Windows-Rechner offenbar am stärksten gefährdet
Ablösung an der Bot-Netz-Spitze
Symantec hat den neuen Message Labs Intelligence Report für April 2010 vorgelegt. Die aktuellen Analysen zur weltweiten Online-Sicherheit ergaben, dass Cutwail als größtes Botnet der Welt mittlerweile von Rustock abgelöst worden ist - sowohl gemessen am Aufkommen der verschickten Spam-Mails als auch hinsichtlich der unter Kontrolle gebrachten, aktiv für den Spam-Versand genutzten Rechner.
Bei Rustock hat sich zwar der Ausstoß der einzelnen Bots um 65 Prozent verringert, jedoch konnte
das Netzwerk diesen Rückgang wettmachen, indem es die Zahl der aktiven Bots gleichzeitig um 300
Prozent gesteigert hat. Derweil ist Cutwail seit Mai 2009 von zwei Millionen auf nunmehr 600.000
ferngesteuerte Computer geschrumpft und heute nur noch für vier Prozent des Spam-Aufkommens
verantwortlich. Rustock hingegen vereint 32,8 Prozent aller unerwünschten Werbe-Mails auf sich und
bleibt damit die größte Spam-Schleuder unter den Botnets.
„Unter dem Einfluss der im August 2009 erfolgten Abschaltung des ISPs Real Host hat Cutwail
vermutlich die Fähigkeit eingebüßt, einige der unter Kontrolle gebrachten Rechner weiterhin zu
aktualisieren. So hat das Botnet deutlich an Größe eingebüßt, ohne sich von diesem Rückschlag
erholen zu können“, kommentiert Paul Wood, Message Labs Intelligence Senior Analyst bei Symantec
Hosted Services, und ergänzt: „Im Ergebnis konnte das Botnet Rustock in erheblichem Umfang Aufträge
zum Massenversand von Spam-Mails gewinnen, indem es den Markt für derlei Dienste mit enormen
Kapazitäten und geringeren Betriebskosten aufgemischt hat.“
Hinter Rustock folgen Grum und Mega-D auf den Plätzen 2 und 3 in der Rangliste der größten
Botnets. Die beiden vereinen 23,9 beziehungsweise 17,7 Prozent des Spam-Aufkommens auf sich.
Mega-D hat zuletzt eine Reihe versuchter ISP-Abschaltungen überlebt und verfügt in Folge dieser
Ereignisse über weniger kontrollierte Computer als Rustock und Grum, präsentiert sich aber
gleichzeitig als das „fleißigste“ aller Botnets, das seine 240.000 aktiven Bots zu einem Ausstoß
von rund 430 Spam-E-Mails pro Minute nötigt. Grum zeigte in Bezug auf den Ausstoß in den
zurückliegenden fünf Monaten eine hohe Kontinuität und ließ seine ferngesteuerten Rechner permanent
zwischen 145 und 150 Spam-E-Mails pro Minute verbreiten. Jedoch konnte Grum die Zahl der unter
Kontrolle gebrachten Computer von 700.000 auf eine Million steigern und sich damit als zweitgrößtes
Botnet etablieren.
Im April hat Message Labs Intelligence zudem die PF-Signaturen (Passive Fingerprinting) von
Spam-E-Mails analysiert, um Aufschluss darüber zu erhalten, welche Betriebssysteme die von Botnets
infizierten und zum Spam-Versand missbrauchten Rechner nutzen. Demnach laufen viele der betroffenen
Computer unter Windows, und der Anteil der Spam-Nachrichten, die eine solche PF-Signatur enthalten,
bewegt sich auf demselben Niveau wie der Marktanteil von Windows bei Betriebssystemen.
