(pressebox) (Nieder-Olm, 25.07.2007) Sophos, einer der führenden Anbieter von IT-Lösungen für 'Security and Control', hat seinen Security Threat Report für das erste Halbjahr 2007 veröffentlicht. Nach den Analysen der SophosLabs, der weltweiten Forschungszentren von Sophos, nahm die IT-Sicherheits-Bedrohung durch infizierte Websites auch im ersten Halbjahr 2007 weiter zu. Allein im Juni 2007 registrierte Sophos rund 29.700 neu infizierte Internet-Seiten pro Tag - Anfang des Jahres lag die Zahl noch bei 5.000. Damit gehört die Verbreitung von Schadcodes über das Internet mittlerweile zur meist verbreiteten Angriffsmethode finanziell motivierter Cyberkrimineller.
Die meisten infizierten Websites wurden zwischen Januar und Juni 2007 in China gehostet. Bei der Hälfte aller weltweit gehackten Webserver handelt es sich um Apache Server.

Um Unternehmen vor Cyberattacken, Malware und unzulässigen Inhalten zu schützen, lassen sich mithilfe der Sophos Lösungen mittlerweile mehrere Millionen Websites blocken.
Eine Stichprobe bei einer Million geblockten Internet-Seiten zeigt folgende Verteilung: Auf 28,8 Prozent der Websites ist Malware abgelegt, bei weiteren 28 Prozent handelt es sich um Porno- und Glückspiel-Seiten. Daneben wurden 19,4 Prozent der geblockten Websites gezielt von Spammern eingerichtet und 4,3 Prozent als illegal eingestuft, da sie beispielsweise Raubkopien anbieten oder es sich um Phishing-Sites handelt. Von den mit Schadcode infizierten Websites wurde dabei lediglich jede fünfte speziell für kriminelle Zwecke gestaltet - die restlichen 80 Prozent waren eigentlich harmlose, jedoch von Cyberkriminellen gehackte Websites.

Apache - der meist infizierte Webserver

Um einfach und schnell eine große Anzahl an Websites zu verseuchen, reicht es oftmals aus, eine einzige Datei auf einem Webserver zu infizieren. Ist die Datei Bestandteil unterschiedlicher Websites, die auf dem gehackten Server gehostet werden, können Cyberkriminelle so mehrere Sites gleichzeitig attackieren.

Folgende Webserver wurden im Zeitraum zwischen Januar und Juni 2007 am häufigsten infiziert:

1. Apache 51,0%
2. Microsoft IIS 6 34,0%
3. Microsoft IIS 5 9,0%
5. nginx 3,0%
Sonstige 3,0%

Die Tatsache, dass mehr als die Hälfte aller im ersten Halbjahr 2007 infizierter Websites auf Apache Server gehostet wurden, zeigt, dass sich Malware-Attacken nicht mehr länger nur gegen Microsoft richten. Ein Beispiel dafür ist unter anderem eine Web-Attacke, bei der Anfang dieses Jahres zahlreiche, eigentlich harmlose Websites weltweit mit dem ObfJS-Schädling infiziert wurden. Bei 98 Prozent der infizierten Server handelte es sich um Apache Server - die Mehrzahl davon wurde auf UNIX- und nicht auf Windows-Plattformen gehostet.

Christoph Hardy, Security Consultant bei Sophos: 'Bei sage und schreibe 80 Prozent aller infizierter Websites handelt es sich um eigentlich harmlose Websites. Da drängt sich die Frage auf, warum Internet Service Provider den Schutz ihrer Server weiterhin derart vernachlässigen. Einfache Vorkehrungen, wie die regelmäßige Installation aktueller Security-Patches, wären bereits ein erster Schritt, um dem Problem entgegenzuwirken. Denn je weniger Sicherheitslücken es in Serverinstallationen gibt, desto geringer ist das Risiko einer Infektion. Webhosts sollten sich daher ihrer Verantwortung stärker bewusst werden und ihre Sites ausreichend schützen. Denn der Einsatz von Apache auf dem Webserver heißt noch lange nicht, vor Angriffen krimineller Hacker sicher zu sein. Die vorliegenden Ergebnisse sollten ein Warnsignal für alle sein, die glauben, Malware sei nur ein Microsoft-Problem.'

Die Gefahr lauert oft auf harmlosen Websites

Folgende Schadcodes wurden im ersten Halbjahr 2007 am häufigsten auf Websites hinterlegt:

1. Mal/Iframe 49,2%
2. Troj/Fujif 7,9%
3. JS/EncIFra 7,3%
4. Troj/Psyme 8,3%
5. Troj/Decdec 6,9%
6. Troj/Ifradv 4,1%
7. Mal/ObfJS 2,5%
8. Mal/Packer 1,5%
9. VBS/Redlof 1,1%
10. Mal/FunDF 0,9%
Sonstige 10,3%

Angeführt wird die Rangliste der im Internet besonders häufig hinterlegten Schadcodes von der Schädlingsfamilie Mal/Iframe. Iframe-Varianten waren im ersten Halbjahr 2007 auf fast jeder zweiten infizierten Internet-Seite zu finden. Dabei deutet nichts darauf hin, dass die Verbreitung von Iframe abnimmt. In Italien wurden vor kurzem mit Hilfe des Schädlings mehr als 10.000 Websites infiziert. Bei den meisten davon handelte es sich um eigentlich harmlose Sites, die alle von einem der größten Internet Service Provider (ISP) in Italien gehostet wurden.

