![[Aufmachergrafik: heller, corporate design]](images/08-4-054-0.jpg)
Neues aus dem Malware-Zoo Neues aus dem Malware-ZooAus den Rückmeldungen verschiedener Microsoft-Produkte und -Dienste sowie frei zugänglichen Quellen entsteht seit 2006 halbjährlich der Microsoft Security Intelligence Report (SIR, ![[externer Link]](../../images/link.gif)
http://microsoft.com/sir). Zum Thema Malware entstammen seine Daten vorrangig dem Windows Malicious Software Removal Tool (MSRT) sowie Windows Defender und Live OneCare von Consumer-PCs; aus dem Business-Umfeld gehen zudem Informationen des Exchange Hosted Filtering und der Forefront Client Security ein. Der im April erschienene vierte Security Intelligence Report behandelt die Situation des zweiten Halbjahres 2007 und liefert die im Folgenden erörterten Zahlen.
Allein das per Windows-Update verbreitete MSRT hatte Ende 2007 eine Basis von gut 450 Millionen Computersystemen aus aller Welt. Das Tool, das jeden Monat die gängigsten Malwares ins Visier nimmt, hatte im Oktober und November 2007 jeweils rund 12 Millionen Infektionen auf etwa acht Millionen unterschiedlichen Computern beseitigt – im gesamten zweiten Halbjahr 2007 waren es 42,2 Millionen Desinfektionen, was einer Steigerung von 120 % gegenüber der ersten Jahreshälfte entsprach.
Auch wenn durch die steigende Verbreitung der Microsoft-Tools, deren zunehmende Erkennungsleistung sowie neu aufgenommene Malware-Familien im MSRT die erneut gestiegenen absoluten Zahlen nicht ohne Weiteres die aktuelle Malware-Situation wiedergeben müssen, sind doch einige Trends deutlich erkennbar. Offenbar führt nicht zuletzt die seit längerem zu beobachtende Kriminalisierung der Malware-"Branche" zu weiterhin zunehmender Aktivität.
Die deutschsprachigen Länder landen im weltweiten Infektionsvergleich dabei im besten Viertel: Während im globalen Schnitt eine von 123 MSRT-Läufen eine Infektion aufdeckte, lag dieses Verhältnis in Österreich bei 1:242, in Deutschland bei 1:226 und in der Schweiz bei 1:182. Es ist nach wie vor so, dass vor allem in weniger entwickelten Ländern und Regionen mit beginnender Technisierung überdurchschnittlich viele PCs infiziert sind, wohingegen Rechner in Industrienationen weniger oft befallen sind (vgl. Abb. 1). Das ist sicher auch darauf zurückzuführen, dass in Industrienationen Schutzprogramme weiter verbreitet und die Anwender besser informiert sind.
Die USA sind zwar "sicherer" als ihre süd- und mittelamerikanischen Nachbarn, belegen jedoch mit einer Infektionsrate von 1:112 genau wie Liechtenstein (1:110), Frankreich (1:104), Russland (1:88) und Spanien (1:78) nur mittlere Plätze – "Schlusslichter" in der EU sind Portugal (1:67) und Rumänien (1:51). Finnland zeigt sich hingegen besonders malwareresistent und liegt mit 1:265 auch global auf Platz vier hinter Taiwan (1:305), dem Senegal (1:372) und Japan (1:605).
![[Weltkarte]](images/08-4-054-1.jpg)
Abbildung 1: Geografische Verteilung der mittleren Infektionrate (Erkennung durch MSRT im 2. Halbjahr 2007, normalisiert)
Moderne Malware lässt sich nicht immer leicht einer der klassischen Kategorien "Virus", "Wurm" oder "Trojanisches Pferd" zuordnen – nicht wenige aktuelle Bedrohungen besitzen Eigenschaften oder Komponenten aus verschiedenen Malwaregattungen. Dennoch ist über alle Datenquellen ein deutlicher Anstieg von Trojanern erkennbar: sowohl in der Ausprägung "Backdoors" als auch bei konventionellen Trojanischen Pferden und vor allem bei den so genannten Droppers und Downloaders, die weitere Malware(-Komponenten) nachladen und so auch nach dem ursprünglichen Befall eines Systems ihrem "Herrn und Meister" eine besonders große Auswahl an Missbrauchs- und Tarnmöglichkeiten bieten.
