Malware im dritten Quartal 2011

Allgemeine Lage

Raus aus dem Geschäft: DigiNotar-Hack

Im August schrieb ein Anwender in einem der Google-Foren, dass sein Browser ihn vor einem verdächtigen Zertifikat von google.com warnt. Der Nutzer beschrieb, dass das Zertifikat dabei absolut legal erscheint. Diese Mitteilung markiert den Beginn der Untersuchung eines Einbruchs in die Zertifizierungsstelle DigiNotar, durch den Cyberkriminelle 531 gefälschte Zertifikate veröffentlichen konnten. Unter Verwendung gefälschter SSL-Zertifikate für Webseiten erhalten Online-Kriminelle auch Zugang zu solchen Daten, die über verschlüsselte Verbindungen von oder auf diese Seiten übertragen werden.

Im Juli 2011 haben Hacker den Server von DigiNotar geknackt. Der Zeitpunkt lässt sich so genau bestimmen, weil das erste entdeckte falsche Zertifikat am 10. Juli 2011 veröffentlicht wurde. Nach Angaben von DigiNotar entdeckten Mitarbeiter des Unternehmens am 19. Juli, dass das System gehackt wurde und ergriffen Maßnahmen zum Rückruf der ausgegebenen Zertifikate. Im Unternehmen wurden diese Maßnahmen als ausreichend angesehen und es wurde beschlossen, das Geschehen nicht öffentlich zu machen. Diese Entscheidung hatte fatale Folgen: Da es den Mitarbeitern nicht gelang, alle falschen Zertifikate zurückzurufen, konnten Cyberkriminelle sie bei der Organisation von Attacken auf Anwender verwenden.

Der Hack von DigiNotar war weitreichender als ähnliche Vorfälle aus der Vergangenheit, die mit der Veröffentlichung von Zertifikaten im Namen der Zertifizierungsstelle Comodo zusammenhängen. Zu den Zielen der Webgangster zählten auch Ressourcen staatlicher Organe verschiedener Länder, große Internet-Services wie etwa Google, Yahoo, Tor und Mozilla sowie Webseiten einer Reihe anderer Unternehmen.

Wie bereits erwähnt, gaben die Betrüger 531 gefälschte Zertifikate für verschiedene Webseiten aus. Darunter auch solche, die zu den Geheimdiensten der USA (CIA), Israels (Mossad) und Großbritanniens (MI6) gehören. Selbstverständlich werden im Netzwerkverkehr der öffentlichen Webseiten der Geheimdienste keinerlei sensiblen Informationen übertragen. Die wahren Ziele der Kriminellen sind in diesen Fällen unklar.

Die Dienste von DigiNotar als Zertifizierungsstelle wurden von der niederländischen Regierung in Anspruch genommen. Die Zertifikate von DigiNotar wurden bei einer Reihe von Diensten verwendet, wie etwa dem Registrierungssystem für Transportmittel und Führerscheine (RDW), dem Register für Immobilienvermögen und der Steuerbehörde. Nach der Kompromittierung der DigiNotar-Server sah sich die Regierung der Niederlande dazu gezwungen, auf die Dienste des Unternehmens zu verzichten und die Zertifikate zurückzurufen. Als Folge mussten viele Systeme mit neuen Zertifikaten neu eingerichtet werden, was für einige Kunden einen Arbeitsausfall nach sich zog.

Diese Attacke hat gezeigt, dass es mit Hilfe gefälschter Zertifikate möglich ist, die Arbeit zum Erliegen zu bringen oder Systeme zu kompromittieren, die direkt mit der Wirtschaft des Landes und staatlichen Institutionen in Verbindung stehen.

Für DigiNotar endete die ganze Geschichte in einer freiwilligen Bankrotterklärung. Neben dem Vertrauensverlust waren auch alle Geschäfte des Unternehmens zum Erliegen gekommen. Wir weisen darauf hin, dass nicht zum ersten Mal ein Unternehmen in Folge von Hacker-Angriffen gezwungen war, seine Geschäfte einzustellen. Man denke nur an die Firma BlueFrog, die ihr Antispam-Business im Jahr 2006 in Folge massiver DDoS-Attacken auf ihre Server aufgeben musste. Der Hack von HBGary Federal im Jahr 2010 durch die Gruppe Anonymous führte dazu, dass die Verhandlungen zum Verkauf des Unternehmens eingestellt wurden – als Folge der Hackeraktion sank der Wert von HBGary Federal deutlich. In diesem Jahr verlor der australische Provider distribute.IT durch einen Hacker-Angriff alle Daten auf seinen Servern. Dem Provider blieb nichts anderes übrig, als seine Geschäftstätigkeit einzustellen und den Kunden, die ihre Webseiten und E-Mails verloren hatten, dabei behilflich zu sein, zu anderen Providern zu wechseln.

Natürlich enden nicht alle Hacker-Attacken so dramatisch. Die Geschichten von Sony, RSA und Mitsubishi zeigen, dass man sich auch nach einem Hack über Wasser halten kann. Allerdings ist es für Großkonzerne wesentlich einfacher, ihren Ruf wiederherzustellen als für kleinere Firmen. Für kleinere Unternehmen ist die IT-Sicherheit daher einer der Faktoren, die ihre Überlebensfähigkeit bestimmen. Wird die Sicherheit vernachlässigt, kann das mit dem Bankrott enden.

In diesem Zusammenhang möchten wir darauf hinweisen, dass der DigiNotar-Hack bereits der zweite Einbruch in das Netzwerk einer Zertifizierungsstelle in diesem Jahr ist. Dabei sind die Unternehmen, die SSL-Zertifikate ausgeben, verpflichtet, sich von einer Zertifizierungsstelle überprüfen zu lassen. Doch wie sich nun herausgestellt hat, ließen das Sicherheitsniveau der gehackten Zertifizierungsstelle DigiNotar und des Partners von Comodo einiges zu wünschen übrig. Wie gut sind dann die übrigen Stellen geschützt? Der Bankrott von DigiNotar sollte für die anderen Teilnehmer dieses Marktes ein Signal sein, ihre Sicherheitspolitik zu verschärfen.

Geld aus der Luft – Profis interessieren sich für Bitcoins

Die Möglichkeit, Geld einfach so „aus der Luft“ zu generieren, obendrein noch mit Hilfe fremder Computer, ist für Cyberkriminelle mehr als interessant. Die ersten Schadprogramme, die auf den Diebstahl oder die Generierung von virtueller Währung im System Bitcoin spezialisiert sind, wurden im zweiten Quartal 2011 entdeckt. Allerdings waren sie weder besonders komplex noch besonders weit verbreitet. Im dritten Quartal hat sich das allerdings geändert. Wir registrierten verschiedene Vorfälle, die belegen, dass sich nun auch erfahrene Virenautoren für die Idee interessieren, Geld herbei zu zaubern.

Im August entdeckte Kaspersky Lab zusammen mit Arbor Networks das Schadprogramm Trojan.Win32.Miner.h, dessen Hauptaufgabe im Aufbau von P2P-Botnetzen liegt. Eine Analyse des Netzes ergab, dass es mindestens 38.000 Rechner umfasst, auf die aus dem Internet zugegriffen werden kann. Viele Computer laufen heute über Router und andere Netzwerkgeräte, daher könnten tatsächlich noch wesentlich mehr Rechner zu diesem Botnetz gehören. Dieses imposante Zombie-Netzwerk nutzen Cyberkriminelle, um Kapitla in der virtuellen Währung Bitcoin zu erzeugen. Nachdem der Bot auf einen Computer gelangt ist, lädt er umgehend drei Programme zur Generierung von Bitcoins herunter – Ufasoft miner, RCP miner und Phoenix miner. Diese verbinden sich mit Bitсoin-Pools, die sich in verschiedenen Ländern der Welt befinden.

