Das russische IT-Securityunternehmen Doctor Web bilanziert das Jahr 2008 mit einem Jahresrückblick und der vorliegenden Analyse der Internet-Bedrohungen. Diese jährliche Gesamtauswertung zeigt, dass die Zahl der gescannten Malware sich in dieser Zeit verdoppelt und die Zahl der bösartigen E-Mails im gesamten E-Mail-Verkehr wesentlich verringert hat. Die Viren wurden meistens per E-Mail sowie durch infizierte Websites und Wechseldatenträger verbreitet. 2008 haben auch Phishing- und SMS-Betrüge zugenommen.

Malware-Statistik 2008

Ab Abfang 2008 hat die Malware in der Gesamtzahl der gescannten Dateien immer wieder zugenommen und ist im April 2008 um das Vierfache gewachsen. So dauerte es bis zum Juli. Die Malware-Quote ging aber zum August drastisch zurück und blieb bei 0,01% von der Gesamtzahl der überprüften Dateien. Das Verhältnis blieb so bis zum Jahresende stabil. Heute erweist sich nur jede 10 000 gescannte Datei als infiziert. Das folgende Bild zeigt das Verhältnis zwischen den infizierten und gescannten Dateien im Jahre 2008.

Das nächste Bild illustriert die Virenaktivität im gesamten E-Mail-Verkehr. Innerhalb 2008 lag die Malware-Quote bei 0,2-0,25 %. Zum Jahresende ging die Malware auf 0,02% zurück.

Tabellenführer

In diesem Jahr haben nur einige wenige Viren wie BackDoor.MaosBoot, Win32.Ntldrbot (Rustock.C) sowie verschiedene Modifikationen von Trojan.Encoder die Tabelle der meist verbreiteten Viren angeführt.

BackDoor.MaosBoot blieb uns am meisten in Erinnerung, weil es sich in den Bootsektor der Festplatte einschleuste, im infizierten System durch Rootkit-Technologien tarnte und so großen Schaden zufügen konnte. Vom Januar bis zum März 2008 wurden einige Modifikationen dieses Schädlings detektiert.

Win32.Ntldrbot nutzte gleichzeitig mehrere Techniken zur Tarnung seiner Anwesenheit im System. So konnte sich der Schädling einige Monate undetektiert verstecken. Einige Antivirenexperten haben ihn sogar für nicht existent gehalten.

Win32.Ntldrbot ist ein hochresistentes polymorphes Virus, das über seine eigene Selbstschutz-Komponente verfügt. Es funktioniert auch als Datei-Virus, filtert alle Aufrufe der jeweils infizierten Datei, schleust sich in Systemvorgänge ein und startet anschließend den Spam-Versand.

Um BackDoor.MaosBoot und Win32.Ntldrbot einen effizienten Widerstand zu leisten, haben die Antivirenspezialisten von Doctor Web extra Komponenten entwickelt. Im Endeffekt erwies sich Dr.Web als einziges Antivirenprogramm, das solche Viren eigenständig und ohne zusätzliche Utilities in Griff nehmen konnte.

Trojan.Encoder hat im vorigen Jahr auch wesentlich an Bekanntheit gewonnen. Dieser Trojaner verschlüsselte Dateien des Anwenders und forderte für die Entschlüsselung eine entsprechende Gebühr. 2008 gab es mehrere Modifikationen des Trojaners. Die Analysten von Doctor Web haben die Virendatenbank um neue Modifikationen des Trojaners rechtzeitig erweitert und anschließend eine kostenfreie Utility entwickelt. Diese Utility finden Sie auch auf unserer Website.

Bösartige Massen-E-Mails

Verschiedene Modifikationen von Trojan.DownLoad.4419 und Trojan.PWS.GoldSpy waren 2008 die topaktuellen Viren in den Massen-E-Mails.

Für die Verbreitung von Trojan.DownLoad.4419 wurden E-Mails mit Links zu vermeintlichen Pornospots versendet. Bei jedem Versand haben die Virenautoren die bösartige ausführbare Datei modifiziert und das entsprechende Packprogramm zur Tarnung des Schädlings verwendet. Die Doctor Web Virenanalysten haben aber die entsprechenden Signaturen für Trojan.Packed rechtzeitig erstellt. Mit denen konnte ma verschiedene Modifikationen von Trojan.DownLoad.4419 detektieren.

Trojan.PWS.GoldSpy wurde durch elektronische Karten und Drohungsbriefe verbreitet. Durch Trojan.PWS.GoldSpy konnten sich auch mehrere Trojaner, die Passwörter klauen, breit machen. Das können Sie an der Kurve auf dem Bild unten verfolgen. Hier ist der Prozentsatz von Trojan.PWS im gesamten E-Mail-Verkehr im laufenden Jahr abgebildet.

Soziale Netzwerke

Die Beliebtheit der sozialen Netzwerke hat 2008 stark zugenommen. Für Virenschreiber war das anscheinend ein gefundenes Fressen. Die Übeltäter haben deshalb in persönlichen E-Mails und auf Profilseiten der vermeintlichen Anwender bösartige Links platziert.

