Kaspersky Security Bulletin. Januar – Juni 2006. Entwicklung der Schadprogramme

  1. Entwicklung der Schadprogramme

  2. Situationsanalyse der Malware auf anderen Nicht-Windows-Plattformen

  3. Internet-Attacken

  4. Schadprogramme für mobile Geräte

  5. Spam im ersten Halbjahr 2006

Die erste Jahreshälfte 2006 hat erhebliche Veränderungen im Bereich der Viren mit sich gebracht. Die Zahl der neuen, monatlich von Virenanalytikern erkannten Schadprogramme, hat sich seit dem Jahresende 2005 im Durchschnitt um 8% erhöht:


Zahl der neuen, monatlich erkannten Schadprogramme

Aus der Grafik ist ersichtlich, dass der Löwenanteil aller Schadprogramme TrojWare ist. Es ist die einzige Schadprogramm-Klasse, mit deutlichem Wachstum neuer Modifikationen (9% im ersten Halbjahr 2006).

VirWare dagegen zeigt ein um 1,1% geringeres Wachstum, was den Prognosen der Vergangenheit entspricht.

Auch MalWare zeigt einen deutlichen Rückgang um 2,3% im Vergleich zur zweiten Jahreshälfte 2005.

Schauen wir uns nun die Veränderungen jeder Klasse genauer an:

TrojWare

Trojaner stellen die Klasse dar, deren Wachstumstempo im Vergleich mit den anderen Schadprogramm-Klassen rasant steigt.

Wie bereits erwähnt, hat das Wachstumstempo der monatlich neu aufgespürten Trojaner-Modifikationen in den ersten 6 Monaten des Jahres 2006 um 9% zugenommen.


Zahl der neuen, monatlich erkannten Trojaner-Modifikationen

Die folgende Grafik stellt die Verbreitung verschiedener Trojaner-Varianten dar:


Aufteilung der Trojaner-Modifikationen

Unter den zahlreichen Trojaner-Modifikationen sind Backdoors (30%), Trojan-Downloader(26%), Trojan-PSWs (12%) und Trojan-Spies (13%) am populärsten.

Wie kann man das erhöhte Interesse an diesen Trojaner-Programmen erklären? Die Antwort ist einfacher, als es auf den ersten Blick scheint: Die entscheidende Rolle spielt hierbei der finanzielle Aspekt. Diese Trojaner-Arten sind die Schlüsselfiguren beim Diebstahl persönlicher Daten, für den illegalen Zugang zu Netz-Ressourcen oder Bank-Konten sowie für die Errichtung von Botnetzen. Insbesondere deshalb genießen sie die höchste Popularität bei Cyber-Verbrechern.

Das starke Wachstum der Trojan-Downloader und Backdoors erklärt sich mit der massiven Verwendung von Zombie-Rechner beim Einrichten von Botnetzen.

Um den infizierten Zombie-Rechner verwalten zu können, wird darauf ein Trojan-Downloader installiert, der anschließend weitere Schadprogramme (meistens Backdoors) herunterladen kann.

Schauen wir uns nun die Gründe für das Wachstum von Trojan-Spies und Trojan-PSWs genauer an: Wie bereits aus den Namen dieser Trojaner ersichtlich, dienen sie dem Diebstahl vertraulicher Benutzerdaten. Die Trojaner-Autoren sind dabei an allen persönlichen Informationen interessiert, von LogIn-Daten für Spiele, Netz-Ressourcen und Konten der Anwender bis zu Daten, die illegal für Marketinganalysen benutzt werden können.

Im Gegensatz zu Viren und Würmern werden für die schnelle Verbreitung der Trojaner immer häufiger der Spam-Versand sowie Exploits benutzt.

Insbesondere sollte erwähnt werden, dass in letzter Zeit das Einschleusen von Trojanern ins Netz mit Hilfe von Exploits bevorzugt wird. Der Preis auf dem kriminellen Markt für 1.000 Infizierungen liegt zwischen 40 und 60 US$, obwohl für den Angriff-Auftraggeber keine Garantie existiert, dass sein „Werk“ das einzige Schadprogramm auf dem Opfer-PC ist.

