Zombies bei AOL und T-Online
Mehr Browser-Angriffe
Die Bedrohung aus dem Internet wächst. Zu diesem Ergebnis kommt nicht nur die von Prolexic durchgeführte Analyse realer DDoS-Attacken. Auch der US-Branchenverband Computing Technology Industry Association (CompTIA) wartet mit einem ähnlichen Ergebnis auf. Hier hat man insbesondere ermittelt, dass die Zahl der direkten Angriffe auf Browser erheblich gewachsen sei. Von den 500 Organisationen, die der Branchenverband befragt hat, wurden in diesem Jahr bereits 57 Prozent Opfer von Browser-basierten Angriffen. Im Vorjahr waren es insgesamt nur 37 Prozent, 2003 sogar nur rund ein Viertel.
Manipulierte Webseiten
Diese Angriffe laufen alle nach demselben Schema ab: Internetkriminelle versuchen, ihre Opfer auf präparierte Webseiten zu locken, um ihnen dort ein Schadprogramm unterzuschieben. Meistens handelt es sich um Trojanische Pferde, die den infizierten PC bzw. das Userverhalten ausspähen oder den Computer hijacken und zu einem ferngesteuerten Zombie-PC umfunktionieren sollen. In der Regel werden dabei Sicherheitslücken im Internet Explorer ausgenutzt. Der letzte größere Fall ereignete sich erst vor ein paar Tagen. Die südkoreanische MSN-Webseite wurde von Unbekannten gehackt und so manipuliert, dass jeder Besucher mit Spionagesoftware infiziert wurde.
Zombies bei AOL und T-Online
AOL, T-Online und der französische Provider Wanadoo sind die Internet Service Provider mit der höchsten Zahl von Zombie-PCs. Wie die US-Firma Prolexic anhand regelmäßiger Analysen von DDoS-Attacken herausgefunden haben will, besaßen die meisten beteiligten PCs IP-Adressen, die diesen Providern zugeordnet waren. Weltweit und nach Ländern aufgeschlüsselt besitzen die USA die höchste Durchseuchungsrate. 18 Prozent der PCs, die an DDoS-Attacken beteiligt waren, stammten aus den USA, gefolgt von China mit 11, 22 Prozent. An dritter Stelle liegt bereits die Bundesrepublik mit 9,61 Prozent, gefolgt von Großbritannien und Frankreich mit je rund 5,2 Prozent. Auf die Bevölkerungszahlen umgerechnet gibt es die meisten Zombie-PCs in Hong Kong und in Deutschland, gefolgt von Malaysia, Ungarn und Großbritannien. Ob AOL oder T-Online tatsächlich, wie die US-Firma Prolexic behauptet, weniger als andere Provider unternehmen, um ihre Kunden zu schützen, mag dahingestellt bleiben. Beide Internet Service Provider gehören zu den weltweit Größten, sodass es kaum verwundern dürfte, wenn bei ihren Kunden auch die meisten Zombie-PCs zu finden sind.
Raffiniertes Social Engineering
Um ihre Schädlinge unter das Internetvolk zu bringen, sind die Verbreiter von Schadprogrammen derzeit sehr erfinderisch. Sie lassen sich bei der Verbreitung von Email-Schädlingen immer neue, raffiniertere Betreffzeilen und Nachrichtentexte einfallen, um die Mailempfänger zum Anklicken der Dateianhänge zu bewegen. Die jüngste Sober-Wurm-Attacke ist mit ihrem Fußball-WM-Ticket-Versprechen ein gutes Beispiel für besonders raffiniertes Social Engineering, das auch ansonsten vorsichtige Emailnutzer gleich scharenweise dazu verleitete, die infizierten Dateianhänge zu öffnen. In den letzten Wochen lässt sich allerdings noch eine weitere sehr effektive Strategie erkennen. Neue Versionen altbekannter Würmer und Trojaner werden in deutlich schnellerem Rhythmus unters Emailvolk gebracht. Neue Varianten des MyTob-Wurms tauchten eine Zeit lang im Stundenrhythmus auf. Und auch etliche andere Schadprogramme gibt es derzeit in einer Vielzahl von Varianten gleichzeitig im Netz. Die Strategie ihrer Urheber dürfte klar sein.
Schadprogrammflut überfordert Antivirenfirmen
Den Schadprogrammverbreitern geht es nicht mehr darum, mit einer einzigen Variante ihres Schädlings möglichst viele PCs zu infizieren. Sie wissen, dass die User vorsichtiger geworden sind und dass Antivirensoftware mittlerweile auf den allermeisten PCs installiert ist. Deshalb setzen sie auf die „schutzlose“ Zeit zwischen dem Auftauchen einer neuen Schadprogrammvariante und der Aktualisierung der Virensignaturen. Wenn die Schadprogramme quasi im Stundentakt in immer neuen, jeweils nur minimal abgeänderten Versionen auf den „Markt“ geworfen werden, sind die Antivirenfirmen mit der Aktualisierung ihrer Virenscanner überfordert. Es ist wie beim Wettlauf zwischen Hase und Igel: Während die Antivirenfirmen noch damit beschäftigt sind, Variante A zu analysieren, werden kurz hintereinander bereits die Varianten B und C ins Netz gestellt. Wenn der aktualisierte Virenscanner Variante B und C erkennt, gibt’s längst schon D und E. Experten gehen davon aus, dass es durchschnittlich zehn Stunden dauert, bis nach dem erstmaligen Auffinden eines neuen Schädlings die Virensignaturen aktualisiert sind – eine Zeitspanne, in der die User völlig schutzlos sind und in der sich Schadprogramme ungehindert verbreiten können.
Zurück zur News-Übersicht
