- Aktuelle Untersuchungen zur Spam-Belastung durch Botnets belegen rasches Wachstum und das Auftreten neuer Akteure -

- Nach Spam von Rustock lässt sich mittlerweile die Uhr stellen -

CUPERTINO, Calif, 29. September 2009 – Symantec (Nasdaq: SYMC) hat den neuen MessageLabs Intelligence Report für September und das dritte Quartal 2009 vorgelegt. Die aktuellen Erhebungen und Analysen zur Online-Sicherheit haben unter anderem zutage gefördert, dass Botnets mittlerweile für 87,9 Prozent der versendeten Spam-Meldungen verantwortlich sind. Insbesondere Maazben, ein neues Exemplar solcher Netzwerke aus gekaperten Computern, das sich bislang vor allem durch die Verbreitung von Werbe-Mails für Online-Casinos auszeichnet, hat seit seiner Entstehung Ende Mai ein sehr schnelles Wachstum erfahren. Derweil konnte mit Rustock eines der dienstältesten und mächtigsten Botnets seine Größe seit Juni ebenfalls verdoppeln, hat dabei allerdings auch eine gewisse Berechenbarkeit beim Spam-Versand entwickelt.

Laut MessageLabs Intelligence hat sich die Expansion von Maazben im vergangenen Monat spürbar beschleunigt. War das Botnet im August noch für 0,5 Prozent des Spam-Aufkommens verantwortlich, so betrug dieser Anteil im September bereits 1,4 Prozent. Derweil zeichnet sich Rustock, mit 1,3 bis 1,9 Millionen infizierter Rechner das größte aller Botnets, durch einen relativ geringen Durchsatz pro einzelnem Bot aus und ist dazu übergangen, Spam-Meldungen nach einem durchschaubaren Muster zu verbreiten: Die Aktivität beginnt jeweils um 3 Uhr nachts nach Eastern Standard Time (EST), erlebt seinen Höhepunkt dann um 7 Uhr vormittags EST und setzt sich bis 19 Uhr EST fort. Anschließend ruht der Spam-Versand dann für acht Stunden, bevor das Botnet erneut loslegt. Rustock ist bisher das einzige Botnet, das einem wiederkehrenden Zeitrhythmus folgt. Da Rustock als einer der beherrschenden Akteure der Botnet- Welt derzeit rund zehn Prozent des weltweiten Spam-Aufkommens auf sich vereint, sind sein Aktivitätszeitraum und seine Spitzenzeiten jeweils auch in der Tagesverlaufs-Kurve der gesamten Spam-Belastung abzulesen.

„Im Laufe der vergangenen zwölf Monate haben wir erlebt, wie eine Reihe von ISPs abgeschaltet wurden, weil sie als Hosting-Partner an Botnet-Aktivitäten beteiligt waren. Das führt dazu, dass Botnets verstärkt nach dem Motto ‚Friss oder stirb’ agieren müssen und sich die Machtverhältnisse in Reihen dieser Netzwerke spürbar verschieben“, erläutert Paul Wood als Senior Analyst für MessageLabs Intelligence bei Symantec und fügt hinzu: „Diese Entwicklungen haben untermauert, welche Kraft die beherrschenden Botnet-Akteure wie beispielsweise Cutwail besitzen, aber gleichzeitig auch den Weg freigemacht für den Aufstieg neuer Botnets wie Maazben. Es ist jedoch davon auszugehen, dass dies künftig nicht immer der Fall sein kann. Schließlich hat sich die Technologie der Botnets seit Ende 2008 entscheidend weiterentwickelt. Die jüngsten ISP-Abschaltungen zeigten bereits weniger Wirkung auf die Spam-Aktivität, weil Botnets durch solche Maßnahmen nicht wie in der Vergangenheit mehrere Wochen und Monate, sondern nur noch wenige Stunden lahm gelegt waren.“

In Folge von ISP-Abschaltungen in den zurückliegenden drei Monaten hatten zwei weitere Botnets Gelegenheit, Cutwail seinen Status als aktivstes Botnet streitig zu machen: Beanspruchen dürfen diese Spitzenposition mittlerweile das Botnet Grum, das zwar nur halb so groß ist wie Rustock, aber für 23,2 Prozent der verschickten Spam-Meldungen verantwortlich ist, und das Botnet Bobax, auf das 15,7 Prozent des Aufkommens an solchen E-Mails entfallen. Zuvor hatte Cutwail noch 45,8 Prozent der gesamten Spam-Aktivität auf sich vereinen können.

