Malware-Entwicklung im ersten Halbjahr 2007

Der vorliegende Halbjahresbericht zur Malware-Verbreitung stellt die Entwicklung von Schadprogrammen dem zweiten Halbjahr 2006 gegenüber. Dabei hat Kaspersky Lab eine neue statistische Methode angewendet. Auch die im vorliegenden Bericht verwendeten Daten aus dem Jahr 2006 wurden bereits mit Hilfe der neuen Methode analysiert. Daher kann es zu Abweichungen gegenüber den Daten aus dem letzten Jahresbericht kommen.

Malware-Klassen im ersten Halbjahr 2007

Kaspersky Lab unterscheidet drei Klassen von schädlichen Programmen:

  • TrojWare: trojanische Programme ohne Reproduktionsfunktion (Backdoor, Rootkit und alle erdenklichen Trojaner);
  • VirWare: sich selbst reproduzierende Malware (Viren und Würmer);
  • Andere MalWare: von Cyberkriminellen genutzte Software, mit denen sich schädliche Programme erstellen und Attacken organisieren lassen.

Die ersten sechs Monate des Jahres 2007 brachten wesentliche Veränderungen mit sich. Die Anzahl der monatlich entdeckten neuen Schadprogramme betrug im Durchschnitt 15.292,2 und stieg damit im Vergleich zum zweiten Halbjahr des Vorjahres um 89 Prozent (zweites Halbjahr 2006: 8108,5 Programme). Insgesamt wurden im Analysezeitraum 91.753 neue Schadprogramme entdeckt.

Im ersten Halbjahr 2007 setzte sich eine Tendenz fort, die wir schon in den vergangenen Jahren beobachten konnten. Der Anteil von Trojanern an der Gesamtzahl der Schadprogramme nahm stetig zu, entsprechend sanken die Zahlen für VirWare und andere MalWare kontinuierlich.




Abb. 2 Prozentuales Verhältnis der Malware-Klassen

Innerhalb des ersten Halbjahres 2007 stieg der Anteil trojanischer Programme um 2,61 Prozent auf 91,36 Prozent. Die Gründe dafür sind vielfältig: Trojaner lassen sich im Gegensatz zu Viren und Würmern relativ einfach entwickeln und vielseitig einsetzen, zum Beispiel beim Datenklau, beim Erstellen von Botnetzen und zur Organisation von Spam-Mails.

Der Rückgang bei den Würmern und Viren (VirWare) ist nicht ganz so ausgeprägt wie in den letzten Jahren (minus 2,26 Prozent). Das lässt sich allerdings mit ihrem bereits sehr niedrigen Niveau erklären. Der VirWare-Anteil wird in näherer Zukunft kaum noch weiter absinken, sondern sich vermutlich auf einem niedrigen Level einpendeln. Auch Viren und Würmer werden nicht völlig von der Bildfläche vreschwinden. Ihre Popularität wird in der zweiten Jahreshälfte 2007 höchstwahrscheinlich sogar einen Aufschwung erleben. Das hängt aber in erster Linie davon ab, ob in den Windows-Betriebssystemen, insbesondere Vista, neue kritische Sicherheitslücken entdeckt werden.

Der Anteil der Gruppe „Andere MalWare“, bei der es sich größtenteils um verschiedene Exploits handelt, ist trotz Anstieg im Vergleich zur zweiten Jahreshälfte 2006 weiter geschrumpft, und zwar um 0,36 Prozent auf magere 1,95 Prozent.

Im Folgenden werden die Veränderungen innerhalb der einzelnen Klassen genauer betrachtet.

Trojanische Programme

Es folgt die grafische Darstellung der monatlich von Kaspersky Lab neu entdeckten Trojaner:

Selbst bei einem flüchtigen Blick auf die Grafik kann man die stetig wachsende Popularität trojanischer Programme nicht übersehen. Diese Entwicklung ist durchaus bedrohlich, weil die überwiegende Mehrheit der Trojaner darauf abzielt, Anwendern finanziellen Schaden zuzufügen.

Die Anteile der einzelnen Trojaner innerhalb der Klasse sind in folgender Grafik dargestellt:

Um die Veränderungen innerhalb der Klasse TrojWare zu veranschaulichen, folgen nun die Daten zur Wachstumsdynamik der einzelnen Malware-Typen. Praktisch alle Trojaner-Typen haben mengenmäßig stark zugelegt:

  Anteil Veränderung 2006 2007
Andere 0,07 -9% 68 62
Trojan-Clicker 1,36 57% 722 1137
Trojan-Dropper 1,92 27% 1270 1611
Trojan-Proxy 2,27 11% 1710 1901
Trojan-Spy 8,51 69% 4216 7131
Trojan 9,75 42% 5737 8170
Trojan-Downloader 21,56 46% 12363 18076
Trojan-PSW 24,33 135% 8694 20393
Backdoor 30,24 202% 8397 25345
TrojWare   94% 43177 83826

Mit 202 Prozent konnten Backdoors im ersten Halbjahr 2007 die höchste Zuwachsrate unter allen trojanischen Programmen verzeichnen. Dieser Höhenflug lässt sich nur mit dem steilen Aufstieg von E-Mail-Würmern vergleichen, die in den Jahren 2002 bis 2004 stark zulegten. Derzeit wird der größte Teil der Backdoors in China entwickelt: Nach unserer Einschätzung stammen 30 Prozent aller im laufenden Jahr entdeckten Backdoors aus China.