Das schon sehr viel größere Botnetz TDSS hat ebenfalls mit der Generierung von Bitcoins zu tun und ist der zweite derartige Fall. Anfang August erhielten die TDSS-Bots plötzlich eine neue Konfigurationsdatei, in der Miner und Bitсoin-Pool mit Namen und Passwort des Anwenders vermerkt waren. Doch das war keine besonders gelungene Lösung der Cyberkriminellen: Da Name, Passwort und Bitсoin-Pool in der Konfigurationsdatei angegeben waren, ließ sich die Adresse äußerst schnell ermitteln. Die Lösung dieses Problems ließ nicht lange auf sich warten. Im Netz gibt es mit pushpool eine freie Software zur Erstellung eines eigenen Pools. Sie wurde auch von den Cyberkriminellen benutzt, indem sie sie als Proxy-Server bis zum Hauptpool konfigurierten. Die an diesen Proxy-Server angeschlossenen TDSS-Bots erhalten zufällig generierte Namen und Passwörter der Anwender des Bitсoin-Pools und erzeugen Geld. Dabei wird der wahre Name des Anwenders und der Name des Bitсoin-Pools auf dem Proxy-Server gespeichert und alle Transaktionen laufen über ihn. Leider haben die Sicherheitsexperten bei einem solchen Schema keine Möglichkeit herauszufinden, wieviel Geld für welchen Bitсoin-Pool generiert wird. Unseren Daten zufolge wurden allein im ersten Quartal 2011 4,5 Millionen Computer auf der ganzen Welt mit TDSS infiziert. Über ein Viertel dieser Computer befinden sich in den USA, wo die Computertechnik sehr schnell aktualisiert wird. Die Schlussfolgerung liegt auf der Hand: Die TDSS-Botmaster verfügen über leistungsstarke Rechenressourcen, deren Umfang weiter zunimmt.

Doch dieses Schema zur Gelderzeugung hat eine wichtige Besonderheit: Die Einnahmen der Webgangster sind abhängig vom Kurs der Währung. Das Botnetz, das auf Trojan.Win32.Miner.h basiert, begann Ende August zusätzlich DDoS-Bots zu laden. Genau zu dieser Zeit müssten die Einnahmen aus den Bitcoins im Zusammenhang mit deutlichen Kursänderungen zurückgegangen sein: Anfang August kostete der Bitcoin 13 US-Dollar, Ende September noch 4,8 Dollar.

Persönliche Angaben von drei Vierteln der koreanischen Bevölkerung in Händen von Hackern

Eines der Aufsehen erregendsten Ereignisse des dritten Quartals 2011 war der Diebstahl von 35 Millionen Anwenderdaten des koreanischen sozialen Netzwerks CyWorld durch Hacker. In Südkorea leben insgesamt 49 Millionen Menschen, so dass sich nach Adam Riese die Daten (Vor- und Nachnamen, Postadressen, Telefonnummern) von drei Vierteln der Bevölkerung des Landes in den Händen von Verbrechern befanden. Dieses riesige Datenleck hatte sich durch einen Hack der Server des Unternehmens SK Telecom aufgetan, dem das Suchsystem Nibu und das soziale Netzwerk CyWorld gehören.

Welche Folgen könnte dieser Diebstahl haben? Zum einen natürlich Spam-Versendungen an und Phishing-Attacken auf die Betroffenen. Cyberkriminelle könnten die gestohlenen Informationen außerdem dazu benutzen, um Geheimnisse zu erpressen – sowohl persönliche als auch Geheimnisse der Unternehmen, in denen die Anwender arbeiten. Auch Sicherheitssysteme, die auf persönlichen Daten basieren, erwiesen sich als bedroht, insbesondere Banksysteme. Zudem werden gestohlene persönliche Daten auch auf dem Schwarzmarkt gehandelt und dann etwa bei Dokumentenfälschungen verwendet.

Nun stellen wir uns vor, dass diese potentiellen Gefahren drei Vierteln der Bevölkerung eines ganzen Landes drohen! Erwähnenswert ist in diesem Zusammenhang, dass der koreanische Staat vor dem Datenleck gegen die Anonymität im Internet vorging und Anwender bei Veröffentlichungen jedweder Information auf einer Webseite mit hohen Besucherzahlen ihre persönlichen Daten angeben mussten. Nach dem Diebstahl einer so gewaltigen Datenmenge hat die koreanische Regierung dieser Politik nun abgeschworen und will die Anonymität im Internet wieder erlauben.

Evolution der Verbergungstechnologien: Infektion des BIOS

Ein Sprichwort sagt, alles Neue ist nur vergessenes Altes. Dieses Sprichwort passt auch auf die Technologie zur Infektion des BIOS und den neuen Trojaner, der dabei zum Einsatz kommt: Backdoor.Win32.Mebromi.

Mehr als zehn Jahre sind seit der Epidemie von CIH alias „Tschernobyl“ vergangen – einer der bekanntesten Viren der Welt, der auch das BIOS infizierte. Warum kommen Virenautoren gerade jetzt auf die Infektion von Master Boot Record (MBR) und BIOS zurück? Die Antwort auf diese Frage steckt in all den Technologien, die den Computer vor Schadcode schützen sollen. Funktionen moderner Betriebssysteme wie etwa die Möglichkeit, Treiber zu installieren, die ausschließlich von vertrauenswürdigen Herstellern stammen oder die Überprüfung der Treiberintegrität hat die Installation von Rootkits im Betriebssystem stark erschwert. Daher mussten die Virenautoren nach einer Möglichkeit suchen, ihre Machwerke vor dem OS-Start zu laden.


Standard-Ablauf beim Laden des Betriebssystems

Wie man an dem Schema erkennen kann, liegen zwischen dem Einschalten des Rechners (Power ON) und dem Laden des Betriebssystems mehrere Etappen, auf denen die Virenschreiber versuchen, sich einzuklinken. Der steigende Anteil von 64-Bit-Betriebssystemen führte, so wie wir vorhergesagt haben, zu einer Zunahme von Bootkits – also Schädlingen, die den MBR infizieren. Allerdings haben Antiviren-Anbieter recht schnell Mittel und Wege gefunden, diese Art der Infektion effektiv zu bekämpfen. Die einzige Möglichkeit, die den Cyberkriminellen blieb, ihre Schädlinge noch früher zu starten, war die Infektion des BIOS.

Der Schädling Backdoor.Win32.Mebromi besteht aus mehreren Teilen: Installer, Rootkit, MBR-Loader mit der Funktion eines Dateivirus und BIOS-Loader. Uns interessiert an dieser Stelle der Code, der dem BIOS hinzugefügt wird. Seine Tätigkeit beschränkt sich darauf, zu überprüfen, ob der MBR infiziert ist und ihn zu infizieren, falls das nicht der Fall sein sollte. Im Folgenden funktioniert der Schädling nach dem üblichen Bootkit-Schema, auch wenn die Infektion des BIOS dem Schadcode theoretisch mehr Möglichkeiten bieten würde.

Schaut man sich die Liste der Komponenten an, so ist nicht auf den ersten Blick verständlich, wo die schädliche Komponente verborgen ist. Im Grunde dient die ganze komplizierte Technik nur einem Ziel: Unbemerkt eine Datei aus dem Internet zu laden und sie daraufhin zu verbergen. Für den Download aus dem Internet ist der Code verantwortlich, der dem MBR-Loader in den Systemdateien wininit.exe (Windows 2000) oder winlogon.exe (Windows XP/2003) hinzugefügt wurde. Mit der heruntergeladenen Datei (Trojan-clicker) verdienen die Cyberkriminellen dann ihr Geld.

Warum aber macht Mebromi nur so wenig? Vermutlich hängt es damit zusammen, dass der Schädling aus Teilen zusammengesetzt wurde und auf einem bekannten Konzept der BIOS-Infektion basiert, das 2007 vorgestellt wurde. Damit erklärt sich auch die Tatsache, dass ausgerechnet das BIOS des Unternehmens Award infiziert wird, das mit dem Code des Proof of Concept übereinstimmt.

Ist nun mit einer Weiterentwicklung dieser Technologie zu rechnen? Zum gegenwärtigen Zeitpunkt fällt die Antwort auf diese Frage eher negativ aus, da die Entwicklung solcher Schädlinge mit einer Vielzahl von Problemen verbunden wäre. Heute ist der Anteil von Computern mit Award-BIOS nicht allzu groß und ein Großteil der Motherboards verwendet ein BIOS anderer Hersteller. Enthusiasten könnten versuchen, auch dafür eine Art von Mebromi zu entwickeln. Einen Universalcode zu schreiben, der alle Arten von BIOS infizieren würde, ist allerdings kein einfaches Unterfangen, da die BIOS-Versionen verschiedener Hersteller auch verschiedene Größen haben und aus verschiedenen Komponenten bestehen. Zudem ist der für das BIOS reservierte Speicher nicht allzu groß, so dass es sein könnte, dass der Schadcode schlicht und einfach nicht hineinpasst. Obendrein wird derzeit mit UEFI an der Entwicklung eines neuen Formats gearbeitet, das das BIOS ablösen soll. Das neue Format wird dann höchstwahrscheinlich ein interessanteres Ziel für Virenschreiber bieten.

