Neue „Storm Worm“-Welle schlägt über ein weltweites Botnet von 1,8 Millionen Computern hoch

MessageLabs Intelligence Report: YouTube-Videos sollen Empfänger ködern; 55.000 neue bösartige Webseiten im August abgeblockt

(PresseBox) ( München/Gloucester, )
MessageLabs, führender Anbieter von integrierten Managed Services für die Messaging- und Web-Sicherheit von Unternehmen, hat die Ergebnisse seines Intelligence Reports für August 2007 bekannt gegeben. So nutzen die jüngsten „Storm Worm“-Aktivitäten virtuelle Postkarten und Links zu angeblichen YouTube-Videos, um Trojaner zu verbreiten. Insgesamt musste auch ein starker Anstieg an täglich neu auftauchenden Webseiten mit Schadcode verzeichnet werden.

In den letzten Wochen beobachtete MessageLabs eine starke Zunahme von E-Mails, die Links zu angeblichen virtuellen Postkarten und YouTube-Videos enthielten. Bei einem größeren Ausbruch am 15. August wurden innerhalb von 24 Stunden 600.000 derartige E-Mails versendet. Verantwortlich hierfür sind die jüngsten Aktivitäten der „Storm Worm“-Gang, deren Botnets Schätzungen zufolge mittlerweile auf weltweit 1,8 Millionen Computer angewachsen sind.

Ausgefeilte Techniken
Obwohl sich sowohl der Nachrichtentext als auch die Betreffzeilen kontinuierlich ändern, bestehen diese E-Mails stets aus einfachem Text oder HTML-Code, der einen Link zu einer IP-Adresse beinhaltet. Diese IP-Adresse verweist auf einen anderen infizierten Rechner innerhalb des Botnets, der die Anfrage zu einem Backend-Server umleitet und auf diese Weise versucht, den Rechner des Opfers mit einer Kopie des „Storm Worm“-Trojaners zu infizieren. Der Backend-Server codiert die Malware alle dreißig Minuten automatisch neu, um den Anbietern traditioneller Anti-Viren-Lösungen die Bereitstellung von Signaturen zu erschweren.

Ähnlich wie bei den Techniken anderer Botnets wie Warevoz werden die Standorte der zentralen Command&Control-Server, die zur Steuerung des Botnets verwendet werden, durch so genannte „Fast-Flux“-Netzwerke mit sich schnell ändernden DNS-Einträgen abgeschirmt. Diese Methode ähnelt den „kugelsicheren“ Hosting-Schemas, die Spammer in der Vergangenheit häufig verwendet haben, um es den Ermittlern zu erschweren, ihre Hosting-Sites und Mail-Server zu lokalisieren und auszuschalten.

„Der ‚Storm Worm’-Trojaner nimmt nach wie vor eine Spitzenposition unter den Gefahren ein, da er sich immer wieder neu erfindet und auf eine andere Weise tarnt“, erläutert Mark Sunner, Chief Security Analyst bei MessageLabs. Angesichts eines derart dominierenden Botnets, das keinerlei Anzeichen für ein Nachlassen der Aktivitäten zeigt, müssen wir unsere Vorsichtsmaßnahmen verstärken und auf alle unbekannten und auch bekannten Web-Links und E-Mail-Anhänge anwenden.“

Anteil von E-Mails mit Schadcode stieg von 0,5 auf 19,5 Prozent
Aufgrund dieser jüngsten „Storm Worm“-Aktivitäten ist die Anzahl der E-Mails, die Links zu Schadcode enthielten, im August erheblich gestiegen. Nachdem diese Quote im Juli nur 0,5 Prozentpunkte betragen hatte, wurde sie im August um 19 Prozentpunkte auf 19,5 Prozent katapultiert.

Täglich 1.772 neue Webseiten mit Schadcode
Die weiteren Analysen brachten außerdem zum Vorschein, dass die Anzahl der täglich neu auftauchenden Webseiten mit Schadcode ebenfalls stark zugenommen hat. Im August wurden jeden Tag durchschnittlich 1.772 neue Sites mit Schadcode identifiziert und blockiert – dies entspricht einem Anstieg um 783 Webseiten pro Tag seit Juli.

Weitere Ergebnisse im Überblick

Web-Sicherheit:
Die Analysen zeigen, dass 10,8 Prozent der im August abgefangenen Malware neuer Herkunft waren. Im Hinblick auf die Einhaltung von Policies brachten die Analysen des Web-Traffic außerdem zum Vorschein, dass Spam-Mails mit jugendgefährdenden Inhalten für kleine und mittelständische Unternehmen ein größeres Risiko darstellen als für größere Unternehmen. Bei den kleinen und mittelständischen Unternehmen wurden pro Nutzer und Monat 6,2 Zugriffsversuche blockiert, während es bei größeren Unternehmen nur 1,1 Zugriffsversuche waren.