Weiterhin ergaben die Analysen von MessageLabs Intelligence für den September, dass sich die Natur gefährlicher Websites zusehends verändert, weil die ICANN nach einer Gebührenänderung im Juni 2009 von einer rückläufigen Tendenz beim so genannten Domain-Tasting berichten konnte. Auch Online-Betrüger haben mit diesem Verfahren reichlich von einer fünftägigen Karenzzeit Gebrauch gemacht, innerhalb derer sich angemeldete Domains kostenlos zurückgeben ließen. Die aktuell erhobenen Zahlen legen den Schluss nahe, dass für die Verbreitung von Schadprogrammen über das Surfen im Internet mittlerweile vornehmlich bereits seit längerer Zeit bestehende, manipulierte Websites herangezogen werden − und nicht mehr in erster Linie frisch registrierte Domains von kurzer Lebensdauer, wie dies vor etwa einem Jahr noch der Fall gewesen ist.

MessageLabs Intelligence hat gezielt jene Internetpräsenzen unter die Lupe genommen, die einzig und allein zu dem Zweck ins Leben gerufen wurden, um Malware unters Volk zu bringen. Diese Analysen zeigen, dass solche „jungen“ Domains, die bereits innerhalb der ersten drei Monate nach ihrer Anmeldung wegen des Verdachts auf Verbreitung von Schadprogramm-Inhalten zu sperren waren, zwar zahlenmäßig klein, aber sehr gefährlich sind: Die überwiegende Mehrheit von ihnen wurde als arglistig eingestuft und der Bereitstellung tückischer Inhalte überführt. Insgesamt 90 Prozent der „jungen“ Domains werden zudem binnen 38 Tagen nach ihrer Registrierung wieder vom Netz genommen.

„Angesichts des kleinen Zeitfensters, in dem sich jüngere Domains für heimtückische Zwecke nutzen lassen, ist es nicht überraschend, dass Online-Betrüger mit zunehmender Schlagzahl immer neue Web-Adressen anmelden“, kommentiert Paul Wood und unterstreicht: „Es ist davon auszugehen, dass die Angreifer alles in ihrer Macht Stehende versuchen, um neue Domains an den Start zu bringen und weitere Websites zu manipulieren. Im Allgemeinen lässt sich festhalten, dass die über solche Internetseiten ins Netz gestellten Schadprogramme sich derweil nicht allzu schnell verändern. Die Geschwindigkeit, mit der neue Malware entsteht, ist in etwa drei Mal geringer als das Tempo, mit dem neue gefährliche Domains auftauchen.“

Zu ganz anderen Ergebnissen kommt die Analyse älterer Domains, die seit mehr als drei Monaten angemeldet sind und zum Zwecke der Malware-Verbreitung manipuliert wurden: Von diesen Websites werden 90 Prozent erst nach mehr als 138 Tagen vom Netz genommen, sodass sie wesentlich länger ihr Unwesen treiben können als ihre jüngeren Gegenüber. Den Erhebungen von MessageLabs Intelligence zufolge handelt es sich mittlerweile bei 80 Prozent aller Domains, auf die der Zugriff wegen arglistiger Inhalte zu unterbinden ist, um eigentlich rechtmäßige Websites, die von Dritten manipuliert wurden.

