|
|
Rubrik: Virenwarnung/Statistiken Trend Micro: Viren-Report für März 2004 Rund 90 Prozent der Malicious Codes zeigten Merkmale eines Computerwurms (16.04.04) - Trend Micro entdeckte im März rund 1.200 neue Malicious Codes (Februar: 925, Januar: 550, Dezember: 400). Zu den häufigsten Schädlingen gehörten dabei Trojaner, Backdoors und Würmer. Rund 90 Prozent der Malicious Codes in den "Virus Top Ten" des Monats März zeigten Merkmale eines Computerwurms.
Anzeige
Im Laufe des März musste das Unternehmen insgesamt sechsmal Yellow Alert auslösen - ein Beweis für die wachsende Bedrohung von Unternehmensnetzwerken durch Computerwürmer. Gewarnt wurde vor WORM_NETSKY.Q, WORM_BAGLE.U, WORM_NETSKY.P, PE_BAGLE.Q, PE_BAGLE.P und WORM_NETSKY.D. Zwei dieser Malicious Codes gehören zu den "Virus Top Five" des März. Alle genannten Würmer verwenden dieselbe Verbreitungsmethode und greifen Computer durch infizierte E-Mails an. Dies unterstreicht die Bedeutung wirkungsvoller Antiviren-Lösungen auf dem Internet-Gateway und Mail-Server. Um die Chance einer schnellen Verbreitung zu erhöhen, vermeiden es die Würmer der NETSKY- und BAGLE-Familien, infizierte E-Mails an bekannte Hersteller von Sicherheitslösungen zu versenden. Zu den eingesetzten Techniken gehört darüber hinaus das gezielte Ausnutzen von Sicherheits-schwachstellen sowie Social Engineering. Arglose Anwender werden hierbei über die wahre Natur der E-Mails und Dateianhänge getäuscht. So tarnen die Würmer zum Beispiel ihre infizierten Dateianhänge durch unverdächtige Symbole von regulären und vertrauenswürdigen Applikationen. Ein weiterer Trick basiert auf doppelten Endungen: Dateien mit der Endung ".txt.exe" werden als harmlose Textdateien dargestellt, obwohl es sich in Wirklichkeit um ausführbaren Malicious Code handelt. Durch gezielte Verwendung von Social Engineering bei der Gestaltung der gesamten E-Mail (Von, An, Betreff und Nachrichtentext) werden Anwender darüber hinaus dazu verleitet, den infizierten Dateianhang auszuführen. Einige Malware-Varianten, vor allem aus der BAGLE-Familie, versenden den infizierten Dateianhang als geschützte Archivdatei. Das benötigte Passwort befindet sich als Text oder Bild in der Nachricht. Um den Malicious Code zu starten, müssen Anwender also ganz explizit die Archivdatei öffnen, das Passwort eingeben, den Dateianhang dekomprimieren und ausführen. Dieser aufwändige Prozess erfordert ein hohes Maß an Kooperation durch den Anwender im Unternehmensnetzwerk. Dass sich Würmer überhaupt auf diese Weise verbreiten können, unterstreicht die Notwendigkeit von unter-nehmensweiten Sicherheitsrichtlinien und Schulungen zur Sensibilisierung der Mitarbeiter. Gezielter Angriff auf
Schwachstellen Viren-Programmierer haben erkannt, dass viele Computer-Anwender heute nichtsdestotrotz über ein gesteigertes Gefahrenbewusstsein verfügen. Um die Verbreitungschancen der Malware zu steigern, greifen immer mehr Wurm-Varianten gezielt die Schwachstellen des Internet Explorers an. Ziel ist es, den infizierten Dateianhang automatisch zu starten, wenn der Anwender die E-Mail öffnet oder im Vorschaufenster betrachtet. Es muss also noch nicht einmal mehr auf den Anhang geklickt werden. Eine steigende Zahl von Malicious Codes versucht, die Sicherheitslücken in Betriebssystemen und Applikationen auszunutzen. Daher gewinnt die zeitnahe Installation von Security-Patches höchste Priorität. Installation von Hintertüren
und Verbreitung über P2P Nach der Infektion des Systems verfügen viele BAGLE-Varianten über die Möglichkeit, Antiviren-Lösungen und andere Sicherheitsprodukte auf dem Desktop zu deaktivieren. Dies ebnet den Weg für zukünftige Angriffe, zumal die meisten BAGLE- und NETSKY-Varianten zusätzlich noch Hintertüren (Backdoors) auf dem infizierten Rechner installieren. Darüber hinaus nutzen Malicious Codes der BAGLE- und NETSKY-Familien auch Peer-to-Peer-Netzwerke (Kazaa, eMule etc.) und öffentliche Ordner (shared folders) zur Verbreitung. Wieder einmal kommt hier Social Engineering zum Einsatz: Der Virus legt Kopien von sich selbst in den öffentlichen Ordnern der P2P-Applikation ab. Dabei werden besonders attraktive Namen gewählt, wie Matrix 3 Revolution English Subtitles.exe, WinAmp 6 New!.exe, Arnold Schwarzenegger.jpg.exe , Harry Potter game.exe oder Windows XP crack.exe. Fehde zwischen BAGLE- und NETSKY-Programmierern In jüngster Vergangenheit wurde vielfach die Möglichkeit diskutiert, dass die Programmierer der NETSKY- und BAGLE-Viren eine Fehde gegeneinander führen. Einige Beobachtungen
untermauern dieses Szenario:
·
Die große Anzahl neuer
NETSKY- und BAGLE-Varianten in einem kurzen Zeitraum.
·
Auf die Verbreitung einer
neuen NETSKY-Variante folgt kurz darauf ein BAGLE-Wurm.
·
Die meisten BAGLE-Varianten
deaktivieren vorhergehende NETSKY-Varianten. Würmer der NETSKY-Familie
deaktivieren ihrerseits andere Malicious Codes, darunter MyDoom, Nachi sowie
ältere BAGLE- und NETSKY-Varianten.
·
Im Viren-Code sind oftmals
harsch formulierte Nachrichten an die gegnerische Seite enthalten. Ganzheitliche
Lösungsstrategien
·
Die Wurmangriffe im März
verdeutlichen, dass Unternehmen ganzheitliche Sicherheitsstrategien benötigen
und eine einfache Antiviren-Policy nicht mehr ausreicht. Durch die
Kombination verschiedener Maßnahmen lassen sich Netzwerke wirkungsvoll vor
Malicious Codes schützen. Zu den notwendigen Aktionen gehören:
·
Blockieren von Dateianhängen
in E-Mails
·
Sicherheitsbewusstsein der
Anwender fördern
·
Installation der neuesten
Patches für Betriebssysteme und Applikationen
·
Aktualisierung der Prozesse
für mehr Sicherheit
·
Aktualisierung der Antiviren-Software und -Hardware, um verbleibende Bedrohungen zu blockieren.
(ma) Trend Micro Tel. (089)
37479-700, Fax (089) 37479-799 E-Mail: sales@trendmicro.de |