Der Schutz vor dieser Art von Schädlingen und deren Desinfizierung könnten zu einer schwierigen Aufgabe werden. Für Antiviren-Programme ist sie aber nicht unlösbar, da auch AV-Programme Daten ins BIOS schreiben und dementsprechend auch schädliche Daten aus dem BIOS löschen können. Allerdings erfordert diese Prozedur äußerste Vorsicht, da ein Fehler bei der Desinfizierung dazu führen kann, dass der Start des Computers unmöglich wird. Andererseits erschienen nach dem bereits erwähnten Virus CIH Motherboards, die zum Schutz des BIOS mit doppelten BIOS-Chips arbeiten. Diese Hauptplatinen speichern eine Kopie des BIOS in einem gesonderten Chip und können es so bei Bedarf wiederherstellen.

Mobile Schädlinge. Was bringt uns der nächste Tag?

Statistik

Die Zeiten sind vorbei, in denen die Entwicklung von Viren für mobile Plattformen durch eine große Zahl von Mitspielern und Betriebssystemen auf dem Markt für mobile Geräte gebremst wurde. Wie unsere Statistik zeigt, haben die Cyberkriminellen ihre Wahl getroffen, denn die meisten mobilen Schädlinge werden für das Betriebssystem Android entwickelt. Im Laufe des dritten Quartals haben wir über sechshundert neue Signaturen zur Erkennung verschiedener Schadprogramme für diese Plattform zu unseren Datenbanken hinzugefügt.


Anzahl der Signaturen, die zur Erkennung mobiler Schädlinge unter verschiedenen
Plattformen hinzugefügt wurden (Q1 bis Q3/2011)

Auf Platz zwei positionierten sich J2ME-Schädlinge, die im Wesentlichen in China und im postsowjetischen Raum produziert werden.

Der Anteil der Schädlinge unter Symbian tendiert langsam gegen Null: Innerhalb der ersten drei Quartale 2011 wurde nur ein Zehntel aller neuen Schädlinge für diese Plattform geschrieben.

Für iOS wurden keine Schädlinge mit Payload entdeckt. In unseren Datenbanken sind lediglich Exploits enthalten, die es ermöglichen, das Sicherheitssystem der Geräte zu umgehen und auf ihnen beliebigen Code zu installieren und auszuführen. Diese Möglichkeiten werden von Virenschreibern derzeit allerdings kaum genutzt, da es bei Verwendung eines Exploits nötig ist, den Anwender auf eine Webseite zu locken, von der aus die Attacke ausgeführt wird. Insgesamt sind Angriffe auf iPhone-User ressourcenintensiver und komplizierter als Attacken auf Anwender von Android oder von einfacheren Smartphones.

Android-Schädlinge an der Spitze

Im vergangenen Quartal stieg der Anteil von Android-Schädlingen deutlich an und betrug 40 Prozent aller im Jahr 2011 erkannten mobilen Schadprogramme. Eine Analyse der Schadprogramme unter Android hat gezeigt, dass der Hauptgrund für diesen Zuwachs nicht in der Entwicklung prinzipiell neuer Schädlinge liegt, sondern im Erscheinen einer Unmenge recht simpler Schadprogramme mit den Funktionen Datenklau, Versenden kostenpflichtiger SMS und Registrierung des Anwenders bei kostenpflichtigen Diensten. Diese Programme ähneln bereits bekannten Schädlingen wie ein Ei dem anderen, die allerdings für eine andere Plattform geschrieben wurden, und zwar J2ME. Sie wurden wie am Fließband produziert: Neue Programme wurden automatisch täglich im Akkord hergestellt, bewährte J2ME-Schädlinge von den veralteten Geräten auf Geräte unter dem Betriebssystem Android verschoben.

Die Migration der Programme läuft über einen Konverter ab, der jad-Dateien (J2ME) in apk/dex-Files (Android OS) umwandelt. Vom technischen Standpunkt aus betrachtet ist das nicht sonderlich kompliziert und im Internet existieren sogar Online-Dienste, die diese Operation ermöglichen. Gerade mit Hilfe der Konverter-Dienste konnten die Virenautoren ihre Machwerke praktisch ohne irgendwelche Ausgaben an eine neue Umgehung anpassen.

Das in Android integrierte Sicherheitssystem könnte die Anwender vor den einfachsten Trojanern schützen, wenn es nicht ein „aber“ gäbe: Bei der Installation erlauben die Anwender einem Programm, ungesehen alle Funktionen aus der vorgeschlagenen Liste auszuführen, was unter anderem auch ein geplündertes Bankkonto nach sich ziehen kann.

Doch die Cyberkriminellen beschränken sich nicht allein auf die Produktion einer Unmenge von Android-Schädlingen. In unserem letzten Report haben wir bereits darauf hingewiesen, dass die Situation mit mobilen Schädlingen stark an die Geschichte mit Windows erinnert. Cyberkriminelle setzen bereits bewährte Technologien auf neuen Plattformen ein. Wir registrierten zwei Fälle von zielgerichteten Angriffen auf Android-Geräte. Es ist nicht schwer zu erraten, dass dabei eine Methode zur Bestimmung des Gerätetyps und des Betriebssystems über das Feld user-agent eingesetzt wurde, das vom Browser beim Besuch der Webseite gesendet wird. Dieser Ansatz wird häufig in verschiedenen Exploit-Packs verwendet.

Online-Banking und mobile Trojaner

Wir hatten vermutet, dass die Online-Kriminellen nach neuen Wegen suchen würden, um aus Android-Schädlingen Kapital zu schlagen und mittlerweile wurde die Vermutung bestätigt: Im Juli wurde ein Trojaner der Familie Zitmo (zeus-in-the-mobile) für Android entdeckt, der es Cyberkriminellen in Zusammenarbeit mit seinem großen Bruder Trojan-Spy.Win32.Zeus ermöglicht, das System der Zwei-Faktor-Authentifizierung zu umgehen, das viele Internet-Banking-Systeme verwenden.

Bei der Zwei-Faktor-Authentifizierung muss der Kunde seine Anmeldung im System sowie jede Transaktion mit einem Code bestätigen, der von der Bank auf sein Mobiltelefon geschickt wird. Ohne diese Codes können Webgangster kein Geld von den geschützten Konten des Anwenders stehlen, selbst wenn sie sich mit Hilfe von Trojanern des Typs ZeuS oder SpyEye, die Nutzername und Passwort stehlen, Zugriff auf das Konto verschafft haben.

Das System der Zwei-Faktor-Authentifizierung beruht auf der Annahme, dass Cyberkriminelle nicht an die Codes kommen können, die die Bank auf das Mobiltelefon des Kunden schickt. Diese Annahme erweist sich allerdings als falsch, wenn ZeuS und Zitmo zusammen aktiv werden.

Arbeitet ZeuS mit Zitmo zusammen, stiehlt er, nachdem ein PC infiziert wurde, nicht nur die persönlichen Daten des Anwenders, sondern bringt ihn außerdem dazu, den mobilen Trojaner auf sein Telefon zu laden. Bei der Anmeldung des Nutzers im Online-Banking-System erscheint eine Mitteilung, die ihn auffordert, dringend eine Anwendung herunterzuladen, die ihn angeblich beim Online-Banking schützt. Getarnt als das legale Programm „Trusteer Rapport“ gelangt so der Trojaner Trojan.AndroidOS.Zitmo auf sein Smartphone.

Nachdem er in das Telefon eingedrungen ist, beginnt Zitmo, alle eingehenden SMS an den Server der Kriminellen zu schicken. Unter diesen Kurzmitteilungen befinden sich auch jene, die die Bank zur Bestätigung von Transaktionen und zur Anmeldung am System an den Nutzer sendet. Und genau auf diese Codes sind die Online-Gangster aus. Da sie mit Hilfe von ZeuS bereits über Nutzernamen und Passwort des Anwenders für das Internet-Banking verfügen, können sie nun mit den SMS-Codes Finanztransaktionen bestätigen und Geld vom Konto des Anwenders abheben.