Auch in Zukunft wird wohl die momentane Entwicklungstendenz der Trojaner-Modifikationen erhalten bleiben, wobei deren Wachstum auch gering zurückgehen kann.

VirWare

Viren verlieren weiterhin an Bedeutung und setzen damit die bereits länger sichtbare Tendenz fort.

In der folgenden Grafik sehen Sie die Anzahl der monatlich von den Viren-Analytikern bei Kaspersky Lab erkannten neuen VirWare-Exemplare:


Zahl der neuen, monatlich erkannten VirWare-Modifikationen

Als Ergebnis hat sich die Zahl der neuen VirWare-Modifikationen in der ersten Jahreshälfte 2006 um 1,1% verringert.

Die Einteilung der VirWare-Varianten nach deren Popularität stellt folgendes Diagramm dar:


Die populärsten VirWare-Modifikation in der ersten Jahreshälfte 2006

Ausprägungen anderer Schadprogramme dieser Art erscheinen ziemlich selten und sind für die Auswertung nicht weiter relevant.

Ein Rückgang der Zahl neuer Modifikationen ist mehr oder weniger in allen Varianten dieser Klasse (von den Viren bis zu Mail- und anderen Würmern) erfolgt. Diese Situation ist aus wirtschaftlich-ökonomischer Sicht leicht erklärbar: Die Entwicklung von Trojanern ist im Vergleich zu Viren wesentlich billiger und schneller.

Den Rückgang an Würmern belegt auch eine Reihe anderer Faktoren: So hat sich zum Beispiel die Zahl globaler Epidemien im Vergleich zum gleichen Zeitraum im Vorjahr wesentlich verringert. Was die Tendenz des letzten Jahres fortsetzt.

Sicher ist, dass der Rückgang der Epidemien zur Minderung des von ihnen verursachten Schadens beitragen wird. Der in diesem Zusammenhang mögliche Aufmerksamkeitsverlust seitens der Benutzer, könnte dann aber wieder von den Cyber-Kriminellen ausgenutzt werden.

In der Zukunft wird die Popularität von Viren und Würmern auf jeden Fall weiterhin sinken.

Sonstige Schadprogramme

Betrachten wir die letzte Klasse der von unser aufgespürten Schadprogramme – Malware:


Zahl der neuen, monatlich erkannten Malware-Modifikationen

Im Vergleich zur zweiten Jahreshälfte 2005 ergibt sich eine Verringerung der Zahl neuer Malware-Modifikationen von 2,3%.

Die Einteilung der MalWare-Varianten sieht folgendermaßen aus:


Die häufigsten MalWare-Varianten

In dieser Klasse sind die Exploits (30%) am populärsten, die als unverzichtbarer Bestandteil im Mechanismus der Schadencode-Verbreitung gelten.

Erpressung – eine gefährliche Tendenz

Eine der gefährlichsten Tendenzen der vergangenen Jahreshälfte ist die zunehmende Zahl von Erpressungsfällen, bei denen Kriminelle die Benutzerdaten auf dem Opfer-PC modifizierten und Geld für die Entschlüsselung forderten. Das Szenario solcher Erpressungen ist in den meisten Fällen gleich: Entweder wird die Arbeit am Computer blockiert oder ein Zugriff auf die Daten komplett verweigert. Die Zunahme neuer Modifikationen solcher Erpressungs-Programme (Ransomware oder Blackmailers) stellt die folgende Grafik dar:


Die Anzahl der Erpresserviren

Im Januar 2006 wurde diese besondere Klasse von Schadprogrammen nur durch einen einzigen Trojaner vertreten, nämlich durch Trojan.Win32.Krotten. Der Autor hat mit beachtenswerter Akribie innerhalb von 2 Wochen 13 Modifikationen dieses Schadprogramms freigelassen, in denen er den Code ständig variierte und versuchte, sein Entdecken zu erschweren. Somit erklärt sich auch der im Diagramm ersichtliche drastische Anstieg Anfang des Jahres.