Die hohe Wachstumsgeschwindigkeit der Backdoors hat die bisherige Verteilung der Malware-Typen innerhalb der Klasse TrojWare verändert: Die Trojan-Downloader, auf die im Jahr 2006 noch der größte Anteil entfiel, befinden sich nun auf Platz 3 im Gruppen-Ranking.

Aber nicht nur die Backdoors, die nun fast ein Drittel aller Trojaner und beinahe ein Drittel sämtlicher Schadprogramme ausmachen, haben zugelegt. Auch Spionagetrojaner (Trojan-PSW), die Anwender-Accounts zu verschiedenen Diensten, Anwendungen und Spielen stehlen, sind mengenmäßig deutlich gestiegen (135 Prozent).Wie schon im zweiten Halbjahr 2006 kommt dieser Typ innerhalb der Klasse TrojWare am zweithäufigsten vor und liegt damit im Ranking noch vor dem ehemaligen Spitzenreiter Trojan-Downloader.

In der Klasse TrojWare unterscheidet man derzeit drei Hauptgruppen:

  1. Backdoor, Trojan-PSW, Trojan-Downloader: Die am weitesten verbreiteten trojanischen Programme, die insgesamt über 70 Prozent der Klasse TrojWare stellen. Der Anteil jedes einzelnen Typs an der Gesamtmenge beträgt jeweils mehr als 20 Prozent).
  2. Trojan, Trojan-Spy: Die Typen dieser Gruppe stellen jeweils rund 8 bis 10 Prozent der Trojaner-Gesamtmenge und besitzen mittlere Zuwachsraten. Die Wahrscheinlichkeit, dass Trojan und Trojan-Spy ausreichend zulegen, um in die erste Gruppe aufzusteigen, ist äußerst gering. Ein Rückgang auf das Niveau der dritten Gruppe ist aber ebenfalls so gut wie ausgeschlossen.
  3. Trojan-Proxy, Trojan-Dropper, Trojan-Clicker und andere: Typen dieser Gruppe tragen weniger als 3 Prozent zur Gesamtmenge der Trojaner bei. Mit Ausnahme von Trojan-Clicker kommt auch keiner über eine Zuwachsgeschwindigkeit von 30 Prozent hinaus. Es ist zwar nicht ausgeschlossen, dass einer dieser Typen auf das Niveau der zweiten Gruppe steigt. Sehr viel wahrscheinlicher ist aber, dass der Anteil der Schädlinge unter dem Druck der ersten Gruppe weiter abnimmt.

Game-Trojaner

In der ersten Jahreshälfte 2007 stieg der Anteil der Trojan-PSW-Schädlinge um 135 Prozent und vieles deutet darauf hin, dass sich diese Tendenz fortsetzen wird. Die Vertreter des Typs Trojan-PSW konnten damit ihre Wachstumsrate von 125 Prozent aus dem Vorjahr noch verbessern. Derart hohe Werte lassen sich damit erklären, dass 68 Prozent der Trojan-PSW-Programme zu den so genannten Game-Trojanern gehören. Diese sind auf den Passwort-Diebstahl bei Online-Games spezialisiert.

Online-Games sind so beliebt wie nie zuvor. Millionen Menschen weltweit spielen Games wie World of Warcraft, Lineage oder Legend of Mir. Besonders in Asien gibt es eine treue Anhängerschaft. Und es kommt nicht selten vor, dass Spiel-Charaktere oder bestimmte virtuelle Gegenstände für zehntausende von Dollar den Besitzer wechseln. Unweigerlich zieht das auch das Interesse von Cyberkriminellen auf sich. Sie stehlen Accounts und verkaufen das virtuelle Diebesgut auf Internet-Auktionen.

