Mit kombinierten Mitteln gegen Mail-Bedrohungen

03.06.2008
Von Rainer Baumann
Malware und Viren kommen heute meistens im Tarnanzug durch die Hintertür. Ein aktuelles Beispiel ist URL-Spam, der arglose E-Mail-User auf infizierte Web-Seiten führt. Doch Gefahr droht auch durch Verstöße der internen User.

Spam konzentriert sich immer weniger darauf, Produkte zu verkaufen. Wurden früher beispielsweise vorrangig Medikamente oder Aktien beworben, wird heute damit vermehrt Malware verbreitet mit dem Ziel, umfassende Spam-Netzwerke aufzubauen und zu erweitern. Beim so genannten Dirty Spam führen die in Spam-Mails enthaltenen Links auf infizierte Web-Seiten. Das Threat Operations Center (TOC) von Ironport verzeichnete über den Jahreswechsel 2007 hinweg eine Steigerung dieser Verbreitungsweise um 253 Prozent. Schätzungsweise sind heute schon sieben Prozent aller Computer mit Internet-Zugang (weltweit etwa 75 bis 100 Millionen PCs) Teil eines solchen Bot-Netzes.

Vielfältige Gefahren

Da Sicherheitsanbieter bestehende Bot-Netze immer besser erkennen, setzen Spammer vermehrt auf Reputationsdiebstahl. Dabei nutzen sie Webmail-Konten eines Internet-Service-Providers (ISP). Weil diese Mails nun von der legitimen Adresse eines ISP-Mail-Servers kommen, können sie einfache Spam-Filter oft noch sehr geschickt umgehen.

Das Neue daran: Die Anfang März 2008 erstmals vermehrt aufgetretenen Spam-Attacken nutzen Weiterleitungsmechanismen wie beispielsweise Open Redirect oder die "Auf gut Glück"-Funktion der Suchmaschine Google. Der einzelne Link in der Spam-Nachricht führt dabei zu einer legitimen Google-URL, diese leitet den User aber sofort durch die in der URL enthaltene, eindeutige Suchanfrage automatisch auf eine infizierte Website weiter. Betroffen sind neben Google auch Yahoo und AOL.

Bei Dirty Spam geht es nicht darum, Viagra zu verkaufen oder für Online-Poker zu werben, sondern um Empfänger auf infizierte Web-Seiten zu locken.
Bei Dirty Spam geht es nicht darum, Viagra zu verkaufen oder für Online-Poker zu werben, sondern um Empfänger auf infizierte Web-Seiten zu locken.

Viren werden immer weniger sichtbar, doch ihre Anzahl steigt. Im Gegensatz zu früheren Massenattacken wie "Netsky" oder "Bagel" waren Viren im Jahr 2007 sehr kurzlebig. Zudem sind sie eng verbunden mit Bot-Netzen wie "Feebs" und "Storm". Allein in einer Woche entdeckte das TOC mehr als sechs Varianten des Feebs-Virus - jede davon verbreitete sich exponentiell, noch bevor die jeweiligen Antivirensignaturen bereitstanden.

Die Einsatzdauer einer Angriffstechnik nimmt wesentlich ab. In den vergangenen Jahren setzten Spammer eine typische Attacke - wie beispielsweise Image-Spam - über Monate hinweg ein. Neuere Angriffe mit MP3-Spam dauerten hingegen gerade einmal drei Tage. Gleichzeitig steigt die Zahl solch kleinerer Angriffe drastisch. Während 2006 Image-Spam die dominierende neue Technik war, gab es 2007 mehr als 20 unterschiedliche Attachment-Typen, die mit sehr kurzlebigen Attacken verbreitet wurden.

Inhalt dieses Artikels