Sophos Security Threat Report:

Juli 25, 2007 Sophos Press Release

Mainz, 25. Juli 2007. Sophos, einer der führenden Anbieter von ITLösungen für 'Security and Control', hat seinen Security Threat Report für das erste Halbjahr 2007 veröffentlicht. Nach den Analysen der SophosLabs, der weltweiten Forschungszentren von Sophos, nahm die ITSicherheitsBedrohung durch infizierte Websites auch im ersten Halbjahr 2007 weiter zu. Allein im Juni 2007 registrierte Sophos rund 29.700 neu infizierte InternetSeiten pro Tag Anfang des Jahres lag die Zahl noch bei 5.000. Damit gehört die Verbreitung von Schadcodes über das Internet mittlerweile zur meist verbreiteten Angriffsmethode finanziell motivierter Cyberkrimineller. Die meisten infizierten Websites wurden zwischen Januar und Juni 2007 in China gehostet. Bei der Hälfte aller weltweit gehackten Webserver handelt es sich um Apache Server.

Schnappschuss einer Million von Sophos gesperrter Websites (nach Kategorien gegliedert).

Um Unternehmen vor Cyberattacken, Malware und unzulässigen Inhalten zu schützen, lassen sich mithilfe der Sophos Lösungen mittlerweile mehrere Millionen Websites blocken. Eine Stichprobe bei einer Million geblockten InternetSeiten zeigt folgende Verteilung: Auf 28,8 Prozent der Websites ist Malware abgelegt, bei weiteren 28 Prozent handelt es sich um Porno und GlückspielSeiten. Daneben wurden 19,4 Prozent der geblockten Websites gezielt von Spammern eingerichtet und 4,3 Prozent als illegal eingestuft, da sie beispielsweise Raubkopien anbieten oder es sich um PhishingSites handelt. Von den mit Schadcode infizierten Websites wurde dabei lediglich jede fünfte speziell für kriminelle Zwecke gestaltet die restlichen 80 Prozent waren eigentlich harmlose, jedoch von Cyberkriminellen gehackte Websites.

Apache der meist infizierte Webserver

Um einfach und schnell eine große Anzahl an Websites zu verseuchen, reicht es oftmals aus, eine einzige Datei auf einem Webserver zu infizieren. Ist die Datei Bestandteil unterschiedlicher Websites, die auf dem gehackten Server gehostet werden, können Cyberkriminelle so mehrere Sites gleichzeitig attackieren.

TopWebserverSoftware mit Malware.

RangMalwareProzentualer Anteil
1 Mal/Iframe 49.2%
2 Troj/Psyme 8.3%
3 Troj/Fujif 7.9%
4 JS/EncIFra 7.3%
5 Troj/Decdec 6.9%
6 Troj/Ifradv 4.1%
7 Mal/ObfJS 2.5%
8 Mal/Packer 1.5%
9 VBS/Redlof 1.1%
10 Mal/FunDF 0.9%
Sonstige 10.3%

Angeführt wird die Rangliste der im Internet besonders häufig hinterlegten Schadcodes von der Schädlingsfamilie Mal/Iframe. IframeVarianten waren im ersten Halbjahr 2007 auf fast jeder zweiten infizierten InternetSeite zu finden. Dabei deutet nichts darauf hin, dass die Verbreitung von Iframe abnimmt. In Italien wurden vor kurzem mit Hilfe des Schädlings mehr als 10.000 Websites infiziert. Bei den meisten davon handelte es sich um eigentlich harmlose Sites, die alle von einem der größten Internet Service Provider (ISP) in Italien gehostet wurden.

Christoph Hardy: 'Mal/Iframe ist ein Paradebeispiel für die Art, wie sich WebBedrohungen verbreiten: Mithilfe von Schadcodes werden unzureichend geschützte InternetSites angegriffen und infiziert völlig egal, ob auf den Sites zum Beispiel Gartentipps oder pornografische Inhalte zu finden sind. Es reicht daher nicht mehr länger aus, Websites lediglich nach vordefinierten Kategorien zu blocken WebSecurityLösungen müssen InternetSites auch auf schädliche Inhalte prüfen. Mag eine GlücksspielSite auf den ersten Blick vielleicht gefährlicher erscheinen, lauert jedoch manchmal die größte Gefahr hinter einem harmlos erscheinenden Internetangebot.'

