In den beiden monatlichen Schädlings-Statistiken von Kaspersky Lab hat sich im vergangenen Monat einiges getan. Nach Angaben der Malware-Forscher kam es im Ranking der 20 am weitesten verbreiteten Schadprogramme zu einem Führungswechsel.
Die Top-5-Schädlinge im September
|
Position |
Schädling |
Veränderung gegenüber Vormonat |
|
1. |
Rootkit.Win32.Agent.cvx |
neu |
|
2. |
Trojan-Downloader.WMA.Wimad.n |
Wiedereintritt |
|
3. |
Packed.Win32.Black.a |
neu |
|
4. |
Trojan.Win32.Agent.abt |
+ 8 Plätze |
|
5. |
Trojan-Downloader.HTML.IFrame.sz |
neu |
|
Quelle: Kaspersky Lab |
So ist der August-Spitzenreiter "Trojan.Win32.DNSChanger.ech" ganz aus der Top-20-Liste verschwunden. An seine Stelle trat mit "Rootkit.Win32.Agent.cvx" ein bereits Ende August entdeckter Schädling, der sich innerhalb von vier Wochen so aktiv im Internet verbreitet haben soll, dass ihm offenbar kein anderes Schadprogramm mehr den ersten Rang ablaufen konnte. Rootkits seien eine von Antiviren-Programmen traditionell schwer zu fassende Malware-Spezies, zudem werde dieses spezielle Exemplar derzeit nur von wenigen Virenschutzlösungen erkannt, begründen die Experten das Vorpreschen des Neuzugangs.
Ein weiterer eher unüblicher Schädling ist laut Kaspersky Lab "Trojan-Downloader.WMA.Wimad.n", der nach einmonatiger Abstinenz zurückkehrte und auf dem zweiten Platz landete. Den Forschern zufolge tarnt sich der Trojaner als Multimedia-Datei und nutzt eine Schwachstelle im Windows Media Player aus, um andere trojanische Programme nachzuladen. Insgesamt, so die Kaspersky-Analyse, waren diverse Skript-Downloader, die Attacken via "Drive-by-Download" auslösen, im vergangenen Monat für einen auffallend hohen Anteil der Angriffe auf Anwendersysteme verantwortlich - im aktuellen Ranking tummeln sich gleich vier solcher Exemplare. Auch der zuvor beschriebene Schädling Wimad.n arbeitet in Verbindung mit solchen Trojan-Downloadern.
Viren und Würmer: Infektionshäufigkeit
Neueinsteiger gab es im September nur wenige: Im Gegensatz zu den 16 Newcomern im August konnten sich im ersten Herbstmonat nur neun Neuzugänge gegen die bereits etablierte Konkurrenz durchsetzen. Dazu zählt mit dem auf Platz 18 gelisteten Wurm "Brontok.q" ein echter Viren-Veteran und - gemäß Kasperskys Monatsstatistiken - immer wiederkehrender Gast.
|
Position |
Schädling |
Veränderung gegenüber Vormonat |
|
1. |
Virus.Win32.Xorer.du |
+ 1 Platz |
|
2. |
Net-Worm.Win32.Nimda |
- 1 Platz |
|
3. |
Worm.Win32.Mabezat.b |
neu |
|
4. |
Virus.Win32.Alman.b |
+ 2 Plätze |
|
5. |
Virus.Win32.Sality.aa |
neu |
|
Quelle: Kaspersky Lab |
Auch im Kaspersky-Ranking der Schadprogramme, mit denen Anwendersysteme im September am häufigsten infiziert waren, gab es einen Wechsel an der Spitze. So musste "Nimda" die Pole Position an den zweitplazierten des Vormonats, "Xorer.du", abgeben.
Des Weiteren vermehrte sich die Virenfamilie "Sality" im vergangenen Monat munter weiter - in der Septemberstatistik tauchen bereits vier Varianten auf, darunter der Schädling "Sality.aa" auf Platz fünf. Doch auch der im November 2007 entdeckte Wurm "Mabezat.b" spielt nach Angaben der Malware-Forscher mittlerweile eine wichtige Rolle an der Schädlingsfront: Zunächst eher verhalten, ist es dem Wurm offenbar gelungen, nach und nach eine Vielzahl von Dateien und Rechnern zu infizieren. Das Resultat: der dritte Platz auf der aktuellen Top-20-Liste.
Im Großen und Ganzen, so die Kaspersky-Experten, habe sich die Situation an der Malware-Front jedoch stabilisiert und nicht verschlechtert. Demnach soll es gelungen sein, die "Population" nahezu aller Datei-infizierenden Schadprogramme innerhalb der letzten drei Monate deutlich zu reduzieren. Als ein Indiz dafür führen die Forscher das Verschwinden der Schädlingsfamilien "Allaple" und "Otwycal" aus dem Ranking an.
Anhaltende Spam-Pause
Foto: MessageLabs
Die Spammer haben ihre Sommerpause offenbar verlängert: Nach den jüngsten Analysen von MessageLabs ist die Spam-Quote in Deutschland im September von 69,5 Prozent (August) weiter auf 65,4 Prozent gesunken und liegt damit nach wie vor deutlich unter dem internationalen Durchschnitt (70,1 Prozent).
