Top 20 der Schadprogramme im August 2011

Der August in Zahlen

Im Laufe des Monats wurden auf den Computern der Anwender von Kaspersky-Produkten

  • 193.989.043 Netzattacken abgewehrt
  • 64.742.608 Infizierungsversuche über das Internet blockiert
  • 258.090.156 Schadprogramme entdeckt und unschädlich gemacht (Versuche einer lokalen Infektion)
  • 80.155.498 heuristische Vorfälle gezählt.

Der August ist – trotz der Sommerferien – traditionell einer der ereignisreichsten Monate in der IT-Sicherheitsbranche. Im August finden in den USA zwei der bedeutendsten Konferenzen aus dem Bereich der Informationssicherheit statt: BlackHat und Defcon. Diese Veranstaltungen sind eine beliebte Plattform für die Veröffentlichung seriöser Forschungsergebnisse, wobei es nicht nur um die Resultate des vergangenen Jahres geht, sondern auch darum, einen Blick in die nähere Zukunft zu werfen. Im Laufe der Konferenzen werden fortlaufend die Gefahren neuer Angriffsmethoden und verschiedener Hacking-Techniken diskutiert, von denen sich einige leider später auch in Schadprogrammen finden. Zudem bereiten die Sommerferien sowohl Heimanwendern als auch Unternehmen zusätzliche Probleme. Um auch im Urlaub im Netz surfen zu können, nutzen viele Leute Internet-Cafés und kostenlose WiFi-Zugangspunkte, etwa an Flughäfen. Damit befinden sie sich außerhalb ihrer gewohnten Sicherheitszone und können so leichter Cyberkriminellen zum Opfer fallen.

Neue Programme und Technologien der Cyberkriminellen

Was gab es im August Neues auf der anderen Seite der Front? Welche neuen Schadprogramme und Technologien setzten die Web-Gangster im vergangenen Monat ein?

Ice IX – ZeuS‘ unehelicher Sohn

Der Trojaner ZeuS (Trojan-Spy.Win32.Zbot) ist schon seit mehreren Jahren die am weitesten verbreitete Bedrohung für Nutzer von Online-Banking-Systemen. Betrachtet man die Zahl der Vorfälle mit Beteiligung dieses Schädlings und die Höhe des von ihm verursachten Schadens, kann man ihn tatsächlich für eine „Gottheit“ der Cyberkriminellen halten. Um ZeuS hat sich ein ganzer Geschäftszweig der Cyberkriminalität entwickelt, insbesondere in der russischsprachigen Online-Unterwelt. Dutzende von Gruppen nutzen ihn oder die Ergebnisse seiner Aktivität bei ihrer kriminellen Tätigkeit.

Im letzten Jahr tauchten Informationen darüber auf, dass der Schöpfer von ZeuS seine gesamte Entwicklung an einen anderen Virenschreiber, den Autor des Trojaners SpyEye, verkauft habe und es nun anstelle zweier konkurrierender Projekte nur noch eines geben würde, das die besten Technologien seiner Vorgänger in sich vereint. Und tatsächlich werden nun regelmäßig neue Versionen von SpyEye entdeckt – die Nachfolger des greisen ZeuS.

Doch fast gleichzeitig mit dem „Verschmelzen“ der beiden Schädlinge wurden die Quellcodes von ZeuS publik und waren für jeden Interessierten verfügbar. Bedenkt man, dass der Entwickler von SpyEye sein Machwerk auf dem cyberkriminellen Markt für einige tausend Dollar verkauft, so ist es nicht verwunderlich, dass einige Leute lieber kein Geld dafür ausgeben möchten und stattdessen ihren eigenen ZeuS-Klon produzieren, und zwar auf der Grundlage derselben Quellcodes.

