Internet Security / Analysen

Kaspersky Security Bulletin: Statistik für das Jahr 2012

• Kaspersky Security Bulletin: Entwicklung der IT-Bedrohungen im Jahr 2012
• Kaspersky Security Bulletin: Statistik für das Jahr 2012
  • Mobile Bedrohungen
  • Mac-Schädlinge
  • Schadprogramme im Internet (Attacken über das Web)
    • Von Cyberkriminellen ausgenutzte angreifbare Anwendungen
    • TOP 20 der Schadprogramme im Internet
    • TOP 20 der Länder, auf deren Webressourcen Schadprogramme untergebracht sind
  • Lokale Bedrohungen
  • "Weltkarte"
    • Web-Bedrohungen
    • Lokale Bedrohungen
  • Fazit
• Kaspersky Security Bulletin 2012. Cyberwaffen

Die vorliegende Statistik ist Teil des Kaspersky Security Bulletin 2012 und beruht auf Daten, die mit Hilfe des Kaspersky Security Network (KSN) gesammelt und ausgewertet wurden. Das KSN verwendet eine Cloud-Architektur in den Kaspersky-Produkten für Heimanwender und Unternehmen und zählt zu den wichtigsten Technologien von Kaspersky Lab.

Kaspersky Security Network ermöglicht es unseren Experten, schnell und in Echtzeit neue Schadprogramme aufzuspüren, für die es bisher noch keine Signatur-basierte oder heuristische Erkennungsmöglichkeit gibt. KSN erleichtert die Identifizierung der Verbreitungsquelle von Schadprogrammen im Internet und verhindert damit, dass Anwender auf diese zugreifen.

Gleichzeitig ermöglicht das KSN eine äußerst schnelle Reaktion auf neue Bedrohungen – wir können ein Schadprogramm innerhalb weniger Sekunden blockieren, nachdem es auf dem Computer eines KSN-Teilnehmers entdeckt wurde, und zwar ohne dazu wie sonst üblich die Datenbanken aktualisieren zu müssen.

Die Statistiken im Jahresbericht basieren auf Daten von Kaspersky Lab-Produkten, deren Anwender ihre Zustimmung zur Übermittlung von statistischen Informationen gegeben haben.

Mobile Bedrohungen

Die Entwicklung der mobilen Bedrohungen im Jahr 2012 verlief unter dem Motto „Alles dreht sich um Android“ und so konzentrierten sich die Virenschreiber in diesem Jahr im Wesentlichen auf den „grünen Roboter“. Bewahrheitet haben sich auch unsere Vorhersagen bezüglich der Entwicklung mobiler Bedrohungen, die den Aufbau mobiler Botnetze, zielgerichtete Attacken unter Verwendung mobiler Schädlinge und die „mobile“ Spionage betreffen.

Schadprogramme für Android

Im Jahr 2012 investierten die Virenschreiber ihre Energien vor allem in die Entwicklung von Schadprogrammen für Android. Das führte sowohl zu einer quantitativen als auch qualitativen Zunahme von mobilen Schädlingen für diese Plattform. 99 Prozent der von Kaspersky Lab monatlich entdeckten Schädlinge für mobile Plattformen richteten sich gegen Android.

Verteilung der mobilen Schädlinge nach Plattformen im Jahr 2012

Erscheinungsdynamik neuer mobiler Schadprogramme nach Monaten im Jahr 2012

 
Top 10 der Android-Schädlinge

Die am weitesten verbreiteten erkannten Objekte auf Android-Smartphones lassen sich in drei Hauptgruppen einteilen: SMS-Trojaner, Werbemodule und Exploits zum Erhalt von Root-Privilegien auf dem Smartphone.

Mengenmäßig lagen hier die SMS-Trojaner vorn, die sich vorrangig gegen Anwender aus Russland richten. Erstaunlich ist das nicht, wenn man bedenkt, wie beliebt derartige Schadprogramme schon seit Langem unter russischen Virenautoren sind. Die kostenintensiven SMS-Nachrichten bleiben die Einnahmequelle Nr. 1 unter den „mobilen“ Cyberkriminellen.

Die zweite Gruppe der mobilen Bedrohungen aus den Top 10 bilden die Werbemodule Plangton und Hamob. Die erstgenannte Familie wird nicht umsonst als Trojaner erkannt. Plangton kommt in kostenlosen Anwendungen vor und zeigt auch tatsächlich Werbung an, allerdings kann der Schädling auch die Startseite des Browsers ändern, ohne den Nutzer vorher zu warnen oder seine Zustimmung abzuwarten, was als schädliches Verhalten gilt. Was Hamob betrifft, so kategorisieren wir solche Anwendungen als AdWare.AndroidOS.Hamob, die sich als nützliche Programme ausgeben, dem Anwender tatsächlich aber nur Werbung anzeigen.

Schließlich die dritte Gruppe. Zu ihr gehören verschiedene Modifikationen von Exploits zur Erlangung von Root-Privilegien auf Smartphones, die unterschiedliche Versionen des Betriebssystems Android einsetzen.

Die Popularität der Exploits hängt insbesondere damit zusammen, dass vielfältige Modifikationen von Backdoors aus verschiedenen Familien, deren Zahl im letzten Jahr gestiegen ist, ein und dieselben Modifikationen von Exploits verwenden, um Root-Rechte auf dem Gerät zu erhalten.

Mehr Schadprogramme in offiziellen App-Stores

Obwohl Google das Antiviren-Modul Google Bouncer eingeführt hat, das alle neuen Anwendungen auf Google Play (ehemals Android Market) automatisch überprüft, gab es keine wesentlichen Veränderungen in der durchschnittlichen Zahl der Vorfälle oder in deren Ausmaß. Die Aufmerksamkeit der Öffentlichkeit ziehen meist diejenigen Fälle auf sich, bei denen die meisten Infektionen auftreten, wie beispielsweise der Vorfall mit dem Schadprogramm Dougalek, das zehntausende Anwender (hauptsächlich aus Japan) herunterluden. Das führte zu einem massenhaften Diebstahl persönlicher Informationen, und zwar aufgrund einer Infektion mobiler Geräte. Allerdings sollte man darüber nicht die mehreren hundert anderer Vorfälle vergessen, bei der es geringere Opferzahlen gab.

