Sophos Threat Report I/2007

April 24, 2007 Sophos Press Release

In den ersten drei Monaten des Jahres 2007 hat sich die Zahl neuer Schadprogramme dramatisch erhöht. Dabei verbreiten die Virenprogrammierer ihre Schadcodes zunehmend über infizierte Websites. Dies ist das Ergebnis einer Analyse der weltweiten Aktivitäten von Cyberkriminellen, die Sophos, einer der weltweit führenden Computersicherheits-Spezialisten, durchgeführt hat. Sophos identifizierte im ersten Quartal 2007 23.864 neue Schadprogramme und damit mehr als doppelt so viele wie im entsprechenden Zeitraum des Vorjahres, in dem die Zahl der neuen Bedrohungen bei 9.450 lag. Die Zahl infizierter E-Mails sank im Vergleich zum Vorjahr von 1,3 Prozent im ersten Quartal 2006 auf 0,4 Prozent im ersten Quartal 2007. Damit enthielt nur noch eine von 256 Mails ein Schadprogramm, während 2006 noch eine von 77 Mails mit einem Virus infiziert war.

Zunehmend beliebter wird bei Cyberkriminellen die Verbreitung von Schadcodes über das Internet: Zwischen Januar und März 2007 identifizierte Sophos durchschnittlich 5.000 neue infizierte Websites pro Tag. Da sich immer mehr Computeranwender vor Viren und Schadprogrammen, die per Mail verbreitet werden, zu schützen wissen, suchen Hacker nach neuen Wegen, um Rechner und IT-Systeme zu infizieren. Der einfachste Eintrittspunkt in fremde Netzwerke ist heute das Internet.


Top Ten der Schadprogramme, die auf Websites gehostet werden

Folgende Schadprogramme wurden am häufigsten im ersten Quartal 2007 über Websites verbreitet:

Position Schadprogramm Reports in Prozent
1 Troj/Fujif
   50.8%
2 Troj/Ifradv
   12.1%
3 Troj/Decdec
   10.4%
4 Mal/Packer
   6.3%
5 JS/EncIFra
   5.5%
6 Mal/FunDF
   2.3%
7 Troj/Psyme
   2.2%
8 Troj/Zlob
   2.0%
9 Mal/Behav
   1.2%
10 Mal/DelpBanc
   0.4%
Sonstige 7.2%

Nicht alle Websites wurden dabei von Hackern selbst eingerichtet. Wie die Untersuchungen von Sophos ergaben, handelt es sich bei der Mehrzahl (rund 70 Prozent), um harmlose Websites, die jedoch nicht gepatcht, schlecht programmiert oder nicht gewartet und daher besonders anfällig für Attacken waren. 12,8 Prozent der infizierten Websites verbreiteten schädliche Skripts, während Windows Schadprogramme rund 10,7 Prozent der Websites infizierten. Auf 4,8 Prozent der infizierten Sites befand sich Adware, während 1,1 Prozent Porno-Dialer enthielten.

Der prominenteste Fall einer Website-Infektion im ersten Quartal 2007 fand im Februar statt, als Hacker einen Schadcode auf der offiziellen Website des US-Football Teams der Miami Dolphins hinterlegten, der als Mal/Packer identifiziert wurde. Das Team war am darauf folgenden Wochenende Gastgeber des Super Bowl, weshalb die Website in dieser Zeit besonders viele Besucher hatte. Attacken wie diese zeigen, dass Websites unabhängig von ihrem Inhalt Opfer eines Angriffs werden und die Rechner unbedarfter Anwender infizieren können, wenn die Website nicht ausreichend geschützt ist. Sophos empfiehlt Unternehmen daher, Sicherheitslösungen für den Webzugang einzusetzen, die nicht nur nach Kategorien filtern, sondern auch den Code jeder Website untersuchen, bevor der Zugriff darauf gewährt wird.

In einem anderen Fall im März dieses Jahres versuchten Hacker, die Anwender mit Spam-Kampagnen auf bestimmte Websites zu locken, um dort Waren zu verkaufen. Harmlose Websites, die aber über PHP verwundbar waren, wurden gehackt und Anwender zu einem Online-Shop für Medikamente weitergeleitet. Durch die Verwendung von Links auf harmlose Websites umgingen die Hacker einfache Spam-Filter. Sobald die Anwender auf die Links klickten, landeten sie zunächst auf der Original-Site und wurden von dort automatisch auf die Website der Hacker umgeleitet.

