Sophos Schädlings-Top-Ten im September

Oktober 01, 2007 Sophos Press Release

Im September 2007 ist die Zahl infizierter E-Mails erstmals wieder gestiegen. Dies geht aus den Untersuchungen von Sophos, einem der führenden Anbieter von IT-Lösungen für 'Security and Control', hervor. 0,12 Prozent aller E-Mails enthielten ein infiziertes Attachment - das entspricht einer von 833 E-Mails. Im Vormonat war noch eine von 1.000 Mails mit einem Schadprogramm infiziert.

Schuld an der Zunahme war vor allem eine Kampagne, bei der kriminelle Hacker in der zweiten September-Hälfte den so genannten Pushdo-Trojaner im großen Stil über Spam-Mails verbreiteten. Die E-Mails, in denen den Empfängern Nacktfotos berühmter Hollywood-Schauspielerinnen, wie Angelina Jolie oder Halle Berry, versprochen wurden, enthielten einen Schadcode, der Hackern die Kontrolle über fremde PCs ermöglicht. In der letzten September-Woche war der Schädling in einem Zeitraum von nur 24 Stunden in fast vier von fünf infizierten Mails enthalten. Daneben nehmen webbasierte Cyberattacken kontinuierlich zu. Im September registrierten die SophosLabs, die weltweiten Forschungszentren von Sophos, 5.400 neu infizierte Internet-Seiten. Auf knapp 60 Prozent aller infizierten Websites befand sich der Schädling Mal/Iframe. Mal/ObfJS war mit einem Anteil von 17 Prozent der am zweithäufigsten im Web gehostete Schädling und unter anderem sogar auf der Website des US-Generalkonsulats in St. Petersburg, Russland, zu finden.

Mehr als die Hälfte aller infizierten Websites wurde wie bereits in den Vormonaten in China gehostet. In den USA hingegen ist die Zahl infizierter Websites gesunken: Nur noch 17 Prozent aller infizierten Internet-Seiten wurden in den Vereinigten Staaten gehostet - im August lag der Anteil bei über 20 Prozent. In Russland dagegen mehrten sich die infizierten Websites, ihr Anteil stieg von 11,3 auf 14,4 Prozent.

Die Hitliste der über E-Mails verbreiteten Schädlinge im September ergibt folgendes Bild:

Position Letzter
Monat
Schadprogramm Reports in Prozent
11W32/Netsky
   29.90%
24Troj/Pushdo
   27.4%
33W32/Mytob
   9.2%
42W32/Zafi
   8.3%
5Re-entryMal/IFrame
   6.0%
6Re-entryMal/Behav
   4.6%
76W32/MyDoom
   4.1%
8NewMal/Basine
   2.5%
98W32/Bagle
   1.4%
1010W32/Traxg
   1.2%
Sonstige5.4%

Folgende Schadprogramme wurden im September am häufigsten über infizierte Websites verbreitet:

Position Letzter
Monat
Schadprogramm Reports in Prozent
11Mal/IFrame
   59.5%
22Mal/ObfJS
   17.0%
33Troj/Decdec
   3.7%
44Troj/Fujif
   3.6%
55Mal/EncPk
   1.6%
6=NewTroj/Iffy
   1.3%
6=8Troj/Pintadd
   1.3%
76Troj/Psyme
   1.0%
87Mal/Packer
   0.9%
9NewTroj/Ifradv
   0.8%
Sonstige9.3%

In folgenden Ländern wurden im September die meisten infizierten Websites gehostet:

Position Letzter
Monat
Land Reports in Prozent
11China (inc. HK)
   54.9%
22United States
   17.1%
33Russia
   14.4%
44Ukraine
   3.7%
56Germany
   1.0%
6=9=United Kingdom
   0.7%
6=5Poland
   0.7%
6=7Netherlands
   0.7%
7=Re-entryCzech Republic
   0.6%
7=9=Canada
   0.6%
Sonstige5.6%

