Je nachdem wie man Malware zählt, kann man mit den Ergebnissen unterschiedliche Aussagen treffen. Die Malware-Zahlen werden nach zwei Zählweisen aufgeführt. Die Anzahl neu erschienener Schadprogrammtypen und die Anzahl der versuchten Angriffe auf Rechner. Je nach Zählweise hat man auch spezifische Ungenauigkeiten, die man bei Schlussfolgerungen berücksichtigen muss. Wenn man Dateien zählt (wie z. B. AV-Test), sind bestimmte Malware-Typen wie z. B. Dateiinfektoren oder polymorphe Schadprogramme viel häufiger vertreten als Malware, die ohne viele Veränderungen auskommt. Um dieses Ungleichgewicht auszugleichen zählen wir Schadprogrammtypen, wie sie von Signaturen erfasst werden. Sie basieren auf dem eigentlichen Schadcode und ignorieren unbedeutende Änderungen. Die Ergebnisse werden im folgenden Abschnitt dargestellt. Sie sagen allerdings nichts darüber aus, wie verbreitet einzelne Schädlinge sind und welche Schadprogrammtypen tatsächlich am häufigsten versuchen auf die Rechner zu gelangen.

 

Neue Schadprogrammtypen

Die Zahlen für das erste Quartal 2017 haben es schon angedeutet. Es entstehen immer mehr Schadprogrammtypen. Auch nach über 30 Jahren Viren- und Malware-Statistik hat dieser Trend Bestand. Vor 10 Jahren wurden 133.253 neue Schadprogrammtypen gezählt. Diese Zahl ist mit dem aktuellen Aufkommen bereits in 4 Tagen erreicht. Nach weiteren fünf Jahren ist die Zahl für 2012 um das 20-fache gestiegen. Und auch in den letzten 5 Jahren ist die Zahl neuer Malware nicht geradlinig aber kontinuierlich gewachsen. Im zweiten Quartal 2017 wuchs die Anzahl um mehr als das 1,6-fache auf über 3 Millionen. Für das erste Halbjahr zählten wir 4.891.304 neue Schadprogrammtypen. Oder anders ausgedrückt. Pro Tag entstehen mehr als 27.000 neue Schädlinge, im Durchschnitt alle 3,2 Sekunden. Aber auch in Relation zum Aufkommen in der Vergangenheit ist, dass ein beträchtlicher Anteil. Der Anteil aus dem ersten Halbjahr 2017 zum Gesamtaufkommen seit 2005 beträgt ein Fünftel. Wenn sich das so fortsetzt werden am Ende des Jahres knapp 10 Millionen neuen Schadprogrammtypen zu Buche stehen. 

 

Bei den verschiedenen Kategorien von Malware hat sich an der Reihenfolge wenig geändert. Trojanische Pferde machen den überwiegenden Anteil aus, gefolgt von Adware und PUP. Der Anteil von Adware ist gegenüber dem ersten Quartal 2017 gesunken, liegt aber immer noch deutlich über dem Niveau von 2016. Auch die Anzahl der Ransomware steigt, Mit deutlich unter 0,1% ist sie weiterhin kaum messbar.

 

Auch bei den Plattformen, auf denen Malware aktiv ist, liegt der Anteil von Windows Malware weit über 99%. Die folgenden Plätze belegen bei geringem Volumen Skripte, Java, Android, Makros und MacOS.

 

Die Anzahl der produktiven Malware-Familien liegt im ersten Halbjahr bei 749. Das liegt 3,3% über dem Wert des ersten Halbjahrs 2016 bleibt aber um 16,3% hinter dem Wert des vorhergehenden Halbjahrs.

 

* Im Durchschnitt wurden im ersten Halbjahr 2017 pro Rechner 47,4 Angriffe verzeichnet.

 

* Heute taucht in nur 4 Tagen so viele neue Malware auf, wie 2007 im gesamten Jahr

 

* Jede 6. Signatur aus unserem aktuellen Signaturbestand stammt alleine aus dem ersten Halbjahr 2017

 

Abgewehrte Angriffe

Die Anzahl neuer Schadprogrammtypen aus dem vorherigen Abschnitt zeigt, wie häufig bestimmte Malware-Gruppen aktualisiert werden und wie produktiv die kriminellen Akteure sind, die dahinterstecken. Sie sagen aber nicht aus, wie verbreitet die jeweilige Malware ist. Um darüber mehr zu erfahren nutzen wir andere Daten. Über die G Data Malware Information Initiative kann ermittelt werden, wie häufig Angriffe auf Rechner stattgefunden haben und mit welcher Malware. Diese Zahlen erheben wir in dieser Form zum ersten Mal. Daher gibt es interessante Ergebnisse aber leider noch keine Vergleichswerte.

