F-Secure warnt: Nie war die Zahl der neu entdeckten Malware höher als in den ersten drei Monaten des laufenden Jahres. Insgesamt könnten 2008 erstmals eine Million neuer Schadcodearten im Netz kursieren.
Lesen Sie hier einen Auszug aus dem Sicherheitsreport für das erste Quartal 2008 von F-Secure:
"Obwohl heute mehr Viren als jemals zuvor geschrieben werden, haben Nutzer jedoch oft das Gefühl es seien weniger. Einer der Gründe dafür sind die neuartigen Taktiken, mit denen Cyberkriminelle Computer infizieren.
Die wichtigsten Trends der letzten drei Monate waren:
* Drive-by Downloads - Verschiebung der Angriffe von SMTP auf HTTP
* Verstärktes Rootkit-Aufkommen
* Der erste Ransom-Trojaner für mobile Endgeräte
* Würmer für Symbian Smartphones
Drive-by Downloads
Der neueste Trend bei der Verbreitung von Malware heißt Drive-by Downloads. Die Angriffe beginnen meist mit einer Spam-Mail, die statt des klassischen Anhangs einen Weblink enthält. Dieser Link führt zu einer infizierten Webseite - so wird nicht mehr nur SMTP, sondern auch HTTP zu einer Gefahr für die Sicherheit.
Drive-by Downloads infizieren den PC automatisch, sobald der Nutzer die präparierte Webseite nur anklickt. Nur ein aktualisierter Browser, sowie Browser Plug-Ins und ein Betriebssystem auf dem neuesten Stand können das vermeiden. Dazu müssen also alle Patches installiert sein. Die meisten Nutzer haben jedoch Lücken und Schwachstellen in ihrem System, so dass sie nicht ausreichend geschützt sind. Infektionen durch automatische Exploits (Programme, die eine Sicherheitslücke im Computersystem ausnutzen) bemerken die Nutzer meist nicht - auch auf dem Bildschirm ist nichts Bedenkliches zu sehen.
Die Cyberkriminellen bedienen sich verschiedener Methoden, um Traffic auf den infizierten Seiten zu generieren. Ein verbreiteter Weg dazu sind Spam-Mail Kampagnen: Dabei werden E-Mails mit interessantem Inhalt und einem Link zur infizieren Seite verschickt. Nachrichten mit den Titeln "Da ist ein Video über dich auf YouTube", "Du hast eine E-Card erhalten" oder "Danke für Ihre Bestellung" sind besonders verbreitet.
Eine anderen Methode nutzt die Mechanismen von Suchmaschinen aus. Cyberkriminelle gestalten dabei Webseiten, die Tausende verschiedener Schlagwörter enthalten. Diese werden dann von Google indiziert - so wird die Seite ganz einfach von den Nutzern gefunden.
Bei der dritten Vorgehensweise, verschaffen sich Hacker Zugriff auf renommierte und gut besuchte Seiten und integrieren eine kurze Zeile Javascript auf der Frontseite. Schon beim Anklicken dieser Seite infizieren die Nutzer ihren Rechner, obwohl alles völlig normal aussieht und funktioniert. Dies ist in den vergangenen drei Monaten bei den Webseiten einiger sehr beliebter Magazine geschehen. Das Tückische an dieser Methode: Nutzer vertrauen den Internetseiten, die zu ihren persönlichen Gewohnheiten gehören.
Ein weiteres Vehikel für Drive-by Downloads sind infizierte Werbenetzwerke. Cyberkriminelle können durch die Infizierung der Werbenetzwerke, ihren Schadcode Millionen von Nutzern präsentieren, ohne die Seite selbst hacken zu müssen. Geschehen ist dies bereits auf den Webseiten von Expedia, NHL, TV4.se und MLB.
Verstärktes Rootkit-Aufkommen
Der MBR Rootkit - bekannt als Mebroot - ist derzeit wahrscheinlich die am besten getarnte Malware und wurde bis jetzt über Drive-by Downloads verbreitet. Mebroot ersetzt den infizierte Master Boot Record (MBR). Da Mebroot die Modifizierungen des Systems sehr gering hält, kann der infizierte Rechner den Rootkit nur sehr schwer aufspüren.
MBR Viren waren vor etwa 15 Jahren, als noch DOS das übliche Betriebssystem war, die am weitesten verbreitete Virenform. In jüngster Zeit wurde in akademischen Schriften und Konferenzen diskutiert, ob diese Art des Stealth MBR Rootkit in Zeiten von Windows möglich wäre. Es war sehr überraschend, dass genau das 2008 wirklich eingetreten ist. Dies bedeutet, dass Cyberkriminelle heute über zwei Dinge verfügen: Die Geldmittel und das Wissen, um solch einen komplexen Angriff zu entwickeln.
Der erste Ransom-Trojaner für mobile Endgeräte
In China wurde jetzt der erste Ransom-Trojaner für Smartphones entdeckt. Solche Trojaner gab es bereits für den PC: Sie nehmen die Daten auf dem PC des Nutzers als "Geisel" und bieten danach an, alles wieder in den Normalzustand zu versetzen, sobald ein "Lösegeld" gezahlt wurde. Typischerweise verschlüsselt der Trojaner den Festplatteninhalt und schickt dem Nutzer ein Passwort zu, sobald das "Lösegeld" bei den Kriminellen eingegangen ist.
Kiazha, der ersten Smartphone Ransom-Trojaner, infiziert das Gerät, wenn der Nutzer ein vermeintliches Shareware-Programm herunterlädt. Der Trojaner setzt dann einige schon länger bekannte Viren auf dem Smartphone frei. Danach bekommt der Nutzer die Aufforderungen, sieben Dollar mittels eines Online-Bezahlsystems zu überweisen, um den Originalzustand des Telefons wieder herzustellen. Smartphones sind inzwischen für viele Menschen extrem wichtig, so dass sie bereit sind ein "Lösegeld" zu zahlen, um ihre Daten wiederzubekommen. Aus diesem Grund wird zukünftig die Zahl solcher Trojaner weiter ansteigen.
Andere mobile Gefahren
Der Beselo Wurm verbreitet Malware über MMS und Bluetooth. Dabei bedienen sich die Cyberkriminellen einer neuartigen Form von Social-Engineering, um die Nutzer dazu zu bewegen, eine empfangene SIS Anwendungsdatei zu installieren. Besonders interessant ist, dass die Beselo-Malware-Familie keine gewöhnlichen SIS Dateiendungen verwendet, sondern ganz normale Media File Dateiendungen. So glauben die Nutzer ein Bild oder eine Sounddatei statt einer Symbian Applikation empfangen zu haben. Viele Nutzer neigen dazu, jede Frage, die nach dem Anklicken der eingegangenen Datei erscheint, mit "Ja" zu beantworten - und installieren so die Malware.
Beselo nutzt besonders die folgenden Dateinamen: "beauty.jpg, sex.mp3 und love.rm. Beselo Würmer sind für Symbian S60 2nd Edition Telefone geschrieben. Wenn Nutzer der dritten Edition versuchen ein solches File zu öffnen, wird eher eine Fehlermeldung erscheinen, als dass der Nutzer aufgefordert wird, die Datei zu installieren." (aro)