Erwähnenswert ist zudem, dass erstmals ein Schädling im Apple App Store entdeckt wurde. Anfang Juli erschien eine verdächtige Anwendung mit der Bezeichnung „Find and Call“ sowohl im App Store als auch im Android Market. Hatte ein Anwender dieses Programm geladen und gestartet, wurde er zur Registrierung aufgefordert und sollte dazu seine E-Mail-Adresse und Telefonnummer angeben. Nach der Registrierung wurden die eingegebenen Daten sowie die Kontaktliste des Opfers unbemerkt an einen entfernten Server gesendet.

 
„Find and Call“- Schadprogramm: Teil der Übermittlungs-Prozedur der Kontaktliste an einen entfernten Server

An jede gestohlene Nummer aus der Kontaktliste geht nach einer gewissen Zeit eine Spam-SMS mit der Aufforderung, einem Link zu folgen und anschließend die Anwendung „Find and Call“ herunterzuladen.

Erste mobile Botnetze

Der erste Hinweis darauf, dass mobile Botnetze existieren, war die Entdeckung eines IRC-Bots für Android mit dem Namen Foncy zu Beginn des Jahres, der mit einem SMS-Trojaner desselben Namens interagierte. Dieser IRC-Bot war in der Lage, das Smartphone nach der Infektion zu steuern. Neben dem SMS-Trojaner enthielt der APK-Dropper auch ein Root-Exploit, das zur Erhöhung der Privilegien im infizierten System eingesetzt wurde. Nachdem sich der Bot mit dem Steuerungsserver verbunden hatte, konnte er Shell-Befehle entgegennehmen und ausführen. Faktisch bildeten alle mit dem IRC-Bot Foncy infizierten Smartphones ein vollwertiges Botnetz und waren fähig, auf Befehl ihres „Herren“ jede beliebige Aktion durchzuführen.

Chinesischen Virenschreibern gelang es, ein Botnetz aufzubauen, in dem zwischen 10.000 und 30.000 Geräte aktiv waren, wobei die Gesamtzahl der infizierten Smartphones in die Hunderttausende ging. Die Grundlage dieses Botnetzes bildete der Backdoor RootSmart, der über eine breit gefächerte Funktionalität zur entfernten Steuerung von mobilen Geräten unter dem Betriebssystem Android verfügt. Um RootSmart zu verbreiten, setzten die Cyberkriminellen auf eine bekannte und bewährte Methode: Sie tarnten den Schädling als legales Programm und hinterlegten es auf der Webseite eines nicht offiziellen, aber in China sehr populären App-Shops für Android. Infolgedessen erhielten Anwender, die sich angeblich ein Programm zur Konfiguration des Telefons heruntergeladen hatten, einen Backdoor, der ihr Gerät in ein Botnetz integrierte.

Das Ausmaß der RootSmart-Infektionen ermöglichte es den Kriminellen, das von ihnen aufgebaute Netz aus infizierten Telefonen effektiv zu Geld zu machen. Zu diesem Zweck griffen sie auf das unter „mobilen“ Cyberverbrechern beliebteste Mittel zurück – den Versand von kostenpflichtigen SMS an Kurzwahlnummern. Die Gauner verwendeten dabei die günstigsten Nummern, damit die Opfer so lange wie möglich den Verlust ihres Geldes nicht bemerkten. Die vollständige Kontrolle über die mobilen Geräte gab den Cyberkriminellen die Möglichkeit, die Existenz eines Schadprogramms auf dem Telefon sehr lange vor dem Nutzer zu verbergen und so über einen längeren Zeitraum Geld von dessen Konto zu stehlen.

Zielgerichtete Attacken unter Verwendung von mobilen Schädlingen

Im Jahr 2012 wurden einige neue Schädlinge für andere Betriebssysteme als Android bei zielgerichteten Attacken eingesetzt.

Ein krasses Beispiel für derartige Angriffe sind die Attacken unter Verwendung von ZitMo und SpitMo (Zeus- und SpyEye-in-the-Mobile). Regelmäßig erschienen neue Versionen von ZitMo und SpitMo sowohl für Android als auch für andere Betriebssysteme. Die Virenschreiber setzen noch immer dieselben Methoden zur Tarnung der Schädlinge ein wie bereits vor zwei Jahren: Entweder werden sie als „Sicherheitszertifikate“ ausgegeben oder als Software zum Schutz von Smartphones.

Traditionelle Tarnungen von ZitMo/SpitMo

Auch wenn andere Betriebssysteme bei weitem nicht so populär sind wie Android, so heißt das noch lange nicht, dass sie gar nicht mehr attackiert werden. Virenschreiber scheren sich beispielsweise nicht um die Gerüchte über das baldige Aussterben der Plattform Blackberry. Im Jahr 2012 erschienen neue ZitMo-Versionen auch für diese Plattform, wobei die Cyberkriminellen in einer Angriffswelle sowohl Schädlinge für Blackberry als auch für Android einsetzten. Zumindest waren die Nummern für die Steuerungsserver (C&C) in ihnen identisch.

Spionage unter Einsatz mobiler Schadprogramme

Im vergangenen Jahr nahmen wir an, dass der Datendiebstahl von Mobiltelefonen und das Verfolgen einer Person mit Hilfe ihres Telefons und standortbezogener Dienste im Jahr 2012 weit verbreitet sein wird und über die Grenzen der üblichen Anwendungsgebiete dieser Technologien durch Strafverfolgungsbehörden und einzelner Sicherheitsunternehmen hinausgeht.

Leider ist es genau so gekommen. Die Zahl der Schadprogramme, die ihrem Verhalten nach entweder Spionage-Trojaner oder Backdoors sind, hat sich verhundertfacht. Auch der Zuwachs kommerzieller Überwachungsprogramme ist an dieser Stelle zu erwähnen, denn sie sind manchmal nur schwer von Schadprogrammen zu unterscheiden.

