Rubrik: Virenwarnung/Statistiken

Trend Micro: Viren-Report für den August 2004

Mit "W64_RUGRAT.A" und "W64_SHRUGGLE.A" die ersten Viren für 64-bit-Plattformen entdeckt

(17.09.04) - Trend Micro entdeckte im August rund 3.300 neue Malicious Codes. Zu den drei häufigsten Schädlingstypen gehörten Trojaner, Backdoors und Würmer. Varianten von "Bagle", "Mydoom" und "Netsky" belegen dabei immer noch sechs Plätze in den "Virus Top Ten" der Region EMEA. Im Laufe des August musste Trend Micro zweimal einen globalen Yellow Alert auslösen, um Computernutzer vor "WORM_BAGLE.AC" und "WORM_RATOS.A" zu warnen. Darüber hinaus wurden mit "W64_RUGRAT.A" und "W64_SHRUGGLE.A" die ersten Viren für 64-bit-Plattformen entdeckt.

"Virus Top Ten" für August (bis 20.08.04)

1.        WORM_SASSER.B

2.        PE_ZAFI.B

3.        WORM_NETSKY.B

4.        HTML_NETSKY.P

5.        WORM_NETSKY.D

6.        WORM_NETSKY.B

7.        WORM_NETSKY.Z

8.        WORM_MYDOOM.M

9.        JAVA_BYTEVER.A

10.     TROJAN_AGENT.AE

Im August löste Trend Micro in zwei Fällen einen Yellow Alert aus, um die Ausbreitung von WORM_BAGLE.AC und WORM_RATOS.A (umbenannt in WORM_MYDOOM.S) zu verhindern.

Die Würmer weisen keinerlei neue Techniken auf, so dass sie mit grundlegenden Sicherheitsmaßnahmen abgewehrt werden können, wie:

·         Blockade von Attachments am Gateway und Einsatz von Antiviren-Lösungen

·         Filterung von ein- und ausgehendem Datenverkehr durch die Firewall

·         Zeitnahe Installation aktueller Sicherheitsupdates für Betriebssysteme und Applikationen

·         Kontinuierliche Aktualisierung der Desktop-Antiviren-Lösungen (Pattern Files, Scan Engine, Security Patches)

·         Sicherheitsschulungen der Anwender

Veränderte Motive der Virenprogrammierer

Bei näherer Betrachtung der Bedrohungen im August ergibt sich ein interessantes Bild: Rund 53 Prozent der neuentdeckten Malicious Codes wiesen Merkmale von Trojanern und Backdoors auf, weitere 21 Prozent zeigten Charakteristika eines Wurms. Diese Zahlen belegen, dass sich die Motive von Virenprogrammieren in letzter Zeit grundlegend geändert haben. Die Zerstörung möglichst vieler Computer und die damit verbundene mediale Aufmerksamkeit sind nicht mehr die Hauptziele. Heute geht es in erster Linie darum, unautorisierten und unbemerkten Zugriff auf infizierte Systeme und ihre Datenbestände zu erlangen. Über Malware-basierte Backdoors stehlen Hacker Kreditkartendaten und Passwörter, um diese auf dem Schwarzen Markt weiterzuverkaufen. Ein weiteres Motiv für die Verbreitung von Hintertüren ist der Aufbau so genannter Attack-Networks, die zu einem späteren Zeitpunkt für großangelegte Angriffe verwendet werden.

Erste Viren für 64-bit-Plattformen

Zu den wichtigsten Ereignissen des Augusts gehört die Verbreitung von Viren, die speziell für den Angriff auf 64-bit-Betriebssysteme konzipiert wurden. Als erster Malicious Code dieser Art wurde W64_RUGRAT.A entdeckt, der 64-bit-Dateien auf IA64-Prozessoren (Intel Itanium) sowie PE-Dateien (Portable Executable) auf 64-bit-Systemen von AMD infiziert. Darüber hinaus greift auch W64_SHRUGGLE.A gezielt Windows 64-bit-PE-Dateien an. Aller Wahrscheinlichkeit nach stammen beide Viren vom selben Programmierer, der sich "roy g biv" nennt.

Die Malicious Codes ähneln sich sowohl im Verhalten als auch in der Infektionstechnik: Beide infizieren Dateien direkt und verwenden Thread Local Storage (TLS) als Auslöser. Nach dem Start suchen die Viren nach Zieldateien im aktuellen Ordner und den entsprechenden Unterordnern. Jede gefundene 64-bit-PE -Datei wird infiziert. Danach legt der Virus verschiedene Filter-Kriterien an und hängt sich an den letzten Abschnitt der infizierten Datei. Dieser Abschnitt wird daraufhin zur Executable modifiziert. Um sich vor Entdeckung zu schützen, fügt der Virus unter Umständen das Wort "Garbage" am Ende des eigenen Codes ein. 32-bit-Dateien und 32-bit-Prozessoren ohne Software für die Unterstützung von 64-bit-Programmen (AMD) sind von den Malicious Codes nicht betroffen.

Bei W64_RUGRAT.A und W64_SHRUGGLE.A handelt es sich um so genannte Proof-of-Concept-Viren, mit denen die grundsätzliche Verwundbarkeit neuer Plattformen demonstriert werden soll. Es ist also nur eine Frage der Zeit, bis die Virenproblematik auch auf diese Systeme durchschlägt. (David Kopp/ma)

Trend Micro Deutschland GmbH

Kontakt: Hana Göllnitz

Lise-Meitner-Straße 4, D-85716 Unterschleißheim

Tel. (089) 37479-700, Fax (089) 37479-799

E-Mail: hana_goellnitz@trendmicro.de

gabi_schwarz@trendmicro.de

Web: www.trendmicro.de