Die folgenden Familien von Spionage-Trojanern klassifizieren wir als Game-Trojaner:

  QI-2007 QII-2006 Veränderung Anteil
OnlineGames 8783 640 1272% 63,58
Lmir 477 601 -21% 3,45
Nilage 2602 2034 28% 18,83
WOW 510 594 -14% 3,69
Magania 1181 462 156% 8,55
Gamec 36 85 -58% 0,26
Tibia 45 15 200% 0,33
Hangame 181 155 17% 1,31
  13815 4586 201% 100,00

Die Familie OnlineGames stellt 64 Prozent aller im ersten Halbjahr 2007 entdeckten Game-Trojaner. Deren Vertreter unterscheiden sich besonders durch ein Merkmal von anderen Game-Trojaner-Familien: Ein Schädling der Kategorie OnlineGames vereint mehrere trojanische Programme in sich, welche Zugangsdaten für zwei oder mehr Online-Games stehlen sollen oder weniger bekannte und verbreitete Spiele angreifen. Trojanische Programme dieser Art hat Kaspersky Lab erst im zweiten Halbjahr 2006 zu einer Familie zusammengefasst. Daraus resultiert auch das exorbitant hohe Wachstum von 1.272 Prozent. Dieser Wert spiegelt natürlich nicht die tatsächliche Situation wider, da der statistische Erhebungszeitraum hier viel zu kurz ist. In einem halben Jahr werden aber realistische Daten verfügbar sein.

Lmir, die älteste und einstmals größte Familie von Game-Trojanern für das Spiel Legend of Mir verliert weiter Anteile und hat sich im Jahr 2007 um 21 Prozent verkleinert. Auch der Anteil der Trojaner für das Spiel World of Warcraft (WOW) ist um 14 Prozent gesunken.

Wesentlich mehr Interesse haben Virenschreiber dagegen an den virtuellen Welten von Gamania (Familie Magnania) und Tibia. Zwar lässt sich das 200-prozentige Wachstum von Tibia noch mit der relativ geringen Anzahl von Trojanern für dieses Spiel erklären (es sind nur 45 im laufenden Jahr), Gamania belegt damit aber schon Platz 2 unter den am häufigsten angegriffenen Online-Welten.

Lässt man den nicht repräsentativen Wert von OnlineGames einmal außen vor, so liegt die Familie Nilage weiterhin auf Platz eins. Programme dieser Kategorie stehlen Accounts für das Spiel Lineage und machen bereits 18 Prozent aller Game-Trojaner aus.

Bank-Trojaner

Für das 69-prozentige Wachstum des Typs Trojan-Spy sind die so genannten Banker verantwortlich. Solche Trojaner haben sich auf den Diebstahl von Zugangsdaten spezialisiert – den vielleicht am stärksten ausgeprägten Geschäftszweig der Cyberkriminellen. Dieser umfasst verschiedene Online-Bezahlsysteme, Internet-Banking und Kreditkartendaten. Allerdings gehören nicht alle von uns berücksichtigten Banker zum Typ Trojan-Spy. Einige der Schadprogramme laden verschiedene Banker auf Computer und lassen sich damit auch den Trojan-Downloadern zuordnen (Familie Banload). Dieses Merkmal findet sich bei allen Bank-Trojanern.

Auch im Jahr 2006 verbreiten sich die Bank-Trojaner rasant. Im Vergleich zu 2005 stieg die Zahl neuer Banker um 97 Prozent an und hat sich damit nahezu verdoppelt. Zwar wurde ihr Wachstum im Jahr 2007 leicht gebremst, gegenüber der zweiten Jahreshälfte 2006 beträgt ihr Zuwachs dennoch 62 Prozent. Dieser Wert entspricht allerdings mehr als 4.500 neuen Trojanern.

Rootkits

Rootkit sind eine weitere Trojaner-Art, die hier nicht unerwähnt bleiben darf. In der Aufstellung der einzelnen Trojaner-Typen sind sie zwar nicht vertreten, da sie zahlenmäßig selbst hinter Trojan-Clickern liegen. Rootkits verstecken allerdings häufig verschiedenste trojanische Programme in einem Computer-System. Zudem kann ein und dasselbe Rootkit von mehreren Kriminellen verwendet werden. Zum Typ Rootkit zählen sowohl als Rootkit klassifizierte trojanische Programme als auch einige Familien anderer Trojaner, die Rootkit-Technologien verwenden, wie zum Beispiel Backdoor.Win32.HacDef.

Als Kaspersky Lab Rootkits im Jahr 2005 erstmals als eigenen Typ klassifizierte, zeigten diese ein explosionsartiges Wachstum von 413 Prozent gegenüber dem Vorjahr. Damals waren Rootkits ein heiß diskutiertes Thema innerhalb der Antivirus-Industrie, und die Virenschreiber trieben die Entwicklungen auf diesem Gebiet stark voran. Im Jahr 2006 verringerte sich das Wachstum der Rootkits, doch die Zuwachsrate blieb mit 74 Prozent auf hohem Niveau.

In den ersten sechs Monaten des Jahres 2007 stieg die Zahl der Rootkits erneut stark an, und zwar um 178 Prozent.