Als bestes Beispiel für Spionage unter Verwendung von mobilen Schadprogrammen dient der Vorfall mit dem Programmmodul FinSpy. Dieses Modul wurde von dem britischen Unternehmen Gamma International entwickelt, das auf Überwachungssoftware für Regierungsorganisationen spezialisiert ist. Faktisch verfügt dieses Programm über die Funktionalität eines Spionage-Trojaners. Im August 2012 entdeckte die Firma The Citizen Lab mobile Versionen von FinSpy. Es wurden Modifikationen des Trojaners unter Android, iOS, Windows Mobile und Symbian gefunden. Zweifellos gibt es zwischen ihnen Unterschiede, doch sie alle sind in der Lage, praktisch jede Aktion des Anwenders auf dem infizierten Gerät zu protokollieren, verdeckte Anrufe zu tätigen und Informationen an einen entfernten Server zu senden.

Über die Auftraggeber der FinSpy-Attacke und die konkreten Opfer weiß man derzeit noch nichts, und auch in Zukunft wird sich das kaum ändern. Doch selbst ohne diese Informationen wird mit dem Auftauchen von FinSpy ein neues Kapitel in der Geschichte der mobilen Malware aufgeschlagen: Mobile Geräte werden ebenso zu Zielscheiben von punktgenauen Angriffen und Spionageattacken wie gewöhnliche Computer auch.

Mac-Schädlinge

Im Jahr 2012 wurden alle Mythen über die Sicherheit von Macs zerstört. Dieses Jahr hat gezeigt, dass Mac-Schädlinge tatsächlich eine ernsthafte Bedrohung für die Sicherheit der Computer sind.

Anfang des Jahres wurde das 700.000 infizierte Rechner umfassende Botnetz Flashfake entdeckt, das ausschließlich aus Mac-Computern bestand. Eine vollständige englischsprachige Analyse dieses Trojan-Downloaders finden Sie hier.

Auf Flashfake folgten keine weiteren Epidemien, doch im Laufe des gesamten Jahres nutzten Cyberkriminelle Mac-Schädlinge zur Durchführung zielgerichteter Attacken. Das hängt in erster Linie damit zusammen, dass die Produkte von Apple bei vielen einflussreichen Politikern und Geschäftsleuten beliebt sind und sich eine bestimmte Kategorie von Cyberkriminellen sehr für die auf den Geräten dieser Leute gespeicherten Informationen interessiert.

Im Jahr 2012 fügten unsere Antiviren-Experten den Datenbanken von Kaspersky Lab 30 Prozent mehr Signaturen zur Erkennung verschiedener Mac-Trojaner hinzu als im Jahr 2011. Verglichen mit dem Jahr 2010 hat sich die Anzahl der pro Jahr hinzugefügten Signaturen versechsfacht.

Anzahl der jährlich neu hinzugefügten Virensignaturen zur Erkennung von Mac OS X-Schädlingen

Der am weitesten verbreitete Mac-Schädling des Jahres ist zweifellos Flashfake, dessen erste Versionen bereits im Jahr 2011 entdeckt wurden. Nach den Ergebnissen des ersten Halbjahres 2012 war Flashfake unangefochtener Spitzenreiter. Schauen wir uns im Folgenden einmal an, welche Mac OS X-Schädlinge im zweiten Halbjahr 2012 am weitesten verbreitet waren.

Top 10 der Schadprogramme für Mac OS X im 2. Halbjahr 2012

Platz eins belegt Trojan.OSX.FakeCo.a (52 %). Dieses Schadprogramm tarnt sich als Installationsdatei eines Videocodecs. Nach der Installation erscheinen allerdings keinerlei Codecs im System, sondern das Programm benimmt sich wie ein Programm der Kategorie AdWare, indem es für das Marketing wichtige Informationen über den Anwender sammelt und diese an die Cyberkriminellen weiterleitet.

Auf Position zwei landete der bereits seit vier Jahren bekannte Trojaner Jahlav (8 %). Auch dieser Schädling tarnt sich als Installationsdatei eines Videocodecs. Anstelle des Codecs wird auf dem Computer ein Schadprogramm installiert, das sich für den User unbemerkt mit einem Server der Cyberkriminellen verbindet und von dort andere Dateien auf den infizierten Rechner laden kann. In der Regel versucht dieses von Kaspersky Lab als Trojan.OSX.Dnscha detektierte Schadprogramm einen Trojaner zu laden, der die Adressen in den DNS-Einstellungen gegen die Server-Adressen der Cyberkriminellen austauscht.

Auf dem vierten und fünften Platz positionierten sich Programme der Familie Trojan-Downloader.OSX.FavDonw, die insgesamt 7 Prozent aller Vorfälle ausmachen. Die Programme dienen nur einem Ziel: Nach der Installation auf einem Mac laden sie gefälschte Antiviren-Programme auf den Rechner.

Platz 7 und 8 der Top 10 werden von Fake-AV-Programmen der Familie Trojan-FakeAV.OSX.Defma belegt, die vom Anwender Geld für die Entfernung angeblich entdeckter Schadprogramme erpressen.

Rang 9 belegt das Exploit.OSX.Smid.b, das eine Sicherheitslücke in Java ausnutzt und es Verbrechern ermöglicht, beliebigen Code auf einem Rechner mit nicht aktualisiertem Java auszuführen.

Nach der Entdeckung des Botnetzes Flashfake beschäftigte sich Apple intensiver mit der Sicherheit seines Betriebssystems. Als Beispiele können die Veröffentlichung von kritischen Patches für Oracle Java dienen, die zeitgleich mit den entsprechenden Windows-Versionen erschienen, sowie die neuen Schutzfunktionen in Mac OS X Mountain Lion: Das Betriebssystem erlaubt in der Standardeinstellung nur die Installation von Programmen aus dem offiziellen App Store. Weitere Schutzmaßnahmen sind unter anderem das Sandboxing für Programme, die aus dem App Store geladen wurden, sowie die automatische Installation von Updates.

Schadprogramme im Internet (Attacken über das Web)

Die Anzahl der Attacken über den Webbrowser stieg innerhalb eines Jahres von 946.393.693 auf 1.595.587.670. Das heißt, unsere Produkte schützten die Anwender beim Surfen im Netz durchschnittlich 4.371.473 Mal pro Tag.