Sophos Decision Caching: das Prüfsummen-Prinzip

Unternehmen arbeiten Tag für Tag mit einer Vielzahl an Dateien - Texte, Tabellen, Präsentationen und Grafiken werden im Sekundentakt geöffnet, bearbeitet und gespeichert. Dabei besteht stets die Gefahr, dass diese von Viren befallen werden oder sich Würmer oder Trojaner einschleichen. Die Aufgabe eines effektiven On-Access-Schutzes ist es daher, Dateien beim Zugriff auf elektronische Schadprogramme zu untersuchen. Zwar bieten viele Antiviren-Programme diesen 'Viren-Wächter' an, doch jede Datei wieder und wieder zu überprüfen, egal ob sie seit dem letzten Scan tatsächlich verändert wurde oder nicht, kann die Leistungsfähigkeit der Rechner enorm belasten. Um die Anzahl der notwendigen Virenüberprüfungen auf ein Minimum zu reduzieren, hat Sophos die so genannte 'Decision Caching-Technologie' entwickelt.

Decision Caching greift auf die internen Prüfsummen des Betriebssystems zurück: Wird eine Datei geöffnet, errechnet das Betriebssystem aus der Bytefolge der Datei einen bestimmten Wert - die so genannte Prüfsumme. Die Errechnung der Prüfsumme erfolgt bei jedem Dateizugriff automatisch mithilfe eines sicheren Algorithmus. Die Zahlenwerte ermöglichen es, eine Datei eindeutig zu identifizieren. Denn selbst, wenn sich nur ein einziges Bit in einer Datei ändert, verändert sich die Prüfsumme deutlich.

Die Decision Caching-Technologie nutzt nun diese Prüfsummen, um festzustellen, ob eine Datei seit der letzten Viren-Überprüfung verändert wurde. Dazu wird die aktuelle Prüfsumme mit der Summe verglichen, die beim letzten Zugriff ermittelt wurde. Stimmen beide Werte überein, wurde die Datei zwischenzeitlich nicht verändert und kann gefahrlos geöffnet werden, da sie bereits als Malware-frei erkannt wurde. Weicht die neue Prüfsumme von der alten ab, wird eine Kopie der betreffenden Datei an die Virus Detection Engine von Sophos Anti-Virus zur Überprüfung gesendet. Ist sie virenfrei, kann die Datei geöffnet werden. Ist sie infiziert, verhindert der durch die Decision Caching-Funktion aktivierte Viren-Scanner, dass die Datei geöffnet werden kann. Nach jedem Viren-Check wird eine neue Prüfsumme erstellt - die vorherige wird damit ungültig. Die IDs der überprüften Dateien werden im Cache von Sophos Anti-Virus gespeichert. Sobald eine neue Virenkennungsdatei (IDE) in Sophos Anti-Virus hinzugefügt wird, wird der Cache geleert und die Dateien werden beim Zugriff automatisch auf neue und bekannte Viren übergeprüft. Andernfalls bestünde das Risiko, dass eine Datei vor der Aktualisierung mit einem bislang unbekannten Schädling geöffnet und als virenfrei identifiziert wurde und nicht erneut überprüft wird. Die Sophos Decision Caching-Technologie dient ausschließlich dazu, festzustellen, ob eine Virenüberprüfung für eine bestimmte Datei notwendig ist oder nicht - ob die Datei tatsächlich einen Virus enthält, prüft die Virus Detection Engine. Durch die Verwendung Betriebssystem-interner Prüfsummen lässt sich die Leistung des On-Access-Scanners erheblich steigern.

Die vollständige Top-Ten Meldung in englischer Sprache mit allen Ergebnissen der Sophos Schädlings-Top-Ten für September 2007 finden Sie hier.

Die Grafik der monatlichen Viren-Top-Ten finden Sie hier.

Ausführliche Informationen zum sicheren Computer-Umgang und Anti-Hoax-Richtlinien finden Sie hier.