Malware per Spam

Botnetz-PCs stehen am Arbeitsplatz

Von Markus Selinger

Es ist ruhiger geworden um Spam. Er ist weiterhin nervig, aber man hat sich an den Müll in der Mail gewöhnt. Genau dieser Umstand macht ihn nun umso gefährlicher. In einer 18-monatigen Studie, von August 2011 bis Februar 2013, hat das Labor von AV-TEST über 550.000 als Spam klassifizierte Mails gesammelt und analysiert. Das Ergebnis ist ernüchternd.

So stellte sich u.a. heraus, dass jede dritte Spam-Mail, die einen Anhang hat, mit einem Schädling infiziert ist. Andere unerwünschte Mails versuchen den Anwender meist auf eine infizierte Webseite zu locken. Noch viel schlimmer ist die Erkenntnis, dass 25 % der Spam-Schleudern in Büros stehen – auch in deutschen.

5-Tage-Woche für Zombies

In der AV-TEST-Studie wurde der Spam-Versand an jedem Wochentag registriert und zum Abschluss analysiert. Das Ergebnis: Von Montag bis Freitag hielt sich das Spam-Aufkommen immer recht konstant. Am Wochenende sank der Versand um 25 %.

Spam-Aufkommen nach Wochentagen.jpg
Die tägliche Höchst­dosis Spam lag bei etwa 80.000 Mails. Von Montag bis Freitag ist der Ver­sand recht gleich­mäßig; am Wochen­ende fällt er deut­lich ab. Der Grund: Diese PCs stehen in Büros und sind Samstag und Sonn­tag ausgeschaltet. (Bild: AV-TEST)

Daraus erhellt, dass 25 % der spammenden Botnet-PCs in Büroräumen und Unternehmen stehen, wo sie Samstag und Sonntag abgeschaltet sind. Pünktlich am Montag steigt das Spam-Niveau dann wieder an.

Ausführbar heißt infiziert

Gut 30.000 der 550.000 analysierten Spam-Mails hatten einen Anhang, wovon wiederum über 10.000 mit einem bösartigen Schädling bestückt waren. In 400.000 Mails fanden sich neben Text auch URLs, also Internet-Adressen. Bei diesen Mails führte knapp 1 % der Links direkt auf mit Schädlingen infizierte Seiten. Der Rest waren meist betrügerische Angebote für gefälschte Produkte, wie etwa Pharmazeutika.

Spam-Attachments nach Typ.jpg
Gezählt wurden ins­gesamt 30 ver­schie­dene Datei­typen als Mail-Anhänge. Die Top Five zeigen: Sobald an der Spam-Mail eine aus­führ­bare Datei hängt, ist diese immer mit einem Schäd­ling infiziert. (Bild: AV-TEST)

Bei den infizierten Mail-Anhängen fanden sich meistens die klassischen Vertreter von Angriffs­paketen: ZIP-Dateien, aus­führ­bare EXE-, COM-, SCR-, BAT- oder PIF-Dateien und HTML-Dokumente. Aber auch PDF-Dateien und Bilder sind weiter­hin beliebt als infizierte Objekte. Die Studie belegt: Sobald am Spam eine ZIP-Datei hängt, ist sie mit fast 100 % Wahr­schein­lich­keit ver­seucht; bei aus­führ­baren Dateien wie EXE oder PIF gilt das­selbe. Die ange­hängten HTML-Doku­mente waren während der Studie zu über 80 % verseucht.

Spam-Herkunft im Ländervergleich.jpg
Die USA waren zwar der größte Ver­sender von Spam-Mails mit An­hängen, aber sie hatten im Ver­gleich weniger ge­fähr­liche Mit­bringsel. Attachment-Mails aus Indien oder Vietnam hatten dagegen fast immer einen Schädling im Gepäck. (Bild: AV-TEST)

Indien ist immer gefährlich

Die meisten Spam-Mails mit Anhängen stammten zwar aus den USA, doch war unerwünschte Werbung aus dieser Richtung nur zu 15 % mit Schad­software verseucht. Kam die Mail hingegen aus Indien, dann waren die Anhänge im Studien­verlauf zu 78 % infiziert. Knapp dahinter folgten Attachment-Mails aus Vietnam (77 %).

Von den 30.000 Spam-Mails mit An­hängen kam die Hälfte aus den USA, China, Indien und sogar Deutsch­land. Der deutsche Spam mit Anhang war aber weniger gefährlich: 10 % der Mails hatten einen Schädling im Gepäck.

Wird mein PC ferngesteuert?
Das Bundesamt für Sicherheit in der Informationstechnik unterhält in Zusammenarbeit mit dem – eco-Verband der deutschen Internetwirtschaft e.V. die Webseite www.botfrei.de. Dort finden sich viele Herstellerlinks, mit denen sich überprüfen lässt, ob der eigene PC zu einem Botnetz gehört.

Fazit: Nie ohne Antivirensoftware

Der Spam-Versand erfolgt fast ausschließlich über PCs, die unbemerkt von Botnetzen ferngesteuert werden. Die mit einem steuernden Trojaner infizierten PCs verhalten sich gegenüber dem Anwender unauffällig. Solche Botnets haben auch eine sehr unterschiedliche Größe: Die in den letzten Jahren lahmgelegten Netze hatten Größenordnungen von 1 bis 10 Mio. Zombie-PCs.

Wo auf dem PC ein aktuelles Schutzpaket installiert ist, ist eine feindliche Übernahme durch ein Botnetz-Spam fast ausgeschlossen. Denn die Sicherheitssoftware bringt standardmäßig auch einen Scanner für Rootkits und Trojaner mit – das sind die beliebtesten Werkzeuge von Botnet-Betreibern. Der erschreckende Anteil von Spamschleudern, die das Wochenende frei haben, lässt allerdings befürchten, dass längst nicht alle Kanzleien, Praxen, Büros und Unternehmen ihre Rechner ausreichend gegen Spam und Botnetz-Trojaner gesichert haben.

Nützliche Links

Das Magdeburger Institut AV-TEST stellt alle zwei Monate Antivirensoftware für private Anwender und Unternehmen auf den Prüfstand. Die jeweils aktuellen Ergebnisse lassen sich auf www.av-test.de jederzeit kostenfrei nachlesen.