Messagelabs beobachtete in der letzten August-Woche eine starke Zunahme von E-Mails, die Links zu angeblichen virtuellen Postkarten und Youtube-Videos enthielten. Bei einem größeren Ausbruch am 15. August wurden innerhalb von 24 Stunden 600.000 derartige E-Mails versendet. Verantwortlich hierfür ist die "Storm-Worm"-Gang, deren Botnets Schätzungen zufolge mittlerweile auf weltweit 1,8 Millionen Computer angewachsen sind.
Ausgefeilte Techniken
Obwohl sich sowohl der Nachrichtentext als auch die Betreffzeilen kontinuierlich ändern, bestehen diese E-Mails stets aus einfachem Text oder HTML-Code, der einen Link zu einer IP-Adresse beinhaltet. Diese IP-Adresse verweist auf einen anderen infizierten Rechner innerhalb des Botnets, der die Anfrage zu einem Backend-Server umleitet und auf diese Weise versucht, den Rechner des Opfers mit einer Kopie des "Storm-Worm"-Trojaners zu infizieren. Der Backend-Server codiert die Malware alle dreißig Minuten automatisch neu, um den Anbietern traditioneller Anti-Viren-Lösungen die Bereitstellung von Signaturen zu erschweren.
Ähnlich wie bei den Techniken anderer Botnets wie Warevoz werden die Standorte der zentralen Command-and-Control-Server, die zur Steuerung des Botnets verwendet werden, durch so genannte "Fast-Flux"-Netzwerke mit sich schnell ändernden DNS-Einträgen abgeschirmt. Diese Methode ähnelt den "kugelsicheren" Hosting-Schemas, die Spammer in der Vergangenheit häufig verwendet haben, um es den Ermittlern zu erschweren, ihre Hosting-Sites und Mail-Server zu lokalisieren und auszuschalten.
Immer mehr gefährliche E-Mails
Aufgrund dieser jüngsten "Storm-Worm"-Attacken ist die Anzahl der E-Mails, die Links zu Schad-Code enthielten, im August erheblich gestiegen. Nachdem diese Quote im Juli nur 0,5 Prozent betrug, wurde sie im August um 19 Prozentpunkte auf 19,5 Prozent katapultiert.
Die weiteren Analysen brachten außerdem zum Vorschein, dass die Anzahl der täglich neu auftauchenden Webseiten mit Schad-Code ebenfalls stark zugenommen hat. Im August wurden jeden Tag durchschnittlich 1.772 neue Sites mit Schad-Code identifiziert und blockiert. Dies entspricht einem Anstieg von 783 Webseiten pro Tag seit Juli.
Mehr Spam, weniger Viren
Die Analysen zeigen, dass 10,8 Prozent der im August abgefangenen Malware neuer Herkunft waren. Im Hinblick auf die Einhaltung von Policies belegen sie zudem, dass Spam-Mails mit jugendgefährdenden Inhalten für kleine und mittelständische Unternehmen ein größeres Risiko darstellen als für größere Unternehmen. Bei den kleinen und mittelständischen Unternehmen wurden pro Nutzer und Monat 6,2 Zugriffsversuche blockiert, während es bei größeren Unternehmen nur 1,1 Zugriffsversuche waren.
Im August betrug der Anteil der an gültige Empfängeradressen gerichteten Spam-Nachrichten aus neuen und bislang unbekannten zweifelhaften Quellen am weltweiten E-Mail-Verkehr 74 Prozent. Dies entspricht einem Anstieg um drei Prozentpunkte gegenüber dem Vormonat.
Eine von 80,4 an gültige Empfängeradressen gerichteten E-Mails aus neuen oder bislang unbekannten zweifelhaften Quellen war mit einem Virus verseucht. Dies entspricht einem Rückgang von 0,14 Prozent gegenüber dem Vormonat (auf 1,24 Prozent).
Die Phishing-Angriffe gingen im August um 0,32 Prozentpunkte gegenüber dem Vormonat zurück. Hinter einer von 173,8 E-Mails verbarg sich der Versuch, persönliche Daten auszuspionieren. Der Prozentsatz der Phishing-Angriffe an allen bösartigen E-Mails sank gegenüber dem Vormonat um 18,5 Prozentpunkte auf 46,3 Prozent aller Malware-Post, die Messagelabs im August abgefangen hat.
Der "Messagelabs Intelligence Report" für August 2007 basiert auf Live-Daten, die über Kontroll-Punkte in aller Welt durch die Überprüfung mehrerer Milliarden E-Mails pro Woche erhoben wurden.