Seit Februar 2006 verbreiten die Cyber-Erpresser ständig neue Exemplare von Programmen dieser Art, wobei Krotten seine Führungsposition weiterhin behält.

Als Krotten-Nachfolger erschien Ende Januar 2006 Win32.Gpcode. Im Gegensatz zu Krotten, der die Benutzerdateien nicht modifizierte, sondern die Registry so änderte, dass die Virus-Entfernung erschwert sowie die Arbeit auf dem Computer unmöglich gemacht wurde, hat Gpcode dem Benutzer die Möglichkeit zur selbständigen Wiederherstellung der PC-Arbeitsfähigkeit entzogen, indem er die Dateien auf dem verseuchten Computer verschlüsselte. Innerhalb von nur 6 Monaten entwickelte sich Gpcode wesentlich weiter, von der Verwendung der üblichen symmetrischen Verschlüsselungs-Algorithmen bis zu unsymmetrischen Algorithmen mit einer Schlüssellänge von bis zu 660 Bit.

Im Laufe der ersten Jahreshälfte 2006 ist die Menge der Erpressungs-Trojaner von zwei auf sechs angestiegen (Krotten, Daideneg, Schoolboys, Cryzip, MayArchive, Gpcode). Haben sich die Angriffe am Jahresanfang noch hauptsächlich auf Russland und die GUS-Staaten beschränkt, so breiteten sie sich im Sommer immer weiter aus. Die Cyber-Erpresser traten nicht auf der Stelle und sind auch in Deutschland, Großbritannien und anderen Länder in Erscheinung getreten.

Besonderes beunruhigend ist in diesem Zusammenhang die Tatsache, dass die Entwicklung solcher PC-Schädlinge nicht kompliziert ist. Es sind bereits Fälle aufgetreten, dass sich junge Anfänger an der Cyber-Erpressung versuchten. Sie machten sich auch schon mal lächerlich, wenn sie einem Benutzer die Bedingungen der Geldübergabe und Lösegeldsumme erklärten, dann aber vergaßen, die Zieladresse für die Rückantwort mitzuteilen. Ein Beispiel solcher Trojaner ist der Virus Trojan.WinREG.Schoolboys.a.

Zusammenfassung und Schlusswort

Leider sind die Aussichten nicht beruhigend. Die Cyber-Kriminellen werden neue Technologien entwickeln und die Menge neuer Schadprogramme wird damit weiter steigen. Die Zahl neuer Modifikationen wächst weiter mit bemerkenswertem Tempo (in der ersten Jahreshälfte 2006 um 8%).

Die populärsten Schadprogramme sind derzeit Trojan-Spies, Trojan-PSWs, Trojan-Downloader und Backdoors. Das heißt alle Programme, die von Cyber-Kriminellen zur Errichtung von Botnetzen und zum Datendiebstahl verwendet werden. Das Wachstum dieser Trojaner entspricht dem finanziellen Gewinn durch ihre Nutzung. Zudem steigt auch die Popularität von gezielten Hacker-Angriffen.

In der ersten Jahreshälfte 2006 ist auch ein deutliches Wachstum von Infizierungen unter Verwendung von Exploits zu beobachten. Das wachsende Interesse der Cyber-Verbrecher an dieser Methode liegt daran, dass sie ihren Schadcode unauffällig durch Sicherheitslücken auf den Opfer-PC bringen können. Dabei entfällt die Notwendigkeit, einen Nutzer als Verbindungsglied zur Schadcode-Aktivierung zu verwenden.

Zusammenfassend lässt sich aber sagen, dass die allgemeine Situation nicht so dramatisch ist. Regelmäßige Aktualisierungen der Antiviren-Datenbanken sowie schnellstmögliche Installationen von sicherheitsrelevanten Updates des Betriebssystems und der genutzten Programme bieten einen zuverlässigen Schutz vor den wesentlichen Bedrohungen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.