„Um Schadprogramme zu verbreiten, ist es für Angreifer von größerem Nutzen, eine bestehende seriöse Website zu manipulieren, als eine neue Domain speziell für diesen Zweck ins Leben zu rufen“, betont Paul Wood und führt aus: „Im Wesentlichen ist der Rückgriff auf rechtmäßige Websites zur Verbreitung von Malware deshalb von Vorteil, weil Web-Kriminelle auf diese Weise wesentlich weniger Arbeit haben und einmal entwickelte Schadprogramme länger verwenden können. Außerdem ist es mittlerweile gang und gäbe, dass Online-Betrüger ein systematisches Domain-Tasting und -Kiting betreiben, indem sie die fünftägige Karenzzeit ausnutzen, in der sich neue Domains registrieren und kostenlos wieder zurückgeben lassen. Schließlich bietet ihnen diese Praxis die Gelegenheit, das System zu besiegen und nicht einmal dafür bezahlen zu müssen, dass sie Malware ins Netz stellen können.“

Weitere Ergebnisse im Überblick:

Spam: Weltweit belief sich der Anteil von Spam-Nachrichten am E-Mail-Verkehr aus neuen oder bisher nicht als bösartig bekannten Quellen im September 2009 auf 86,4 Prozent (bzw. eine von 1,2 E-Mails) – ein Rückgang um 2,1 Prozentpunkte gegenüber August. Für das dritte Quartal 2009 ergab sich eine durchschnittliche Spam-Quote von 88,1 Prozent, nachdem diese in den Monaten Juli bis September des Jahres 2008 noch 81,0 Prozent betragen hatte.

Viren: Auf 1 zu 399,2 (bzw. 0,25 Prozent) beziffert MessageLabs Intelligence im September den Anteil virenverseuchter Nachrichten am gesamten E-Mail-Verkehr, der von neuen oder bis dato nicht als gefährlich bekannten Absenderadressen stammte. Im Vergleich zum Vormonat ergibt sich daraus ein Minus von 0,09 Prozentpunkten. Insgesamt 39,8 Prozent der via E-Mail verbreiteten Schadprogramme enthielten im September einen Link zu gefährlichen Websites. Das waren 22 Prozentpunkte mehr als noch im August. Hatten die Analysen für den Vergleichszeitraum des Vorjahres noch eine Viren-Quote von 1 zu 122,5 ergeben, so belief sich der Anteil von Malware-verseuchten E-Mails im dritten Quartal 2009 nun auf 1 zu 330,3.

Phishing: Hinter einer von 437,1 E-Mails (bzw. 0,23 Prozent des gesamten Mail- Aufkommens) verbarg sich im September irgendeine Art von Phishing-Versuch. Das bedeutet einen Rückgang derartiger Attacken um 0,06 Prozentpunkte gegenüber dem Vormonat. Der Anteil von Phishing-Nachrichten an allen abgefangenen, per EMail verbreiteten Malware-Gefahren wie beispielsweise Viren und Trojanern sank im September um 11,1 Prozent auf 75,8 Prozent. Die Phishing-Quote des dritten Quartals 2009 belief sich im Durchschnitt auf 1 zu 368,6, während MessageLabs Intelligence für das dritte Quartal des Jahres 2008 einen Wert von 1 zu 330,5 ermittelt hatte.

Web-Sicherheit: Die Analyse der Web-Sicherheitsaktivitäten ergab, dass es sich bei 12,3 Prozent der über das Surfen im Internet verbreiteten Malware, die im September 2009 abgefangen wurde, um neue Angriffe gehandelt hat. Das bedeutet einen Anstieg um 0,4 Prozentpunkte gegenüber August. Weiterhin hat MessageLabs Intelligence pro Tag durchschnittlich 2.337 neue Websites aufgespürt, auf denen Malware oder andere möglicherweise unerwünschte Programme etwa in Form von Spyware und Adware hinterlegt waren. Das waren 33,4 Prozent weniger als noch im August.

Die wichtigsten Ländertrends:

• Mit einer Spam-Quote von 95,6 Prozent war Dänemark im September das Land, das weltweit am meisten unter Spam zu leiden hatte.
  
• In den USA stieg die Spam-Quote auf 91,8 Prozent, in Kanada auf 91,2 Prozent und in Großbritannien auf 91,7 Prozent.
  
• Die stärkste Zunahme der Belastung mit unerwünschten Werbe-Mails hatte Schweden zu verzeichnen, wo der Anteil von Spam-Nachrichten am E-Mail- Verkehr um 7,2 Prozent auf 89,6 Prozent zulegte. In den Niederlanden erreichte die Spam-Quote einen Wert von 91,9 Prozent, während sie in Österreich unverändert 90,7 Prozent betrug. Hongkong erlebte eine Spam-Quote von 93,4 Prozent, in Japan belief sich diese auf 89,4 Prozent.
  
