(pressebox) (Mainz, 01.10.2007) Im September 2007 ist die Zahl infizierter E-Mails erstmals wieder gestiegen. Dies geht aus den Untersuchungen von Sophos, einem der führenden Anbieter von IT-Lösungen für 'Security and Control', hervor. 0,12 Prozent aller E-Mails enthielten ein infiziertes Attachment - das entspricht einer von 833 E-Mails. Im Vormonat war noch eine von 1.000 Mails mit einem Schadprogramm infiziert. Schuld an der Zunahme war vor allem eine Kampagne, bei der kriminelle Hacker in der zweiten September-Hälfte den so genannten Pushdo-Trojaner im großen Stil über Spam-Mails verbreiteten. Die E-Mails, in denen den Empfängern Nacktfotos berühmter Hollywood-Schauspielerinnen, wie Angelina Jolie oder Halle Berry, versprochen wurden, enthielten einen Schadcode, der Hackern die Kontrolle über fremde PCs ermöglicht. In der letzten September-Woche war der Schädling in einem Zeitraum von nur 24 Stunden in fast vier von fünf infizierten Mails enthalten. Daneben nehmen webbasierte Cyberattacken kontinuierlich zu. Im September registrierten die SophosLabs, die weltweiten Forschungszentren von Sophos, 5.400 neu infizierte Internet-Seiten. Auf knapp 60 Prozent aller infizierten Websites befand sich der Schädling Mal/Iframe. Mal/ObfJS war mit einem Anteil von 17 Prozent der am zweithäufigsten im Web gehostete Schädling und unter anderem sogar auf der Website des US-Generalkonsulats in St. Petersburg, Russland, zu finden.

Mehr als die Hälfte aller infizierten Websites wurde wie bereits in den Vormonaten in China gehostet. In den USA hingegen ist die Zahl infizierter Websites gesunken: Nur noch 17 Prozent aller infizierten Internet-Seiten wurden in den Vereinigten Staaten gehostet - im August lag der Anteil bei über 20 Prozent. In Russland dagegen mehrten sich die infizierten Websites, ihr Anteil stieg von 11,3 auf 14,4 Prozent.

Die Hitliste der über E-Mails verbreiteten Schädlinge im September ergibt folgendes Bild:

1. W32/Netsky 29,9%
2. Troj/Pushdo 27,4%
3. W32/Mytob 9,2%
4. W32/Zafi 8,3%
5. Mal/Iframe 6,0%
6. Mal/Behav 4,6%
7. W32/MyDoom 4,1%
8. Mal/Basine 2,5%
9. W32/Bagle 1,4%
10. W32/Traxg 1,2%
Sonstige 5,4%

Folgende Schadprogramme wurden im September 2007 am häufigsten über infizierte Websites verbreitet:

1. Mal/Iframe 59,5%
2. Mal/ObfJS 17,0%
3. Troj/Decdec 3,7%
4. Troj/Fujif 3,6%
5. Mal/EncPk 1,6%
6. Troj/Iffy 1,3%
7. Troj/Pintadd 1,3%
8. Troj/Psyme 1,0%
9. Mal/Packer 0,9%
10. Troj/Ifradv 0,8%
Sonstige 9,3%

In folgenden Ländern wurden im September die meisten infizierten Websites gehostet:

1. China (inkl. Hong Kong) 54,9%
2. USA 17,1%
3. Russland 14,4%
4. Ukraine 3,7%
5. Deutschland 1,0%
6. Großbritannien 0,7%
6. Polen 0,7%
6. Niederlande 0,7%
9. Tschechische Republik 0,6%
9. Kanada 0,6%
Sonstige 5,6%

Sophos Decision Caching: das Prüfsummen-Prinzip

Unternehmen arbeiten Tag für Tag mit einer Vielzahl an Dateien - Texte, Tabellen, Präsentationen und Grafiken werden im Sekundentakt geöffnet, bearbeitet und gespeichert. Dabei besteht stets die Gefahr, dass diese von Viren befallen werden oder sich Würmer oder Trojaner einschleichen. Die Aufgabe eines effektiven On-Access-Schutzes ist es daher, Dateien beim Zugriff auf elektronische Schadprogramme zu untersuchen. Zwar bieten viele Antiviren-Programme diesen 'Viren-Wächter' an, doch jede Datei wieder und wieder zu überprüfen, egal ob sie seit dem letzten Scan tatsächlich verändert wurde oder nicht, kann die Leistungsfähigkeit der Rechner enorm belasten. Um die Anzahl der notwendigen Virenüberprüfungen auf ein Minimum zu reduzieren, hat Sophos die so genannte 'Decision Caching-Technologie' entwickelt.