In diesem Jahr wurden Rootkits am intensivsten von E-Mail-Würmern der Familien Zhelatin und vielen Bankern chinesischer Herkunft eingesetzt.

Bisher ist noch nicht geklärt, welche Auswirkungen Windows Vista auf die Entwicklung der Rootkit-Technologien haben wird. Laut den Entwicklern des Betriebssystems sollen Rootkits unter Vista jedoch wirkungslos sein.

Würmer und Viren

Die folgende Grafik zeigt die Anzahl der monatlich von Kaspersky Lab entdeckten neuen Programme der Klasse VirWare:

In den Jahren 2004 und 2005 tat sich bei der Klasse VirWare wenig. Ende 2006 wich die Stagnation jedoch einem erneuten Aufschwung. Im ersten Halbjahr 2007 setzte sich dieses Wachstum fort, liegt aber noch unter dem Maximalwert vom Oktober letzten Jahres. Damals erschienen hunderte neuer Varianten des Wurms Warezov und markierten einen neuen Verbreitungs-Rekord der VirWare-Klasse.

Die Wachstumsdynamik der einzelnen Malware-Typen innerhalb der Klasse VirWare sieht wie folgt aus:

  Anteil Veränderung 2006 2007
IRC-Wurm 0,36 -4% 22 23
P2P-Wurm 2,54 77% 156 88
Net-Wurm 2,82 73% 173 100
IM-Wurm 4,07 51% 250 166
Virus 16,57 237% 1017 302
Wurm 22,52 103% 1382 680
Email-Wurm 51,12 5% 3137 2993
VirWare   41% 6137 4352

Die „klassischen“ Viren verzeichneten im ersten Halbjahr 2007 mit 237 Prozent die höchste Zuwachsrate unter sämtlichen Schadprogramm-Arten. Das hängt in erster Linie damit zusammen, dass sich Viren über mobile Datenträger wie USB-Sticks sehr einfach verbreiten lassen. Die Virus-Familie Win32.Autorun brachte im laufenden Jahr bereits über 200 neue Varianten hervor. Infizierte Flash-Medien, die unter anderem in Fotoapparaten, Telefonen und MP3-Playern verwendet werden, sind für hunderte von Virenattacken verantwortlich. Die Viren nutzen dabei eine Sicherheitslücke von Windows aus: In der Standardeinstellung startet das Betriebssystem ausführbare Dateien von Wechseldatenträgern automatisch. Man muss allerdings berücksichtigen, dass zur Familie Autorun auch einige Dutzend Modifikationen des Wurms Viking zählen, auf den wir gleich zu sprechen kommen.

Die Vertreter des Malware-Typs „Wurm“ haben 2006 um mehr als 200 Prozent zugelegt. Ihr Wachstum hat sich 2007 ein wenig verlangsamt, liegt aber immer noch bei mehr als 100 Prozent. Die Spitzenposition belegte einmal mehr der asiatische Wurm Viking. Im letzten Quartalsbericht wurden die Hintergründe dieser lokalen asiatischen Epidemie detailliert aufgeschlüsselt (http://www.viruslist.com/de/analysis?pubid=200883533#china). Es soll aber nicht unerwähnt bleiben, dass trotz der Verhaftung des Autors der Ausgangscode von Viking weiterhin im Internet kursiert. Antiviren-Labore wie Kaspersky Lab haben daher laufend mit neuen Modifikationen des Virus zu tun, die nun von anderen Personen entwickelt werden.

Die folgende Grafik zeigt die prozentuale Verteilung der Typen innerhalb der Klasse VirWare:

Nach wie vor ist der E-Mail-Wurm (Email-Worm) innerhalb der Klasse VirWare am stärksten vertreten und stellt damit über die Hälfte aller VirWare-Schädlinge. Vor allem die „Oktoberexplosion“ des Wurms Warezov trug dazu bei, dass E-Mail-Würmer im Vorjahr noch um 43 Prozent zulegen konnten. Von spürbarem Wachstum kann im ersten Halbjahr 2007 aber keine Rede mehr sein, liegt dieses doch bei mageren 5 Prozent. Der hohe Anteil des Typs E-Mail-Wurm an der VirWare-Klasse lässt sich auf die drei Schädlings-Familien Warezov, Zhelatin und Bagle zurückführen. Würde nur eine dieser Familien wegfallen, fiele der Anteil der E-Mail-Würmer vermutlich um einige Dutzend Prozentpunkte.

