Je nachdem wie man Malware zählt, kann man mit den Ergebnissen unterschiedliche Aussagen treffen. Je nach Zählweise hat man auch spezifische Ungenauigkeiten, die man bei Schlussfolgerungen berücksichtigen muss. Wenn man Dateien zählt (wie z. B. AV-Test), sind bestimmte Malware-Typen wie z. B. Dateiinfektoren oder polymorphe Schadprogramme viel häufiger vertreten als Malware, die ohne viele Veränderungen auskommt. Um dieses Ungleichgewicht auszugleichen zählen wir Schadprogrammtypen, wie sie von Signaturen erfasst werden. Sie basieren auf dem eigentlichen Schadcode und ignorieren unbedeutende Änderungen. Die Ergebnisse werden im folgenden Abschnitt dargestellt. Sie sagen allerdings nichts darüber aus, wie verbreitet einzelne Schädlinge sind und welche Schadprogrammtypen tatsächlich am häufigsten versuchen auf die Rechner zu gelangen. Dazu geben unsere Telemetriedaten genauere Auskunft.
Neue Schadprogrammtypen
Die Zahlen für das erste Quartal 2017 haben es schon angedeutet. Es entstehen immer mehr Schadprogrammtypen. Auch nach über 30 Jahren Viren- und Malware-Statistik hat dieser Trend Bestand. Vor 10 Jahren zählten wir 133.253 neue Schadprogrammtypen. Diese Zahl ist mit dem aktuellen Aufkommen bereits in 4 Tagen erreicht. Nach weiteren fünf Jahren ist die Zahl für 2012 um das 20-fache gestiegen. Und auch in den letzten 5 Jahren ist die Zahl neuer Malware nicht geradlinig aber kontinuierlich gewachsen. Im zweiten Quartal 2017 wuchs die Anzahl um mehr als das 1,6-fache auf über 3 Millionen. Für das erste Halbjahr zählten wir 4.891.304 neue Schadprogrammtypen. Oder anders ausgedrückt. Pro Tag entstehen mehr als 27.000 neue Schädlinge, im Durchschnitt alle 3,2 Sekunden. Aber auch in Relation zum Aufkommen in der Vergangenheit ist das ein beträchtlicher Anteil. Der Anteil aus dem ersten Halbjahr 2017 zum Gesamtaufkommen seit 2005 beträgt ein Fünftel. Wenn sich das so fortsetzt werden am Ende des Jahres knapp 10 Millionen neuen Schadprogrammtypen zu Buche stehen.
Bei den verschiedenen Kategorien von Malware hat sich an der Reihenfolge wenig geändert. Trojanische Pferde machen den überwiegenden Anteil aus, gefolgt von Adware und PUP. Der Anteil von Adware ist gegenüber dem ersten Quartal 2017 gesunken, liegt aber immer noch deutlich über dem Niveau von 2016. Auch die Anzahl der Ransomware steigt, Mit deutlich unter 0,1% ist sie weiterhin kaum messbar.
Auch bei den Plattformen, auf denen Malware aktiv ist, macht Windows den weitaus größten Anteil aus. Die folgenden Plätze belegen bei geringem Volumen Skripte, Java, Android, Makros und MacOS.
Die Anzahl der produktiven Malware-Familien liegt im ersten Halbjahr bei 749. Das liegt 3,3% über dem Wert des ersten Halbjahrs 2016 bleibt aber um 16,3% hinter dem Wert des vorhergehenden Halbjahrs.
- Im Durchschnitt wurden im ersten Halbjahr 2017 pro Rechner 47,4 Angriffe verzeichnet.