Im zweiten Halbjahr 2007 verzeichnete der SIR eine Vervierfachung bei den erkannten und entfernten Downloader- und Dropper-Trojanern; dieser Anstieg lag noch einmal deutlich über dem bereits zuvor beobachteten kräftigen Zuwächsen. Weltweit sorgen die Downloader für zirka 50 % der Infektionen und liegen somit weit vor Rootkits, Würmern und anderen Schädlingen. Ganz offensichtlich ist diese Art von Malware für einen großen Teil der Angreifer zu einem beliebten Werkzeug geworden – IT- und Sicherheitsexperten sollten dementsprechend gut mit dieser Schädlingsgattung vertraut sein, um ihre Netzwerke vor solchen Angriffen schützen zu können.
Auch wenn in Deutschland der Downloader-Anstieg nicht so dramatisch war, gingen doch in den ersten sechs Monaten des Jahres 2007 knapp 38 % aller Infektionen auf das Konto dieser Malware-Spezies, in der zweiten Hälfte mehr als 51 %. Gleichzeitig sank die anteilige Verbreitung herkömmlicher Trojaner prozentual von 27 % auf rund 25 %, obwohl die absolute Zahl der Infektionen durch Trojaner im gleichen Zeitraum anstieg.
Über das ganze Jahr betrachtet waren in Deutschland 47 % der 2007 von Microsoft festgestellten 2,9 Millionen Malwareinfektionen Dropper/Downloader. Traditionelle Trojaner machten rund ein Viertel aller Fälle aus, "reine" Backdoors ebenso wie Würmer jeweils rund 11 % – klassische Viren waren für knapp 5 % aller Infektionen verantwortlich.
![[siehe Text]](images/08-4-054-2.jpg)
Abbildung 2: Top-5-Kategorien von Malware (links) und unerwünschter Software (rechts) in Deutschland
Der weitaus größte Teil der Infektionen geht heutzutage auf eine relativ kleine Zahl von Malware-Familien zurück: 97 % aller von MSRT im zweiten Halbjahr 2007 bereinigten Computer waren von Mitgliedern der Top-25-Malware-Familien befallen – über die Hälfte ging allein auf die drei aktivsten "Schädlingssippen" zurück: Win32/Zlob, Win32/Renos und Win32/ConHook. Vom Spitzenreiter Zlob waren binnen der betrachteten sechs Monate 4 375 794 unterschiedliche Computersysteme befallen, über 12 % aller infizierten Rechner.
Zlob kommt üblicherweise in der Verkleidung eines vorgeblichen Media-Codecs daher, den man angeblich braucht, um ein bestimmtes Video sehen zu können; einige Varianten präsentieren dem Nutzer sogar eine Lizenzvereinbarung. Nach der Installation bombardiert Zlob den PC-Anwender mit Werbe-Pop-ups und falschen Spyware-Warnungen, die für vorgebliche Sicherheitssoftware werben, die aber letztlich nur weitere Malware darstellt.
Die Verbreitung solcher Pseudo-Sicherheitssoftware (Rogue Security Software) nimmt dem Report zufolge generell weiter zu: Viel davon wird wie schon geschildert durch Downloader-Trojaner oder andere Malware, aber auch durch klassische Methoden des Social Engineering eingeschleust. Die am weitesten verbreitete Pseudo-Sicherheitssoftware, die im zweiten Halbjahr 2007 entdeckt wurde, war Win32/Winfixer; sie war mehr als fünfmal so häufig wie andere Familien. Winfixer zeigt in unterschiedlichen Sprachen und unter verschiedenen falschen Produktnamen Warnmeldungen zu schwerwiegenden Systembedrohungen an, die jedoch gar nicht vorliegen – anschließend bietet das Programm an, die gefundenen Bedrohungen gegen eine Gebühr zu entfernen.
Aber noch einmal kurz zurück zu Zlob: Als typischer Vertreter der Downloader-Trojaner ist diese Malwarefamilie gleichzeitig diejenige mit den meisten Mitgliedern: Ende 2007 wurden fast 85 000 Zlob-Varianten gezählt, was gegenüber der Jahresmitte eine Vervierfachung bedeutete. Diese überaus hohe Zahl, die mehr als das Doppelte der nachfolgenden "Sippen" umfasst, erklärt sicherlich auch die hohe Verbreitung von Zlob.