Verglichen mit dem Vorjahr hat sich die Geschwindigkeit, mit der die Attacken zugenommen haben, praktisch nicht geändert. Die Zahl der im Jahr 2012 abgewehrten Internet-Attacken übersteigt den Wert für das Jahr 2011 um das 1,7-Fache, während es im Jahr 2011 ein Zuwachs um das 1,6-Fache war. Die Hauptangriffsmethode mit Hilfe von Exploit-Packs garantiert Cyberkriminellen praktisch die Infektion von Computern, wenn auf ihnen kein Schutz installiert ist, dafür aber mindestens eine populäre und angreifbare (nicht aktualisierte) Anwendung.

Von Cyberkriminellen ausgenutzte angreifbare Anwendungen

Wenn wir das Jahr 2011 als Jahr der Sicherheitslücken bezeichnet haben, so kann man das Jahr 2012 mit Fug und Recht zum Jahr der Java-Sicherheitslücken erklären: In diesem Jahr richtete sich die Hälfte aller unter Verwendung von Exploits registrierten Attacken gegen Sicherheitslücken in Oracle Java.

Heute ist Java auf mehr als 3 Milliarden Geräten installiert, die verschiedene Betriebssysteme verwenden. Folglich müssen für manche Fehler in Java plattformübergreifende Exploits entwickelt werden. Im Laufe des Jahres registrierten wir Massenangriffe unter Verwendung von Exploit-Packs sowie zielgerichtete Attacken gegen PC uns Macs, in denen Java-Exploits eingesetzt wurden.

Anwendungen, deren Sicherheitslücken im Jahr 2012 durch Web-Exploits ausgenutzt wurden

Im Jahr 2012 waren Exploits für Adobe Reader weniger populär – mit ihnen standen 28 Prozent aller Vorfälle in Verbindung. Adobe Reader belegte unter dem Strich den zweiten Platz im Rating. Dabei ist anzumerken, dass sich der Hersteller dem Problem der Sicherheitslücken in den jüngsten Versionen vom Adobe Reader stärker angenommen hat und verschiedene Mechanismen umgesetzt wurden, die die Anwendung vor der Ausführung eines Exploits schützen. Solche Maßnahmen erschweren die Entwicklung effektiver Exploits nachhaltig.

Auf dem dritten Platz positionierten sich Programme, die Sicherheitslücken in Komponenten von Windows und dem Internet Explorer ausnutzen. Im Laufe des Jahres wurden aktiv Exploits zu Schwachstellen ausgenutzt, die bereits im Jahr 2010 entdeckt wurden: MS10-042 im Windows Hilfe- und Supportcenter und MS04-028, die mit einer falschen Verarbeitung von jpeg-Dateien zusammenhängt.

Mit einem Anteil von 2 Prozent belegten Exploits für die mobile Plattform Android OS Position 4. Cyberkriminelle nutzen diese Exploits, um Root-Privilegien zu erhalten, die ihnen praktisch uneingeschränkte Möglichkeiten zur Manipulation des Systems eröffnen.

Verteilung der 2012 bei Anwendern installierten Windows-Versionen

Verteilung der 2011 bei Anwendern installierten Windows-Versionen

Der Anteil von Windows 7 an allen installierten Windows-Versionen stieg innerhalb eines Jahres von 30 Prozent auf 50 Prozent. Obwohl Windows 7 regelmäßig automatisch aktualisiert wird, gehen die Angriffe auf die Computer von Windows-Nutzern weiter: Wie bereits oben erwähnt erfolgt die Einschleusung von Schädlingen im Wesentlichen nicht über Windows-Komponenten, sondern über installierte Anwendungen anderer Hersteller.

Top 20 der Schadprogramme im Internet

Von allen Schadprogrammen, die an Internet-Attacken beteiligt waren, haben wir nachfolgend die 20 aktivsten aufgeführt. Auf sie entfielen 96 Prozent aller Web-Attacken.

* Von Kaspersky Web-Antivirus erkannte Objekte. Die Informationen stammen von Anwendern, die der Übermittlung der Daten zu statistischen Zwecken zugestimmt haben.
** Anteil an allen Web-Attacken, die auf den Computern einzelner Anwender registriert wurden.

Schädliche Webseiten, die mit Hilfe heuristischer Methoden, also ohne Aktualisierung der klassischen Antiviren-Datenbanken erkannt werden, belegen den ersten Platz des Ratings. Die Entwicklung neuer, auf den Möglichkeiten des KSN basierender Erkennungstechnologien hat dazu geführt, dass sich der Anteil der Bedrohungen, die mittels dieser Technologien entdeckt werden, von 75 Prozent auf 87 Prozent erhöht hat. Ein wesentlicher Teil der Detektionen von gefährlichen URL-Adressen entfällt auf Webseiten mit Exploits.

Position zwei belegen schädliche Skripte, die von Online-Kriminellen mit Hilfe spezieller Programme in den Code gehackter legitimer Webseiten eingeschleust werden. Das zeigt, dass es auf vielen legalen Seiten Einschleusungen von Schadcode in Form von nicht abgebildeten „iframe“-Tags gibt. Solche Skripte leiten den Browser im Zuge von Drive-by-Attacken unbemerkt vom Anwender auf schädliche Webressourcen um. Schädliche Skripte dieser Art platzierten sich auf den Rängen 13 und 14.

Die Plätze 3 bis 5 entfallen auf verschiedene heuristisch erkannte schädliche Skripte und ausführbare PE-Dateien, die sich in zwei Kategorien einteilen lassen. Die Schädlinge der ersten Kategorie laden andere Schadprogramme und führen sie aus. Die schädlichen Objekte der zweiten Kategorie tragen die schädliche Fracht selbst – sie stehlen unter anderem Online-Banking-Daten und Accounts bei sozialen Netzwerken oder Dienstleistern.

Auf Platz 9 befindet sich Trojan-Downloader.SWF.Voleydaytor.h, der auf verschiedenen Webseiten der Kategorie „nur für Erwachsene“ auftaucht. Getarnt als Update für einen Videoplayer transportiert er verschiedene Schadprogramme auf den Computer.