Es wurden auch Massen-E-Mails von der vermeintlichen Führung der sozialen Netzwerke detektiert. Die dort platzierten Links führten die Anwender auf Websites mit einem Schadcode weiter.

Um heutzutage das Infektionsrisiko zu senken, ergreift man verschiedene Maßnahmen. In einigen sozialen Netzwerken werden die in persönlichen E-Mails platzierten Links ohne direkte Verbindung mit der Zieladresse erstellt. Deshalb muss man den entsprechenden Text in die Browserzeile manuell einfügen, um weiter auf den Link zu gehen. Nur solche Maßnahmen können die Malware-Verbreitung in sozialen Netzwerken ganzheitlich nicht beseitigen.

Der IT-Sicherheitsexperte Doctor Web empfiehlt deshalb Lizenzprodukte Dr.Web bzw. den kostenfreien Dr.Web LinkChecker, mit dem man einen Link noch vor dem Öffnen der jeweiligen Webseite auf Viren überprüfen kann.

Versand des digitalen Ungeziefers via ICQ

Auf bösartige E-Mails, die via ICQ versendet werden, entfiel 2008 ein höherer Anteil.

Für die Verbreitung der Spam-E-Mails und Links, die statt sicherer Websites auf verschiedene Malware-Websites umleiten, wurden die extra angelegten sowie vertrauenswürdigen Konten benutzt. Dies war oft der Fall, wenn der PC des Anwenders mit einem Virus infiziert wurde. Der ICQ-Client versendete E-Mails an alle E-Mail-Adressen aus der Kontaktliste. Der Anwender konnte nur vom jeweiligen Empfänger der Spam-E-Mail erfahren, dass sein ICQ-Client Spam versendete.

Wechseldatenträger

Wechseldatenträger werden heute fast überall eingesetzt und so werden sie automatisch zu Malware-Multiplikatoren. Solche Schädlinge werden in der Virendatenbank Dr.Web als Win32.HLLW.Autoruner identifiziert, weil der Autostart-Mechanismus für das Starten schädlicher Dateien benutzt wird. Bei vielen Unternehmen wird deshalb eine offensive Sicherheitspolitik betrieben. Man verwendet die jeweilige Software oder verbietet überhaupt den Einsatz von Wechseldatenträgern.

Auf dem Bild unten können Sie die Verbreitungsdynamik von Win32.HLLW.Autoruner unter den Top 20 Viren innerhalb 2008 verfolgen. Daraus kann man schließen, dass Virenschreiber bei der Malware-Verbreitung auf Wechseldatenträger setzen. Dafür setzt man heute immer neue Tarnungs- und Evasionstechniken ein.

Win32.Sector

Diesem Datei-Virus haben wir eine ganze Kolumne gewidmet, weil es vielen Internetnutzern innerhalb des ganzen Jahres große Sorgen gemacht hat. Win32.Sector infiziert die meisten ausführbaren Dateien, schleust sich in Systemvorgänge ein, lädt hoch und installiert weitere Malware aus dem Internet und deaktiviert die in Windows Vista eingebundene UAC-Komponente. Unten können Sie den aktuellen Prozentsatz der Win32.Sector-Familie von der Gesamtzahl der gescannten Dateien verfolgen.

SMS-Betrug

Die Malware-Verbreitung wird für Internet-Kriminelle „ein hartes Brot“. Deshalb wechseln manche nicht selten in ein anderes Geschäft. Man startet z.B. den E-Mail-Versand mit der Aufforderung, eine gebührenpflichtige SMS abzusenden. Dabei setzen die Betrüger verschiedene Tricks ein und umwerben das Opfer mit vermeintlichen Werbe-Aktionen renommierter Unternehmen usw.

Derartige E-Mails werden via ICQ, in sozialen Netzwerken, per E-Mail und über das im Browser installierte Plug-in versendet. Für solche Plug-ins haben die

Virenanalysten von Doctor Web die jeweilige Signatur Trojan.Blackmailer.origin erstellt, mit der man sogar seine unbekannten Modifikationen erkennen kann.

Jede SMS kostet in der Regel mehr als nur ein paar Euro, obwohl in der versendeten SMS eine kleinere Summe angegeben ist.

Phishing

Eine neue Welle von Phishing-Mails erreichte E-Mailer in den vergangenen Monaten in allen Kontinenten. Per Spam-E-Mails wurden Internet-Nutzer aufgefordert, Passwörter oder Kreditkartennummern mit Angaben zur Karten-Laufzeit und Prüfnummer auf vermeintlichen Webseiten solcher Banken wie JPMorgan Chase Bank, RBC Royal Bank sowie Google AdWords, PayPal, eBay einzugeben. Hierdurch sollte beispielsweise das eventuell gefährdete Online-Konto verifiziert werden - ein gefundenes Fressen in Zeiten der Bankenkrise. Ein parallel dazu offerierter Fragebogen gab dem Ganzen noch die gewisse Glaubwürdigkeit. So war es den Internet-Kriminellen möglich, die Kreditkarten bis zum Kartenlimit abzuräumen.