Der Trojaner Zitmo verbreitet sich auch über den Android Market, von wo aus er zum Glück bisher weniger als 50-mal heruntergeladen wurde. Eine so geringe Ausbreitung zeugt davon, dass die Cyberkriminellen die neue Technologie zunächst einmal testen und sie noch nicht massenhaft einsetzten wollen. Es gibt auch noch andere Methoden, um die Autorisierung im Online-Banking über das Mobiltelefon zu umgehen, die von Kriminellen ebenfalls auf ihre Praxistauglichkeit getestet werden. Dazu gehört zum Beispiel die Änderung der Handy-Nummer, die vom Kunden in den Einstellungen angegeben wird. Die weitere Entwicklung des Trojaners Zitmo hängt im Wesentlichen davon ab, welche der Methoden zur Umgehung der Autorisierung sich am effektivsten erweisen wird.

Schädling im Quadrat

Das letzte Thema, das in diesem Kapitel auf keinen Fall fehlen darf, ist die Entdeckung eines Partnerprogramms durch Kaspersky Lab, das schädliche Programme über QR-Codes verbreitet.

Ihrem Wesen nach erinnern QR-Codes an normale Strichcodes, allerdings mit dem Unterschied, dass sie über große Kapazität zum Speichern von Informationen verfügen. QR-Codes werden zur Informationsübermittlung auf mobile Geräte eingesetzt. Der Anwender muss lediglich mit der Kamera seines Geräts das Bild einscannen und erhält sofort alle darin enthaltenen Informationen in lesbarer Form. Viele Smartphone-Besitzer nutzen ihren Computer, um nach Programmen für ihr mobiles Gerät zu suchen. Um die gefundene Software auf das Telefon laden zu können, muss man in die Adresszeile des mobilen Browsers manuell die entsprechende URL eingeben. Auf vielen Webseiten wird den Anwendern angeboten, den Link nicht manuell einzugeben, sondern mit dem Mobiltelefon einfach den QR-Code zu scannen, der den chiffrierten Link enthält.

Cyberkriminelle verwenden eine ähnliche Technik zur Verbreitung von SMS-Trojanern, die als Software für das Betriebssystem Android getarnt sind, indem sie einen schädlichen Link als QR-Code verschlüsseln. Nach dem Scannen eines solchen QR-Codes wird eine schädliche APK-Datei (Installationsdatei von Android OS) auf das mobile Gerät des Anwenders geladen, die nach ihrer Installation nach einem wohl erprobten Schema funktioniert – sie versendet SMS an eine kostenpflichtige Nummer. Unsere Experten fanden einige Webseiten, auf denen QR-Codes zur Verbreitung von Schadprogrammen verwendet wurden.

Es gibt verschiedene Varianten beim Einsatz von QR-Codes durch Cyberkriminelle. Was wir bisher zu sehen bekommen, sind nur erste Versuche. Man kann sich vorstellen, welche Gefahr der Austausch von QR-Codes in Werbe- und Infomitteilungen darstellt, sowohl im Internet als auch in der realen Welt. Doch die speziell für mobile Geräte entwickelten Schutzlösungen können diese Bedrohung schon jetzt abwenden.

Angriffe auf die größten Konzerne der Welt

Die Zahl der Angriffe auf Großunternehmen weiter an. Und das, obwohl Massenmedien und Experten dem Thema zielgerichtete Attacken viel Aufmerksamkeit widmen, was große Unternehmen dazu anregen sollte, ihre Schutzsysteme besser abzusichern. Im dritten Quartal 2011 wurde neben den Attacken von Anonymous auch ein Angriff unbekannter Hacker auf Unternehmensnetzwerke bekannt.

Am aktivsten war die Hacktivistengruppe Anonymous im Juli und August nach der Verhaftung mehrerer Mitglieder dieser Organisation. Ziel der Attacken waren die italienische Cyberpolizei, verschiedene Polizeieinheiten in den USA, Booz Allen Hamilton – eine Firma, die unter anderem für die amerikanische Regierung arbeitet – sowie ManTech International und IRC Federal, zwei Auftragnehmer des FBI. Ebenfalls auf der Liste der Opfer der Hacktivisten standen das Transportsystem von San Francisco (BART), die Firma Monsanto sowie Vanguard Defense, ein Unternehmen, das Militärtechnik entwickelt. Infolge der Hacker-Attacken wurden Informationen über Mitarbeiter und Kunden der Unternehmen öffentlich zugänglich, ebenso interne Dokumente, Geschäftskorrespondenz sowie vertrauliche Daten, die später von Mitgliedern der Gruppe auf pastebin.com oder BitTorrent zugänglich gemacht wurden.

Im September verlegte sich Anonymous von zielgerichteten Angriffen auf Unternehmen auf die Organisation von Bürgerprotesten. Die konsequenten Aktionen der Strafverfolgungsbehörden, die bereits mehr als ein Dutzend an den Anonymous-Attacken beteiligten Personen verhaften konnten, lässt die Frage nach einer Bestrafung derjenigen aufkommen, die sich dieser Bewegung anschließen. Daher wählen die neuen Mitglieder weniger gefährliche Formen des Protests, die in den meisten Ländern der Welt legal sind. Berücksichtigt man allerdings die dezentrale Struktur der Gruppe, so kann man mit Sicherheit davon ausgehen, dass die Hacker-Abteilung der Organisation ihre Attacken trotz allem fortsetzen wird.

Auch das dritte Quartal verlief nicht ohne Nachrichten über Attacken, von denen nie jemand hätte erfahren sollen, wäre es nach ihren Urhebern gegangen. Von einer Attacke betroffen war auch das Computersystem von Mitsubishi Heavy Industries, einem Hersteller von Rüstungstechnik. Das Angriffsszenario ist praktisch eine Neuauflage der Attacke auf das Computernetz des Unternehmens RSA im März dieses Jahres. Den Mitarbeitern des Unternehmens wurden Mails mit schädlichen Anhängen geschickt. Anstelle einer Excel-Datei handelte es sich dabei in diesem Fall um eine PDF-Datei, die ein Exploit enthielt. Nach dem erfolgreichen Start des Exploits auf dem Computer wurde ein Schadprogramm geladen, das Cyberkriminellen die uneingeschränkte Kontrolle über das System verschafft. Im Folgenden mussten die Hacker auf den Servern des Unternehmens nur noch nach Informationen suchen, die für sie von Interesse sind und diese an ihre eigenen Server schicken.

Verschiedenen Angaben zufolge wurden Computer in mehreren Betrieben infiziert, die Raketen, U-Boote und Kriegsschiffe herstellen. Schadprogramme wurden auch im Hauptsitz von Mitsubishi Heavy Industries gefunden. Offensichtlich konnten sich die Hacker Zugriff auf äußerst sensible Informationen verschaffen, doch im Gegensatz zum RSA-Hack ist in diesem Fall nicht klar, welche genauen Informationen ihnen in die Hände gefallen sind. Unbekannt ist auch, wer hinter dem Angriff steckt. Mit Bestimmtheit lässt sich nur sagen, dass solche Attacken für traditionelle Cyberkriminelle, die von der Gier nach dem schnellen Geld getrieben werden, schlicht uninteressant sind.

Geografie: Domain-Zonen

Die Registrierung von Domain-Namen ist einer der Kostenfaktoren für Spammer, Phisher, Verbreitern von falschen Antiviren-Programmen und anderen Cyberkriminellen. Sie sind bestrebt, ihre Ausgaben zu minimieren und bevorzugen daher entweder gehackte Domains oder Domain-Zonen, in denen man tausende Domains für wenige Dutzend Dollar oder gleich ganz umsonst registrieren kann. Zu den letztgenannten gehört die Domain-Zone co.cc.

