Viren und Eindringlinge 2006

Angriffe krimineller Natur haben sich im Jahr 2006 zur Hauptbedrohung im Internet entwickelt. Die massenhafte Verbreitung von Schädlingen scheint nun endgültig ihren Höhepunkt hinter sich gelassen zu haben. Cyber-Kriminelle schreiben auf das anvisierte Ziel zugeschnittene Schadprogramme, die nicht viel Wirbel verursachen. Dabei konzentrieren sie sich vor allem auf die Programmierung von Trojanern – einer Malware-Art, die für Online-Verbrechen eingesetzt werden kann. Computer-Attacken finden soweit es geht still und diskret statt, damit sensible Daten und Gewohnheiten von Anwendern heimlich ausspioniert werden können. Auch wenn im vergangenen Jahr spektakuläre Epidemien einzelner Schädlinge ausblieben: Die Anzahl der Angriffe auf Computer wächst kontinuierlich.

Diese Entwicklung spiegelt sich auch in der Panda Software Viren Top Ten des Jahres 2006 wieder:

Das ganze Jahr über souverän auf dem ersten Platz gehalten hat sich das Skript Sdbot.ftp. Im Jahr 2004 erschienen, konnte sich Sdbot.ftp sechs Monate später zum ersten Mal die Pole Position sichern. Seitdem schaffte es kein anderer Schädling das Skript von Platz eins zu verdrängen. Sdbot.ftp dient mehreren Varianten der zahlreichen Sdbot Wurm-Familie zum Herunterladen von Wurm-Kopien über Systemanfälligkeiten (LSASS, RPC-DCOM). 2,62 Prozent aller Infektion im Jahr 2006 gehen auf das Konto von Sdbot.ftp.

Platz zwei belegt ein weiterer Veteran, der seit 2004 in der Top Ten der am häufigsten verbreiteten Schädlinge auftaucht: Netsky.P. Der Wurm verbreitet sich über E-Mails und P2P File-Sharing Applikationen. Dabei profitiert er von einer alten Sicherheitslücke in ungepatchten Versionen des Internet Explorers. Der in der Nachricht beigefügte Anhang wird automatisch ausgeführt, sobald die HTML-Mail angesehen wird. Netsky.P war im vergangenen Jahr für 1,22 Prozent aller Computer-Infektionen verantwortlich.

Der dritte Platz geht mit einer Infektionsrate von etwas über einem Prozent an Exploit/Metafile. Das Exploit sucht sich einen Systemfehler in der Bild- und Fax-Datei der GDI32.DLL Bibliothek auf den Betriebssystemen Windows 2003, XP und 2000 als Zutrittspunkt zum Verseuchen von Computern.

Tearec.A schafft es in der Gesamt-Auswertung des Jahres 2006 auf den vierten Rank. Mitte Januar richtete sich der Angriff des so genannten Kamasutra-Wurms an Rechner auf der ganzen Welt. Durch den Gebrauch von Social Engineering Techniken innerhalb von Mails mit erotischen Inhalten, konnte sich Tearec.A schnell und effizient übers Internet verbreiten. Nach der ersten großen Angriffswelle aktivierte sich der Wurm an jedem dritten Tag eines Monats erneut, um Virenschutzprogramme zu beenden und den Datenverkehr bestimmter Mail-Services zu kontrollieren.

Auf dem fünften Platz der Top Ten landet der Trojaner Qhost.gen, der aus einer Gruppe modifizierter Codes zur Veränderung der Host Datei eines Systems besteht. Zudem hindert er den User daran, IT Sicherheits-Webseiten zu öffnen. 0,76 Prozent aller Infektionen sind auf erfolgreiche Qhost.gen-Angriffe zurückzuführen.

Der sechste Platz geht an Torpig.A. Der Angriff des Trojaners kann für betroffene User ernsthafte Folgen haben, da er Informationen (z.B. Passwörter) entwendet, die vom User eingetippt oder von Windows Services gespeichert werden.