China Land der infizierten Websites

In folgenden Ländern wurden im ersten Halbjahr 2007 die meisten infizierten Websites gehostet:

RangMalwareProzentualer Anteil
1 Mal/Iframe 49.2%
2 Troj/Psyme 8.3%
3 Troj/Fujif 7.9%
4 JS/EncIFra 7.3%
5 Troj/Decdec 6.9%
6 Troj/Ifradv 4.1%
7 Mal/ObfJS 2.5%
8 Mal/Packer 1.5%
9 VBS/Redlof 1.1%
10 Mal/FunDF 0.9%
Sonstige 10.3%

China verdrängte im ersten Halbjahr die USA von der Spitze der HalbjahresTop Ten und hostete im Zeitraum zwischen Januar und Juni 2007 mehr als 50 Prozent aller infizierten InternetSites. Nachdem China noch Ende 2006 jede dritte infizierte Website hostete, lässt sich die neue Spitzenposition insbesondere auf die dort überdurchschnittlich starke Verbreitung des Schadcodes Iframe zurückführen. Tatsächlich waren mehr als 80 Prozent der in China gehosteten, infizierten Websites mit dem Schädling verseucht. Auf Platz zwei der Rangliste folgen die USA, in denen knapp ein Drittel aller infizierten InternetSeiten betrieben wird. Danach folgen mit deutlichem Abstand Russland (4,5 Prozent) und Deutschland (3,5 Prozent).

Neue Tricks: Dubiose SpamMails im PDFFormat und Viren auf USBSticks

Im ersten Halbjahr 2007 registrierten die Experten der SophosLabs eine steigende Zahl an SpamMails mit angehängten Dateien. Um einfache SpamFilter am Gateway zu umgehen, nutzen immer mehr Cyberkriminelle PDFDokumente, in denen sie potenziellen Kunden ihre obskuren Angebote grafisch aufbereitet unterbreiten.

Eine neue Masche krimineller Hacker ist auch die Verbreitung von Schadcodes über mobile USBGeräte. Cyberkriminelle nutzen dabei gezielt die AutoRunFunktion auf WindowsPCs aus. Ist diese aktiviert, werden Schadcodes automatisch ausgeführt, sobald ein infizierter USBStick an den Rechner angeschlossen wird. Auf diese Weise wurden dieses Jahr bereits mehrere Schadprogramme übertragen, darunter der so genannte Harry PotterWurm. Anstelle des versprochenen siebten Harry PotterBandes verbarg sich in dem auf einem infizierten USBStick gespeicherten WordDokument der Schädling W32/Hairy. Ingesamt verbreiteten sich die per USBStick übertragenen Schädlinge jedoch nicht nennenswert weiter und lassen sich zudem mittels aktueller AntiVirenSoftware leicht abwehren.

WebBedrohungen stellen EMailViren in den Schatten

Neben infizierten Websites bedrohen weiterhin auch infizierte EMails die ITSicherheit von Unternehmen und PCAnwendern. Deren Zahl bewegte sich im vergangenen Jahr jedoch weitgehend auf konstantem und vergleichsweise niedrigem Niveau: So lag der Anteil an EMails, die Malware enthielten, am gesamten EMailAufkommen im ersten Halbjahr 2007 bei 0,29 Prozent. Damit war eine von 337 EMails infiziert. Besonders aktiv zeigte sich die Mal/HckPkFamilie: Im Zeitraum zwischen Januar und Juni 2007 registrierten die Experten von Sophos mehr als 8.000 neue Varianten der SchädlingsFamilie, zu der auch die weit verbreiteten Schadcodes 'Dorf' und 'Dref' gehören.