Spam:
Im August betrug der Anteil der an gültige Empfängeradressen gerichteten Spam-Nachrichten aus neuen und bislang unbekannten zweifelhaften Quellen am weltweiten E-Mail-Verkehr 74 Prozent. Dies entspricht einem Anstieg um 3 Prozentpunkte gegenüber dem Vormonat.

Viren:
In diesem Monat war eine von 80,4 an gültige Empfängeradressen gerichteten E-Mails aus neuen oder bislang unbekannten zweifelhaften Quellen mit einem Virus verseucht. Dies entspricht einem Rückgang um 0,14 Prozentpunkte gegenüber dem Vormonat (auf 1,24 Prozent).

Phishing:
Im August gingen die Phishing-Angriffe um 0,32 Prozentpunkte gegenüber dem Vormonat zurück. Hinter einer von 173,8 E-Mails verbarg sich der Versuch, persönliche Authentisierungsdaten auszuspionieren. Der Prozentsatz der Phishing-Angriffe an allen bösartigen E-Mails sank gegenüber dem Vormonat um 18,5 Prozentpunkte auf 46,3 Prozent aller Malware-Gefahren, die MessageLabs im August abgefangen hat.

Ländertrends:
- Israel blieb mit einer Spam-Quote von 70,7 Prozent auch in diesem Monat das Land mit der höchsten Spam-Belastung.

- Den stärksten Anstieg der Spam-Quote verzeichnete Frankreich (um 9,5 Prozentpunkte), gefolgt von Spanien mit einer Steigerung um 9,2 Prozentpunkte.

- Indien hat mit einer Spam-Quote von 29,5 Prozent am wenigsten unter Spam zu leiden, bleibt jedoch das Land mit der höchsten Viren-Quote. Eine von 27,8 an Empfänger in Indien gerichteten E-Mails war im August mit einem Virus verseucht. Den größten Anstieg der Malware-Aktivitäten gab es in diesem Monat in Spanien, wo die Viren-Quote um 0,09 Prozentpunkte stieg.

Branchentrends:
- Die Landwirtschaft ist mit einer Spam-Quote von 66,9 Prozent nun der Spitzenreiter, während der Finanzsektor im August mit einer Quote von 30,5 Prozent am wenigsten unter Spam zu leiden hatte.

- Der stärkste Anstieg der Spam-Aktivitäten wurde im August in der Telekommunikationsbranche beobachtet, denn dort stieg die Spam-Quote seit Juli um 22,3 Prozentpunkte. Dadurch kletterte die Telekommunikationsbranche wieder auf Platz zwei der Branchen mit der höchsten Spam-Belastung. Den größten Rückgang gab es bei den unternehmensbezogenen Dienstleistungen, und zwar um 6,2 Prozentpunkte.

- Der Bildungssektor nimmt im August die Spitzenposition der Viren-Charts ein, obwohl die Viren-Aktivitäten in diesem Bereich um 0,18 Prozentpunkte zurückgegangen sind.

Der MessageLabs Intelligence Report für August 2007 liefert noch genauere Daten und Analysen zu den in dieser Pressemitteilung erläuterten Trends und Zahlen sowie detaillierte Länder- und Branchentrends. Der vollständige Bericht steht zum Download bereit unter: http://www.messagelabs.com/intelligence.aspx

MessageLabs Intelligence genießt hohes Renommee für ein umfassendes Angebot an Daten und Analysen, die sich mit Themen, Trends und Statistiken zur Sicherheit von Messaging-Anwendungen beschäftigen. MessageLabs bietet zahlreiche Informationen über weltweite Sicherheitsbedrohungen, basierend auf Live-Daten, die über Kontroll-Punkte in aller Welt durch die Überprüfung mehrerer Milliarden E-Mails pro Woche erhoben werden.
Für die oben stehenden Pressemitteilungen, das angezeigte Event bzw. das Stellenangebot sowie für das angezeigte Bild- und Tonmaterial ist allein der jeweils angegebene Herausgeber (siehe Firmeninfo bei Klick auf Bild/Meldungstitel oder Firmeninfo rechte Spalte) verantwortlich. Dieser ist in der Regel auch Urheber der Pressetexte sowie der angehängten Bild-, Ton- und Informationsmaterialien.
Die Nutzung von hier veröffentlichten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Bei Veröffentlichung senden Sie bitte ein Belegexemplar an service@pressebox.de.