Im dritten Quartal 2011 gab es eine Reihe von Ereignissen, die Auswirkungen auf die Verteilung von Schadcode auf die verschiedenen Domain-Zonen hatten. So hat etwa Google am 12. Juni alle Webseiten aus seinen Suchergebnissen ausgeschlossen, die in der Zone co.cc registriert sind. Es sei daran erinnert, dass die Domain co.cc unter anderem von Cyberkriminellen genutzt wurde, die Anwender auf schädliche Seiten lockten, indem sie das Suchsystem austricksten. Diese Maßnahme zwang die Betrüger dazu, sich eine neue Bleibe in neuen Domain-Zonen zu suchen. Infolgedessen rutschte co.cc im Rating der schädlichen Domain-Zonen vom 6. auf den 15. Platz ab.

Anzahl abgewehrter Web-Attacken von Webseiten in verschiedenen Domain-Zonen im Q2 und Q3/2011

Domain-Zone Anzahl abgewehrter Versuche, auf eine infizierte Ressource in dieser Domainzone zu gelangen
š   Q2/2011 Q3/2011
1 com 109075004 103275409
2 ru 29584926 40253770
3 net 19215209 17000212
4 info 11665343 8021383
5 org 9267493 7833540
6 co.cc 6310221 6383968
7 in 5764261 3167385
8 tv 3369961 2923103
9 cz.cc 3289982 2330531
10 cc 2721693 1200413

Tatsächlich haben so radikale Maßnahmen wie der Ausschluss aus den Suchergebnissen einer ganzen Domain-Zone einen gewissen Effekt, wenn bisher auch nur einen kurzfristigen. Im Netz gibt es Dutzende von Domain-Zonen in der Art von co.cc, in denen die Registrierung von Domains entweder gar nichts kostet oder überaus günstig ist. In eine solche Zone sind die Websites der Cyberkriminellen nun umgezogen, zum Beispiel bz.cm, ae.am und gv.vg.

Statistik

Die folgenden Statistiken basieren auf den Daten der verschiedenen Kaspersky-Schutzkomponenten. Alle im Bericht verwendeten Daten wurden mithilfe des Kaspersky Security Network (KSN) gesammelt und ausgewertet. Diese Informationen stammen von Kaspersky-Anwendern, die ihr Einverständnis zur Übermittlung dieser Daten gegeben haben. Am globalen Informationsaustausch über die Aktivität von Schadprogrammen nehmen Millionen Anwender von Kaspersky-Produkten in 213 Ländern teil.

Bedrohungen im Internet

Die Informationen in diesem Abschnitt basieren auf den Daten von Kaspersky Web-Anti-Virus, der Anwender vor dem Download schädlichen Codes von infizierten Webseiten schützt. Das können Seiten sein, die von Cyberkriminellen speziell erstellt wurden, Web-Ressourcen, deren Inhalt beispielsweise in Foren von Anwendern gestaltet wird, sowie gehackte legitime Ressourcen.

Im dritten Quartal 2011 wurden 226.116.594 Attacken abgewehrt, die von Internet-Ressourcen in verschiedenen Ländern durchgeführt wurden. Im Zusammenhang mit diesen Vorfällen wurden insgesamt 107.413 verschiedene Modifikationen von schädlichen und potentiell unerwünschten Programmen registriert.

Top 20 der im Internet erkannten Objekte

Position Name* Prozentualer Anteil an allen Attacken**
1 Malicious URL 75,52%
2 Trojan.Script.Iframer 2,44%
3 Trojan.Script.Generic 1,68%
4 Exploit.Script.Generic 1,37%
5 Trojan.Win32.Generic 1,04%
6 AdWare.Win32.Eorezo.heur 0,75%
7 Trojan-Downloader.Script.Generic 0,75%
8 Trojan.JS.Popupper.aw 0,55%
9 AdWare.Win32.Shopper.ee 0,43%
10 AdWare.Win32.FunWeb.kd 0,38%
11 WebToolbar.Win32.MyWebSearch.gen 0,33%
12 Trojan-Downloader.JS.Agent.gay 0,25%
13 Trojan.JS.Iframe.tm 0,23%
14 Trojan-Downloader.Win32.Generic 0,22%
15 AdWare.Win32.FunWeb.jp 0,21%
16 Trojan.HTML.Iframe.dl 0,20%
17 Trojan.JS.Iframe.ry 0,18%
18 Trojan.VBS.StartPage.hl 0,17%
19 AdWare.Win32.Shopper.ds 0,15%
20 Trojan-Downloader.JS.Agent.fzn 0,15%

* Die Statistik basiert auf Daten von Kaspersky Web-Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf. ** Anteil an allen Web-Attacken, die auf den Computern einzelner Anwender registriert wurden.

Auf Platz eins unserer schwarzen Liste befinden sich verschiedene schädliche URLs, die wir früher unter der Bezeichnung Blocked geführt haben. Ihr Anteil stieg insgesamt um 15 Prozentpunkte, wodurch sie nunmehr drei Viertel aller beim Surfen im Internet blockierten Bedrohungen ausmachen.

Adware stellt ein Viertel des Ratings – Werbeprogramme, die mit allen möglichen Wahrheiten und Unwahrheiten versuchen, auf die Computer der Anwender zu gelangen. Die Aufgabe dieser Programme ist simpel: Nach ihrer Installation auf dem Computer, in der Regel getarnt als Browsererweiterung, zeigen sie dem Anwender Werbebotschaften.

11 Vertreter der Top 20 nutzen Sicherheitslücken in der Software aus und werden für den Transport von Schadprogrammen auf die Computer der Anwender eingesetzt.

Wie bereits erwähnt, sind über 75 Prozent aller blockierten Web-Bedrohungen schädliche URLs (Adressen von Webseiten mit Exploit-Packs, Bots, Erpresser-Trojanern und so weiter). Die Anwender können auf zwei verschiedene Arten auf solche schädlichen Seiten geraten: Zum einen werden sie entweder von anderen Seiten darauf umgeleitet, unter anderem auch von gehackten legitimen Seiten, in die schädliche Skripte integriert wurden (Drive-by-Attacke). Zum anderen klicken die Nutzer häufig selbst auf die gefährlichen Links. Solche Links werden von Cyberkriminellen via E-Mail und in sozialen Netzwerken verbreitet, sie werden auf zweifelhaften oder gehackten Webseiten veröffentlicht oder sie werden mit Hilfe der Blackhat-SEO-Methode in die Ergebnisliste von Suchanfragen eingeschmuggelt.

Wir haben eine Liste der Web-Ressourcen zusammengestellt, auf denen die KSN-Teilnehmer im dritten Quartal am häufigsten auf schädliche Links geklickt haben, die von den Kaspersky Lab-Produkten blockiert werden.

Top 3 der Webseiten mit schädlichen Links im Q3/2011

Name der Seite Kurzbeschreibung Durchschnittliche Anzahl von Versuchen pro Tag, Nutzer auf eine schädliche Webseite zu locken
Facebook Größtes soziales Netzwerk 96.000
Google Größte Suchmaschine der Welt 30.000
Yandex Größte Suchmaschine im russischsprachigen Internetsegment 24.000

Den ersten Platz der Webseiten, von denen die User versuchten, auf gefährliche Seiten zu wechseln, belegt Facebook. Auf den Computern der KSN-Anwender blockierten wir täglich fast 100.000 Versuche, auf schädliche Links in diesem Netzwerk zu klicken. Die Virenschreiber setzen eine Vielzahl von Social-Engineering-Methoden ein, um den Anwender in die Irre zu führen und ihn dazu zu bringen, auf einen Link zu klicken. Besonders beliebt sind unter Cyberkriminellen Themen aus dem aktuellen Tagesgeschehen, um neugierige Anwender in die Falle zu locken. In diesem Quartal waren pikante Fotos von Hollywoodstars sowie die kostenlose Verteilung des iPhone 5 die beliebtesten Köder-Themen.

Auf den Positionen zwei und drei landeten die Suchsysteme Google und Yandex. Das Suchen im Internet kann leider auch sehr gefährlich sein. Kriminelle setzen aktiv die Technik Blackhat SEO ein und manipulieren die Suchsysteme. Als Folge erscheinen die Webseiten der Cyberbetrüger auf der ersten Seite in der Ergebnisliste für populäre Suchanfragen. Ein anderer Grund für die hohen Positionen der beiden Suchsysteme im Rating liegt darin, dass die Anwender von den Links in der Suchergebnis-Liste auf populäre Webseiten gelangen können, die von Online-Kriminellen gehackt wurden.

