Jahresrückblick: Malware 2009
Variantenreiche Spam- und Virenangriffe sind auf dem Vormarsch
Symantec hat den Security Report 2009 von Message Labs Intelligence vorgelegt. Der aktuelle
Jahresbericht erläutert, wie Online-Kriminelle in den vergangenen zwölf Monaten mit Erfolg an ihren
Fertigkeiten gearbeitet haben, den Fortbestand ihrer eigenen Infrastrukturen zu sichern. Darüber
hinaus geht der Report detailreich darauf ein, dass bei der Verbreitung von Spam und Viren das
ganze Jahr 2009 hindurch ein Ansatz verfolgt wurde, der auf massenweisem E-Mail-Versand und großem
Variantenreichtum beruht.
Der Jahresbericht zur Online-Sicherheit 2009 unterstreicht, wie turbulent sich die
Spam-Aktivität im Laufe des gesamten Berichtsjahres entwickelt hat: Während sich die Spam-Quote im
Durchschnitt auf 87,7 Prozent belief, waren ein Rekordwert von 90,4 Prozent im Mai und ein
Tiefststand von 73,3 Prozent im Februar zu verzeichnen. Für den Versand von 83,4 Prozent der
insgesamt 107 Milliarden Spam-Nachrichten, die durchschnittlich pro Tag verbreitet wurden, waren
manipulierte Computer verantwortlich. Vor diesem Hintergrund war die Abschaltung von McColo gegen
Ende des Jahres 2008, von Real Host im August 2009 und sowie von weiteren des Hostings von Botnets
bezichtigten ISPs offenbar der Anlass für die Hintermänner dieser Netzwerke, ihre
Command-and-Control-Strategien zu überdenken und verfeinern. Die getroffenen Maßnahmen wirkten
darauf hin, dass sich Botnets von solchen Rückschlägen nun binnen weniger Stunden völlig erholen
können, anstatt wie noch in der Vergangenheit mehrere Wochen oder Monate für die Regeneration zu
benötigen. Für das Jahr 2010 gehen die Prognosen davon aus, dass Botnets eine Art autonomer
Intelligenz entwickeln werden. Das hieße, dass jeder einzelne gekaperte Rechner über eine
eingebaute autarke Programmierung verfügt, um sein eigenes Fortleben als Netzwerkknoten innerhalb
des betreffenden Botnets zu koordinieren und zu verlängern.
Botnets haben auch im Jahr 2009 weiterhin die Bedrohungssituation in der Welt des Internets
bestimmt. Allein die zehn wichtigsten Schwergewichte unter diesen Netzwerken, darunter Cutwail,
Rustock und Mega-D, kontrollieren heute mindestens fünf Millionen manipulierte Computer. Cutwail
hat 2009 als dominierende Kraft die Verbreitung von Spam und Malware gleichermaßen beherrscht und
zeichnete im Zeitraum von April bis November des Berichtsjahres für den Versand von 29 Prozent
aller 8,5 Milliarden Spam-Mails verantwortlich. So nutzte Cutwail seine Größe und Macht auch, um
massenweise E-Mails zu verbreiten, die den Trojaner-Dropper Bredolab enthielten. Getarnt war dieses
Schadprogramm, das 2009 eine der massivsten Bedrohungen für Unternehmen und Computerbesitzer
darstellte, dabei jeweils als angehängte zip-Datei. Der Bredolab-Trojaner ist darauf ausgerichtet,
dem Absender vollständige Kontrolle über den Rechner des Empfängers zu verleihen. Das macht es
möglich, auf dem Zielcomputer weitere Malware, Adware und Spyware für das jeweilige Botnet zu
installieren und zu betreiben. Der Anteil der Spam-Mails, die der Verbreitung des Trojaner-Droppers
Bredolab dienten, ist in der zweiten Hälfte des Jahres 2009 stetig gestiegen. Ihren Spitzenwert
erreichte die Belastung im Oktober 2009, als Schätzungen zufolge rund 3,6 Milliarden E-Mails mit
diesem Schadprogramm im Umlauf waren.