- Heute taucht in nur 4 Tagen so viele neue Malware auf, wie 2007 im gesamten Jahr
- Jede 6. Signatur aus unserem aktuellen Signaturbestand stammt alleine aus dem ersten Halbjahr 2017
Abgewehrte Angriffe
Die Anzahl neuer Schadprogrammtypen aus dem vorherigen Abschnitt zeigt, wie häufig bestimmte Malware-Gruppen aktualisiert werden und wie produktiv die kriminellen Akteure sind, die dahinterstecken. Sie sagen aber nicht aus, wie verbreitet die jeweilige Malware ist. Um darüber mehr zu erfahren nutzen wir andere Daten. Über die G DATA Malware Information Initiative können wir ermitteln, wie häufig Angriffe auf Rechner stattgefunden haben und mit welcher Malware. Diese Zahlen erheben wir in dieser Form zum ersten Mal. Daher gibt es interessante Ergebnisse aber leider noch keine Vergleichswerte.
Im Durchschnitt wurden im ersten Halbjahr 2017 pro Rechner 47,4 Angriffe verzeichnet. Den größten Anteil mit 78,2% der Vorfälle machen dabei Potenziell Unerwünschte Programme (PUP) aus. Der Anteil von anderer Malware liegt bei 27,2%. Die häufigsten Schädlinge für diese beiden Gruppen sind in Tabelle 1 und 2 aufgelistet. Eine Malware sticht hier besonders heraus: Poweliks. Sie ist als einzige Malware in der Gesamt-Top 10 vertreten und ist selbst dort Spitzenreiter. Seit Jahren stammen die häufigsten Meldungen aus dem Bereich Adware und PUP. So auch dieses Jahr. Wie man anhand der Anzahl versuchter Angriffe pro 1.000 Nutzer ablesen kann, gehen die weiteren Plätze an Schadprogramme mit Werbung und anderen unerwünschten Nebeneffekten. Poweliks ist zwar als Malware klassifiziert, agiert aber auch im Umfeld von Werbung. Er klickt im Hintergrund vom Nutzer unbemerkt auf Werbebanner und lädt Dateien von Werbeservern herunter. Wenn Werbebanner schädliche Dateien enthalten, kann Poweliks sie aktivieren (Malvertising). Poweliks ist bekannt geworden als spezialisierter Angriff, der ohne Dateien auskommt, nur im Speicher aktiv ist und seinen Code in der Registry ablegt. Poweliks speichert seine Schadroutinen immer noch in der Registry und arbeitet so dateilos. Beim Infektionsprozess greift er auf Dateien zurück. Sie belegen die vorderen Plätze bei den Infektionszahlen.
Rang | Schadprogrammtyp | % | # pro 1000 Nutzer | Beschreibung |
1 | Trojan.BAT.Poweliks.Gen | 25,2% | 3252 | Dieses Skript ist Bestandteil von Infektionen mit Poweliks und startet eine andere, zufällig benannte Datei. Poweliks ist eine Malware, die ohne Dateien auskommt und aus der Registry agiert. Poweliks klickt im Hintergrund Werbebanner an und lädt damit verbundene Dateien herunter. So gelangen schädliche Inhalte von Werbebannern auf die Rechner (Malvertising) |
2 | JS:Trojan.JS.Agent.RB | 3,5% | 452 | Hier handelt es sich um in JavaScript geschriebene, stark verschleierte Trojan-Downloader |
3 | Exploit.Poweliks.Gen.4 | 2,9% | 379 | Dieser Exploit erkennt Verknüpfungen, die Poweliks nutzt, um mit der Windows-HTML-Hilfe JScript-Code aus der Registry aufzurufen.Poweliks ist eine Malware, die ohne Dateien auskommt und aus der Registry agiert. Poweliks klickt im Hintergrund Werbebanner an und lädt damit verbundene Dateien herunter. So gelangen schädliche Inhalte von Werbebannern auf die Rechner (Malvertising) |
4 | Win32.Trojan.Binder.A | 1,5% | 199 | Binder werden genutzt, um Schadprogramme mit legitimer Software zu kombinieren. So können beliebte Downloads schädliche "Zusatzfunktionen" wie Backdoor, Spyware bekommen |