Im Rating sind zudem zwei Exploits vertreten: Exploit.Script.Generic, dessen Download in fast 3 Millionen Fällen blockiert wurde, und Exploit.Script.Bloker mit 4,5 Millionen blockierten Download-Versuchen. In den allermeisten Fällen haben es die Nutzer nicht mit einzelnen Exploits zu tun, sondern mit Exploit-Sammlungen. Sie sind heute ein nicht mehr wegzudenkender Bestandteil von Drive-by-Attacken. Wichtig dabei ist, dass Exploit-Packs sehr schnell modifiziert und aktualisiert werden, um Exploits für neue Sicherheitslücken hinzuzufügen und sich den Schutzlösungen erfolgreich zu widersetzen.

Drei Positionen der Top 20 belegten Werbeprogramme der Familien iBryte und ScreenSaver. Das Programm AdWare.Win32.IBryte.x wird als Downloader populärer kostenloser Anwendungen verbreitet. Nach dem Start lädt das Programm die vom Nutzer gewünschte Anwendung und installiert gleichzeitig ein Werbemodul. Um das zu vermeiden, sollte man die Anwendung von der offiziellen Webseite des Anbieters herunterladen. Im letzten Jahr gab es doppelt so viele Vertreter der Kategorie AdWare. Der Rückgang des Anteils derartiger Programme hängt mit ihrer allmählichen Verdrängung durch verschiedene effektivere und – was noch wichtiger ist – legale Reklamemethoden zusammen, zum Beispiel Kontextwerbung in Suchmaschinen und sozialen Netzwerken.

Im Gegensatz zum Jahr 2011 sind im Rating keine Programme vom Typ Hoax.Win32.ArchSMS vertreten, die zum Betrug mit Kurznummern genutzt werden. Es handelt sich dabei um Programme, die für die Entschlüsselung einer vom Nutzer heruntergeladenen Archiv-Datei den Versand einer SMS an eine Kurzwahlnummer fordern. Im Jahr 2011 erstellten Betrüger Webseiten, die gewöhnlichen Online-Speichern glichen, allerdings war der angegebene Inhalt nicht in den angebotenen Archiven enthalten. 2012 produzierten Online-Betrüger eifrig Webseiten, die ein ähnliches Betrugsschema erlauben, ohne dass dazu der Download von Dateien auf die Festplatte nötig wäre. Derartige Seiten setzen die Produkte von Kaspersky Lab automatisch auf die Schwarze Liste.

Top 20 der Länder, auf deren Webressourcen Schadprogramme untergebracht sind

Zur Durchführung der 1.595.587.670 Attacken über das Internet verwendeten die Cyberkriminellen 6.537.320 Domains, eine halbe Million mehr als im Vorjahr. Die Server, auf denen der Schadcode untergebracht war, wurden in 202 Ländern und Gebieten der Welt lokalisiert. 96,1 Prozent aller von Kaspersky Lab im Netz registrierten schädlichen Hostings waren auf Servern in zwanzig Ländern untergebracht.

Die vorliegende Statistik basiert auf den Alarmen von Kaspersky Web-Antivirus. Die Daten wurden von KL-Anwendern zur Verfügung gestellt, die ihr Einverständnis zur Übermittlung von statistischen Daten gegeben haben
* Zur Bestimmung der geografischen Ursprünge der Attacken werden der Domain-Name und die reale IP-Adresse gegenübergestellt, auf der die entsprechende Domain untergebracht ist. Zudem bestimmen wir die geografische Herkunft der jeweiligen IP-Adresse (GEOIP).
** Gesamtzahl der von Kaspersky Lab registrierten einzelnen Attacken von Webressourcen, die in dem jeweiligen Land untergebracht sind.

Die ersten beiden Plätze belegen die USA (25,5 %) und Russland (19,6 %). Die Niederlande (16,8 %) und Deutschland (11,4 %) halten sich stabil in den Top 5 und erreichen das dritte Jahr in Folge die Positionen 3 respektive 4. Während der Anteil der USA im Laufe des Jahres insgesamt nur um 0,1 Prozentpunkte gestiegen ist, nahm der Anteil der schädlichen Hostings in Russland (plus 5 Prozentpunkte), den Niederlanden (plus 7 Prozentpunkte) und Deutschland (plus 2,7 Prozentpunkte) deutlich zu.

Bis zum Jahr 2010 belegte China den ersten Platz in dieser Hitliste. Auf die chinesischen Server entfielen über 50 Prozent der schädlichen Hostings weltweit. Im Jahr 2010 gelang es den chinesischen Behörden, den größten Teil der schädlichen Hostings aus dem lokalen Cyberspace zu entfernen. Gleichzeitig wurden die Vorschriften für die Registrierung von Domains in der Zone .cn verschärft. Daraufhin ging der Anteil der schädlichen Hostings in China drastisch zurück und wir beobachten nun eine schrittweise Konsolidierung der Hostings in den USA, in Russland, den Niederlanden und in Deutschland.

Der stetige Anstieg des russischen Anteils hat zwei Gründe. Erstens werden immer mehr legitime Webseiten gehackt, darunter auch diejenigen großer Portale in der Zone .ru. Das Ziel dieser Angriffe ist die Infektion von Computern über Exploits. Der zweite Grund liegt in der Tatsache, dass sich russische Cyberkriminelle im russischen Cyberspace sehr wohl und sicher fühlen und eine Vielzahl von schädlichen Webseiten erstellen. Nach russischem Gesetz ist die Strafe für Cyberverbrechen recht milde, denn in den meisten Fällen erhalten Cyberkriminelle Bewährungsstrafen. In Russland kommt es auch nicht sehr häufig vor, dass Steuerungsserver von Botnetzen offline genommen werden. Wenn der Anteil schädlicher Hostings, die auf russische Server entfallen, weiterhin im gleichen Tempo zunimmt, könnte Russland nach Anzahl der schädlichen Hostings bereits im nächsten Jahr die weltweite Spitzenposition einnehmen.

In den Niederlanden und Deutschland gehen die Cyberkriminellen da schon akkurater vor – sie registrieren oder hacken eine enorme Anzahl von Webseiten und verschieben die schädlichen Inhalte sofort von einem Server auf den anderen, wenn die Adressen der schädlichen Webseiten auf den Schwarzen Listen der Provider landen.

Lokale Bedrohungen

Die Statistik der lokalen Infektionen von Computern ist von besonderer Bedeutung, denn sie berücksichtigt alle Objekte, die nicht über das Web, via E-Mail oder über Netzwerk-Ports in die Rechner eingedrungen sind.