„2009 wird als ein Jahr in die Annalen der Online-Sicherheit eingehen, in dem die Angreifer sich
nicht mehr allein auf die schiere Größe ihrer Spam-Kampagnen und Malware-Attacken verlassen haben,
sondern ihre Fertigkeiten und Techniken entscheidend schärfen konnten. Wir haben eine gestiegene
Zahl an Varianten abgefangen, die Ausdruck von größerer Raffinesse sowie gestiegener Effizienz
waren und technische Weiterentwicklungen zum Tragen gebracht haben“, erläutert Paul Wood, Message
Labs Intelligence Senior Analyst bei Symantec, und fügt hinzu: „Im Laufe des Jahres 2009 sind uns
mehr als 21 Millionen unterschiedliche Spam-Kampagnen ins Netz gegangen. Das waren doppelt so viele
wie noch 2008. Und auch bei der Zahl der abgefangenen Malware-Varianten war im Jahresvergleich ein
deutliches Plus von 23 Prozent zu konstatieren. Diese signifikant gestiegenen Zahlen legen den
Schluss nahe, dass es für die Angreifer dank der Verfügbarkeit spezialisierter Selbstbaukästen für
solche kriminellen Aktivitäten einfacher denn je geworden ist, Spam und Malware zu erstellen, zu
verbreiten und zu nutzen.“
Die besorgniserregendste Gefahr für die Online-Sicherheit stellte im Berichtsjahr der
Computerwurm Conficker/Downadup dar, der es seinen Urhebern erlaubt, über das Internet weitere
Software auf infizierten Rechnern zu installieren. Zwar war Conficker schon gegen Ende des Jahres
2008 auf den Plan getreten, jedoch hat der Wurm durch ein am 1. April 2009 erfolgtes Update der
Malware noch einmal zusätzliche Funktionen erhalten, mit denen er einer Erkennung durch
Virenscanner besser entgehen kann. Conficker ist vor allem deshalb Anlass zu besonderer Sorge, weil
bisher noch nicht zu ermitteln war, auf welche Weise die zahlreichen befallenen Rechner künftig
genutzt werden sollen. Betroffen sind mittlerweile offenbar mehr als sechs Millionen Computer. Zu
dieser Einschätzung kommt die Conficker Working Group, die 2009 einen wesentlichen Beitrag
geleistet hat, um das mögliche Unwesen einzudämmen, das der Wurm treiben konnte.
In der ersten Hälfte des Jahres 2009 entstanden infolge der Wirtschaftskrise zahlreiche neue
Angriffe, die Finanzthemen als Aufhänger benutzten. Spammer und andere Online-Kriminelle versuchten
also Kapital aus der allgemeinen Verunsicherung zu ziehen, die den weltweiten Konjunkturabschwung
umgab. Im Februar entfiel ein erheblicher Teil des frühen Rezessions-Spams auf E-Mails, die mittels
eingebetteter Links auf eine Reihe der großen, bestens bekannten Suchmaschinen verwiesen. Über das
gesamte Jahr 2009 betrachtet fand sich in 90,6 Prozent aller Spam-Nachrichten eine Web-Adresse.
Getragen wurde diese Entwicklung vorwiegend durch eine in der zweiten Jahreshälfte massiv
gestiegene Verwendung von URL-Abkürzungsdiensten. Diese Technik dient Angreifern dazu, die wahren
Zielseiten zu verschleiern, auf die sie ihre Opfer locken wollen, was wiederum herkömmlichen
Spam-Filtern die eindeutige Identifikation solcher E-Mails als Spam erschwert. Besonders häufig
wurden abgekürzte URLs auch für Spam auf Social-Networking-Portalen und Micro-Blogging-Seiten
genutzt, der sich deshalb so großer Beliebtheit unter Online-Kriminellen erfreut, weil zwischen den
registrierten Nutzern solcher Websites in der Regel ungewöhnliche Vertrauensbeziehungen
bestehen.
Neben der weltweiten Finanzkrise lieferten 2009 auch weitere Veranstaltungen von weltweiter
Bedeutung sowie Feiertage und aktuelle Schlagzeilen aus den Nachrichtenredaktionen die thematischen
Aufhänger für Spam-Kampagnen. Dazu zählten unter anderem der Valentinstag, die
Schweinegrippepandemie und der Tod von Prominenten wie etwa des Popstars Michael Jackson und des
Schauspielers Patrick Swayze. Ebenso bedienten sich auch Viren-Autoren und sogar
Internet-Kriminelle, die es auf Vorkassenbetrug in Manier des Nigeria-419-Scams abgesehen hatten,
dieser Themen. So waren beispielsweise nach dem Ableben von Michael Jackson schon in den Tagen
darauf erste derartige Angriffe zu konstatieren, darunter ein brasilianischer
Online-Banking-Trojaner, der über einen Malware-Link in E-Mails verbreitet wurde.