Christoph Hardy, Security Consultant bei Sophos: "Wir beobachten mit Sorge, dass die meisten Websites von Hackern missbraucht werden können, weil sie von ihren Besitzern nicht ordentlich gewartet werden und versäumt wird, aktuelle Patches einzuspielen. Der normale Internet-Anwender geht davon aus, dass Sites, wie die der Miami Dolphins, sicher sind. Indem Hacker eine ganze Reihe von Internet-Sites angreifen, gelingt es ihnen, die Rechner zahlreicher, unaufmerksamer Internet-Surfer zu infizieren. Jede schlecht gepflegte Website kann Opfer eines Hacker-Angriffs werden."


Top Ten der Länder, die die meisten infizierten Websites beheimaten

Folgende Länder haben im ersten Quartal 2007 die meisten web-basierten Schadprogramme verbreitet:

Position Land Reports in Prozent
1 China
   41.1%
2 USA
   29.2%
3 Russland
   4.6%
4 Deutschland
   4.6%
5 Ukraine
   3.9%
6 Großbritannien
   3.0%
7 Frankreich
   2.2%
8 Niederlande
   1.9%
9 Südkorea
   1.3%
10 Taiwan
   1.0%
Sonstige 8.1%

In Deutschland nahm die Zahl infizierter Websites im Vergleich zum Vorjahr um rund drei Prozentpunkte zu – so wurden im ersten Quartal 2007 4,6 Prozent aller infizierter Websites von deutschen Providern gehostet. Ebenso stieg die Zahl der gehackten Sites dramatisch an, die in China gehostet werden. Mehr als ein Drittel aller web-basierten Schadprogramme stammte aus China, weshalb China nun die USA auf Platz eins der Liste abgelöst hat.

"China hat seit langem einen miserablen Ruf, wenn es um Cyberkriminalität geht. So taucht das Land regelmäßig an erster oder zweiter Position der Länder auf, die die meisten Spam-Mails verbreiten. Deshalb ist auch die führende Position in dieser Top-Ten-Liste keine Überraschung", so Hardy weiter. "Außerdem führt China die neue Internet-Revolution an, was die wachsende Zahl an Anwendern zeigt, die sich selbst als >Web-süchtig< bezeichnen. Demzufolge ist es kein Wunder, dass Hacker sich auf diese Zielgruppen konzentrieren."


Polnischer ISP für fünf Prozent des weltweiten Spams verantwortlich

Anfang April 2007 gab Sophos einen überraschenden Neueinstieg in die Liste der Länder bekannt, die die meisten Spam-Mails versenden: Polen - bislang nicht in den Top Ten vertreten - landete mit einem Anteil von 7,4 Prozent am weltweiten Spam-Versand auf Platz drei. Die Untersuchungen von Sophos zeigten, dass ein einzelner polnischer Internet Service Provider (ISP) maßgeblich für diese unrühmliche Platzierung verantwortlich ist. Im Zeitraum von Januar bis März 2007 wurde eine von zwanzig weltweit verbreiteten Spam-Mails von diesem Provider verschickt. Insgesamt stieg die Anzahl an Spam-Nachrichten im ersten Quartal 2007 weltweit um 4,2 Prozent, verglichen mit dem ersten Quartal 2006.

Christoph Hardy dazu: "Die Tatsache, dass ein durchschnittlicher polnischer ISP alleine für fünf Prozent des weltweiten Spam-Aufkommens verantwortlich ist, überrascht einen doch sehr. Sophos ist derzeit in Gesprächen mit diesem Provider, um ihn dabei zu unterstützen, die Flut dieser unerwünschten Mails einzudämmen. Das Spam-Problem lässt sich nur schwer lösen, da die Gesetzgebung von Land zu Land unterschiedlich ist und die Verantwortlichkeiten des ISP sich damit auch von Ort zu Ort unterscheiden. Zusätzlich stehen ISPs oft unter dem Druck des Markts, ihre Preise zu senken, statt in Prozesse zu investieren, die dafür sorgen, dass nur erwünschter Mails ihre Server verlassen."