Länder mit verseuchten Web-Ressourcen

Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen wir die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).

Im dritten Quartal 2011 konzentrierten sich 88 Prozent der Web-Ressourcen, die zur Verbreitung von Schadcode genutzt werden, auf zehn Länder der Welt.


Verteilung der Web-Ressourcen, auf denen Schadprogramme
platziert sind, nach Ländern im dritten Quartal 2011

In den Top 10 gab es nur eine Veränderung: Rumänien verdrängte Schweden (1,3 %) von Platz 10 des Ratings, das seinerseits um zwei Positionen abrutschte. Das Führungstrio blieb unverändert, allerdings tauschten einige Länder die Plätze. Innerhalb der letzten drei Monate nahm der Anteil der in Deutschland liegenden Hostings deutlich zu (plus 4,9 %), ebenso der Anteil der Jungferninseln (plus 2,8 %). In England (minus 1,7 %), Kanada (minus 1,5 %) und in der Ukraine (minus 1,2 %) sank der Anteil gehosteter Schadprogramme ab.

Länder mit dem größten Infektionsrisiko

Um den Grad des Infektionsrisikos via Internet zu bestimmen, dem die Computer der Anwender in den verschiedenen Ländern ausgesetzt sind, haben wir für jedes Land berechnet, wie häufig Kaspersky Anti-Virus im Laufe des Quartals bei den Anwendern Alarm geschlagen hat.

Position Land* Prozent einzelner Computer**
1 Russland 50,0%
2 Oman 47,5%
3 Armenien 45,4%
4 Weißrussland 42,3%
5 Aserbaidschan 41,1%
6 Kasachstan 40,9%
7 Irak 40,3%
8 Tadschikistan 39,1%
9 Ukraine 39,1%
10 Sudan 38,1%

* Aus unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Nutzer von Kaspersky-Produkten unter 10.000 liegt.
** Prozentualer Anteil von Anwender-PCs, die Web-Attacken ausgesetzt waren, an allen Nutzern von Kaspersky-Produkten in diesem Land.

Aus den Top 10 ausgeschieden sind die USA (32 %), Saudi Arabien (30,9 %) und Kuwait (28,8 %). Ihre Plätze haben Tadschikistan und Kasachstan eingenommen, wo die Zahl der Internetuser stetig zunimmt, sowie die Ukraine.

Der Anteil der angegriffenen Nutzer in den USA sank um 8 Prozentpunkte. Zu dieser Entwicklung trug der starke Rückgang von gefälschten Antiviren-Lösungen bei. Die Zahl dieser betrügerischen Programme stieg im vorausgegangenen Quartal drastisch an, doch im August pendelten sich die Werte wieder auf normalem Niveau ein. Das wirkte sich auch auf andere Industrienationen aus, wo der Anteil der via Internet angegriffenen Computer ebenfalls zurückging, wie zum Beispiel in Großbritannien (24,7 %) um 10 Prozentpunkte und in Kanada (24,6 %) um 8 Prozentpunkte.


Anzahl abgewehrter Angriffe von gefälschten Antiviren-Programmen pro Tag,
Mai bis September 2011

Nach dem Grad des Infektionsrisikos der Anwender-PCs lassen sich alle Länder in verschiedene Gruppen einteilen. Wir weisen darauf hin, dass dieses Quartal zwei Länder erstmals in unserem Rating vertreten sind: Libyen (24,7 %) und Niger (15 %).

  1. Gruppe mit erhöhtem Risiko. Zu dieser Gruppe mit Werten zwischen 41 und 60 Prozent gehören fünf Länder aus den Top 10: Russland (50 %), Oman (47,5 %), Armenien (45,4 %), Weißrussland (42,3 %) und Aserbaidschan (41,1 %).
  2. Risikogruppe. In der Gruppe mit Werten zwischen 21 und 40 Prozent sind 79 Länder vertreten, darunter China (37,9 %), die USA (32 %), Brasilien (28,4 %), Spanien (22,4 %) und Frankreich (22,1 %).
  3. Gruppe der beim Surfen im Internet sichersten Länder. Zu dieser Gruppe zählten im dritten Quartal 2011 insgesamt 48 Länder mit Werten zwischen 10,9 und 20 Prozent.

Die Zusammensetzung der Gruppen hat sich im Vergleich zum zweiten Quartal stark verändert.

Die Gruppe mit erhöhtem Risiko hat sich um drei Länder verringert: Irak (minus 1,1 Prozentpunkte), Sudan (minus 5,3 Prozentpunkte) und Saudi Arabien (minus 11,7 Prozentpunkte) befinden sich nun in der Risikogruppe.

In der Gruppe der beim Surfen im Netz sichersten Länder befinden sich 19 Staaten, die im vorigen Quartal zur Risikogruppe gehörten. Zusammen mit Niger, dem Neuling in diesem Rating, besteht die Gruppe der sicheren Länder nun aus 20 Teilnehmern.

Am seltensten wurden die Nutzer in den folgenden Ländern beim Surfen im Netz angegriffen: Dänemark (10,9 %), Japan (12,8 %), Slowenien (13,2 %), Luxemburg (14,5 %), Taiwan (14,7 %), Slowakei (16 %) und Schweiz (16,4 %).


Infektionsrisiko der Anwender-PCs via Internet in den verschiedenen Ländern

Durchschnittlich waren 24,4 Prozent der Computer aller KSN-Nutzer mindestens einmal einem Angriff beim Surfen im Web ausgesetzt, das heißt praktisch jeder vierte Computer in der Welt.

Im Vergleich zum vorigen Quartal sank der durchschnittliche Anteil der angegriffenen Rechner um 3 Prozentpunkte. Gleichzeitig stieg die Zahl der Webattacken um 8,4 Prozent, von 208.707.447 im zweiten Quartal auf 226.116.594 im dritten Quartal. Das weist darauf hin, dass die Angriffsquellen immer gefährlicher werden: Mit jeder schädlichen Webseite wird versucht, gleich mehrere verschiedene Schadprogramme auf den Computer des Anwenders einzuschleusen.

Die erfolgreichen Aktionen der Strafverfolgungsbehörden in Zusammenarbeit mit Antiviren-Anbietern tragen bereits Früchte. In erster Linie zielen die Maßnahmen auf eine Verringerung der Zahl infizierter Computer ab. Zudem sind moderne Betriebssysteme besser geschützt und weil ihr Anteil gegenüber den veralteten Betriebssystemen steigt, müssen Cyberkriminelle versuchen, den Schutzwall gleich mit mehreren Schadprogrammen zu durchbrechen.

Lokale Bedrohungen

Wir haben die Berechnung für die Werte in diesem Abschnitt verändert und den statistischen Daten, die auf der Arbeit des Echtzeit-Scanners basieren, eine Statistik für den Scan verschiedener Datenträger hinzugefügt, darunter auch mobile Speichermedien (On-Demand Scanner).

Auf den Anwendercomputern erkannte Objekte

Im dritten Quartal 2011 blockierten unsere Antiviren-Lösungen 600.344.563 Versuche einer lokalen Infektion auf den Computern der Anwender, die am Kaspersky Security Network teilnehmen.

Bei dem Versuch, sich auf den Computern der Anwender auszuführen (Echtzeit-Scanner) wurden insgesamt 429.685 verschiedene Modifikationen schädlicher und potentiell unerwünschter Programme registriert.

Top 20 der auf den Computern der Anwender entdeckten Objekte

Position Name Prozent einzelner Anwender *
1 Trojan.Win32.Generic 17,7%
2 DangerousObject.Multi.Generic 17,4%
3 Net-Worm.Win32.Kido.ih 6,9%
4 Trojan.Win32.Starter.yy 5,8%
5 Virus.Win32.Sality.aa 5,5%
6 Net-Worm.Win32.Kido.ir 5,3%
7 Virus.Win32.Sality.bh 4,7%
8 Virus.Win32.Sality.ag 3,0%
9 HiddenObject.Multi.Generic 2,5%
10 Virus.Win32.Nimnul.a 2,4%
11 Worm.Win32.Generic 2,2%
12 Hoax.Win32.ArchSMS.heur 2,2%
13 Exploit.Java.CVE-2010-4452.a 1,7%
14 AdWare.Win32.FunWeb.kd 1,7%
15 Packed.Win32.Katusha.o 1,7%
16 Virus.Win32.Generic 1,6%
17 Packed.Win32.Krap.ar 1,6%
18 Backdoor.Win32.Spammy.gf 1,6%
19 Trojan-Downloader.Win32.FlyStudio.kx 1,6%
20 Worm.Win32.VBNA.b 1,6%

Die Statistik basiert auf Daten von Kaspersky Anti-Virus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.
* Prozentualer Anteil der einzelnen Computer, auf denen Kaspersky Anti-Virus das entsprechende Objekt erkannt hat, an allen mit Kaspersky-Produkten ausgestatteten Computern, auf denen Anti-Virus Alarm geschlagen hat.