„Auch wenn für eine ganze Reihe von Angriffen eine hoch entwickelte Gewandtheit und großer
Einfallsreichtum prägend waren, so spielt im Alltagsgeschäft der Online-Kriminellen auch
Berechenbarkeit immer noch eine erhebliche Rolle“, betont Paul Wood und führt aus: „Alle Anbieter
von Sicherheitstechnik sind sich bewusst, dass es bei bestimmten Anlässen massenhaft zu
Motto-Attacken kommen wird – sei es rund um den Valentinstag, zum Weihnachtsfest oder nach dem Tod
berühmter Persönlichkeiten. Jedoch ist angesichts der Häufigkeit und der nackten Zahl der
verbreiteten Nachrichten davon auszugehen, dass Internet-Betrüger mit dieser Masche immer noch die
gewünschten Resultate erzielen. Denn sonst hätten sie sich längst von dieser Taktik
verabschiedet.“
Und schlussendlich bleibt für das Jahr 2009 auch festzuhalten, dass die CAPTCHA-Prüfungen
(Completely Automated Public Turing Test to Tell Computer and Humans Apart), an die viele Websites
eine Anmeldung knüpfen, einem echten Härtetest ausgesetzt waren. Denn im Untergrund blühte ein
schwunghafter Handel mit Tools zur automatischen Aushebelung solcher Testverfahren, mit denen es
Online-Kriminellen möglich ist, mit minimalem Aufwand große Mengen echter Accounts für Web-Mail-
und Instant-Messaging-Dienste oder für Social-Networking-Websites anzulegen. Weiterhin sind neue
Dienstleister auf den Plan getreten, die sich darauf spezialisiert haben, im
Rund-um-die-Uhr-Betrieb von Hilfskräften manuell immer neue Benutzerkonten bei großen
Web-Mail-Anbietern anlegen zu lassen und diese Accounts dann weiterzuverkaufen. Werden solche Jobs
in den Stellenausschreibungen häufig als EDV-Tätigkeiten angepriesen, sind sie in der Praxis jedoch
äußerst schlecht bezahlt: Pro 1.000 erstellter Benutzerkonten, die anschließend für 30 bis 40
US-Dollar an Spammer vertrieben werden, kann eine solche Aushilfe lediglich mit etwa zwei bis drei
US-Dollar rechnen. Einige der großen Internet-Seiten prüfen mittlerweile Alternativen zu den bisher
gängigen CAPTCHA-Prüfungen mithilfe verwirbelter Buchstaben und Ziffern. So entstehen unter anderem
große Sammlungen von Fotos, die einem Anwender für eine erfolgreiche Anmeldung weitergehende
Analyse- oder Interaktionsfertigkeiten abverlangen, die automatische Computerprogramme zumeist
überfordern dürften.
Die wichtigsten Trends des Jahres 2009 im Überblick:
Web-Sicherheit: 2009 stieg die Zahl der im Durchschnitt pro Tag zu sperrenden Websites, auf
denen Schadprogramme wie etwa Viren hinterlegt waren, im Vergleich zu 2008 von 2.290 um 7,6 Prozent
auf 2.465. Insgesamt betrafen die unterbundenen Zugriffe, die MessageLabs Intelligence für das
Surfen im Internet veranlasst hat, 30.000 unterschiedliche Domains. Bei 80 Prozent dieser
Web-Adressen handelte es sich um eigentlich seriöse, rechtmäßig registrierte Websites, die jedoch
manipuliert worden waren. Die restlichen 20 Prozent entfielen auf Internetpräsenzen, die einzig und
allein zur Verbreitung gefährlicher Inhalte neu eingerichtet wurden.
Spam: Die Spam-Quote für das Jahr 2009 betrug 87,7 Prozent. Das sind 6,5 Prozentpunkte mehr als
im Vorjahr, als sich dieser Wert auf 81,2 Prozent belaufen hatte. Im April war ein vorübergehender,
sprunghafter Anstieg der Belastung mit Grafik-Spam zu verzeichnen: Am 5. April entfielen auf diese
Art von Werbe-Mails 56,4 Prozent des gesamten Spam-Aufkommens, während sich dieser Anteil im
Jahresdurchschnitt auf 28,2 Prozent belief.
Viren: Im Jahr 2009 war im Durchschnitt eine zu 286,4 E-Mails mit einem Schadprogramm verseucht.
Das ergibt einen Anteil von 0,35 Prozent. Die Belastung fiel damit um 0,35 Prozentpunkte geringer
aus als im Jahr 2008, für das sich eine Viren-Quote von 1 zu 143,8 beziehungsweise 0,70 Prozent
ergeben hatte. Dieser Rückgang steht im Zusammenhang mit dem Trend, dass Viren-Autoren zwar mehr
Varianten entwickeln (ein Plus von 23 Prozent gegenüber 2008), aber pro Stamm weniger verseuchte
E-Mails verschicken (10.436 E-Mails pro Stamm im Jahr zuvor standen 2009 nur noch ungefähr 5.827
E-Mails pro Stamm gegenüber).
Phishing: 2009 verbarg sich hinter einer von 325,2 E-Mails (beziehungsweise 0,31 Prozent des
gesamten E-Mail-Aufkommens) der Versuch, persönliche Authentisierungsdaten auszuspionieren. Im Jahr
zuvor hatte die Phishing-Quote noch 1 zu 244,9 (bzw. 0,41 Prozent) betragen. Hochgerechnet auf das
gesamte Berichtsjahr waren 2009 mehr als 161 Milliarden Phishing-Angriffe im Umlauf.
Der vollständige Jahresbericht von MessageLabs Intelligence liefert noch genauere Daten und
Analysen zu den in dieser Pressemitteilung erläuterten Entwicklungen und Zahlen sowie eine
detailliertere Trendanalyse für 2009. Der Report steht unter der folgenden Adresse zum Download
bereit:
www.messagelabs.com/Threat_Watch/Intelligence_Reports.
LANline/jos
Lesen Sie mehr zum Thema