Unsere Antiviren-Lösungen haben fast 3 Milliarden Virenvorfälle auf den Computern der KSN-Teilnehmer entdeckt.

Dabei wurden 2,7 Millionen verschiedene schädliche und potenziell unerwünschte Programme registriert.

Top 20 der auf den Computern entdeckten Schädlingen

Bei den Schadprogrammen aus den Top 20 handelt es sich um die am weitesten verbreiteten Bedrohungen des Jahres 2012.

Die Statistik basiert auf Daten von Kaspersky Antivirus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammelt.
* Prozentualer Anteil der Computer, auf denen Kaspersky Web-Antivirus einen Schädling erkannt hat, an allen Computern mit Kaspersky-Produkten, auf denen Web-Antivirus Alarm geschlagen hat.

Mit verschiedenen heuristischen Methoden haben wir auf insgesamt 13,5 Millionen Computern Versuche einer Infizierung registriert, die sich auf folgende Schadprogramme verteilen: Trojan.Win32.Generic (1. Platz), Virus.Win32.Generic (8. Platz), HiddenObject.Multi.Generic (12. Platz) und Trojan-Dropper.Script.Generic (19. Platz).

Den zweiten Platz im Rating belegen verschiedene Schadprogramme, die mit Hilfe von Cloud-Technologien entdeckt und als DangerousObject.Multi.Generic eingeordnet wurden. Cloud-Technologien greifen dann, wenn in den Datenbanken bisher noch keine Signaturen enthalten sind und eine heuristische Erkennung eines Schadprogramms nicht möglich ist, dafür aber in der Cloud von Kaspersky Lab bereits Informationen über das Objekt existieren. Auf diese Weise werden die allerneusten Schadprogramme erkannt. Mit Hilfe des Urgent Detection Systems (UDS), das zum Kaspersky Security Network gehört, wurden mehr als 9,6 Millionen Computer in Echtzeit geschützt.

Den zweiten Platz im Rating belegen verschiedene Schadprogramme, die mit Hilfe von Cloud-Technologien entdeckt und als DangerousObject.Multi.Generic eingeordnet wurden. Cloud-Technologien greifen dann, wenn in den Datenbanken bisher noch keine Signaturen enthalten sind und eine heuristische Erkennung eines Schadprogramms nicht möglich ist, dafür aber in der Cloud von Kaspersky Lab bereits Informationen über das Objekt existieren. Auf diese Weise werden die allerneusten Schadprogramme erkannt. Mit Hilfe des Urgent Detection Systems (UDS), das zum Kaspersky Security Network gehört, wurden mehr als 9,6 Millionen Computer in Echtzeit geschützt.

Acht Programme aus den Top 20 besitzen entweder einen Selbstverbreitungsmechanismus oder werden als Element von Würmern verwendet: Trojan.Win32.Starter.yy (4. Platz), Net-Worm.Win32.Kido.ih (6. Platz), Net-Worm.Win32.Kido.ir (7. Platz), Virus.Win32.Sality.aa (8. Platz), Virus.Win32.Nimnul.a (11. Platz), Virus.Win32.Sality.ag (15. Platz) und Virus.Win32.Suspic.gen (16. Platz).

Im Jahr 2012 waren mehr als 2 Millionen Anwender von Betrugsversuchen mit kurzen SMS-Nummern betroffen (Hoax.Win32.ArchSMS.gen, 9. Platz). Unter verschiedenen Vorwänden, meist indem der Zugriff auf ein Archiv oder eine Installationsdatei für ein Spiel, Buch oder ähnliches versprochen wird, versuchen die Cyberkriminellen, den Anwender dazu zu bringen, eine SMS an eine Premium-Nummer zu schicken. In den meisten Fällen erhält dieser nach dem Senden der Mitteilung keinerlei Gegenleistung.

Hinter Trojan.WinLNK.Runner.bl (13. Platz) und Worm.Win32.AutoRun.hxw (14. Platz) verbergen sich schädliche Dateiverknüpfungen (lnk-Dateien). In den lnk-Dateien dieser Familien wird die Ausführung von cmd.exe mit dem Startparameter der schädlichen exe-Datei durchgeführt. Sie werden aktiv von Würmern zur Verbreitung über USB-Sticks eingesetzt.

Ein interessanter Vertreter im Rating ist Trojan.Win32.Patched.dj (17. Platz), der exe- und dll-Dateien infiziert. Die schädliche Funktionalität besteht darin, dass der Virenschreiber per E-Mail von dem Schädling über die Infektion des Computers informiert wird, woraufhin das Programm einen Port auf dem Computer öffnet und auf Befehle des Hackers wartet, der dann unter anderem Dateien laden, starten und auf dem Computer laufende Programme stoppen kann. Im Endeffekt wird der Schädling zum Aufbau von Botnetzen verwendet. Die Infektionsmethoden werden aktiv weiterentwickelt und es fällt auf, dass nicht eine einzige neue Virus- und Wurm-Familie in der Hitliste vertreten ist: Sality, Virut, Nimnul und Kido bestimmen weiterhin den Kurs. Online-Verbrecher haben sich massenweise auf den Aufbau von Botnetzen verlegt und infizieren dazu Rechner über das Internet unter Verwendung von Exploits. Die Techniken zur Infektion ausführbarer Dateien sind unter kommerziell orientierten Virenschreibern nicht sonderlich beliebt, da der Selbstausbreitungsprozess von Viren und Würmern nur sehr schwer zu kontrollieren ist und große Botnetze die Aufmerksamkeit der Strafverfolgungsbehörden auf sich ziehen.

Weltkarte

Um einschätzen zu können, in welchen Ländern die Anwender am häufigsten Cyberbedrohungen ausgesetzt waren, haben wir für jedes Land berechnet, wie häufig Kaspersky Antivirus dort im Laufe des Jahres 2012 Alarm geschlagen hat. Die so erhaltenen Daten spiegeln den Grad des Infektionsrisikos wider, dem die Computer in den verschiedenen Ländern der Welt ausgesetzt sind. Sie sind gleichzeitig ein Indikator für die Aggressivität der Umgebung, in der die Computer laufen.

