Spam im Januar 2010

Besonderheiten des Monats

  • Der Spam-Anteil im E-Mail-Traffic nahm im Vergleich zum Dezember um 3,5 % zu und lag bei durchschnittlich 86,1 %.
  • Links auf Phishing-Seiten befanden sich in 0,81 % aller E-Mails, das sind 0,03 % weniger als im Dezember.
  • Schädliche Dateien waren in 0,07 % aller E-Mails enthalten, das sind 0,09 % weniger als im Vormonat.

Spam-Anteil im E-Mail-Traffic

Der Spam-Anteil im E-Mail-Traffic lag im Januar 2010 bei durchschnittlich 86,1 %. Der niedrigste Wert des Monats wurde mit 78,9 % am 8. Januar registriert, einen Tag nach dem orthodoxen Weihnachtsfest. Am 24. Januar erhielten Anwender mit 89,7 % den meisten Spam.


Spam-Anteil im Januar 2010

Schädliche Dateien befanden sich in 0,07 % aller E-Mails, das sind 0,09 % weniger als im letzten Monat.


In Spam enthaltene Malware – Januar 2010

Obwohl sich die Anzahl der Mails, die mit Hilfe von Packed.Win32.Krap.x gepackte Dateien enthielten, verglichen mit Dezember wesentlich verringerte, bleibt ihr Anteil weiterhin auf hohem Niveau. Mails dieser Art brachten es auf 11,66 % aller infizierten Nachrichten, was diesem Packer den zweiten Platz in den Top 10 der am häufigsten in E-Mails enthaltenen Schadprogramme einbrachte. Bekanntermaßen wird die Krap-Modifikation Win32.Krap.x normalerweise zum Packen von Zbot, FraudTools und Iksmas verwendet.

Mit Packed.Win32.Krap.ah hat eine andere Version von Krap ebenfalls den Sprung in die Hitliste geschafft. Mit Hilfe dieses Packers bearbeitete Dateien fanden sich in 2,35 % aller Mails.

An der Spitze der Top 10 steht diesen Monat Trojan-Spy.HTML.Fraud.gen, der einzige Vertreter der HTML-Plattform in den Statistiken der letzten Monate. Alle anderen Schädlinge laufen auf der populärsten Plattform Win32.

Auf Platz vier und acht liegen Trojan-Downloader.Win32.Agent.dadz und sein „Bruder im Geiste” Trojan-Dropper.Win32.Agent.blhj. Obwohl diese Trojaner zu unterschiedlichen Familien gehören (der eine zu Trojan-Downloader, der andere ist ein Trojan-Dropper), installieren beide auf einem infizierten System unbemerkt ein und dasselbe Schadprogramm, das wir als Trojan.Win32.Fregee.h klassifizieren. Der einzige Unterschied besteht darin, dass Trojan-Downloader.Win32.Agent.dadz nach der Installation des Schädlings versucht, eine Verbindung zum Internet herzustellen und andere Programme herunter zu laden.

Den dritten Platz belegt der Schädling Worm.Win32.Mabezat.b.

Interessanterweise stammen drei von 10 in den Top 10 vertretenen Schädlingen aus einer lang andauernden und im Namen von DHL getarnten Versendung. Es handelt sich dabei um Packed.Win32.Krap.x, Trojan-Downloader.Win32.Piker.brn, der verschiedene unerwünschte Dateien auf das System lädt sowie Trojan-Downloader.Win32.Agent.dadz. Einige gefälschte DHL-Mitteilungen enthielten das Schadprogramm Backdoor.Win32.Bredolab.bvb in einem angehängten Archiv. Ein typisches Beispiel für diese Mails ist unten abgebildet.

Außerdem registrierten wir im Januar eine Versendung, die ein passwortgeschütztes Archiv enthielt. Die Mail mit Betreff „ALERT!” teilte dem Nutzer mit, dass im angehängten Archiv vertrauliche Informationen zu finden seien. Auch das Passwort für das Archiv wurde im Mailkörper mitgeteilt.

Phishing

Im Januar befanden sich in 0,81 % aller E-Mails Links auf Phishing-Websites. Die beliebtesten Angriffsziele der Phisher waren wieder PayPal (plus 21,68 %) und eBay (minus 6,81 %).


Organisationen, die im Januar 2010 Phishing-Attacken ausgesetzt waren

Die Phishing-Attacken auf Facebook haben im Vergleich zum Vormonat recht stark abgenommen (minus 6,58 %). Das beliebte soziale Netzwerk fiel damit auf Position vier und trat den dritten Platz an die Bank HSBC ab. Die Menge der Angriffe auf diese Bank hat sich mit einem Plus von 4,5 % mehr als verdoppelt. In einer von uns registrierten Versendung wurden die Kunden der HSBC-Bank aufgefordert, ihren Online-Banking-Account neu einzurichten und zu diesem Zweck auf den in der E-Mail enthaltenen Link zu klicken. Für den „Reset“ sollten persönliche Daten sowie das Passwort in ein von den Phishern vorbereitetes Online-Formular eingegeben werden.