An zweiter Stelle der "Artenvielfalt" zeigte sich mit HTML/IFrameRef die generische Malware-Klasse für Exploits, die auf "bösartigen" IFrames in Webseiten basieren. Mit 33 428 befallenen Seiten gab es zumindest an dieser Front eine gewisse Entspannung: Im ersten Halbjahr 2007 fanden Microsoft-Tools noch beinahe 86 000 Webseiten, die derartige Attacken in sich trugen. Bedenkt man, dass die entsprechenden Patches gegen diese Exploits schon seit mehreren Jahren vorliegen, sind die Zahlen jedoch noch immer erschreckend hoch. Allgemein machten Exploits gut 9 % der Malware-Sichtungen von Windows Live OneCare aus (vgl. Abb. 3) – ein Drittel davon entfiel noch immer auf IFrame-Exploits.
![[siehe Text]](images/08-4-054-3.jpg)
Abbildung 3: Verteilung erkannter Malware (Microsoft Live OneCare im zweiten Halbjahr 2007)
Ganz "hinten" in der Aktivitätsskala liegen hingegen herkämmliche Exploits, wenn man nach der Zahl neu aufgetretener Malware-Samples schaut: Die entsprechende Suchstatistik des Microsoft Malware Protection Center (MMPC), die aus der Sammlung und Analyse verschiedenartiger Quellen resultiert, führen nach wie vor die klassischen Viren an (s. Abb. 4). Betrachtet man hingegen die Zahl der Varianten, zeigen sich erneut die Trojaner- und Downloader-Autoren besonders aktiv (s. Abb. 5).
![[]](images/08-4-054-4.jpg)
Abbildung 4: Im zweiten Halbjahr 2007 fand das Microsoft Malware Protection Center (MMPC) weit über eine Million neuer Virensamples (Unique Samples of collected new Malware).
![[]](images/08-4-054-5.jpg)
Abbildung 5: Die meisten Varianten lieferten 2007 weiterhin und zunehmend Dropper/Downloader und klassische Trojanische Pferde.
Nach wie vor problematisch ist Win32/Nuwar, der von einigen Anti-Virus-Anbietern als "Sturmwurm" bezeichnet wird – eine Familie von Trojanern und zugehörigen Komponenten, die Anfang 2007 entdeckt wurde. Durch fortlaufendes Aktualisieren und Anpassen mit dem Ziel, seine Erkennung zu unterbinden und die Entfernung zu unterlaufen, ist es den Nuwar-Programmierern gelungen, ein Botnet zu schaffen, das Schätzungen zufolge über eine halbe Million infizierter Systeme weltweit umfasst.
Im zweiten Halbjahr 2007 haben die Nuwar-Programmierer ihre Angriffe sowohl technisch als auch in puncto Social Engineering weiter verfeinert: Zum einen haben sie die Programmkomponenten, aus denen die Nuwar-Familie besteht, weiterentwickelt, und auf der anderen Seite haben sie ihre E-Mail-Fallen angepasst sowie neue Wege gefunden, die Fähigkeit des Botnets zum Spamversand zu stärken. Das zweite Halbjahr 2007 war bezüglich dieser Bedrohungsart daher von ständig neuen Variationen und "Innovationen" gekennzeichnet – Beobachter haben im Schnitt drei Malware-Releases pro Monat gezählt.
Ein Hauptzweck der "Peer-to-Peer"-Komponente (P2P) von Nuwar ist der Spamversand, einerseits zur Verbreitung "infektiöser" Nuwar-Nachrichten, die arglose Anwender zum folgenschweren Klick auf Malware-Sites verleiten sollen, andererseits aber auch zum Versand herkömmlicher, "werblicher" Spam-E-Mails. Weitere Funktionen der Malware bestehen im Sammeln von E-Mail-Adressen von befallenen Systemen und in der Teilnahme an Distributed-Denial-of-Service-(DDoS)-Attacken.
Im Oktober 2007 tauchten auch Varianten auf, die lokal gespeicherte Webseiten mit IFrame-Exploits versahen. Weitere technische Neuerungen waren eine 40-Bit-Verschlüsselung des Datenverkehrs zwischen Nuwar-verseuchten Systemen und die Fähigkeit, verschiedene Instanzen der Malware auf einem infizierten Computer abzulegen, die allerdings (noch) nicht automatisch ausgeführt wurden.
Neben Social-Engineering-Taktiken haben die Nuwar-Autoren auch mindestens zehn verschiedene Browser-Exploits genutzt, um ihre Malware zu verbreiten; neben Windows- und Internet-Explorer-Schwachstellen wurden dabei unter anderem auch Verwundbarkeiten von QuickTime sowie in ActiveX-Controls genutzt, die zu WinZip oder dem Yahoo! Messenger gehören.