Christoph Hardy: 'Mal/Iframe ist ein Paradebeispiel für die Art, wie sich Web-Bedrohungen verbreiten: Mithilfe von Schadcodes werden unzureichend geschützte Internet-Sites angegriffen und infiziert - völlig egal, ob auf den Sites zum Beispiel Gartentipps oder pornografische Inhalte zu finden sind. Es reicht daher nicht mehr länger aus, Websites lediglich nach vordefinierten Kategorien zu blocken - Web-Security-Lösungen müssen Internet-Sites auch auf schädliche Inhalte prüfen. Mag eine Glücksspiel-Site auf den ersten Blick vielleicht gefährlicher erscheinen, lauert jedoch manchmal die größte Gefahr hinter einem harmlos erscheinenden Internetangebot.'

China - Land der infizierten Websites

In folgenden Ländern wurden im ersten Halbjahr 2007 die meisten infizierten Websites gehostet:

1. China 53,9%
2. USA 27,2%
3. Russland 4,5%
4. Deutschland 3,5%
5. Ukraine 1,2%
6. Frankreich 1,1%
7. Kanada 0,8%
8. Großbritannien 0,7%
9. Taiwan 0,6%
9. Südkorea 0,6%
Sonstige 5,9%

China verdrängte im ersten Halbjahr die USA von der Spitze der Halbjahres-Top Ten und hostete im Zeitraum zwischen Januar und Juni 2007 mehr als 50 Prozent aller infizierten Internet-Sites. Nachdem China noch Ende 2006 jede dritte infizierte Website hostete, lässt sich die neue Spitzenposition insbesondere auf die dort überdurchschnittlich starke Verbreitung des Schadcodes Iframe zurückführen. Tatsächlich waren mehr als 80 Prozent der in China gehosteten, infizierten Websites mit dem Schädling verseucht. Auf Platz zwei der Rangliste folgen die USA, in denen knapp ein Drittel aller infizierten Internet-Seiten betrieben wird. Danach folgen mit deutlichem Abstand Russland (4,5 Prozent) und Deutschland
(3,5 Prozent).

Neue Tricks: Dubiose Spam-Mails im PDF-Format und Viren auf USB-Sticks

Im ersten Halbjahr 2007 registrierten die Experten der SophosLabs eine steigende Zahl an Spam-Mails mit angehängten Dateien. Um einfache Spam-Filter am Gateway zu umgehen, nutzen immer mehr Cyberkriminelle PDF-Dokumente, in denen sie potenziellen Kunden ihre obskuren Angebote grafisch aufbereitet unterbreiten.

Eine neue Masche krimineller Hacker ist auch die Verbreitung von Schadcodes über mobile USB-Geräte.
Cyberkriminelle nutzen dabei gezielt die Auto-Run-Funktion auf Windows-PCs aus. Ist diese aktiviert, werden Schadcodes automatisch ausgeführt, sobald ein infizierter USB-Stick an den Rechner angeschlossen wird. Auf diese Weise wurden dieses Jahr bereits mehrere Schadprogramme übertragen, darunter der so genannte Harry Potter-Wurm. Anstelle des versprochenen siebten Harry Potter-Bandes verbarg sich in dem auf einem infizierten USB-Stick gespeicherten Word-Dokument der Schädling W32/Hairy. Ingesamt verbreiteten sich die per USB-Stick übertragenen Schädlinge jedoch nicht nennenswert weiter und lassen sich zudem mittels aktueller Anti-Viren-Software leicht abwehren.

Web-Bedrohungen stellen E-Mail-Viren in den Schatten

Neben infizierten Websites bedrohen weiterhin auch infizierte E-Mails die IT-Sicherheit von Unternehmen und PC-Anwendern. Deren Zahl bewegte sich im vergangenen Jahr jedoch weitgehend auf konstantem und vergleichsweise niedrigem Niveau: So lag der Anteil an E-Mails, die Malware enthielten, am gesamten E-Mail-Aufkommen im ersten Halbjahr
2007 bei 0,29 Prozent. Damit war eine von 337 E-Mails infiziert. Besonders aktiv zeigte sich die
Mal/HckPk-Familie: Im Zeitraum zwischen Januar und Juni
2007 registrierten die Experten von Sophos mehr als 8.000 neue Varianten der Schädlings-Familie, zu der auch die weit verbreiteten Schadcodes 'Dorf' und 'Dref' gehören.

HINWEIS FÜR JOURNALISTEN

Der vollständige Sophos Security Report für das erste Halbjahr 2007 steht in englischer Sprache zum Download bereit unter: [Link inaktiv]

Der aktuelle Podcast zum Sophos Security Report und der Bedrohungslage im ersten Halbjahr 2007 ist in englischer Sprache verfügbar unter: [Link inaktiv]

Druckfähige Karikaturen verschiedener Trojaner, Viren und Hacker-Attacken stehen unter
[Link inaktiv] zur Veröffentlichung bereit.