Sophos Security Report der ersten Jahreshälfte 2006

Juli 05, 2006 Sophos Press Release

Die weltweite Verbreitung elektronischer Trojaner hat sich innerhalb der ersten Hälfte des Jahres 2006 verdoppelt - so das Ergebnis der Untersuchungen der SophosLabs, der weltweiten Forschungszentren des Computersicherheits-Spezialisten Sophos. Während die Anzahl neuer Viren und Würmer zwischen Januar und Juni 2006 deutlich abnahm, versuchen Cyber-Kriminelle immer häufiger mittels gezielter Trojaner- und Spyware-Attacken an Geld und vertrauliche Informationen der Computeranwender zu gelangen. Insgesamt wurden in den vergangenen sechs Monaten viermal so viele neue Trojaner in Umlauf gebracht wie Viren – im vergangenen Jahr lag das Verhältnis noch bei 2:1. Die meisten Schadprogramme werden dabei weiterhin für Windows-Systeme programmiert - andere Betriebssysteme, wie Apple Mac OS X oder Linux, wurden bislang kaum angegriffen. Neben Würmern und Trojanern verzeichneten die SophosLabs in den letzten sechs Monaten neue IT-Sicherheits-Bedrohungen: Beispielsweise verschlüsseln Cyber-Krimninelle die Daten betroffener PC-Anwender und geben diese nur gegen entsprechende Lösegeldzahlungen frei. Insgesamt war zwischen Januar und Juni 2006 jede 91. E-Mail mit einem Schadprogramm infiziert - im Vorjahreszeitraum enthielt jede 35. Mail einen Virus.

Folgende elektronische Schädlinge waren zwischen Januar und Juni 2006 besonders stark verbreitet:

PositionVirusAnzahl der Reports
1 W32/Sober-Z
   22.4%
2 W32/Netsky-P
   12.2%
3 W32/Zafi-B
   8.9%
4 W32/Nyxem-D
   5.9%
5 W32/Mytob-FO
   3.3%
6 W32/ Netsky-D
   2.4%
7 W32/Mytob-BE
   2.3%
8= W32/Mytob-EX
   2.2%
8= W32/Mytob-AS
   2.2%
10 W32/Bagle-Zip
   1.9%
Sonstige 36.3%

Der aktivste Wurm zwischen Januar und Juni 2006 war der E-Mail-Wurm Sober-Z, der mit mehr als 22 Prozent die Rangliste der zehn am meisten verbreiteten Schadprogramme anführt. Zur Zeit seiner stärksten Verbreitung war weltweit jede 13. Mail mit Sober-Z infiziert. Obwohl der Wurm am 6. Januar dieses Jahres aufgehört hat, sich aktiv selbständig zu verbreiten, hält er seine Position an der Spitze der Top Ten. Dies belegt, dass neue Viren nicht mehr vorrangig über Massenversand verbreitet werden und so die alt bekannten Schädlinge von den vorderen Rängen verdrängen. Vielmehr setzen Cyber-Kriminelle verstärkt auf gezielte Attacken gegen eine kleinere Zahl von Computeranwendern. Auch der von dem deutschen Jugendlichen Sven J. programmierte Wurm Netsky-P konnte 2006 seinen unrühmlichen Erfolg fortsetzen - der Schädling ist bereits seit mehr als zwei Jahren in Umlauf und behauptet regelmäßig einen der vorderen Plätze der monatlichen Viren-Charts.


Zielscheibe Microsoft Windows

Im Gegensatz zur rückläufigen Entwicklung bei Viren und Würmern stellen die Computersicherheits-Experten von Sophos eine zunehmende Anzahl neuer IT-Sicherheits-Bedrohungen fest: Zu den bevorzugten Methoden der Cyber-Kriminellen gehören insbesondere der Einsatz von Spyware, Trojanern sowie Phishing-Attacken. Im Juni vergangenen Jahres lag die Gesamtzahl an Viren, Spyware, Würmern und Trojanern sowie Adware und potenziell unerwünschten Anwendungen (PUAs) bei 140.118. Im Juni 2006 schützte Sophos bereits vor 180.292 verschiedenen Schadprogrammen. Weiterhin konzentrieren sich die meisten Attacken auf Windows-Systeme. Andere Betriebssystem wie Apple Mac OS X oder Linux hingegen blieben bislang von breit angelegten Angriffen verschont. Auch der von Sophos im Februar 2006 entdeckte erste Mac-Wurm (Leap-A) verbreitete sich nicht weiter.