Die Klasse VirWare unterteilt sich in zwei Hauptgruppen:

  1. Email-Wurm, Wurm, Virus. Jeder dieser Typen trägt mehr als 15 Prozent zur Gesamtmenge der VirWare-Programme bei. Während sich der Spitzenreiter Email-Worm kaum vermehrt, gibt es explosionsartige Wachstumsraten bei Worm und Virus. Daher ist es nicht ausgeschlossen, dass der Typ Virus im zweiten Halbjahr 2007 auf den zweiten Platz steigt. Gleichzeitig dürfte sich der Anteil des Typs Wurm erhöhen.
  2. IM-Worm, Net-Worm, P2P-Worm, IRC-Worm. Jeder einzelne dieser Typen ist mit weniger als 5 Prozent an der VirWare-Klasse beteiligt. Das durchschnittliche Wachstumstempo liegt zwischen 50 und 80 Prozent. Nur der Typ IM-Worm hat wegen der rasanten Entwicklung von IM-Services wie Skype das Potential, seinen Anteil zu vergrößern. Die Position des Typs Net-Worm wird sich dagegen weiterhin verschlechtern. Da kritische Sicherheitslücken in den Windows-Netzdiensten mittlerweile geschlossen sind, bieten sich den Virenschreibern keine Angriffpunkte mehr.

Vergleicht man die Wachstumsgeschwindigkeit der beiden Gruppen, so liegt Trojware mit 94 Prozent deutlich vorne. VirWare bringt es dagegen nur auf 41 Prozent und entwickelt sich damit sogar noch langsamer als die Klasse Anderer Schadprogramme. Diese betrachten wir im Folgenden genauer.

Andere Schadprogramme

Diese Klasse ist verglichen mit anderen recht klein. Allerdings tummeln sich hier auch die am meisten unterschiedlichen Malware-Typen.

Schadprogramme dieser Klasse brachten es in den Jahren 2004 bis 2005 nur auf moderate Wachstumsraten zwischen 13 und 14 Prozent. 2006 schrumpfte ihre Zahl sogar um 7 Prozent. Das erste Halbjahr 2007 hat allerdings gezeigt, dass es sich dabei eher um eine Verschnaufpause handelte. Im zweiten Quartal 2007 hat sich die Zahl der monatlich neu entdeckten „anderen Schadprogramme“ beinahe verdoppelt.

In den ersten sechs Monaten dieses Jahres wuchs die Klasse der Anderen Schadprogramme um fast 60 Prozent. Ihr Anteil an der Gesamtmenge schädlicher Programme sank aber dennoch von 2,51 Prozent im Jahr 2006 auf aktuell 1,95 Prozent.

Stellt man die prozentuale Verteilung der einzelnen Typen in einem Tortendiagramm dar, ergibt sich folgendes Bild:

Die beiden nächsten Diagramme zeigen, wie stark einzelne Vertreter dieser Malware-Klasse im Vergleich zum Vorjahr zugelegt beziehungsweise abgenommen haben:

  Anteil Veränderung 2006 2007
Sniffer 0,06 -75% 1 4
SMS-Flooder 0,22 0% 4 4
Email-Flooder 0,28 -62% 5 13
Spoofer 0,34 50% 6 4
Nuker 1,40 178% 25 9
VirTool 1,62 93% 29 15
BadJoke 1,73 -39% 31 51
DoS 1,90 209% 34 11
Flooder 2,29 28% 41 32
IM-Flooder 3,07 -11% 55 62
Andere 7,54 22% 135 111
HackTool 12,07 47% 216 147
Constructor 12,85 23% 230 187
Hoax 12,85 23% 230 187
SpamTool 20,50 222% 367 114
Exploit 28,83 83% 516 282
MalWare   56% 1925 1233

Die Abwehr von Spam- und DoS-Attacken ist derzeit eines der wichtigsten Themen der IT-Sicherheitsbranche. Seit der Wurm Warezov im Oktober 2006 gigantische Zombie-Netze aufbaute, erlebt Spam eine Blütezeit. Inzwischen ist die Anzahl unerwünschter Nachrichten deutlich gestiegen, und Spam-Mails tauchen laufend in neuen Varianten auf. Der Meinung der Kaspersky-Experten nach kann man beide Ereignisse nicht getrennt voneinander betrachten: Warezov sammelte E-Mail-Adressdatenbanken und schickte diese an Hacker, zudem installierte der Wurm verschiedene Module auf infizierten Computern, um Spam zu verschicken. Die gleichen Funktionen wie Warezov setzten auch zwei weitere überaus aktive E-Mail-Würmer ein, nämlich Zhelatin und Bagle.

Bereits 2005 war ein zwar geringes, aber konstantes Interesse an SpamTool erkennbar. Im Jahr 2006 nahm die Zahl schädlicher Programme dieses Typs mit 107 Prozent explosionsartig zu. SpamTool belegte damit Platz 5 im Gesamtranking aller Andere-Schadprogramme. In der ersten Jahreshälfte 2007 hat der Schädling noch einmal deutlich zugelegt: Sein Anteil wuchs um 222 Prozent. In der Kategorie Andere Schadprogramme hat sich SpamTool damit auf Platz zwei der am häufigsten vertretenden Typen katapultiert.