Web-Bedrohungen

Am interessantesten ist der Grad des Infektionsrisikos über das Internet, das in den meisten Ländern der Welt die Hauptquelle für Schadobjekte ist.

Die Statistik basiert auf Daten von Kaspersky Web-Antivirus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf. Aus unseren Berechnungen haben wir die Länder ausgeschlossen, in denen die Zahl der Anwender von Kaspersky Lab-Produkten vergleichsweise gering ist (weniger als 10.000).
*Prozentualer Anteil der Computer, die Webattacken ausgesetzt waren, an allen Computern mit Kaspersky-Produkten im entsprechenden Land.

Das zweite Jahr in Folge führt Russland das Rating an. Für die russischen Computer hat sich das Risiko einer Infektion beim Surfen im Laufe des Jahres von 55,9 Prozent auf 58,6 Prozent erhöht. Leider wird im russischen Internet-Segment eine Vielzahl an cyberkriminellen Schemata umgesetzt. Da im Land sowohl unter Heimanwendern als auch unter Unternehmern das Online-Banking immer populärer wird, verbreiteten Internet-Gangster im Jahr 2012 aktiv die entsprechenden Schädlinge. Ein weiteres, im Runet recht weit verbreitetes Schema ist der Betrug mit kostenpflichtigen SMS: Die Kriminellen fordern den Anwender auf, eine Ware oder Dienstleistung mit Hilfe von SMS zu bezahlen, doch der Käufer erhält nie die gewünschte Gegenleistung.

Tadschikistan machte mit einem Wert von 58,5 Prozent einen Sprung von Position 17 auf den 2. Platz des Ratings. Platz drei belegte Aserbaidschan mit 57,1 Prozent aller angegriffenen KSN-Teilnehmer und stieg damit im Vergleich zum Vorjahr um drei Positionen auf.

Die letzten drei Positionen der Länder-Top 20 belegten im Jahr 2012 Italien, die USA und Spanien.

Die USA, die im Vorjahr noch den dritten Platz belegten, landeten im Jahr 2012 auf Position 19: Der Anteil der attackierten Computer ging in den Vereinigten Staaten von 50,1 Prozent auf 45,1 Prozent zurück. Diese Entwicklung hängt mit dem erfolgreichen Kampf gegen Cyberkriminalität und der Schließung einiger großer Botnetze zusammen, darunter DNSChanger, Hlux sowie einige ZeuS (Zbot)-Botnetze.

Italien und Spanien sind erstmals in diesen Top 20 vertreten. In beiden Ländern war die Zahl der Vorfälle im Laufe des gesamten Jahres recht hoch, was in erster Linie Attacken durch Bank-Trojaner zuzuschreiben ist.

Nach dem Grad des Infektionsrisikos beim Surfen im Web lassen sich alle Länder in verschiedene Gruppen einteilen:

1. Gruppe mit erhöhtem Risiko Zu dieser Gruppe mit Werten zwischen 41 und 60 Prozent gehören 31 Länder. Neben den Ländern aus den Top 20 sind das Australien (44,4 %), Indonesien (44,2 %), Kanada (42,8 %), Georgien (42,3 %) und Großbritannien (41,1 %).
2. Risikogruppe In dieser Gruppe mit Werten zwischen 21 und 40 Prozent sind 110 Länder vertreten, darunter die Türkei (39,9 %), Frankreich (39,8 %), Chile (39.4 %), China (38,4 %), Polen (37,1 %), Litauen (35,3 %), Schweden (34,1 %), Österreich (34 %), Ecuador (33,3 %), Deutschland (31,8 %), Finnland (27,9 %), Norwegen (27,3 %), Japan (22,8 %) und Dänemark (21,6 %).
3. Gruppe der beim Surfen im Internet sichersten Länder (0 bis 20 %) Im Jahr 2012 zählten zu dieser Gruppe insgesamt 10 Länder: Gabun (20,6 %), Togo (20,5 %), Réunion (20,2 %), Niger (19,6 %), Mauritius (18 %), Guadeloupe (17,8 %), Martinique (17,7 %), Benin (17,2 %), Burundi (16,9 %) und Kongo (16,7 %).

In der ersten Gruppe sind neun Länder hinzugekommen. Einen großen Teil der Gruppe stellen Staaten aus dem postsowjetischen Raum sowie asiatische Länder. Bedenklich ist, dass innerhalb des Jahres auch mehr europäische Länder hinzugekommen sind.

In der Gruppe der beim Surfen im Web sichersten Länder sind keine europäischen Staaten mehr vertreten, sie besteht nun ausschließlich aus afrikanischen Ländern. Die Länder aus der sichersten Gruppe fallen beim Surfen hinsichtlich lokaler Bedrohungen in die Gruppe mit dem höchsten Infektionsniveau. Dass sie dennoch zu der Gruppe der beim Surfen sichersten Länder gehören, erklärt sich durch die Verbreitungsart von Dateien in diesen Ländern: Das Internet ist dort bisher noch nicht sehr weit entwickelt, daher verwenden die User verschiedene mobile Datenträger für den Austausch von Dateien. Als Folge erscheinen diese Länder bezüglich der Internet-Bedrohungen praktisch gar nicht auf unserem Radar, doch eine Unmenge von Anwendern hat hier mit Viren und Würmern auf ihren Rechnern zu kämpfen, die sich zum Beispiel über USB-Sticks oder über infizierende Dateien verbreiten.

Im Schnitt ist das Niveau der Infektionsgefahr im Internet das zweite Jahr in Folge gestiegen. Im Jahr 2012 betrug es 34,7 Prozent und liegt 2,4 Prozentpunkte höher als im Vorjahr. Jeder dritte Internetnutzer auf der Welt ist damit mindestens einmal pro Jahr einem Computerangriff ausgesetzt.

Lokale Bedrohungen

Neben den Bedrohungen über das Internet sind auch die Zahlen über die Erkennung von Schadprogrammen interessant, die direkt auf Computern oder daran angeschlossenen Wechselmedien gefunden werden, etwa auf USB-Sticks, Speicherkarten, Telefonen oder externen Festplatten. Diese Statistik spiegelt das Infektionsniveau von PCs in verschiedenen Ländern der Welt wider.

