Rubrik: Virenwarnung/Statistiken

Mehr als 5.000 neu infizierte Websites im August

Rund 75 Prozent aller infizierten Websites in China, USA und Russland gehostet

(06.09.07) - Immer mehr Cyberkriminelle versuchen PC-Anwender mit Hilfe von Spam-Mails auf infizierte Websites zu locken. Sophos ermittelte im August 2007 mehr als 5.000 neue Internet-Seiten, auf denen schädliche Codes hinterlegt waren. Meist handelt es sich dabei um Schad-programme, mit denen sich Daten ausspionieren, fremde Rechner für den Versand weiterer Viren und Spam-Mails nutzen oder Denial-of-Service-Attacken gegen unbeteiligte Dritte starten lassen.

Auf die infizierten Websites werden PC-Anwender über E-Mails gelockt, in denen ihnen E-Cards, angebliche Fotos nackter Prominenter, witzige YouTube- oder die neuesten Musik-Videos versprochen werden. Fast die Hälfte aller im August 2007 über Internet verbreiteten Schadpro-gramme gehörte zur Iframe-Familie. Ihr Anteil lag bei 47,8 Prozent. 44,8 Prozent aller infizierten Websites wurden im August 2007 in China gehostet, weitere 20,8 Prozent in den USA sowie
11,3 Prozent in Russland. Im vergangenen Monat registrierten die SophosLabs zudem eine der bislang größten Spam-Kampagnen, bei der die Versender versuchten, Aktienkurse ausgewählter Firmen zu manipulieren.

Die Bedrohung durch infizierte E-Mails ging im August dagegen drastisch zurück: Nur noch eine von 1000 weltweit versendeten E-Mails war mit Malware infiziert. Im ersten Halbjahr 2007 enthielt noch eine von 322 E-Mails ein Schadprogramm. Der meistverbreitete E-Mail-Wurm ist nach wie vor Netsky - unzählige Varianten des Wurms sind in Umlauf.

Folgende Schadprogramme wurden im August 2007 am häufigsten über infizierte Websites verbreitet:

1. Mal/Iframe                 47,8%

2. Mal/ObfJS                 17,7%

3. Troj/Decdec              14,0%

4. Troj/Fujif                     4,3%

5. Mal/EncPk                  2,5%

6. Troj/Psyme                 2,2%

7. Mal/Packer                 1,1%

8. Troj/Pintadd                1,0%

9. VBS/Redlof                 0,7%

10. Mal/Behav                 0,5%

Sonstige                         8,2%

Die Hitliste der über E-Mails verbreiteten Schädlinge im August ergibt folgendes Bild:

1. W32/Netsky              30,5%

2. W32/Zafi                   20,0%

3. W32/Mytob               15,0%

4. Troj/Pushdo              10,8%

5. Troj/Dloadr                  4,8%

6. W32/MyDoom             4,4%

7. Mal/Dropper                2,3%

8. W32/Bagle                  2,1%

9. W32/Sality                  1,8%

10. W32/Traxg                1,2%

Sonstige                         7,1%

Vaterschaftstest bei Viren: die "Sophos Genotype"-Technologie

Cyberkriminelle verbreiten heute in immer kürzeren Abständen Viren, Würmer und Spyware, um Unternehmen und PC-Anwender zu attackieren. Viele davon haben es dabei auf vertrauliche Daten von Unternehmen, Organisationen und Behörden abgesehen, wie die jüngste Spionage-Attacke chinesischer Hacker gegen die deutsche Bundesregierung zeigt.

Vielfach bringen Cyberkriminelle innerhalb kürzester Zeit hunderte Varianten ein und desselben Schadprogramms in Umlauf. Ihr Ziel ist es, so Antiviren- und Antispam-Programme zu umgehen, die nur bereits bekannte Viren und Spam erkennen. Um sich vor solchen Angriffen zu schützen, bedarf es präventiver Gegenmaßnahmen. Sophos hat hierfür die Sophos Genotype Technology entwickelt, die sowohl in der Sophos Virus Detection Engine als auch der Antispam Engine enthalten ist. Mithilfe der Technologie ist es möglich, neue Varianten bekannter Schädlings-Familien und Spam-Kampagnen zu erkennen und zu blocken, schon bevor dafür entsprechende Updates entwickelt wurden.

Der Begriff des so genannten "Genotyp" hat seinen Ursprung in der Biologie. Der Genotyp bezeichnet den genetischen Aufbau eines Organismus. Er steht - allgemein gesprochen - für die Erbinformationen, die von Elternorganismen auf ihre Nachkommen vererbt werden. Die Sophos Genotype Technologie charakterisiert dementsprechend die "Erbinformationen" neuer Viren oder Spam-Mails. Hierfür wird der Genotyp einer Datei extrahiert und mithilfe eines fein abgestimmten Auswertungssystems mit dem Genotyp bestehender Schadprogramme verglichen. Jedes Pro-gramm hat seinen eigenen Genotyp - so unterscheiden sich die Genotypen einer Schadprogramm-Familie erheblich von denen einer anderen.

Beispielsweise können die Merkmale eines Internet-Wurms seine Fähigkeiten sein, sich über Schwachstellen im Betriebssystem zu verbreiten oder die lokale Festplatte eines Rechners nach E-Mail-Adressen zu durchsuchen. Stimmt der Genotyp einer untersuchten Datei mit dem einer bekannten Malware-Familie, wie zum Beispiel Netsky, überein, meldet Sophos Anti-Virus den neuen Wurm als Schadprogramm mit der Endung '.gen' und verhindert seine Ausführung auf dem PC. (Sophos. ma)