Christoph Hardy, Security Consultant bei Sophos: "Die steigende Zahl neuer IT-Sicherheits-Bedrohungen macht deutlich, dass Cyber-Kriminelle mittels geeigneter Programme ahnungslosen Anwendern erfolgreich das Geld aus der Tasche ziehen. Andernfalls hätten sie ihre Attacken längst eingestellt. Für Unternehmen ist es daher wichtiger denn je, integrierte Sicherheitslösungen einzusetzen, die vor unerlaubten Zugriffen schützen und bekannte wie auch unbekannte Schadcodes zuverlässig abwehren. Weiterhin scheinen es die Virenautoren vor allem auf Windows-Nutzer abgesehen zu haben. Dass alternative Betriebssysteme von Cyber-Kriminellen weitgehend verschont werden, macht diese natürlich für Unternehmen interessant. Auch Privatanwender sollten dies beim Kauf eines neuen Rechners bedenken."


Anteil an Trojanern nimmt weiter zu

Insgesamt waren 82 Prozent aller neu entdeckten Schadprogramme zwischen Januar und Juni 2006 Trojaner. Im Gegensatz zu Viren und Würmern verbreiten sich diese nicht selbstständig, sondern werden von Cyber-Kriminellen bewusst meist an kleinere Empfängergruppen gesendet. Ihr Ziel ist es, an das Geld oder vertrauliche Informationen der Anwender zu gelangen. Neben diesen gezielten Attacken versenden einige Virenautoren ihre elektronischen 'Handlanger' auch per Massen-Mails. Auf diese Weise schaffte es Clagger-G im Februar 2006 als erster Trojaner in die monatlichen Schädlings-Top Ten - sein Artgenosse Clagger-I belegte einen Monat später den sechsten Platz in der Rangliste der meist verbreiteten Schadprogramme. Die Clagger-Trojaner geben sich unter anderem als E-Mail-Benachrichtigungen von Amazon und PayPal aus.

In der folgenden Rangliste der zehn meist verbreiteten Schädlings-Familien befindet sich die Clagger-Familie auf Platz acht:

PositionSchädlings-FamilieAnzahl der Reports
1 W32/Mytob
   28.7%
2 W32/Sober
   22.6%
3 W32/Netsky
   19.0%
4 W32/Zafi
   9.9%
5 W32/Nyxem
   5.9%
6 W32/Bagle
   4.3%
7 W32/MyDoom
   3.3%
8 W32/Clagger
   1.3%
9 W32/Dolebot
   1.1%
10 W32/Lovgate
   0.8%
Sonstige 3.1%

Christoph Hardy: "Die Clagger-Trojaner wurden per E-Mail an Millionen von Empfängern geschickt und schafften so den Sprung in die Schädlings-Charts. Ihre starke Verbreitung zeigt, dass Cyber-Kriminelle ihre Schadprogramme laufend neu verpacken und auch auf Spam-Technologien zurückgreifen, um sich ihr illegales Einkommen zu sichern. Nichtsdestotrotz zeichnet sich ein deutlicher Trend hin zu gezielten Attacken gegen kleinere Empfängergruppen ab. Diese lassen sich von den Angreifern einfacher steuern und erhöhen zudem die Chancen, die Computeranwender erfolgreich zu täuschen."

Dass die Angriffe auf Computeranwender zunehmend krimineller werden, zeigt eine im ersten Halbjahr 2006 erstmals von Sophos entdeckte Betrugsmasche: Mit Hilfe geeigneter Schadprogramme werden Dateien der betroffenen Anwender verschlüsselt und erst gegen Zahlung eines Lösegelds 'freigelassen'. Drei aktuelle Beispiele für diese so genannten "Ransomware"-Attacken sind die Trojaner Ransom-A, Zippo-A und Arhiveus-A, die in den vergangenen Monaten für Schrecken bei den betroffenen Anwendern sorgten.

Christoph Hardy: "Cyber-Kriminelle finden laufend neue Methoden, um an schnelles Geld zu kommen - neuster Trend ist hier anscheinend rigorose Erpressung. In Anbetracht dieser schmutzigen Praktiken ist es verständlich, dass Behörden immer härtere Strafen gegen solche Vergehen verhängen."

Im Mai 2006 wurde in den USA die bislang längste Gefängnisstrafe für das Aussenden von Malware verhängt: Für den Betrieb eines Zombie-Netzwerks wurde ein 21-jähriger US-Amerikaner zu einer Freiheitsstrafe von 57 Monaten verurteilt. Auch die bevorstehende Auslieferung eines britischen Hackers an die USA bestätigt das striktere Vorgehen der Behörden gegen die Cyber-Kriminalität. Der Brite wird beschuldigt, in die Computersysteme des Pentagon und der NASA eingedrungen zu sein - ihn erwarten eine mehrjährige Haftstrafe sowie eine hohe Geldstrafe. Weltweit werden täglich neue Verurteilungen von Cyber-Kriminellen gemeldet.

Den ausführlichen Security Threat Management Report von Sophos finden Sie hier.