Sober.AH, der Wurm, der sich u. a als Warnungs-Mail des BKA tarnt und Prozesse verschiedener Sicherheits-Tools beendet, landet auf dem siebten Platz. Wie Tearec.A bedient sich auch Sober.AH Social Engineering Techniken, um Anwender zu irritieren und unzureichend geschützte Systeme zu infizieren. Diese Technik zielt auf die Neugier der Nutzer und lockt mit scheinbar interessanten Dateianhängen.

Auf Platz acht finden wir das erste und einzige Virus in der Panda Software Rankliste des vergangenen Jahres: Parite.B – ein üblicher Verdächtiger, der seit 2003 sein Unwesen treibt. Das Virus sucht in allen lokalen Netzwerken nach EXE- und SCR-Dateien, hängt sich dort an und vergrößert jede befallene Datei, um den Speicherplatz zu verringern.

Gaobot.gen ist ein Abkömmling der Gaobot Wurm-Großfamilie, die verschiedene Sicherheitslücken zu ihrer Verbreitung nutzen und vertrauliche Informationen von infizierten Systemen sammeln. Im Top Ten Ranking landet er auf Platz neun.

Und auch die berühmt-berüchtigte Bagle-Familie schafft es mit Bagle.pwdzip gerade noch sich mit dem zehnten Platz in die Top Ten zu drängen. Bagle.pwdzip transportiert sechs weitere Bagle-Varianten in einer Passwort geschützten Zip-Datei: Bagle.F, Bagle.G, Bagle.H, Bagle.I, Bagle.N und Bagle.O. Die Verbreitung erfolgt über E-Mail Anhänge.

  • Virus % of infections
  • W32/Sdbot.ftp.worm 2.62
  • W32/Netsky.P.worm 1.22
  • Exploit/Metafile 1.08
  • W32/Tearec.A.worm!CME-24 0.79
  • Trj/Qhost.gen 0.76
  • Trj/Torpig.A 0.69
  • W32/Sober.AH.worm!CME-681 0.67
  • W32/Parite.B 0.62
  • W32/Gaobot.gen.worm 0.55
  • W32/Bagle.pwdzip 0.54

Fazit

Finanzieller Betrug – eine ständige Bedrohung: Sdbot.ftp führt seit zwei Jahren die Top Ten der am häufigsten verbreiteten Malware an. Dabei handelt es sich um einen typischen Wurm, der als „Geldeintreiber“ eingesetzt wird. Der vorherrschende Trend wird auch durch die Präsenz von Exploit/Metafile auf dem dritten und Torpig.A auf dem sechsten Platz im Ranking bestätigt.

Zahlreiche Varianten von Würmern: Hacker tendieren dazu, verschiedene Varianten eines Schädlings in einem sehr kurzen Zeitraum im Netz zu streuen, um die Wahrscheinlichkeit einer Infektion zu erhöhen und einer Erkennung durch Sicherheitsprogramme zu entgehen. So bestehen z.B. mehrere Exemplare von Qhost.gen, Gaobot, Bagle und Sdbot.

Infektionsrate: Im Vergleich zu 2005 haben sich die Infektionsraten der einzelnen Schädlinge im vergangenen Jahr verringert. Während sich 2005 noch fast alle Viren, Würmer und Trojaner, die in der Top Ten vertreten waren, jeweils für über ein Prozent der Infektionen verantwortlich zeichneten, konnten im Jahr 2006 nur noch die ersten drei Schädlinge diesen Prozentsatz erreichen. Was aber nicht bedeutet, dass nun weniger Infektionen stattfinden. Ganz im Gegenteil: Das ist ein klares Anzeichen für den Trend zum Variationsreichtum. Die insgesamt höhere Infektionsrate wird lediglich unter der nun breiteren Masse an Schädlingen verteilt (pressebox, Duisburg, 04.01.2007).