DoS-Attacken erreichten in den Jahren 2002 bis 2003 den Höhepunkt ihrer Popularität. Anschließend führten sie lange Zeit nur noch ein Schattendasein. Diese Entwicklung mag mit dem Generationswechsel zusammenhängen, der sich innerhalb der Cyberkriminellen-Szene vollzogen hat. Diejenigen Hacker, die noch vor 4 oder 5 Jahren DoS-Attacken organisierten, haben sich nach und nach auf „feinere“ Methoden des Geldverdienens verlegt. Dazu zählen etwa der Spam-Versand, Datenklau oder die Installation von Adware. Derzeit entsteht eine neue Generation von Script-Kiddies, die mangels Fähigkeiten fremde Entwicklungen verwendet und eher rohe Gewalt statt Finesse einsetzt. Daraus resultiert vermutlich die mit 209 Prozent starke Zunahme von unterschiedlichsten Programmen für DoS-Angriffe. Obwohl deren Anteil an der Gesamtzahl aller Andere-Schadprogramme noch recht gering ist, lässt sich eindeutig eine Wachstumstendenz beobachten. Es ist daher nicht ausgeschlossen, dass die Zahl der Programme für DoS-Angriffe noch in diesem Jahr auf mehrere hundert steigen wird.

Beim Großteil der Mitglieder in der Gruppe Andere Schadprogramme, die im letzten Halbjahr gefunden wurde, handelt es sich wieder einmal um Exploits für verschiedene Schwachstellen. In diesem Zusammenhang sei an einige spektakuläre Fälle erinnert, in denen verschiedene Hacker-Gruppen Exploit-Sammlungen zum Verkauf anboten. Nur kurze Zeit später wurden tausende von Websites mit diesen Tools gehackt (siehe zweiter Quartalsbericht 2007, Mpack).

Die Zahl der Exploits nimmt zwar nur in mäßigem Tempo zu, doch dieser Malware-Typ stellt immer noch 30 Prozent der Gesamtmenge an Andere Schadprogramme. SpamTool wird kaum in der Lage sein, die Exploits mengenmäßig einzuholen.

Auch das Interesse der Virenschreiber an Bausätzen wird nicht geringer, was ebenfalls mit dem bereits erwähnten Generationswechsel zu erklären ist. Mit Viren-Bausätzen lassen sich schädliche Programme zusammenstellen, ohne sie selbst entwickeln zu müssen. Programmierkenntnisse sind ebenfalls nicht erforderlich.

Plattformen und Betriebssysteme

Frühere Kaspersky-Analysen haben die Verteilung der Schadprogramme auf die einzelnen Betriebssysteme und Plattformen nicht berücksichtigt, sondern sich auf die Analyse der interessantesten Nicht-Windows-Systeme wie Unix, Mac OS oder Symbian beschränkt. In der vorliegenden Analyse wird erstmals die Gesamtsituation betrachtet.

Ein Programm kann nur dann von Malware attackiert werden, wenn es die Möglichkeit bietet, Code auszuführen, der nicht Teil des Systems ist. Diese Bedingung erfüllen alle Betriebssysteme, aber auch viele Office-Suiten, Grafikprogramme und Anwendungen mit integrierten Skript-Sprachen.

Im ersten Halbjahr 2007 registrierte Kaspersky Lab Schadprogramme für insgesamt 30 verschiedene Plattformen und Betriebssysteme. Wenig überraschend: Bei der Mehrheit der Malware handelt es sich um ausführbare binäre Dateien, die auf Win32-Betriebssysteme abzielen. Für andere Betriebssysteme und Plattformen entwickelte Schadprogramme machen zusammen weniger als 4 Prozent der Gesamtmenge aus.

Allerdings ist der Anteil der „Nicht-Windows“-Schädlinge im ersten Halbjahr 2007 von 3,18 Prozent auf 3,42 Prozent gestiegen. Außerdem liegt ihre Wachstumsrate bei nahezu 111 Prozent und übersteigt damit sogar den Wert für Win32 (96 Prozent). Es liegt auf der Hand, dass sich der Anteil der Schädlinge für 32-Bit-Betriebsysteme künftig verringern wird. Zum einen, da sich Win64-Schädlinge stärker ausbreiten, und andererseits durch die steigende Popularität anderer Betriebssysteme.