5 | Gen:Variant.Binder.1 | 1,5% | 198 | Binder werden genutzt, um Schadprogramme mit legitimer Software zu kombinieren. So können beliebte Downloads schädliche "Zusatzfunktionen" wie Backdoor, Spyware bekommen |
6 | JS:Trojan.Cryxos.261 | 1,0% | 126 | Unter Cryxos werden Webseiten erfasst, die im Rahmen von vermeintlichen Support-Anrufen genutzt werden. Typisch ist dass sich jemand, der nur englisch mit indischem Akzent spricht, als Techniker von Microsoft ausgibt (oder als Techniker von AntiViren-Firmen oder als Polizist. Von diesen Seiten soll man im Verlauf des Gesprächs ein Tool herunterladen, das üblicherweise als“HTML.Trojan-Ransom.TechSupportScam" erkannt wird |
7 | Script.Trojan.Redirector.BA | 0,9% | 119 | Redirector leitet wie der Name schon sagt Besucher von Webseiten auf andere Seiten weiter. Dieses Exemplar triitt häufig auf Webseiten mit pornografischen Inhalten auf |
8 | Exploit.JAVA.CVE-2013-0431.G | 0,9% | 110 | Dieser Exploit nutzt eine Sicherheitslücke in Java-Versionen von JRE 7 Update 11 und älter. um weitere Schadprogramme u.a. von präparierten Webseiten auf den Rechner zu laden |
9 | Trojan.Snifula.Gen.1 | 0,7% | 89 | Snifula ist eine Spyware, die sich in Browser Prozesse von anderen Programmen einklinkt und u.a. Screenshots erstellt, Passwörter und Bankzugangsdaten stiehlt sowie Cookies und Zertifikate sammelt und an Steuerrechner im Internet versendet |
10 | Win32.Worm.Autorun.A@gen | 0,5% | 64 | Die Würmer aus der Autorun-Familie werden aktiv, wenn Wechseldatenträger wie USB-Sticks, Fotokameras etc an den Rechner angeschlossen werden. Dabei werden Routinen des Betriebssystems missbraucht, um den Wurm zu verbreiten |
... | Andere | 61,4% | n/a | n/a |
Fast jede fünfte Erkennung erfolgt im laufenden Betrieb (On Access). 20,8% werden beim Durchsuchen der Datenträger (On Demand) gefunden. Für Schadprogramme, die über den Browser auf die Rechner geladen werden, ist letzteres der erste Kontakt mit dem System.
Rang | Potenziell Unerwünschtes Programm (PUP) | % | # pro 1000 Nutzer | Beschreibung |
1 | Win32.Application.DownloadGuide.T | 9,0% | 3118 | Dieser Installer für Software-Bundles erkennt Virtuelle Maschinen. Auf echten Rechnern ist das Verhalten viel aggressiver und häufig betrügerisch |
2 | Gen:Variant.Application.Bundler.DownloadGuide.24 | 7,8% | 2687 | Dieser Installer für Software-Bundles erkennt Virtuelle Maschinen. Auf echten Rechnern ist das Verhalten viel aggressiver und häufig betrügerisc |
3 | Script.Application.FusionCore.B | 4,0% | 1367 | FusionCore ist ein Installer für Software-Bundles und erkennt Virtuelle Maschinen. Auf echten Rechnern ist das Verhalten viel aggressiver und häufig betrügerisch |
4 | Script.Application.InstallCore.FE | 3,4% | 1186 | Bei InstallCore handelt es sich um Installationsprogramme für Bundles mit erwünschter und unerwünschter Software. Die Dialoge, die bei der Installation angezeigt werden, sind so gestaltet, dass der Nutzer der unerwünschten Installation unbemerkt zustimmt. Die Dateien werden sehr häufig geändert, um der Erkennung durch Signaturen zu entgehen. |
5 | Win32.Application.Uniblue.A | 3,0% | 1028 | Uniblue bietet eine Reihe von Software-Produkten mit ähnlicher Funktionalität an. Häufig sind es Tools zur Bereinigung und Beschleunigung des Rechners oder der Registry. Zunächst wird eine Trial-Version installiert, die nach einem ersten Durchlauf vermeintliche Fehler findet, die behoben werden müssen. Dafür muss man aber die Vollversion üblicherweise in Form eines Abos erwerben. |