Die Statistik basiert auf Daten von Kaspersky Antivirus, dessen Anwender zugestimmt haben, dass die Software statistische Informationen zu Auswertungszwecken sammeln darf. Aus unseren Berechnungen haben wir die Länder ausgeschlossen, in denen die Zahl der Anwender von Kaspersky Lab-Produkten vergleichsweise gering ist (weniger als 10.000).
* *Prozentualer Anteil der einzelnen Anwender, auf deren Computern lokale Bedrohungen blockiert wurden, an allen Computern mit Kaspersky-Produkten im entsprechenden Land.

Die Top 20 des Jahres 2012 setzen sich aus Ländern Afrikas und Asiens zusammen. Innerhalb des Jahres hat sich die Situation in den Ländern an der Spitze des Ratings nicht zum Besseren gewendet. Wie bereits im Jahr zuvor waren die Computer im Sudan und in Bangladesch im Laufe von zwölf Monaten mindestens einmal mit einem Schadprogramm infiziert. Die bisher noch unzureichende Verwendung von Antiviren-Programmen und die nur oberflächlichen Kenntnisse der Anwender über mögliche Computer-Bedrohungen machen die Rechner in diesen Ländern zu einer leichten Beute für Schadprogramme.

Auch bei den lokalen Bedrohungen lassen sich die Länder der Welt in verschiedene Kategorien einteilen.

1. Maximales Infektionsniveau (über 75 %): Sieben Länder aus Asien und Afrika, darunter auch Indien (75,2 %) und Bangladesch (99,7 %), gehören zur Gruppe der beim Surfen im Internet unsichersten Länder.
2. Hohes Infektionsniveau (56 bis 75 %): 41 Länder der Welt, darunter Indonesien (64,7 %), Äthiopien (58,2 %) und Kenia (58 %).
3. Mittleres Infektionsniveau (35-55%): (35 bis 55%): 67 Länder, unter anderem China (52,7 %), Kasachstan (52,6 %), Russland (48,7 %), die Türkei (48,67 %), Brasilien (43,5 %), Südkorea (39,8 %), Spanien (39,8 %), Portugal (35,8 %) und Litauen (35,7 %).
4. Geringstes Infektionsniveau (0-35%): (0 bis 35%): 38 Länder, darunter die USA (33,3 %), Frankreich (32,8 %), Großbritannien (30,9 %), Lettland (31,4 %) und Belgien (27,2 %). Die Zahl der Länder in der zweiten Gruppe ist im Vergleich zum Vorjahr um das 2,7-Fache gestiegen. Im vergangenen Jahr waren insgesamt nur 14 Länder vertreten. In erster Linie hängen diese Veränderungen mit dem langsamen Aussterben der klassischen Viren und Autorun-Würmer zusammen.

Top 10 der Länder mit minimalen Computer-Infektionsraten:

In der Gruppe der sichersten Länder der Welt wurden durchschnittlich 25,4 Prozent der Computer angegriffen. Gegenüber dem Vorjahr hat dieser Wert um 4 Prozentpunkte abgenommen.

Fazit

2012 war geprägt vom Interesse Cyberkrimineller an neuen Plattformen, in erster Linie an Mac OS X und Android OS. Online-Verbrecher werden stets von der Möglichkeit angezogen, problemlos eine große Zahl von Computern und Endgeräten zu infizieren und die Zahl der Attacken auf Mac- und Android-Nutzer wächst.

Zu Beginn des Jahres wurde ein riesiges Botnetz auf Basis des Programms Flashfake entdeckt, das 700.000 Macs umfasste, auf denen die Online-Gangster beliebige zusätzliche Schadmodule installieren konnten. Eines dieser Module tauscht den Traffic im Browser aus. Doch die Geschichte der Mac-Schädlinge ist nicht auf Massenattacken beschränkt. Im Laufe des gesamten Jahres entdeckten wir zielgerichtete Attacken unter Verwendung von Backdoors, die sich gegen Mac-User richteten. Diese Tendenz schlug sich auch in unseren Daten nieder – die Zahl der erstellten Antiviren-Einträge unter Mac OS X stieg im Vergleich zu 2011 um 30 Prozentpunkte.

Die Epidemie des Mac-Trojaners und die endlose Reihe von Android-Schädlingen haben das Thema „Schutz neuer Plattformen“ an die Spitze der Tagesordnung befördert. Die Notwendigkeit eines solchen Schutzes ist für den größten Teil der weltweiten Internet-Gemeinschaft offensichtlich geworden. Der Mythos der Unverwundbarkeit von Macs wurde endgültig zerstört. Die Hersteller widmen dem Schutz der Plattformen nun größere Aufmerksamkeit: In der neuen Version von Mac OS X wurden einige Funktionen umgesetzt, die die Sicherheit erhöhen. Google hat seinem App Store einen Anwendungsscan hinzugefügt. Auch die Antiviren-Industrie legte die Schutz-Messlatte höher und ist daher für derartige Ereignisse besser gerüstet. Seit einiger Zeit werden bereits Lösungen in der Art von Kaspersky ONE Universal Security angeboten, die den Schutz des gesamten Gerätespektrums abdecken – vom PC über den Mac bis hin zu mobilen Telefonen und Tablets.

Doch leider stieg ungeachtet der Erfolge im Kampf gegen die Cyberkriminalität der Anteil der über das Internet angegriffenen Computer auch im Jahr 2012 weiter an und betrug insgesamt 34 Prozent. Nicht ein einziges europäisches Land ist in der Gruppe der Länder vertreten, in denen der Anteil der beim Surfen im Netz angegriffenen Rechner unter 20 Prozent liegt.

Wenn wir das Jahr 2011 zum Jahr der Sicherheitslücken ausgerufen haben, so erklären wir das Jahr 2012 hiermit zum Jahr der Java-Sicherheitslücken. Unserer Statistik zufolge entfiel 2012 die Hälfte der Attacken unter Verwendung von Exploits auf Sicherheitslücken in Java. Nicht weniger bemerkenswert dabei ist, dass Cyberkriminelle diese Sicherheitslücken sowohl in massenhaften als auch in zielgerichteten Attacken ausnutzten und die Exploits gleichsam auf dem PC und dem Mac liefen.

Copyright © 1996 - 2013 Kaspersky Lab Industry-leading Antivirus Software All rights reserved