 

Im Durchschnitt wurden im ersten Halbjahr 2017 pro Rechner 47,4 Angriffe verzeichnet. Den größten Anteil mit 78,2% der Vorfälle machen dabei Potenziell Unerwünschte Programme (PUP) aus. Der Anteil von anderer Malware liegt bei 27,2%. Die häufigsten Schädlinge für diese beiden Gruppen sind in Tabelle 1 und 2 aufgelistet. Eine Malware sticht hier besonders heraus: Poweliks. Sie ist als einzige Malware in der Gesamt-Top 10 vertreten und ist selbst dort Spitzenreiter. Seit Jahren stammen die häufigsten Meldungen aus dem Bereich Adware und PUP. So auch dieses Jahr. Wie man anhand der Anzahl versuchter Angriffe pro 1.000 Nutzer ablesen kann, gehen die weiteren Plätze an Schadprogramme mit Werbung und anderen unerwünschten Nebeneffekten. Poweliks ist zwar als Malware klassifiziert, agiert aber auch im Umfeld von Werbung. Er klickt im Hintergrund vom Nutzer unbemerkt auf Werbebanner und lädt Dateien von Werbeservern herunter. Wenn Werbebanner schädliche Dateien enthalten, kann Poweliks sie aktivieren (Malvertising). Poweliks ist bekannt geworden als spezialisierter Angriff, der ohne Dateien auskommt, nur im Speicher aktiv ist und seinen Code in der Registry ablegt. Poweliks speichert seine Schadroutinen immer noch in der Registry und arbeitet so dateilos. Beim Infektionsprozess greift er auf Dateien zurück. Sie belegen die vorderen Plätze bei den Infektionszahlen.

 

Bemerkenswerte Beobachtungen

Es gibt einige auffällige, aber schlecht erklärbare Beobachtungen in den Daten. Die Anzahl der versuchten Angriffe auf Rechner mit Windows 8 als Betriebssystem liegt um ca. das Doppelte über dem Durchschnitt, bei Angriffen von PUP sogar noch höher. Ob Malware Rechner mit diesem Betriebssystem bevorzugt oder ob eventuell die Nutzer von Windows 8 besonders unvorsichtig sind oder ob es andere Gründe dafür gibt, lässt sich hier nicht klären. Das gilt ähnlich auch für die überdurchschnittliche Anzahl an Angriffen insbesondere mit Malware auf Rechner in den USA und Mexiko. Offenbar ist dort das Risiko, Opfer einer Malware-Attacke zu werden deutlich höher als in Mitteleuropa. Wir werden das weiterhin beobachten.

 

Von Ransomware keine Spur

Nach wie vor ist Ransomware ein heißes Thema. Erpressungs-Trojaner, die Dateien und Systeme verschlüsseln und dann Lösegeld fordern, wecken hohe Aufmerksamkeit - sowohl beim Opfer als auch in der Presse. In den Rückmeldungen über versuchte Angriffe ist davon aber nichts zu sehen. In den Top 75 der Schadprogrammfamilien ist keine einzige Ransomware zu finden. Es gibt einige Downloader, die auch Ransomware auf die infizierten Rechner aufspielen. Aber die Anzahl der Meldungen zu Ransomware ist verschwindend gering. Das kann einerseits daran liegen, dass in der aktuellen Zählung keine Daten aus den dynamischen Erkennungskomponenten wie Behavior Blocker, Anti-Ransomware, Exploit-Schutz etc nicht zu bestimmten Malware-Typen zugeordnet werden können und daher hier nicht einfließen (Wenn der Behavior Blocker eine Ransomware blockiert, weil sie sich im System persistent macht und/oder eine Verbindung zu einem Control-Server für Botnetze aufbaut, dann weiß er nicht welche Art von Schadprogramm anschließend nachgeladen worden wäre). Es sieht allerdings so aus, als ob die Gefährdung durch Ransomware schlimmer wahrgenommen wird als sie ist. Dennoch bleiben Erpressungs-Trojaner aktuell die gravierendste Schadfunktion und es ist gut, wenn man mit einem zuverlässigen Virenschutz und einer dazu passenden Backup-Lösung darauf vorbereitet ist.

 

Siehe auch:

https://www.gdata.de