Abb. 1: Spam-Anteil im November 2009

Denselben Trick – die Aufforderung zur Neueinrichtung des Online-Banking-Accounts – setzten die Phisher bei einer gegen die Kunden der Bank „Chase“ gerichteten Attacke ein:



Spam-Herkunftsländer

Auch im Januar waren die USA wieder der Spitzenreiter unter den Spam-Herkunftsländern, selbst wenn von dort aus etwas weniger Spam als noch im vorhergehenden Monat verbreitet wurde (minus 2,3 %). Brasilien und Russland haben einmal mehr die Plätze miteinander getauscht und belegen die Top-20-Plätze zwei beziehungsweise drei. Eigentlich wurde erwartet, dass die russischen Spammer im Januar weniger aktiv sein würden, da auf Grund der russischen Weihnachtsfeiertage am 6. und 7. Januar ein Großteil der Spam versendenden Botnetze offline ist. Doch weil die aus Russland versendete Spam-Menge im Januar verglichen mit dem Vormonat sogar ein wenig angestiegen ist (plus 0,1 %), konnten die Spammer das Versäumte in der zweiten Monatshälfte anscheinend aufholen.

China ist im Ranking weiter nach oben geklettert und landete mit einem Spam-Zuwachs von 0,5 % diesmal auf Platz 6 der Hitliste.

Vom Territorium der Ukraine aus wurden im Januar nur 1,63 % des gesamten Spam-Aufkommens versendet, das sind fast 2,5 % weniger als im vorhergehenden Monat.

Interessant ist, dass Kolumbien sich im Januar unter den ersten 10 Ländern unserer Hitliste befindet. Von dort aus wurden 1,2 % mehr Spam versendet als noch im Dezember 2009.

Deutschland belegt mit einem Anteil von 1,9 % am gesamten Spam-Aufkommen den 11. Platz des Rankings.

Spam-Themen

In den westlichen Versendungen finden sich nach wie vor am häufigsten Spam-Mails, die verschiedene medizinische Präparate bewerben. Diese Art von Spam macht bereits den zweiten Monat in Folge einen Anteil von rund 35 % aus. Gegen Ende Januar begannen die Spammer, sich intensiv auf den Valentinstag am 14. Februar vorzubereiten und verliehen der Werbung für ihre „Liebesdrogen“ dazu einen festlichen Anstrich:

Der Anteil von Betrugs-Spam stieg um weitere 3 % und erreichte im Monatsdurchschnitt einen Anteil von 22 %.

Ein gewisser Teil der Betrugsmails nahm Bezug auf die Ereignisse in Haiti, wo sich zu Beginn des Monats ein schweres Erdbeben ereignete. Die Betrüger riefen zu Spenden zu Gunsten der Katastrophenopfer auf. Es versteht sich von selbst, dass kein einziger notleidender Haitianer jemals das Geld gesehen hat, das mitfühlende User den Spammern anvertraut haben.

Ungefähr 5 % aller unerwünschten Mitteilungen, die wir in den westlichen Versendungen registrierten, enthalten Angebote für billige Software. Spammer greifen dazu auf das mittlerweile nicht mehr topaktuelle Thema Windows 7 zurück.


Der Anteil von Spam-Mails, die verschiedene Waren und Dienstleistungen des realen Wirtschaftssektors bewerben, hat sich leicht verringert und betrug in unseren westlichen Versendungen 4 %. Das hängt vor allem mit der saisonalen Abhängigkeit vieler Versendungen zusammen, die wir der Kategorie „Andere Waren und Dienstleistungen“ zuordnen. Im Dezember wurden in dieser Rubrik viele Weihnachts- und Neujahrsgeschenke beworben. Im Januar ging es zunehmend um Geschenke zum Valentinstag.


Komisch nur, dass der in oben dargestellter Mail enthaltene Link (Top Ten Valentine Gifts for men and women) den Anwender auf die Website einer Sofortlotterie umleitet.

Darüber hinaus wurde in deutschsprachigem Spam angeboten, ein persönliches Horoskop für das bevorstehende Jahr zu erstellen.


Fazit

Erwartungsgemäß bleibt die Zahl schädlicher Anhänge auf niedrigem Niveau. Für die Versendung von Malware setzen bringen die Spammer keine neuen Tricks ein, sondern verwenden alte und bewährte Methoden wie etwa gefälschte Mitteilungen von DHL.

Auch unsere Vermutungen bezüglich Phishing haben sich bewahrheitet – die Anzahl der Attacken bleibt stabil. Allem Anschein nach wird sich daran auch in den nächsten Monaten nichts ändern.

Ein wichtiger Trend der letzten Monate ist der Anstieg von Betrugs-Mails. Diese Rubrik umfasst unter anderem Phishing-Mails, „nigerianische“ Mails und gefälschte Benachrichtigungen über einen Lotteriegewinn. Im Januar lag der Anteil der Betrugs-Mails am gesamten Spam-Aufkommen bei über 20 %.

Der Artikel und Zitate daraus dürfen unter Nennung des Unternehmens Kaspersky Lab sowie des Autors frei veröffentlicht werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.