Sophos: 30.000 neu infizierte Webseiten pro Tag
Die Verbreitung von Trojanern über Webseiten soll mittlerweile zur häufigsten Angriffsmethode finanziell motivierter Cyberkrimineller gehören. Bis Anfang des Jahres galt E-Mail noch als Haupteinfallstor für Schädlinge.
- Daniel Bachfeld
Fast 30.000 neu infizierte Webseiten pro Tag will Sophos im Juni 2007 registriert haben. Dabei nimmt der Apache-Webserver unter den am häufigsten inifzierten Webservern mit 51 Prozent eine führende Stellung ein – allerdings ist Apache ohnehin der am meisten eingesetzte Webserver. Laut Netcraft liefen 53 Prozent aller Internet-Domains auf Apache. IIS schließt bei der Infektionshäufigkeit knapp auf: 43 Prozent. Im Grunde ist es also egal, welchen Server man wählt, wenn dieser und die darauf laufenden Anwendungen nicht regelmäßig aktualisiert werden.
Anfang des Jahres soll die tägliche Infektionsrate von Webseiten laut Sophos noch bei 5000 pro Tag gelegen haben. Damit soll die Verbreitung von Trojanern über Webseiten mittlerweile zur häufigsten Angriffsmethode finanziell motivierter Cyberkrimineller gehören. Bis Anfang des Jahres galt E-Mail noch als Haupteinfallstor für Schädlinge. Die meisten infizierten Websites sollen laut dem aktuellen Security Threat Report von Sophos zwischen Januar und Juni 2007 in China zu finden gewesen sein. Sophos will zudem eine Stichprobe bei einer Millionen verdächtiger Sites durchgeführt und dabei auf 28,8 Prozent der Websites Malware gefunden haben.
Laut Sophos handelte es sich bei den infizierten Seiten in 80 Prozent der Fälle um harmlose Websites, die offenbar gehackt wurden. Dabei machen sich die Angreifer zunutze, dass auf Servern von Webhostern oft mehrere Präsenzen lagern, die man bei einem Einbruch alle gleichzeitig infizieren kann. Auch bei den immer noch anhaltenden Infektionen durch das Web Attack Toolkit MPack wird so vorgegangen. Das bestätigt auch der Security Threat Report (PDF) von Sophos für das erste Halbjahr 2007: Rund 50 Prozent der infektiösen Seiten binden Schädlinge über einen IFrame eine, der Daten vom MPack-Server nachlädt. Die meisten der infizierten Seiten sind völlig unverdächtige, wie Touristeninfos, Online-Shops, Immobilienmakler et cetera.
Heise Security UK berichtet, dass infizierte Seiten sogar in der Lage seien, ihre schädlichen Inhalte mehrere hundert Mal am Tag zu wechseln, um die Analyse und Bekämpfung zu verhindern. Auch deute dies darauf hin, dass Malware automatisch generiert werde. George Clueley von Sophos äußerte im Interview mit heise Security UK sogar die Befürchtung, dass dies in einer Art "Robot Wars" enden könne, in der sich die Tools der Virenautoren mit denen der Hersteller von Antivirensoftware einen Schlagabtausch liefern.
Siehe dazu auch:
- Sophos sees huge increase in web-borne attacks, Meldung auf heise Security UK
- Security Threat Report (PDF), Bericht von Sophos
- Weitere Details zu Web-Attack-Toolkit MPack, Meldung auf heise Security
(dab)