Im August breitete sich einer dieser Klone recht weit aus und zog damit die Aufmerksamkeit von Antiviren-Experten auf sich. Erstmals aufgetaucht ist er schon sehr viel früher in diesem Jahr, doch erst im Sommer stieg seine Popularität unter Cyberkriminellen. Die neue Spielart wird von ihrem Autor Ice IX genannt und in den USA zu einem Preis von 600 bis 1800 Dollar verkauft. Wie im Fall von ZeuS und ebenso SpyEye haben wir es auch hier mit der Arbeit russischsprachiger Cyberkrimineller zu tun. Eine der wichtigsten Neuerungen in Ice IX ist das veränderte Webmodul zur Steuerung des Botnetzes, das es Cyberkriminellen ermöglicht, legale Hosting-Plattformen zu nutzen – statt Bulletproof-Server, die von Cyberkriminellen betrieben werden. Durch diese Veränderung können die Nutzer von Ice IX bedeutende Ausgaben für das Bulletproof-Hosting einsparen.

Der Diebstahl fremden Codes ist eine gängige Praxis im Cyberkriminellen-Milieu. Das Auftauchen von Ice IX, der bezüglich seiner Funktionalität nicht nur in direkter Konkurrenz zu SpyEye steht, sondern auch den Preis für derartige Trojaner entscheidend drückt, wird in nächster Zukunft das Erscheinen neuer „unehelicher“ Söhne von ZeuS nach sich ziehen. Auch die Zahl der Angriffe auf Nutzer von Online-Banking-Systemen wird steigen.

Bitcoin und Schadprogramme

In diesem Sommer stand das elektronische Geldsystem Bitcoin gleichermaßen bei Anwendern und Cyberkriminellen im Zentrum der Aufmerksamkeit. Das System zur Generierung virtueller Münzen basiert auf der Rechenkapazität von Computern und wurde zu einem weiteren Mittel der illegalen Bereicherung, wobei sich diese Methode durch einen besonders hohen Grad an Anonymität auszeichnet. Die Menge der zu generierenden Münzen hängt von der Leistungsstärke eines Computers ab. Je mehr davon zur Verfügung steht, desto höher sind die potentiellen Einnahmen. Nachdem sich die Cyberkriminellen zunächst darauf beschränkten, Bitcoin-Brieftaschen durch Angriffe leerzuräumen, gingen sie zum bereits traditionellen Einsatz von Botnetzen über.

Schon im Juni entdeckten wir den ersten Trojaner Trojan.NSIS.Miner.a, der ohne Wissen des Anwenders auf einem infizierten Computer Bitcoins generiert. Dieser Vorfall leitete den Beginn unserer Zusammenarbeit mit einer Reihe von großen Bitcoin-Pools ein – Server, auf denen Informationen über die Teilnehmer des Netzwerks und deren Accounts gespeichert sind. Das hat es uns ermöglicht, die Arbeit einer Reihe dieser Botnetze zu unterbinden.

Die Konfrontation der Antiviren-Industrie mit den Vertretern dieses neuen illegalen Geschäftszweigs führte dazu, dass immer mehr raffinierte Arten von Bitcoin-Botnetzen auf den Plan traten. Zu den neuen Technologien im August zählten der Einsatz von Twitter, P2P-Netzen und Proxys.

Die erstgenannte Technologie funktioniert im Wesentlichen folgendermaßen: Der Bot kommuniziert mit einem Account im Sozialen Netzwerk Twitter, wo er die Befehle erhält, die vom Botnetz-Betreiber dort hinterlassen wurden. Von dort aus wird das Programm für die Generierung heruntergeladen und festgelegt, mit welchem Bitcoin-Pool gearbeitet wird. Die Verwendung von Twitter als Botnetz-Steuerungszentrum ist nichts Neues – im Zusammenhang mit Bitcoin wurde das Soziale Netzwerk allerdings zum ersten Mal ausgenutzt.

