Rubrik: Virenwarnung/Statistiken

Threat-Bericht für Dezember 2007: Mass Mailer an vorderster Front

Gefolgt von Exploit und Adware, Trojaner rücken vor

(15.01.08) - Fortinet meldet die Top 10 der erfassten Sicherheitsbedrohungen für Dezember 2007. Das "Fortinet FortiGuard Global Security Research Team" hat den Bericht anhand von Werten erstellt, die über die FortiGate Multi-Threat-Sicherheitssysteme weltweit gesammelt wurden.

Die Top 10-Bedrohungen vom Dezember 2007 nach Häufigkeit lauten:

W32/Netsky!similar

  2

HTML/Iframe_CID!exploit

8,47

  3

W32/MyTob.FR@mm

3,40

  4

W32/Lovgate.X2@mm

2,90

  5

W32/ANI07.A!exploit

2,82

  6

W32/Bagle.DY@mm

2,57

  7

W32/Zafi.D@mm

2,20

  8

W32/Istbar.PK!tr.dldr

1,93

  9

Adware/Bdsearch

1,83

10

Adware/Tcent

1,80

Im Dezember und vor allem während der Feiertage entfiel ein Großteil der Bedrohungen auf Mass Mailer. Mit 11,05 Prozent aller berichteten Aktivitäten wies Spitzenreiter Netsky!similar das höchste Volumen auf. Neuzugänge bei den Mass Mailern sind MyTob.FR, Lovgate.X2 und Zafi.D.

Tcent und Bdsearch aus der Kategorie Adware hielten ihre Position. Auch der Exploit ANI07.A blieb hoch aktiv und belegt nun den neunten Monat in Folge einen hohen Rang in den Top 10.

Der Trojaner Istbar.PK, der eine Toolbar zur Internetsuche im Webbrowser des Benutzers installiert und verschiedene Adware und Trojaner downloaden kann, rückte von Platz 25 im November auf Platz 8 im Dezember vor.

Gegen Ende Dezember registrierte das Fortinet Security Research Team einen "Merry Christmas"-Spam. Urheber ist die Storm Social Engineering Group, die das hohe Online-Aufkommen kurz vor Weihnachten ausnutzte. Der Spam enthielt Links zu einer Website, die Besucher aufforderte, einem weiteren Link zu folgen, der dann zur "Storm-Infektion" führte. Seitdem wird eine neue Welle an Storm-Spam beobachtet: Im Zuge des Neujahrs-Traffic wurden Links verschickt, die auf eine polymorph ausführbare Server-Version von Storm verweisen.

In ihrer allgemeinen Jahresanalyse nennt das Fortinet Security Research Team bösartige Webseiten als eine der Hauptvektoren für Infektionen. Der wahrscheinliche Grund: Diese Malware-Technik erfordert keinerlei Interaktion mit dem Benutzer und ist somit effektiver als herkömmliche Vektoren wie E-Mails. Um Traffic auf bösartige Web-Server zu leiten, gibt es drei Möglichkeiten: Der erste Weg ist "Mass-Compromising", was hauptsächlich über das Hacken von Servern bei Webhostern geschieht. Der zweite Weg führt über die "Vergiftung" von Suchresultaten durch SEO Malware-Sites, die die Ergebnisse einer Websuche mit Unmengen von schlagwortgefüllten Seiten verknüpfen. Die Kombination aus beidem ist der dritte Weg.

Statistiken von live MPack-Servern während einer großen Masseninfektionsattacke in diesem Jahr zeigten Infektionsraten von 12 Prozent. Das heißt, bösartige Webseiten sind wirksamer als infizierte E-Mails – deren Klickraten liegen derzeit nur bei zirka einem aus mehreren Zehntausend. Die relativ hohe Web-Infektionsrate und die Tatsache, dass Web-Traffic in geringerem Ausmaß abgetastet wird als E-Mail-Traffic, machen bösartige Webseiten 2008 zu einer ernsten Bedrohung.

"Die Unterscheidung bösartiger von sicheren Webseiten wird schwieriger", sagt Guillaume Lovet, Threat Research Team Manager bei Fortinet. "Wir raten darauf zu achten, dass Web Browser auf dem neusten Stand sind. Java Script sollte nur mit Vorsicht und manuell für jede einzelne Seite aktiviert werden. Zudem empfehlen sich Betriebssysteme und Webbrowser wie Linux und Opera, die Angreifer seltener im Visier haben." (Fortinet: ra)