Betriebssysteme erfasst. Die überwiegende Mehrheit davon sind natürlich für Win32-Umgebungen geschriebene ausführbare Binärdateien.

Den größten Gefährdungszuwachs gab es bei folgenden Plattformen: Win32, SWF, MSIL (Microsoft Intermediate Language), NSIS (Nullsoft Scriptable Install System), MSOffice, WMA.

WMA war eine der am häufigsten ausgenutzten Plattformen für Drive-by-Download-Angriffe. Die Trojaner-Downloader aus der Wimad-Familie, die über eine Schwachstelle des Windows Media Players ins System einfielen, befinden sich unter den zwanzig am weitesten verbreiteten Bedrohungen durch lokale Infektion.

Ganz besondere Aufmerksamkeit verdienen die Schadprogramme für die Plattformen MSIL, NSIS und SWF. Für MSIL haben wir diesen Anstieg schon seit langem vorhergesagt. Das folgt logisch aus der Weiterentwicklung dieser Programmierumgebung durch Microsoft, ihrer wachsenden Akzeptanz bei den Programmierern sowie der Tatsache, dass MSIL an vielen Bildungseinrichtungen unterrichtet wird. Zudem optimiert Microsoft seine Betriebssysteme Windows und Windows Mobile für den Einsatz der MSIL-Plattform.

Virenautoren wurden auch auf NSIS aufmerksam, einen Installer mit mächtiger Skriptsprache. Damit gelang es Angreifern, unterschiedlichste Programme aus der Klasse der Trojaner-Ableger (Trojan-Dropper) zu erstellen. Die Verwendung legaler Installer durch Virenprogrammierer könnte sich zu einem der schwerwiegendsten Probleme des Jahres 2009 entwickeln. Nicht alle Antiviren-Produkte sind in der Lage, solche Dateien zu entpacken. Außerdem erschwert ihre meist erhebliche Größe die Emulation.

Die unangenehmste Überraschung des Jahres war SWF. Trojanerprogramme, die mehrere Schwachstellen im Flash-Player ausnutzten, schafften es in unsere Listen der am weitesten verbreiteten Web-Angriffe. Und die Schwachstellen selbst befanden sich unter den zwanzig häufigsten Schwachstellen auf den Computern unserer Kunden (Plätze 6, 8 und 14).

SWF-Trojaner und PDF-Exploits waren das akuteste Virenproblem im Jahr 2008. In den Vorjahren gab es bei diesen Formaten keinerlei Vorkommnisse, sofern man eine überschaubare Anzahl von Proof-of-Concept-Viren für PDF außer Acht lässt. Niemand ging davon aus, dass von diesen Formaten eine Gefährdung ausgehen könnte. Deswegen konnten nicht alle Hersteller von Antiviren-Software ausreichend schnell auf diese neuartigen Angriffe reagieren. Die Schwachstellen in SWF brachten die Virenautoren auf eine weitere Idee. Auf präparierten Websites, auf denen sich angeblich Videoclips befinden sollten, wurde Besuchern mitgeteilt, dass sie eine bestimmte Codec-Version für den Mediaplayer benötigen oder dass der Codec aufgrund von Schwachstellen in älteren Versionen aktualisiert werden müsse. Der Download-Link für den aktualisierten Codec verwies aber stets auf einen Trojaner.

Ungeachtet der wachsenden Popularität der Betriebssysteme Linux und MacOS blieb die Anzahl der Schadprogramme für diese Systeme praktisch unverändert. Dies hängt hauptsächlich damit zusammen, dass sich Virenautoren derzeit auf China konzentrieren, wo diese Betriebssysteme weniger weit verbreitet sind als in Europa oder den USA. Außerdem sind Onlinespiele eines der Hauptziele der Angriffe von Cyberkriminellen und fast ausschließlich auf die Windows-Plattform beschränkt. In Zukunft erwartet Kaspersky Lab aber, dass Spielehersteller andere Betriebssysteme stärker berücksichtigen und dabei insbesondere Mobilgeräte im Blick haben. Sobald Gaming-Clients für diese Systeme erscheinen, werden Schadprogramme nicht lange auf sich warten lassen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.