P2P-Botnetze sind zwar nicht neu, doch das P2P-Botnetz Trojan.Win32.Miner.h, das unsere Experten im August entdeckten, umfasst nach vorsichtigen Schätzungen fast 40.000 unterschiedliche öffentliche IP-Adressen. Bedenkt man, dass sich heute fast alle Rechner hinter Firewalls oder Gateways befinden, könnte die tatsächliche Zahl infizierter Computer um einiges höher liegen. Der Bot installiert im System gleich drei Bitcoin-Miner: Ufasoft miner, RCP miner und Phoenix miner.

Die zwei oben beschriebenen Technologien erleichtern den Cyberkriminellen die Pflege des Botnetzes und werden als Maßnahmen im Kampf gegen Antiviren-Unternehmen eingesetzt, welche die Arbeit eines Botnetzes blockieren können, wenn nur ein einziges Steuerungszentrum verwendet wird.

Bedroht sind auch jene Accounts der Cyberkriminellen in den Bitcoin-Pools selbst, die von den Server-Inhabern entfernt werden können, um so gegen die ungesetzlichen „Miner“ vorzugehen. Im August fanden wir zudem heraus, dass eines der größeren Botnetze seine Kapazität nicht nur zur Generierung von Bitcoins nutzt, sondern auch ein Schema zur Verbergung realer Accounts verwendet. Zu diesem Zweck entwickelten die Botnetz-Betreiber einen speziellen Proxy-Server, mit dem die infizierten Computer interagieren, woraufhin ihre Anfragen an einen unbekannten Bitcoin-Pool weitergeleitet werden. Mittels einer Analyse des Bot-Codes ist es nicht möglich, herauszufinden, mit welchem Pool genau das Botnetz arbeitet. In diesem Fall kann die kriminelle Aktivität nur mit uneingeschränktem Zugriff auf den Proxy-Server unterbunden werden.

Insgesamt entdeckte Kaspersky Lab bis Ende August 35 unterschiedliche Schädlinge, die auf die eine oder andere Weise auf Bitcoin ausgerichtet sind.

Remote-Wurm

Überaus interessant ist der Wurm Morto, der sich um den 20. August aktiv auszubreiten begann. Im Gegensatz zu den meisten seiner Vorgänger, die in den letzten Jahren besondere Aufmerksamkeit auf sich zogen, nutzt er zu seiner Vervielfältigung keine Sicherheitslücken aus. Außerdem verbreitet er sich über den Windows-Dienst Remote Desktop Protocol (RDP), was bis dato noch nie vorgekommen ist. Dieser Dienst dient der Bereitstellung des Windows-Desktops aus der Ferne. Die Funktionalität des Wurms basiert auf Versuchen, das Zugangspasswort zusammenzustellen. Nach vorläufigen Schätzungen könnten derzeit mehrere zehntausend Computer auf der ganzen Welt mit diesem Wurm infiziert sein. Die größte Gefahr besteht darin, dass Cyberkriminelle infizierte Rechner aus der Ferne steuern können, da der Wurm über Botnetz-Funktionalität verfügt und mit verschiedenen Steuerungsservern interagiert. Die Hauptaufgabe des Botnetzes besteht in der Durchführung von DDoS-Attacken.

Attacken auf einzelne Anwender: Mobile Bedrohungen

Vor etwas mehr als einem Jahr (Anfang August 2010) wurde das erste Schadprogramm für das Betriebssystem Android entdeckt: der SMS-Trojaner FakePlayer. Seit dieser Schädling auf der Bildfläche erschienen ist, hat sich die Situation in der Welt der Schadprogramme sowohl für mobile Bedrohungen im Allgemeinen als auch für Android im Besonderen grundlegend geändert. Innerhalb von weniger als zwölf Monaten überstieg die Zahl der Android-Schädlinge die der Symbian-Schädlinge (das erste Schadprogramm für Symbian erschien im Jahr 2004). Zum gegenwärtigen Zeitpunkt stellen die Schädlinge für Android 24 Prozent aller erkannten Schadprogramme für mobile Plattformen dar. Seit dem Erscheinen von FakePlayer entdeckten wir 628 Modifikationen verschiedener Schadprogramme für Android.