„Spam wird häufiger über Windows-Computer verschickt als über Rechner, auf denen andere
Betriebssysteme installiert sind“, erläutert Paul Wood. „Bei Spam-Nachrichten, bei denen sich nicht
feststellen ließ, dass sie von Botnets stammen, war der Anteil von Windows-Rechnern jedoch geringer
als bei Werbe-Mails, die über bekannte Botnets verbreitet wurden.“
Die Wahrscheinlichkeit, dass ein bestimmter Computer Spam verbreitet, lässt sich ermitteln,
indem man den Anteil der Spam-Nachrichten, die von Rechnern mit einem bestimmten Betriebssystem
verschickt werden, mit dessen Marktanteil vergleicht. In der aktuellen Situation lässt sich aus
diesem Spam-Index ablesen, dass derzeit bei jedem Linux-Rechner in Relation zur Verbreitung des
Betriebssystems die Wahrscheinlichkeit, dass er Spam verschickt, fünf Mal so groß ist wie bei
Windows-Rechnern. Gleichzeitig ist es jedoch so, dass unter Linux betriebene Maschinen insgesamt
nur für 5,1 Prozent des gesamten Spam-Aufkommens verantwortlich zeichnen. Aufgrund des
vergleichsweise geringen Marktanteils von Linux sind auch weniger Schadprogramme im Umlauf, die es
gezielt auf Rechner abgesehen haben, die unter diesem Betriebssystem laufen. Bei immer mehr ISPs
ist es mittlerweile verpflichtend, dass Kunden ihren gesamten E-Mail-Verkehr über den vom Provider
als Mail-Server gestellten „Smarthost“ laufen lassen. Die Möglichkeit, Nachrichten direkt unter
Rückgriff auf Port 25 zu versenden, besteht bei solchen Anbietern also nicht mehr. Viele dieser
ISPs setzen über das Internet bereitgestellte Umgebungen ein, deren Betriebskosten sich durch
Verwendung von Open-Source-Techniken wie Linux verringern lassen.
Am geringsten ist die Wahrscheinlichkeit eines Versands unerwünschter Werbe-Mails letztlich bei
MacOS, und das gilt sowohl für den Beitrag dieses Betriebssystems zur weltweiten Spam-Belastung als
auch im Hinblick auf einzelne Rechner. Dem von Message Labs Intelligence ermittelten Spam-Index
zufolge wird derzeit fast kein Spam über MacOS-Rechner verschickt. Gemessen am Gesamtaufkommen
entfielen jedoch immerhin 0,001 Prozent aller untersuchten Spam-Nachrichten auf das
Apple-Betriebssystem.
Am 4. Mai 2010 ist es genau zehn Jahre her, dass Symantec Hosted Services, damals noch unter dem
Namen Message Labs, einen neuen Virus aufgespürt und diesen auf den Namen „LoveBug“ getauft hat.
Binnen nur eines Tages verwüstete dieser virulente Massen-Mail-Wurm die Rechner von geschätzten 45
Millionen E-Mail-Anwendern und richtete Schäden in Höhe mehrerer Milliarden Dollar an. An jenem Tag
fing Symantec Hosted Services als LoveBug-Entdecker und -Namensgeber die für damalige Verhältnisse
gigantische Menge von 13.000 Exemplaren des Virus ab.
Heutzutage ist es für Message Labs Intelligence nach eigenen Angaben ganz gewöhnlich, pro Tag
1,5 Millionen einzelne E-Mails zurückzuweisen, weil sie Malware enthalten. Zwar sind
Massen-Mail-Viren wie LoveBug inzwischen selten geworden, jedoch haben Online-Kriminelle ihre
Techniken gleichzeitig erheblich weiterentwickelt und können heute weitaus heimtückischere, sehr
gezielte Angriffe lancieren. Außerdem hat sich ihre Motivation im Laufe der Jahre verändert:
Mittlerweile geht es ihnen weniger um das reine Erfolgserlebnis und um Ansehen in der Hacker-Szene,
sondern vielmehr um finanziellen Gewinn und den Diebstahl fremder Identitäten. Am 4. Mai 2000
enthielt jede 28. E-Mail den LoveBug-Virus. Im Vergleich dazu fand sich am 9. April 2010, dem Tag
der stärksten Schadprogrammbelastung im aktuellen Berichtsmonat, in einer von 287,2 E-Mails ein
Virus. Im April 2010 hat Message Labs Intelligence insgesamt 36.208 unterschiedliche Malware-Stämme
abgefangen.
LANline/jos
Lesen Sie mehr zum Thema