• Unter allen Ländern hatte die Schweiz mit einem Plus von 0,08 Prozentpunkten den deutlichsten Anstieg bei der Belastung mit schadprogrammverseuchten EMails zu verkraften und belegt im September den ersten Platz im weltweiten Viren-Ranking.
  
• In den Vereinigten Staaten belief sich der Anteil virenbelasteter E-Mails auf 1 zu 552,5 und in Kanada auf 1 zu 393,8. In Deutschland betrug das entsprechende Verhältnis 1 zu 358,5 und in den Niederlanden 1 zu 666,2. Für Australien hat MessageLabs Intelligence im September eine Viren-Quote von 1 zu 626,5 ermittelt, in Hongkong waren es 1 zu 328,7 und in Japan 1 zu 552,0.
  
• Mit einer Phishing-Quote von 1 zu 246,4 hatte die Schweiz im September am stärksten unter E-Mail-Attacken zum Auskundschaften von Authentisierungsdaten zu leiden. Auf Platz zwei folgte Großbritannien, wo sich hinter einer von 252,3 EMails ein Phishing-Versuch verbarg.
  
  

Die wichtigsten Branchentrends:

• Mit einer Spam-Quote von 94,7 Prozent standen Maschinenbauunternehmen im September stärker unter Beschuss von Spam-Mails als jede andere Branche.
  
• Der Bildungssektor erreichte im September eine Spam-Quote von 93,8 Prozent und die Chemie- und Pharma-Industrie von 92,0 Prozent. Im Einzelhandel belief sich dieser Wert auf 92,2 Prozent, bei Behörden und in der Finanzindustrie auf jeweils 90,6 Prozent.
  
• Trotz eines Rückgangs der Viren-Quote um 0,36 Prozentpunkte auf einen Anteil von 1 zu 209,7 verteidigte der Bildungssektor im September Platz eins im Ranking der Branchen, die sich mit dem höchsten Anteil an verseuchten E-Mails konfrontiert sahen.
  
• In der Chemie- und Pharma-Industrie belief sich die Viren-Quote auf 1 zu 288,2, bei IT-Dienstleistern auf 1 zu 364,4, bei Einzelhandelsunternehmen auf 1 zu 682,0, bei Behörden auf 1 zu 262,2 und bei Finanzdienstleistern auf 1 zu 579,2.
  
  

Der MessageLabs Intelligence Report für September 2009 liefert noch genauere Daten und Analysen zu allen oben erläuterten Trends und Zahlen sowie detaillierte Informationen bezüglich geographischen und Branchentrends. Der vollständige Report ist unter www.messagelabs.com/Threat_Watch/Intelligence_Reports verfügbar.

Symantecs MessageLabs Intelligence ist eine anerkannte Quelle von Daten und Analysen für die Messaging-Sicherheit, Trends und Statistiken. MessageLabs Intelligence bietet eine Vielzahl an Informationen über globale Sicherheitsrisiken basierend auf Live-Daten, ermittelt von unseren Kontrollzentren in aller Welt, die pro Woche mehrere Milliarden Mails überprüfen.

Über Symantec
Symantec ist ein weltweit führender Anbieter für Sicherheits-, Storage- und System-Management-Lösungen, mit denen sich Privatpersonen und Unternehmen ihre vernetzte Welt absichern und verwalten können. Unsere Software und Services schützen umfassender und effizienter gegen zahlreiche Risiken an mehreren Endpunkten und sorgen für Vertrauen überall wo Informationen angewendet und gespeichert werden. Mehr Informationen sind unter www.symantec.com verfügbar.

Hinweis für Redakteure: Wenn Sie mehr über Symantec Corporation und seine Produkte erfahren möchten, dann besuchen Sie den Symantec News Room unter Alle genannten Preise sind in US-Dollar und gelten nur für die Vereinigten Staaten. Symantec und das Symantec Logo sind Warenzeichen oder eingetragene Warenzeichen der Symantec Corporation oder ihrer Tochtergesellschaften in den USA und anderen Ländern. Andere Namen sind Warenzeichen der jeweiligen Eigentümer.