Verteilung der mobilen Schadprogramme nach Plattformen

Betrachtet man die Gesamtzahl aller zwischen dem 1. August 2010 und 31. August 2011 erkannten Schädlinge für Smartphones (ohne J2ME), so entfallen 85 Prozent davon auf Android.

99 Prozent aller von Kaspersky Lab erkannten Schädlinge für mobile Plattformen verfolgen heute auf die eine oder andere Weise das gleiche Ziel: illegale Einnahmen. Im August tat sich unter einer Vielzahl solcher Schadprogramme ganz besonders der Trojaner Nickspy hervor, der sich dadurch auszeichnet, dass er alle Gespräche der Inhaber infizierter Geräte als Audio-Dateien mitschneidet und diese Dateien dann an einen entfernten Server der Cyberkriminellen sendet. Eine der neuesten Modifikationen dieses Trojaners, die sich als Anwendung des Sozialen Netzwerks Google+ tarnt, ist in der Lage, verborgen eingehende Anrufe von der Telefonnummer der Cyberkriminellen, die in der Konfigurationsdatei des Schadprogramms enthalten ist, entgegenzunehmen. Erhält ein infiziertes Telefon ohne Wissen seines Besitzers einen solchen Anruf, kann der Cyberkriminelle alles mithören, was sich in der Nähe des infizierten Geräts abspielt – unter anderem auch die Gespräche des Smartphone-Inhabers. Darüber hinaus ist der Trojaner auch an SMS, Informationen über Anrufe sowie an GPS-Koordinaten interessiert. Alle diese Daten werden ebenfalls an einen entfernten Server der Cyberkriminellen geschickt.

„Nicht kommerzialisierte“ Schadprogramme für mobile Geräte trifft man immer seltener an, doch manchmal finden sich darunter einige überaus interessante Exemplare. Im August wurde der Trojaner Dogwar entdeckt, der allem Anschein nach von Personen entwickelt wurde, die mit der Organisation PETA sympathisieren und sich für Tierschutz einsetzen. In der Beta-Version des Spiels Dog Wars haben die Cyberkriminellen auf dem Icon des Programms das Wort BETA in PETA geändert und dort einen Schadcode platziert, der:

  • allen Anwendern aus der Kontaktliste des infizierten Geräts Kurznachrichten mit dem Text „I take pleasure in hurting small animals, just thought you should know that“ („Ich genieße es, kleinen Tieren Schmerzen zuzufügen, ich dachte, du solltest das wissen.“).
  • eine SMS mit dem Text „text“ an die Kurznummer 73822 sendet. Diese Nummer funktioniert in den USA und wird von PETA genutzt, damit sich die Anwender für den SMS-Newsletter dieser Organisation registrieren lassen können.

Attacken auf Unternehmensnetzwerke großer Organisationen

Unternehmensspionage und Aufklärungsarbeit, die im Netz von verschiedenen Ländern durchgeführt wird, wird langsam zu einem der am stärksten ausgeleuchteten Probleme der Informationssicherheit und verdrängt diesbezüglich die traditionelle Cyberkriminalität. Doch das Neue an dieser Thematik und die relative Ausgrenzung der breiten Masse davon führen leider zu einer gewissen unerwünschten Sensationsgier in vielen Veröffentlichungen zu diesem Thema.

Im August wurde die IT-Gemeinschaft von einer Mitteilung der Firma McAfee (die vor einem Jahr von Intel aufgekauft wurde) in Aufruhr versetzt. McAfee behauptete, eine der größten Cyberattacken der Geschichte aufgedeckt zu haben, die sich über mehr als fünf Jahre hinzog und eine Vielzahl von Organisationen weltweit betraf – von Rüstungsunternehmen, die im Auftrag des Verteidigungsministeriums der USA fertigen, bis hin zum Sportkomitee von Vietnam. Die Attacke erhielt den Namen Shady Rat. Alles soweit plausibel, doch die Veröffentlichung dieser Informationen fiel erstaunlicherweise nicht nur mit der Eröffnung der BlackHat-Konferenz in Las Vegas zusammen, sondern wurde zudem von einem Sonderbeitrag in der Zeitschrift Vanity Fair begleitet. Exklusives Material über eine Bedrohung der nationalen Sicherheit in einer Modezeitschrift ist – da kann man kaum widersprechen – ein recht ungewöhnlicher Weg für die IT-Sicherheitsbranche, die Öffentlichkeit über kürzlich aufgedeckte Probleme zu informieren.