Seit September 2007 erkennt auch MSRT Win32/Nuwar. Erwartungsgemäß gab es im ersten Monat die meisten Bereinigungen: 291 227 verschiedene Computersysteme hat das Microsoft-Tool in diesen 30 Tagen von über 600 000 Nuwar-Komponenten befreit. Die folgenden Monate bis zum Jahresende 2007 zeigten durchschnittlich rund 115 000 (des-)infizierte Computer, wobei nur eine Minderheit erneut infiziert worden war.
Zur Sturmwurm-Abwehr empfehlen sich dieselben Sicherheitsmaßnahmen, die auch generell zur Risikoeindämmung beitragen:
Phishing war im zweiten Halbjahr 2007 weiterhin überwiegend ein Phänomen im englischsprachigen Raum inklusive der Länder, in denen gute Englischkenntnisse vorausgesetzt werden können. Stichproben zeigen, dass typischerweise zwischen 75 % und 80 % der aktiven Phishingseiten, die im genannten Zeitraum vom Microsoft-Phishingfilter erkannt wurden, englischsprachig waren. Der Großteil der restlichen Seiten verteilte sich auf europäische Sprachen wie Italienisch, Spanisch, Deutsch, Französisch und Türkisch.
Während für das Phishing früher großenteils E-Mails zum Einsatz kamen, werden zunehmend Phishingversuche in sozialen Netzwerken unternommen, um so das Vertrauen auszunutzen, das die Opfer in diese Communities und zu ihren dortigen Kontakten aufgebaut haben.
Adware, also Programme, die unerwünschte Werbebotschaften anzeigen, konnte hingegen global hinsichtlich ihrer Verbreitung mit Trojanern mithalten. Der Microsoft-Report verzeichnete für Ende 2007 fast 35 Millionen erkannte Adware-Infektionen. Damit war Adware die häufigste Kategorie potenziell unerwünschter Software – mit zunehmender Tendenz: Die Erkennungsrate war im Vergleich zur ersten Jahreshälfte 2007 von 20,6 Millionen auf 34,3 Millionen und damit um über 66 % gestiegen.
Die weltweit am weitesten verbreitete Adware war Win32/Hotbar; in Deutschland war das Tool jedoch mit nur vier Prozent wenig verbreitet. Win32/Hotbar installiert eine dynamische Symbolleiste im Internet Explorer sowie im Windows Explorer und zeigt entsprechend den auf dem Computer gespeicherten Webbrowsing-Aktivitäten "zielgenaue" Pop-up-Werbung an. Diese enthält zudem Schaltflächen, deren Funktion sich je nach aktueller Webseite und darauf befindlicher Schlüsselwörter ändern kann: Durch Anklicken kann zum Beispiel eine Werbewebsite oder eine kostenpflichtige Suchseite geöffnet werden. Hotbar installiert außerdem grafische Skins für Internet Explorer, Outlook sowie Outlook Express und kann sowohl benutzerbezogene Informationen sammeln als auch im Hintergrund Aktualisierungen oder anderen Code von seinen Servern herunterladen und ausführen.
Der Microsoft Security Intelligence Report (SIR) behandelt nicht nur Viren, Würmer und Trojaner: Abschließend sei hier nur betont, dass Malware bei weitem nicht den häufigsten Grund für Sicherheitsverletzungen darstellt! Generell beträgt der Anteil von Exploits, Malware und Hacking an den zwischen 2000 und 2007 erfolgten Benachrichtigungen über Sicherheitsverletzungen ganze 23 %; im zweiten Halbjahr 2007 waren sogar nur 13 % hierauf zurückzuführen.
Menschliches Versagen und klassischen Diebstahl kann zudem kein technisches Sicherheitssystem verhindern! Diese Faktoren sind jedoch in den weitaus meisten Fällen für entstandene Datenverluste verantwortlich, wie einmal mehr der aktuelle SIR belegt: Denn fast 45 % aller im zweiten Halbjahr 2007 verzeichneten Sicherheitsverstöße hatten gestohlene Geräte zur Ursache, weitere fast 15 % verlorene Hardware. Informationsschutz ist demnach keinesfalls ein rein "digitales" Problem.
Tom Köhler ist Director Information Security Strategy & Communications bei Microsoft Deutschland.
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2008#4, Seite 54
tag:kes.info,2007:lp:2008-4-A
| 