Nr. Plattform 2006 Q3-Q4 2007 Q1-Q2 Veränderung
1 Win32 49551 97100 96,0
2 JS 247 1186 380,2
3 VBS 261 580 122,2
4 HTML 272 402 47,8
5 BAT 166 339 104,2
6 MSWord 77 150 94,8
7 Linux 79 123 55,7
8 Perl 55 115 109,1
9 PHP 28 86 207,1
10 ASP 32 72 125,0
11 IRC 90 52 -42,2
12 MSIL 38 34 -10,5
13 DOS 36 24 -33,3
14 MSExcel 11 19 72,7
15 SymbOS 52 19 -63,5
16 WinREG 13 19 46,2
17 MSPPoint 23 18 -21,7
18 SunOS 10 18 80,0
19 NSIS 22 15 -31,8
20 Java 9 13 44,4
21 HTA 15 6 -60,0
22 MSAccess 3 5 66,7
23 Python 4 5 25,0
24 RAR 6 4 -33,3
25 Unix 6 4 -33,3
26 MSOffice 1 3 200,0
27 Ruby 1 3 200,0
28 SWF 11 3 -72,7
29 ALS 2 1 -50,0
30 Win9x 3 1 -66,7
31 WMA 2 1 -50,0

Bei nahezu der Hälfte aller aufgeführten Plattformen und Betriebssysteme sind auf sie spezialisierte schädliche Programme rückläufig. Darunter befinden sich auch durchaus verbreitete Betriebssysteme wie Unix und seine Derivate sowie Symbian. Für MacOS wurde innerhalb des gesamten Jahres, also seit Juli 2006, nicht ein einziges Schadprogramm entwickelt! Das lässt den Schluss zu, dass die Virenschreiber das Interesse an wenig verbreiteten Betriebssystemen verloren haben und sich stattdessen populäreren Kollegen zuwenden.

Auffällig: Das höchste Malware-Aufkommen gibt es bei Skript-Programmiersprachen wie JS, VBS, HTML, BAT, Perl, PHP und ASP. Während es drei der Skript-Plattformen im vergangenen Jahr noch auf je 250 Schädlinge brachten, hat JavaScript sich 2007 zum bevorzugten Ziel für Malware entwickelt.

Mit einem Plus von 380 Prozent legen JavaScript-Schädlinge eine mehr als dreimal so hohe Zuwachsrate vor wie Viren, die sich gegen VisualBasic Script richten. Der Grund dafür ist zweifellos die gestiegene Anzahl verschiedener Exploits für die populären Browser Internet Explorer und Mozilla Firefox. Zudem erfüllen viele JavaScript-Schädlinge die Funktion eines Trojan-Downloaders.

Linux belegt in der Gunst der Virenschreiber den zweiten Platz. Im Vergleich zum zweiten Halbjahr 2006 tauchten 123 neue Schadprogramme für dieses Betriebssystem auf, was einer Zuwachsrate von 55 Prozent entspricht.

Die meiste Malware richtet sich gegen Anwendungen, die unter verschiedenen Betriebssystemen laufen. Mit 150 neuen Schadprogrammen und einer Zuwachsrate von 95 Prozent ist Microsoft Word hier einmal mehr Spitzenreiter. Unter den Schädlingen befinden sich nicht nur traditionelle Makroviren, sondern auch die weitaus gefährlicheren neumodischen Trojan-Dropper. Diese nutzen verschiedene im letzten Jahr entdeckte Sicherheitslücken in Microsoft Word aus. Diese Schwachstellen machen die überwiegende Mehrheit der aktuellen Word-Bedrohungen aus.

Die Virenschreiber schlagen auch dort zu, wo man es nicht vermutet hätte: Beim wenig verbreiteten Betriebssystem SunOS stieg der Malware-Anteil um 80 Prozent. Die Anzahl bekannter Bedrohungen für SunOS liegt bereits im zweistelligen Bereich. Wir werden dieses Problem daher weiterhin aufmerksam beobachten und ihm in näherer Zukunft vermutlich eine eigene Analyse widmen.

Das Wachstumstempo der Schadprogramme für alle Plattformen im Überblick

Der steigenden Zahl und dem immer schneller werdenden Erscheinungsrhythmus schädlicher Programme begegnet Kaspersky Lab mit einer noch schnelleren Reaktionszeit und kürzeren Abständen zwischen den Updates seiner Antivirus-Datenbanken.

Aktualisierung der Antivirus-Datenbanken

Die Anzahl der monatlich neu in die Antivirus-Datenbanken von Kaspersky Lab aufgenommenen Einträge schwankt ständig. So waren es am Jahresanfang 8000 Schädlinge, zum Ende des Untersuchungszeitraums sogar 25.000. Im ersten Halbjahr 2007 kamen jeden Monat durchschnittlich 15.518 Einträge hinzu. Das sind 89 Prozent mehr als in der zweiten Jahreshälfte 2006, in der Kaspersky 8.221 Viren registrierte.