Eine genauere Betrachtung dessen, worüber McAfee berichtet hatte, löste weiteres Unverständnis aus. Erstens war das, was „von den Sicherheitsexperten“ über den Server der Cyberkriminellen „aufgedeckt wurde“, bereits seit Monaten auch den Virenanalysten vieler anderer Antiviren-Unternehmen bekannt. Zweitens funktionierte der Server zum Zeitpunkt der Veröffentlichung weiter, und fast alle Informationen, auf deren Grundlage McAfee den Artikel verfasst hatte, waren öffentlich verfügbar. Drittens lassen sich die gesuchten Spionage-Programme, mit deren Hilfe die angeblich komplizierteste Massenattacke in der Geschichte umgesetzt wurde, bereits seit Jahren von vielen Antiviren-Produkten mittels simpler heuristischer Methoden erkennen. Neben den hier aufgeführten Punkten gab es noch weitere Aspekte, die Fragen zu dem Artikel aufkommen ließen. Diese Fragen wurden öffentlich gestellt – unter anderem von den Kaspersky-Experten.

Unsere Nachforschungen haben gezeigt, dass Shady Rat weder die am längsten andauernde noch die am größten angelegte noch die raffinierteste Cyberattacke in der Geschichte ist. Darüber hinaus halten wir eine Veröffentlichung von Informationen über irgendeinen Angriff ohne Beschreibung aller verwendeten Komponenten und Technologien für unzulässig, da solche unvollständigen Veröffentlichungen den Fachleuten nicht die Möglichkeit geben, die entsprechenden Maßnahmen zum Schutz der eigenen Ressourcen zu ergreifen.

Verantwortungsvoll sollte man sich auch dann verhalten, wenn es um die Veröffentlichung von Informationen über sogenannte APT (Advanced Persistent Threats) geht – ein Begriff, der in letzter Zeit in der Branche und auch in den Massenmedien genau so gern verwendet wird wie etwa „Cyberkrieg“ und „Cyberwaffen“. Dabei herrscht keineswegs Einigkeit darüber, was darunter zu verstehen ist. Die Frage der Terminologie ist allerdings zweitrangig, wenn es tatsächlich um Fälle von Unternehmensspionage oder die Aufdeckung der Arbeit von Geheimdiensten geht. In solchen Fällen ist es weitaus wichtiger zu wissen, dass unnötig auf das Thema gelenkte Aufmerksamkeit und unkoordiniertes Ausplaudern beliebiger Informationen zu einer Störung der laufenden Ermittlungen führen und so den Opfern der Attacke noch weiteren Schaden zufügen können.

Spektakulärste Hacks des Monats

Im August gab es eine Menge spektakulärer Hacks. Rund um den Globus wurden Unternehmen und staatliche Strukturen angegriffen. Im Gegensatz zu den „unsichtbaren“ gingen in diesem Jahr viele Vorfälle auf das Konto öffentlich bekannter Hackergruppen, zum Beispiel AntiSec/Anonymous. Immer häufiger werden Cyberattacken als Druckmittel in politischen Auseinandersetzungen eingesetzt. Alle diese Fälle finden ein großes Medienecho, und gerade die Öffentlichkeit ihrer Aktionen ist der wichtigste Antrieb der „Hacktivisten“. Vor dem Hintergrund der Ereignisse dieses Jahres haben die Hacks im August leider kein großes Erstaunen ausgelöst.