Den ersten Platz des Ratings belegt eine Vielzahl von Schadprogrammen, die proaktiv vom heuristischen Analysemodul als Trojan.Win32.Generic erkannt wurden (17,7 %).

Auf Position zwei konnten sich verschiedene Schadprogramme platzieren, die mit Hilfe von Cloud-Technologien aufgespürt werden. Diese Technologien greifen dann, wenn in den Antiviren-Datenbanken bisher keine Signaturen vorhanden sind und auch die Heuristik des Programms den Schädling nicht erkennt, dafür aber in der Cloud des Unternehmens bereits Informationen über das Objekt bereitstehen. In diesem Fall wird das erkannte Objekt als DangerousObject.Multi.Generic (17,4 %) bezeichnet.

Die Hälfte des Ratings wird von Programmen gestellt, die sich selbst verbreiten – Viren und Würmer, die Wechseldatenträger und/oder ausführbare Dateien infizierten. Ebenfalls in den Top 20 vertreten ist das „Zubehör“ für derartige Programme, nämlich Hilfsdateien, die den Hauptschädling starten. Zu dieser Programmart zählt zum Beispiel Trojan.Win32.Starter.yy, der mit Hilfe von Virus.Win32.Nimnul auf den Computer gelangt und seinerseits Backdoor.Win32.IRCNite.clf und Worm.Win32.Agent.adz startet.

Packed.Win32.Krap.ar, Packed.Win32.Katusha.o und Worm.Win32.VBNA.b sind ihrem Wesen nach das „Einwickelpapier“ für andere Schadprogramme. Im Wesentlichen werden sie von Cyberkriminellen zum Schutz vor Erkennung und zum Transport von gefälschten Antiviren-Lösungen auf die Computer der Anwender eingesetzt.

Länder, in denen Computer dem höchsten Infektionsrisiko ausgesetzt waren

In den einzelnen Ländern haben wir den prozentualen Anteil der KSN-Anwender ermittelt, auf deren Computern Versuche einer lokalen Infektion blockiert wurden, und zwar für jedes Land, in dem die Zahl der KSN-Nutzer größer als 10.000 ist. Die so erhaltenen Zahlen spiegeln das durchschnittliche Infektionsrisiko der Computer in dem einen oder anderen Land wider.

Top 10 der Länder nach Risiko einer lokalen Infektion

Position Land* Prozent einzelner Anwender**
1 Bangladesh 92,7
2 Sudan 87,5
3 Ruanda 74,8
4 Tansania 73,4
5 Angola 72,5
6 Nepal 72,2
7 Irak 72
8 Indien 70,9
9 Uganda 69,8
10 Afghanistan 68

* Von unseren Berechnungen haben wir die Länder ausgenommen, in denen die Zahl der Anwender von Kaspersky-Produkten relativ gering ist (weniger als 10.000).
** Prozentualer Anteil der Anwender, auf deren Computern lokale Bedrohungen blockiert wurden, an allen Anwendern von Kaspersky-Produkten in dem Land.

Die Änderung in der Berechnungsmethode unserer Statistik hatte keine sonderlichen Auswirkungen auf die Zusammensetzung der Top 10. Bis auf die Mongolei, die nicht mehr vertreten ist, und Uganda als Neueinsteiger sind dieselben Länder vertreten wie im zweiten Quartal. Allerdings wurden in den Werten nun auch alle Arten von erkannten und unschädlich gemachten Schadprogrammen berücksichtigt, die sich sowohl auf Festplatten als auch auf mobilen Speichermedien befanden.

Mit einem Wert von 92,7 Prozent ist Bangladesch der absolute Spitzenreiter. In diesem Land wurden auf 9 von 10 Computern Schadprogramme gefunden und blockiert.

Bemerkenswert ist, dass sich die Veränderung der Methodik vor allem auf die Werte der Entwicklungs- und Schwellenländer ausgewirkt hat. In den Industrienationen hat sich der Anteil der Computer, auf denen lokale Bedrohungen blockiert wurden, nur unwesentlich geändert.

Der deutliche Anstieg attackierter Computer in den Entwicklungsländern hängt in erster Linie mit der großen Anzahl dort verbreiteter Autorun-Würmer zusammen. Die Verwendung solcher Würmer zur Verbreitung von Schadprogrammen ist eine beliebte Methode unter den dortigen Virenautoren. In den Industrienationen setzen die Cyberkriminellen dagegen andere Mittel ein, um Schädlinge auf den Computern ihrer Opfer einzuschleusen, in erster Linie Drive-by-Attacken.

Auch hinsichtlich des Risikos einer lokalen Infektion lassen sich alle Länder in verschiedene Gruppen einteilen:

  • Zur Gruppe mit dem maximalen Infektionsniveau (über 60 %) gehören 21 Länder der asiatischen Region (unter anderem Nepal, Indien, Vietnam und die Mongolei) und Afrikas (Sudan, Angola, Nigeria, Kamerun).
  • Die Gruppe mit hohem Infektionsniveau (41 bis 60 %) besteht aus 55 Ländern, darunter Ägypten, Kasachstan, Russland, Ecuador und Brasilien.
  • Die Gruppe mit mittlerem Infektionsniveau (21 bis 40 %) bilden 37 Länder, unter anderem die Türkei, Mexiko, Israel, Lettland, Portugal, Italien, die USA, Australien und Frankreich.
  • Zu den Ländern mit dem geringsten Niveau einer lokalen Infektion zählen 16 Länder der Welt, von denen sich 14 in Europa befinden (wie Großbritannien, Norwegen, Finnland und die Niederlande) und zwei in Asien: Japan, und Hongkong.


Risiko einer lokalen Infektion in den Industrienationen

Die fünf folgenden Länder sind gemessen am Risiko einer lokalen Infektion am sichersten:

Position Land Prozent einzelner Anwender
1 Japan 10,0%
2 Dänemark (+1 %) 10,7%
3 Schweiz (+2 %) 14,4%
4 Deutschland (-2 %) 15,4%
5 Schweden (+2 %) 15,8%

Sicherheitslücken

Im dritten Quartal 2011 wurden auf den Computern der KSN-Anwender 28.060.517 verwundbare Anwendungen und Dateien entdeckt. Auf jedem angreifbaren Computer fanden wir durchschnittlich zwölf verschiedene Sicherheitslücken.