Aber auch weltweit ist das E-Schrott-Volumen geschrumpft: So ermittelte der auf Messaging-Security spezialisierte Dienstleister im September international einen achtprozentigen Rückgang der Spam-Belastung gegenüber dem Vormonat (78,2 Prozent) hin. MessageLabs führt diese Entwicklung primär auf die am 20. September erfolgte Abschaltung von "Intercage", einem als Spam-Schleuder berüchtigten, in Kalifornien ansässigen Internet Service Providers (ISP), zurück.
Angesichts des bevorstehenden Weihnachtsgeschäfts gehen die Experten allerdings davon aus, dass es sich bei der "Spam-Flaute" um ein vorübergehendes Phänomen handelt. "Web-Betrüger nutzten Adressen innerhalb des Intercage-Netzes für so genannte Command-and-Control-Server, um komplette Botnets zu steuern und zu überwachen", erläutert Mark Sunner, Chief Security Analyst bei MessageLabs. Gegen Ende September sei diesen Infrastrukturen aus manipulierten Zombie-Rechnern die Grundlage entzogen worden, woraufhin die Spam-Belastung zunächst deutlich nachgelassen habe. Doch werde diese Ruhe nicht von Dauer sein, vielmehr sei anzunehmen, dass sich derzeit auch die Spammer-Szene für ihr Weihnachtsgeschäft rüste, meint Sunner.
Doch brachte der September auch taktische Veränderungen an der Spam-Front mit sich: Waren es bislang primär private Netze und Rechner von Privatanwendern, in denen die Spam-Versender ihre Bot-Programme einnisteten, kapern die E-Schrott-Versender neuerdings offenbar vermehrt Firmen-PCs für ihr fragwürdiges Geschäft. Diese werden mit Bot-Agenten infizierten und in Botnetze eingebunden. Nach Analysen des E-Mail-Security-Dienstleisters Retarus wurde im vergangenen Monat jede fünfte Spam-Mail über einen infizierten Unternehmensrechner verschickt.
Der MessageLabs-Statistik zufolge hatten die Spammer hierzulande im September den Bildungs- und den Dienstleistungssektor besonders im Visier. An sie richtete sich mit 89,9 beziehungsweise 89 Prozent das Gros des elektronischen Werbeschrotts. Nahezu ebenso viel Aufmerksamkeit widmeten die E-Müll-Versender jedoch dem Großhandel (87,5 Prozent) und dem Bereich Marketing/Medien (87,1 Prozent) sowie gemeinnützigen Organisationen (86,6 Prozent).
Die Bankenkrise - Schützenhilfe für Phisher?
Foto: Retarus
Noch lethargischer als die Spammer zeigten sich im vergangenen Monat die Online-Datendiebe: Laut Retarus ist der Anteil an Phishing-Mails am gesamten Schad-Mail-Aufkommen in Westeuropa von 44,6 Prozent (August) auf aktuell magere 12,9 Prozent gesunken.
Laut dem Sicherheitsanbieter Sophos steht zu befürchten, dass die aktuelle Bankenkrise Phishern zu erhöhten Erfolgschancen verhilft: Angesichts der weltweiten Krise sei mit der Aufmerksamkeit vieler Computernutzer für Neuigkeiten aus der Finanzwelt auch das Risiko gestiegen, gefälschten E-Mails zum Opfer zu fallen. Verstärkt wird die Gefahr nach Ansicht der Malware-Experten dadurch, dass von Nachrichten, die als Benachrichtigungen von Banken oder Finanzinstituten getarnt sind, nach wie vor die größte Phishing-Bedrohung ausgeht.
"Die Gefahr, sich von Phishing- oder Spam-Mails täuschen zu lassen, ist immer dann besonders groß, wenn sie sich auf Themen beziehen, die im allgemeinen öffentlichen Interesse stehen - beispielsweise große Sportveranstaltungen, politische Ereignisse oder News von bekannten Stars", so Christoph Hardy, Security-Consultant bei Sophos. Auf diesem Prinzip beruhe das von Cyberkriminellen häufig angewandte Social Engineering. Durch die aktuellen Entwicklungen auf dem Finanzmarkt würden Phisher darin unterstützt, verunsicherte Nutzer hinters Licht zu führen, warnt der Berater, der nicht ausschließt, dass sich die Online-Datendiebe die Krise bewusst zunutze machen.
Ziel der meisten Phishing-Attacken ist es, per E-Mail persönliche Nutzer- oder Kontodaten, wie PIN- und TAN-Nummern, abzufragen. Alternativ werden Anwender auch auf infizierte Websites gelockt, auf denen oftmals Schadcode hinterlegt ist, der sich heimlich auf dem Rechner installiert und darauf ausgelegt ist, Daten auszuspionieren. Die SophosLabs melden mittlerweile alle fünf Sekunden eine neue Website, auf der Trojaner oder Viren gefunden wurden. Um an die Daten und das Geld von Anwendern zu kommen, tarnen Phisher ihre Angriffe nicht nur als Bank-E-Mail, sondern missbrauchen mittlerweile bevorzugt auch soziale Netze für ihre Zwecke: Über die Mitgliederprofile spionieren sie persönliche und geschäftliche Informationen aus oder infizieren die Sites mit Schadcode, um sich so Zugang auf die Rechner der Nutzer zu verschaffen. (kf)