Im Laufe des letzten Sommermonats fielen die italienische Cyberpolizei, einige Unternehmen in den USA, die mit Strafverfolgungsbehörden zusammenarbeiten, sowie der Rüstungsauftragnehmer Vanguard, der im Auftrag des amerikanischen Verteidigungsministeriums Kommunikationssysteme entwickelt, den Hacktivisten zum Opfer. Diese Angriffe waren die Rache der Hacker für die Verhaftungen einiger Mitglieder ihrer Gruppierungen. Gigabyte an persönlichen Informationen wurden öffentlich zugänglich gemacht, und im Falle der italienischen Cyberpolizei wurden Dokumente publik gemacht, die höchstwahrscheinlich ursprünglich der indischen Botschaft in Russland gehörten.

Später im Monat griffen Hacker in den USA den Server des Transportsystems von San Francisco an, von dem sie die persönlichen Daten von zweitausend Kunden stahlen und daraufhin veröffentlichten. Unter den politischen Hacks sind Defacements der Regierungswebseiten von Syrien und Libyen erwähnenswert, die vor dem Hintergrund der anhaltenden Unruhen in diesen Ländern zu sehen sind.

Top 10 im August

Top 10 der Internet-Schädlinge

1 Blocked 45643803 72,76%
2 Trojan.Script.Iframer 1677006 2,67%
3 Trojan.Script.Generic 1230615 1,96%
4 Trojan.Win32.Generic 758315 1,21%
5 Exploit.Script.Generic 671473 1,09%
6 AdWare.Win32.Shopper.ee 462860 1,07%
7 Trojan-Downloader.Script.Generic 459647 0,74%
8 Trojan.JS.Popupper.aw 431959 0,73%
9 AdWare.Win32.Eorezo.heur 430763 0,69%
10 WebToolbar.Win32.MyWebSearch.gen 270739 0,69%

Top 10 der Länder, auf deren Ressourcen Schadprogramme untergebracht sind

1 USA 26,31%
2 Russische Föderation 16,48%
3 Deutschland 9,12%
4 Niederlande 7,40%
5 Großbritannien 6,09%
6 Ukraine 5,27%
7 China 3,98%
8 Britische Jungferninseln 3,07%
9 Rumänien 1,97%
10 Frankreich 1,94%

Top 10 der schädlichen Hostings

1 ak.imgfarm.com 10,17%
2 ru-download.in 8,64%
3 literedirect.com 7,84%
4 72.51.44.90 7,01%
5 go-download.in 6,86%
6 h1.ripway.com 4,75%
7 updateversionnew.info 4,68%
8 lxtraffic.com 4,36%
9 ak.exe.imgfarm.com 4,18%
10 dl1.mobimoba.ru 3,62%

Top 10 der schädlichen Domain-Zonen

1 com 30.618.963
2 ru 10.474.116
3 net 3.465.349
4 in 2.466.494
5 info 2.052.925
6 org 1.982.282
7 tv 827.236
8 cc 819.225
9 cz.cc 463.536
10 tk 329.739

Top 10 der Länder, in denen die Anwender-Computer dem höchsten Risiko einer Infektion über das Internet ausgesetzt sind

1 Russland 35,82%
2 Oman 32,67%
3 Armenien 31,16%
4 Weißrussland 31,05%
5 Irak 30,37%
6 Aserbaidschan 29,97%
7 Kasachstan 28,31%
8 Ukraine 27,57%
9 Südkorea 27,23%
10 Sudan 26,01%

Top 10 der Länder, in denen Fake-Antiviren-Software entdeckt wurde

1 USA 29,26%
2 Russland 9,60%
3 Indien 6,31%
4 Deutschland 3,95%
5 Großbritannien 3,90%
6 Vietnam 3,75%
7 Spanien 2,88%
8 Kanada 2,81%
9 Mexiko 2,47%
10 Ukraine 2,21%

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.