Es folgt eine tabellarische Übersicht der Top 10 der Sicherheitslücken, die am häufigsten auf den Anwendercomputern gefunden wurden:

Secunia ID Name und Link auf die Beschreibung der Sicherheitslücke Möglichkeiten, die sich durch die Ausnutzung der Sicherheitslücke ergeben Prozentualer Anteil der Anwender, bei denen die Sicherheitslücke entdeckt wurde *** Ausgabedatum Einstufung
1 SA 44784 Sun Java JDK / JRE / SDK Multiple Vulnerabilities

Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

Diebstahl sensibler Daten,
Datenmanipulation, DoS (Denial of Service)

35,85% 08.06.2011 Hochkritisch
2 SA 41340 Adobe Reader / Acrobat SING „uniqueName“ Buffer Overflow Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers 28,98% 08.09.2010 Extrem kritisch
3 SA 45583 Adobe Flash Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers
Deibstahl sensibler Daten

26,83% 10.08.2011 Hochkritisch

4 SA 44964 Adobe Flash Player Unspecified Memory Corruption Vulnerability Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

20,91% 15.06.2011 Extrem kritisch

5 SA 41917 Adobe Flash Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers, Diebstahl sensibler Daten,
Umgehen der Systemsicherheit
15,24% 28.10.2010 Extrem kritisch

6 SA 23655 Microsoft XML Core Services Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers,
DoS (Denial of Service), XSS
14,99% 13.07.2011 Hochkritisch

7 SA 45516 Apple QuickTime Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

14,93% 04.08.2011 Hochkritisch

8 SA 45584 Adobe Shockwave Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers

11,00% 10.08.2011 Hochkritisch

9 SA 46113 Adobe Flash Player Multiple Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers,
XSS
Umgehen der Systemsicherheit
9,67% 22.09.2011 Hochkritisch

10 SA 29407 WinRAR Multiple Unspecified Vulnerabilities Systemzugriff und Ausführen von willkürlichem Code mit den Privilegien eines lokalen Benutzers,
DoS (Denial of Service)

9,56% 03.09.2009 Hochkritisch

***Von 100 Prozent der Anwender, auf deren Computern mindestens eine Sicherheitslücke entdeckt wurde

In diesem Rating sind im Gegensatz zum vorigen Quartal Produkte von fünf statt nur von zwei Firmen vertreten. Allerdings besteht mehr als die Hälfte der Hitliste aus Produkten der Firma Adobe: Flash Player, Acrobat Reader und Shockwave Player. Zwei neue Sicherheitslücken wurden in Apple Quicktime und in Microsoft XML Core Services entdeckt, wodurch diese wieder ins Ranking zurückkehrten. Zudem platzierte sich auch eine recht alte Sicherheitslücke in der beliebten Packsoftware WinRAR aus dem Jahr 2009 in den Top 10.



Hersteller von verwundbaren Produkten aus den Top 10 der Sicherheitslücken

Man sieht, dass jede der Sicherheitslücken Cyberkriminellen die Möglichkeit gibt, mit Hilfe von Exploits uneingeschränkte Kontrolle über das System zu erhalten. Drei Sicherheitslücken ermöglichen zudem die Durchführung von DoS-Attacken auf Rechner, auf denen die verwundbare Anwendung installiert ist. Darüber hinaus lässt sich mit Hilfe zweier Sicherheitslücken die Systemsicherheit umgehen, zwei weitere ermöglichen es, wichtige Informationen über das System zu erhalten, zwei andere die Durchführung von XSS-Attacken und eine Sicherheitslücke macht Datenmanipulation möglich.


Verteilung der Sicherheitslücken aus den Top 10 nach
Art ihrer Auswirkungen auf das System

Fazit

Unter den technologischen Neuheiten ist besonders das Erscheinen von Schadcode hervorzuheben, der das BIOS des Computers infiziert. Diese Art der Infektion macht die Ausführung des Schadcodes direkt nach dem Einschalten möglich, noch bevor – und das ist das Entscheidende – das Betriebssystem und die Schutzlösungen gestartet werden. Dadurch kann sich der Schadcode äußerst effizient im System verbergen. Allerdings hat diese Technik kaum Chancen, zu einem beliebten Werkzeug Cyberkrimineller zu werden. Erstens ist es alles andere als einfach, einen universellen Code zur Infektion aller BIOS-Versionen zu entwickeln. Zweitens werden moderne Motherboards eine neue EFI-Spezifikation verwenden, die sich stark vom BIOS unterscheidet. Daher würde sich der Aufwand, den man betreiben muss, um eine Technologie zur Infektion des BIOS zu entwickeln, zeitlich gar nicht mehr auszahlen. Wir beobachten vielmehr eine Evolution von Rootkit-Technologien und mit jedem Entwicklungsschritt nähert sich der Schadcode einer früheren Ausführungsstufe des Betriebssystems. Bereits jetzt kann man vorhersehen, dass der nächste technische Entwicklungsschritt die Infizierung des System-Hypervisors sein wird. Dadurch werden aber weniger Heimanwender als vielmehr Unternehmen bedroht, da gerade in den Netzwerken großer Organisationen Virtualisierungstechnologie eingesetzt wird. Da Cyberkriminelle sich zunehmend für große Unternehmen interessieren, ist eine Umsetzung dieses Konzepts in unlauterer Absicht bald zu erwarten.

Zielgerichtete Attacken sind mittlerweile ein fester Bestandteil unserer Berichte. Im dritten Quartal 2011 standen besonders japanische und US-amerikanische Unternehmen, die im Auftrag von Verteidigungsministerien arbeiten, im Visier der Hacker. Es ist wirtschaftlich wesentlich günstiger, vertrauliche Dokumente mit Hilfe solcher Cyberaktionen zu stehlen als auf traditionelle Weise. Daher wird es künftig immer mehr Einbrüche in die Netzwerke von Großunternehmen geben, die mit vertraulichen Dokumenten arbeiten.

Bei den mobilen Schädlingen konnten wir eine aktive Migration von der Plattform J2ME zu Android OS beobachten. Die Fragmentierung des Betriebssystem-Marktes für mobile Geräte hat einen Anstieg von mobilen Schadprogrammen lange Zeit zurückgehalten. Nun kann man aber mit Bestimmtheit sagen, dass die Cyberkriminellen ihre Wahl getroffen haben und ihre Bemühungen auf die Entwicklung von Schädlingen unter Android konzentrieren. Was sind das für Programme? Derzeit sind kostenpflichtige SMS und Abonnements für kostenpflichtige Dienste die größte Einnahmequelle. Im dritten Quartal erschien ein Android-Trojaner, dessen Hauptaufgabe darin besteht, Autorisierungscodes für Banktransaktionen zu stehlen. Der Trojaner kann allerdings noch mehr. Ein modernes mobiles Gerät ist ein Kommunikationsmittel mit Zugriff auf hunderte Internetdienste. Wir prognostizieren das Erscheinen von Schadcode, der in erster Linie die Zugangsdaten für solche Dienste stiehlt.

Bezüglich der Schemata zur Monetisierung von Schadprogrammen gab es im zweiten Quartal 2011 das Erscheinen eines Trojaners zu verzeichnen, der auf die virtuelle Währung Bitcoin abzielte. Im dritten Quartal wurde das System von großen Botnetzen übernommen und auf tausenden infizierten Rechnern wurden Generatoren der Kryptowährung installiert, die unter Ausnutzung der Rechenkapazität der infizierten Computer Geld für die Cyberkriminellen erzeugten. Doch das System von Bitcoin beruht auf dem Vertrauen der Anwender: Das Vertrauen beeinflusst den Kurs dieser Währung und ein Vertrauensverlust kann sich verhängnisvoll auf das System auswirken. Die Sicherheitsvorfälle bei Bitcoin und das Auftauchen eines Botnetzes, das virtuelles Geld generiert, haben sich negativ auf den Ruf des Systems ausgewirkt und das virtuelle Geld entwertet, wodurch der Kurs der Währung um mehr als die Hälfte gesunken ist: von 13 auf 4,80 US-Dollar.

Von unseren Experten im dritten Quartal durchgeführte Untersuchungen haben gezeigt, dass die meisten Anwender, die auf schädliche Links klicken, dies auf Facebook tun, dem weltweit größten sozialen Netzwerk. Den von KSN gesammelten Daten zufolge werden täglich rund 100.000 Versuche der Anwender registriert, von Facebook aus einem schädlichen Link zu folgen. Cyberkriminelle versuchen aktiv, das in sozialen Netzwerken aufgebaute Vertrauensverhältnis zu ihren kriminellen Zwecken auszunutzen.

KSN-Daten zufolge ging die Zahl der schädlichen Hostings im dritten Quartal um 12 Prozentpunkte zurück. Gleichzeitig stieg die Zahl der erfolgreichen Attacken auf die Computer der Anwender beim Surfen im World Wide Web um 8 Prozentpunkte an, was dafür spricht, dass die Gefahr, die von jeder einzelnen Schädlingsquelle ausgeht, größer wird. Der Rückgang der schädlichen Hostings wird nur vorübergehend sein und in nächster Zukunft werden die Cyberkriminellen ihre verlorenen Domains wiederherstellen können. Unter Berücksichtigung der bevorstehenden Feiertage – stets eine Blütezeit für alle möglichen Spielarten des Cyberbetrugs – kann man fest davon ausgehen, dass die Zahl der Schadprogramm-Quellen wieder zunehmen wird.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.