Gefahren-Bericht: Wirtschafts-Spionage über angebliche Olympiade-Mails

Keine Ruhe nach dem Storm

16.06.2008 von Nicolas Zeitler
Das Storm-Botnet befindet sich auf dem Rückzug. Mittlerweile sind 20 mal weniger Rechner von dem Trojaner Storm befallen als noch zu dessen Hochzeiten. Dafür gelingt es Kriminellen immer besser, Schwachpunkte von Internet-Anwendungen für Angriffe mit Schadprogrammen auszunutzen. Das schreibt der Sicherheitsanbieter Messagelabs in seinem aktuellen Monatsbericht.
Die Spam-Rate ist insgesamt leicht gesunken. Deutschland lag mit 70,6 Prozent unerwünschten Mails unter dem weltweiten Durchschnitt.
Foto: Messagelabs

Die Zahl der mit Storm infizierten Computer ist offenbar deutlich zurückgegangen. Ein Grund könnten Updates für das Microsoft Malicious Software Removal Tool sein, mit denen der Trojaner aufgespürt und vom betroffenen Rechner entfernt werden kann. Weltweit sollen noch rund 100.000 Rechner mit Storm infiziert sein. Noch im Vormonat umfasste das Netz rund zwei Millionen gekaperte Rechner und war für 96 Prozent aller E-Mail-basierten Schadprogramme verantwortlich, die über Links auf Internet-Seiten mit Viren oder Trojanern verbreitet wurden.

Im April ging dieser Anteil schlagartig um 57,1 Prozentpunkte auf nunmehr 38,9 Prozent zurück. Gleichzeitig sank auch der Anteil von Mails mit gefährlichen Links am Gesamtaufkommen E-Mail-basierter Malware-Angriffe. Hier verzeichnete der Sicherheitsanbieter einen Rückgang um 32,7 Prozentpunkte auf 10,8 Prozent.

Storm hat allerdings einen Nachfolger. Srizbi fällt zunehmend als Netzwerk ferngesteuerter Computer auf, über die Spam-Mails versandt werden. Srizbi ist erstmals Mitte 2007 in Erscheinung getreten. Messagelabs geht davon aus, dass der Trojaner auch künftig von sich Reden machen wird.

Auch wer auf eigentlich vertrauenswürdigen Seiten im Netz unterwegs ist, läuft zunehmend Gefahr, sich unbemerkt schädliche Software einzufangen. Cyber-Kriminellen ist es vergangenen Monat gelungen, Sicherheitslücken aktueller Internet-Anwendungen auszunutzen. Laut Messagelabs sind mittlerweile regelrechte "Werkzeugkästen" mit Software-Tools verfügbar, die unsichere Internet-Seiten automatisch aufspüren und angreifen. So verändert zum Beispiel "SQL Injection" mittels manipulierter Anfragen den Inhalt datenbankgestützter Seiten. Auf diesem Weg können schädliche Javascript-Programme auf die Rechner ahnungsloser Besucher geschleust werden. Jede zehnte web-basierte Malware-Attacke ging im vergangenen Monat auf eigentlich vertrauenswürdige Seiten zurück, die zuvor von "SQL Injection" angegriffen wurden.

Wer dieser Tage elektronische Post von einem ihm unbekannten Absender bekommt, die auf die Domain "@yahoo.co.uk" endet, sollte aufmerksam werden. Mit einer möglicherweise neuen Spam-Technik werden Mails verschickt, die für den seit mehreren Jahren aktiven Spammer "Canadian Pharmacy" werben. Diese unerwünschten Nachrichten machten im April ein Prozent des abgefangenen Spam-Aufkommens aus.

Spam-Mails schwer erkennbar

Den Urhebern ist es gelungen, die Nachrichten mittels SMTP über die Server von Yahoo zu verschicken. Die Nachrichten werden auf diese Weise korrekt signiert und erscheinen als authentisch. Sie sind von Schutzprogrammen nur schwer anhand der Absender-IP-Adressen als Spam erkennbar.

Jeden Tag werden rund 40 neue Nutzeridentitäten erstellt, über die die unerwünschten Mails verschickt werden. Typisches Merkmal der Benutzernamen ist das Schema "vornamenachname99xxxx".

Gezielte Trojaner mit Olympia-Bezug

Nachrichten mit Bezug zu den nahenden Olympischen Spielen sollten die Mitarbeiter in Firmen kritisch betrachten. Im April wurden über das Interesse an der Sportveranstaltung gezielte Angriffe auf einzelne Computer-Nutzer lanciert. Rund 70 gezielte Trojaner fing Messagelabs im Laufe des Monats täglich ab. Die Mails sind häufig an bestimmte Mitarbeiter adressiert und zielen darauf ab, sich im firmeneigenen Netz einzurichten und Wirtschafts-Spionage zu betreiben. Unternehmen verschiedenster Branchen erhielten derartige Mails. Die Betreffzeilen lauteten beispielsweise "The Beijing 2008 Torch Relay" oder "National Olympic Committee and Ticket Sales Agents". Die Nachrichten stammten fast alle von einer IP-Adresse in Südostasien.

Die eigentliche Gefahr geht dabei vom Anhang der Mails aus, in diesem Fall MDB-Dateien (Microsoft Office Access Database), die in einem ZIP-Ordner verpackt sind. Öffnet der Empfänger den Anhang, installiert sich ein ausführbares Programm auf der Festplatte. Dieses leitet dann den Diebstahl von Unternehmensdaten ein.