6 | Win32.Application.DownloadSponsor.R | 2,9% | 987 | Dieser Installer von Software-Bundles erhält seine häufig unerwünscht oder betrügerischen Angebote erst nachdem er mit einem Server Kontakt aufgenommen hat. |
7 | Application.SearchProtect.BS | 2,4% | 817 | Das Browser-AddOn SearchProtect ändert die Suchmaschine und die Startseite und "schützt" sie dann vor weiteren Änderungen zur den Nutzer. |
8 | Win32.Application.FusionCore.C | 2,1% | 708 | FusionCore ist ein Installer für Software-Bundles und erkennt Virtuelle Maschinen. Auf echten Rechnern ist das Verhalten viel aggressiver und häufig betrügerisch |
9 | Gen:Adware.BrowseFox.1 | 1,9% | 665 | BrowseFox wird häufig installiert, ohne den Nutzer davon ordentlich zu unterrichten. Dann werden Informationen gesammelt und es wird Werbung angezeigt. |
10 | Script.Application.InstallCore.HL | 1,6% | 569 | Bei InstallCore handelt es sich um Installationsprogramme für Bundles mit erwünschter und unerwünschter Software. Die Dialoge, die bei der Installation angezeigt werden, sind so gestaltet, dass der Nutzer der unerwünschten Installation unbemerkt zustimmt. Die Dateien werden sehr häufig geändert, um der Erkennung durch Signaturen zu entgehen. |
... | Andere | 61,9% | n/a | n/a |
Bemerkenswerte Beobachtungen
Es gibt einige auffällige, aber schlecht erklärbare Beobachtungen in den Daten. Die Anzahl der versuchten Angriffe auf Rechner mit Windows 8 als Betriebssystem liegt um ca. das Doppelte über dem Durchschnitt, bei Angriffen von PUP sogar noch höher. Ob Malware Rechner mit diesem Betriebssystem bevorzugt oder ob eventuell die Nutzer von Windows 8 besonders unvorsichtig sind oder ob es andere Gründe dafür gibt, lässt sich hier nicht klären. Das gilt ähnlich auch für die überdurchschnittliche Anzahl an Angriffen insbesondere mit Malware auf Rechner in den USA und Mexiko. Offenbar ist dort das Risiko, Opfer einer Malware-Attacke zu werden deutlich höher als in Mitteleuropa. Wir werden das weiterhin beobachten.
Von Ransomware keine Spur
Nach wie vor ist Ransomware ein heißes Thema. Erpressungs-Trojaner, die Dateien und Systeme verschlüsseln und dann Lösegeld fordern, wecken hohe Aufmerksamkeit - sowohl beim Opfer als auch in der Presse. In den Rückmeldungen über versuchte Angriffe ist davon aber nichts zu sehen. In den Top 75 der Schadprogrammfamilien ist keine einzige Ransomware zu finden. Es gibt einige Downloader, die auch Ransomware auf die infizierten Rechner aufspielen. Aber die Anzahl der Meldungen zu Ransomware ist verschwindend gering. Das kann einerseits daran liegen, dass in der aktuellen Zählung keine Daten aus den dynamischen Erkennungskomponenten wie Behavior Blocker, Anti-Ransomware, Exploit-Schutz etc nicht zu bestimmten Malware-Typen zugeordnet werden können und daher hier nicht einfließen (Wenn der Behavior Blocker eine Ransomware blockiert, weil sie sich im System persistent macht und/oder eine Verbindung zu einem Control-Server für Botnetze aufbaut, dann weiß er nicht welche Art von Schadprogramm anschließend nachgeladen worden wäre). Es sieht allerdings so aus, als ob die Gefährdung durch Ransomware schlimmer wahrgenommen wird als sie ist. Dennoch bleiben Erpressungs-Trojaner aktuell die gravierendste Schadfunktion und es ist gut, wenn man mit einem zuverlässigen Virenschutz und einer dazu passenden Backup-Lösung darauf vorbereitet ist.