Die Grafik zeigt, dass die Anzahl neuer Einträge in die Antivirus-Datenbanken im Laufe des Jahres gleichmäßig zugenommen hat. Nur der Mai bildet hier eine Ausnahme: In diesem Monat entdeckten die Analysten von Kaspersky Lab eine rekordverdächtige Zahl von 25.205 neuen Schadprogrammen.

Reguläre und außerplanmäßige Aktualisierungen

Kaspersky Lab hat auf das Erscheinen neuer schädlicher Programme mit zwei verschiedenen Aktualisierungsarten der Antivirus-Datenbanken reagiert: Diese wurden etwa stündlich auf den neuesten Stand gebracht. Im Falle einer Epidemie gab es zudem außerplanmäßige Updates. Im ersten Halbjahr 2007 wurden die Datenbanken bei einem Monatsdurchschnitt von fast 700 Updates über 4.000 Mal aktualisiert.

Die Daten zu den außerplanmäßigen Aktualisierungen sind aus zweierlei Gründen interessant: Zum einen spiegeln sie die Fälle von epidemieartigen Situationen in der ersten Jahreshälfte 2007 wider und ermöglichen so einen Vergleich mit den Werten des vergangenen Jahres. Zum anderen ermöglichen sie, einen Zusammenhang zwischen dem Ausbruch von Epidemien und den einzelnen Monaten des Jahres herzustellen.

Die Daten zeigen, dass die Anzahl außerplanmäßiger Aktualisierungen im ersten Halbjahr 2007 gegenüber dem Vorjahreszeitraum um 33 Prozent gesunken ist. In der zweiten Jahreshälfte 2006 lag der Wert allerdings 4 Prozent darüber. Im Durchschnitt gab es 16 außerplanmäßige Updates pro Monat.

Fazit

Die im Jahresbericht 2006 von den Kaspersky Lab-Experten getroffenen Vorhersagen haben sich größtenteils erfüllt. Wie erwartet fokussieren sich Virenschreiber im Jahr 2007 auf verschiedene trojanische Programme, die auf den Diebstahl von Anwenderdaten spezialisiert sind. Die wichtigsten Zielscheiben der Angriffe sind nach wie vor Kunden verschiedener Bezahlsysteme, Online-Banking-User sowie Spieler von Online-Games.

Auch die enge Zusammenarbeit zwischen den Autoren von Schadprogrammen und Spammern setzt sich fort. Alle großen Epidemien des Jahres 2007 wie beispielsweise Warezov, Zhelatin, Bagel verliefen nach dem gleichen Schema: Zunächst errichteten die Schädlinge Botnetze und verschickten anschließend massenweise Spam-Mails über die infizierten Computer. Dabei sammelten die Viren auch E-Mail-Adressen, um Datenbanken für den Spam-Versand zu erstellen.

Auch der Infektionsweg hat sich nicht wesentlich geändert: Nach wie vor gelangt Malware hauptsächlich über E-Mail-Würmer und Browser-Schwachstellen auf Computer. Das Ausbleiben großer Epidemien von Netzwürmern, die sich über Computer-Ports einschleichen, lässt sich durch den Mangel kritischer Schwachstellen in den Windows-Netzservices erklären.

Der Zuwachs an Schadprogrammen für P2P-Netze und Instant-Messaging-Systeme hält sich auf mittlerem Niveau. Für das zweite Halbjahr 2007 sind auf diesem Gebiet keine einschneidenden Veränderungen zu erwarten.

In den ersten sechs Monaten dieses Jahres hat sich ganz klar eine Tendenz zu lokalen Epidemien abgezeichnet, die nur einen national begrenzten Teil des Internets betreffen und Anwender aus anderen Ländern der Welt verschont lassen.

Entgegen aller Expertenvorhersagen wurde das neue Betriebssystem Windows Vista im Jahr 2007 noch nicht zum wichtigsten Thema innerhalb der IT-Sicherheitsbranche. Das liegt in erster Linie daran, dass Vista bisher bei weitem nicht so verbreitet ist wie ursprünglich angenommen. Bis dato ist die Zahl der Anwender zu gering, um das Interesse der Hacker auf das neue Betriebssystem zu lenken.

Auch wenn die Beliebtheit von MacOS weiterhin steigt, ist das Interesse von Hackern an diesem Betriebssystem trotz einer Reihe ernsthafter Schwachstellen gering. Eine ähnliche Entwicklung lässt sich für die mobilen Plattformen Symbian und Windows Mobile beobachten. Die Zahl der Anwender wächst zwar beständig, es kommen aber kaum neue Schadprogramme hinzu. Andererseits erschienen für die Plattform J2ME immer mehr trojanische Programme, die auch auf Mobiltelefonen funktionieren.

Sehr wahrscheinlich werden sich bis Ende 2007 keine wesentlichen Veränderungen ergeben und die allgemeine Situation wird sich den Vorhersagen gemäß entwickeln.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.