Der Spam-Anteil am Mail-Verkehr ist im April um 0,3 Prozentpunkte auf 73,5 Prozent gesunken. Die Liste der Leidtragenden führte Hongkong mit einer Spam-Quote von 83,7 Prozent an. Die Schweizer, im Vormonat am meisten von Spam betroffen, rangieren nunmehr auf dem zweiten Platz. Am stärksten gestiegen ist die Spam-Quote mit 5,85 Prozentpunkten in Kanada - auf 75 Prozent. In Deutschland waren 70,6 Prozent aller E-Mails unerwünschte Nachrichten.

In der Schweiz die meisten Viren-Mails

Die verarbeitende Industrie ist weiterhin die hauptsächliche Ziel-Branche von Spammern mit einer Quote von 82 Prozent. Das Hotel- und Gaststättengewerbe hatte den stärksten Anstieg zu verzeichnen, um fünf Prozentpunkte auf 79,5 Prozent unerwünschter Mails. Statt HTML-Mails wurden im April wieder vermehrt reine Textnachrichten als Spam versandt.

Die weltweite Viren- und Trojaner-Quote ist im April um 0,13 Punkte gegenüber dem März auf 0,46 Prozent gesunken. Damit ist eine von 219 Mails mit einem Schadprogramm versehen. Den stärksten Viren-Rückgang konnten die Inder verzeichnen. An der Spitze steht weiterhin die Schweiz, wo eine von 120 Mails verseucht ist.

Mehr Phishing weltweit

Die Zahl der Phishing-Angriffe ist im Vergleich zu allen anderen per Mail verbreiteten Gefahren um 13,1 Prozentpunkte gestiegen. 87,1 Prozent aller schädlichen Nachrichten, die Messagelabs abgefangen hat, enthielten Phishing-Versuche. Damit ist eine von 206 Mails ein Versuch, an persönliche Zugangsdaten von Internet-Nutzern zu kommen. Im Vergleich zum Vormonat ist die Phishing-Quote um 0,05 Prozentpunkte auf 0,49 Prozent gestiegen.

Den "Messagelabs Intelligence Report für April 2008" hat der Sicherheitsanbieter aufgrund von weltweit gewonnenen Daten erstellt. Messagelabs wertet nach eigenen Angaben täglich mehr als 2,5 Milliarden E-Mails und eine Milliarde Web-Anfragen aus.

Bildergalerie: Spam, Spyware und schädliche Links
Ein "Keylogger" ist eine Art Überwachungs-Software, die in der Lage ist, jeden Tastenanschlag zu erfassen, die normalerweise verschlüsselt in eine Protokolldatei übertragen wird. Somit kann der Keylogger beispielsweise die E-Mail-Korrespondenz oder jede andere Information, die gerade auf der Tastatur eingegeben wird, aufzeichnen. (Foto: Message Labs)
Bei MyDoom handelt es sich um den bisher am schnellsten und weitest-verbreiteten Computer-Wurm, der per E-Mail übertragen wird. In den Betreffzeilen erscheinen Sätze wie "Benachrichtigung zum Übermittlungsstatus (Fehlgeschlagen)" und ähnliche Meldungen. (Foto: Message Labs)
Der Computer-Wurm Netsky stellt ebenfalls eine stete Bedrohung für den E-Mail-Verkehr dar. Er gehört zur Open-Source-Virusfamilie. (Foto: Message Labs)
Phishing ist angelehnt an das englische Wort "fishing". Über vertrauenswürdige Webseiten versuchen Phisher durch gefälschte elektronische Nachrichten an sensible Daten wie Benutzernamen und Passwörter vom Online-Banking zu gelangen. (Foto: Message Labs)
Eine Art gefälschtes Anti-Spyware-Programm ist der Rogueware Spysheriff. Er verlangsamt absichtlich den laufenden Computer und zeigt aufdringliche Pop-up-Werbung an. (Foto: Message Labs)
Text- und bildbasiertes Spam ist unter anderem der "Russian 3". Er nutzt persönliche Unsicherheiten des Nutzers aus, indem er sehr unverblümt und direkt Themen anspricht ("Schon mal davon gehört, dass Du fett werden kannst"). (Foto: Message Labs)
Der "Storm" ist ein trojanisches Pferd und verbreitet sich aggressiv über Spam weiter. "Storm" ist verknüpft mit einem aus rund 50 Millionen Computern bestehenden Botnet. (Foto: Message Labs)
Den verschlüsselten Trojaner "Trojanagentil3" gibt es in unendlichen Variationen. Durch seine ständige Wandelbarkeit überlistet er auch Anti-Viren-Programme. (Foto: Message Labs)
Auf das Stehlen von Passwörtern hat es der "Pwslineage" abgesehen. Der Trojaner verdankt seinen Namen dem bekannten Online-Spiel "Lineage", in dem Buchhaltungskonten bares Geld wert sind. (Foto: Message Labs)
Der E-Mail-Schädling "Postcard" gibt vor, eine elektronische Postkarte zu sein, die von einem Freund oder Familienmitglied verschickt wurde. Sobald der schädliche Link angeklickt wird, leitet es das Opfer für kurze Zeit um. In dieser Zeit wird eine Menge an Malware heruntergeladen. (Foto: Message Labs)