Decision Caching greift auf die internen Prüfsummen des Betriebssystems zurück: Wird eine Datei geöffnet, errechnet das Betriebssystem aus der Bytefolge der Datei einen bestimmten Wert - die so genannte Prüfsumme. Die Errechnung der Prüfsumme erfolgt bei jedem Dateizugriff automatisch mithilfe eines sicheren Algorithmus. Die Zahlenwerte ermöglichen es, eine Datei eindeutig zu identifizieren.
Denn selbst, wenn sich nur ein einziges Bit in einer Datei ändert, verändert sich die Prüfsumme deutlich. Die Decision Caching-Technologie nutzt nun diese Prüfsummen, um festzustellen, ob eine Datei seit der letzten Viren-Überprüfung verändert wurde. Dazu wird die aktuelle Prüfsumme mit der Summe verglichen, die beim letzten Zugriff ermittelt wurde. Stimmen beide Werte überein, wurde die Datei zwischenzeitlich nicht verändert und kann gefahrlos geöffnet werden, da sie bereits als Malware-frei erkannt wurde. Weicht die neue Prüfsumme von der alten ab, wird eine Kopie der betreffenden Datei an die Virus Detection Engine von Sophos Anti-Virus zur Überprüfung gesendet. Ist sie virenfrei, kann die Datei geöffnet werden. Ist sie infiziert, verhindert der durch die Decision Caching-Funktion aktivierte Viren-Scanner, dass die Datei geöffnet werden kann. Nach jedem Viren-Check wird eine neue Prüfsumme erstellt - die vorherige wird damit ungültig.

Die IDs der überprüften Dateien werden im Cache von Sophos Anti-Virus gespeichert. Sobald eine neue Virenkennungsdatei(IDE) in Sophos Anti-Virus hinzugefügt wird, wird der Cache geleert und die Dateien werden beim Zugriff automatisch auf neue und bekannte Viren übergeprüft. Andernfalls bestünde das Risiko, dass eine Datei vor der Aktualisierung mit einem bislang unbekannten Schädling geöffnet und als virenfrei identifiziert wurde und nicht erneut überprüft wird.

Die Sophos Decision Caching-Technologie dient ausschließlich dazu, festzustellen, ob eine Virenüberprüfung für eine bestimmte Datei notwendig ist oder nicht - ob die Datei tatsächlich einen Virus enthält, prüft die Virus Detection Engine. Durch die Verwendung Betriebssystem-interner Prüfsummen lässt sich die Leistung des On-Access-Scanners erheblich steigern.

Die vollständige Top-Ten Meldung in englischer Sprache mit allen Ergebnissen der Sophos Schädlings-Top-Ten für September 2007 finden Sie unter: [Link inaktiv]

Die Grafiken der monatlichen Schädlings-Top-Ten stehen unter http://[Link inaktiv]/pressoffice/imggallery/topten/ zum Download bereit.

Druckfähige Karikaturen verschiedener Trojaner, Viren und Hacker-Attacken stehen unter [Link inaktiv] zur Veröffentlichung bereit.

Ausführliche Informationen zum sicheren Umgang mit dem Computer sowie Anti-Hoax-Richtlinien finden Computeranwender und Unternehmen unter:
[Link inaktiv]

Über Sophos Technology GmbH: Als einer der weltweit führenden Hersteller bietet Sophos Unternehmen IT-Lösungen an, mit denen sie ihre IT-Infrastruktur zuverlässig schützen und kontrollieren. Die Sophos Network Access Control und Endpoint Security Lösungen ermöglichen den integrierten Schutz vor Schadsoftware, Spyware, unberechtigten Zugriffen, potenziell unerwünschten Anwendungen (PUA) und Richtlinien-Verstößen. Sophos ergänzt diese Lösungen durch innovative E-Mail- und Web-Sicherheitsprodukte, die den E-Mail- und Internet-Verkehr auf Sicherheitsbedrohungen, Spam sowie Richtlinienverletzungen hin überwachen und filtern.

Sophos verfügt über mehr als 20 Jahre Erfahrung im Bereich der IT-Sicherheit und schützt mit seinen Sicherheitslösungen und Services über 100 Millionen Anwender in rund 150 Ländern. Die Sophos Lösungen werden von einem Netzwerk eigener Analysezentren (SophosLabs) mit hoch qualifizierten IT-Sicherheits-Experten unterstützt. Die Lösungen zeichnen sich durch ihre hohe Zuverlässigkeit und Benutzerfreundlichkeit aus, was für eine hohe Kundenzufriedenheit sorgt.

Die weltweiten Aktivitäten von Sophos werden von Oxford, UK, und Boston, USA, aus geleitet. Sophos beschäftigt weltweit über 1000 Mitarbeiter. Seit 1997 ist das Unternehmen auch auf dem deutschen Markt vertreten. Die Sophos GmbH mit Sitz in Mainz koordiniert Vertrieb, Marketing und technische Services für Deutschland, Österreich und die Schweiz.

Weitere Informationen unter: www.sophos.de