Rubrik: Virenwarnung/Statistiken

Panda Software: Viren des Jahres im Überblick

2004 war in Bezug auf die Virenbelastung ein launisches Jahr

(10.01.05) - "Downloader.Gk" war der Trojaner, der laut Auswertungen der "ActiveScan"-Daten den meisten Schaden an den Rechnern der User angerichtet hat. Bisher wurde das Ranking immer von einem Wurm angeführt und in diesem Jahr hat zum ersten Mal ein Trojaner Platz 1 für sich in Anspruch genommen. Dies berichtet Panda Software.

Anzeige

Downloader.GK war für mehr als 14 Prozent der Infektionen verantwortlich, er verbreitet sich über einen Download beim Besuch von bestimmten Web-Seiten. Der User muss hier die Installation eines "ActiveX control" akzeptieren, damit sich der Trojaner festsetzen kann, ist er einmal installiert lädt er zwei Adware-Programme herunter.

Platz 2 wird belegt durch Netsky.P (6.92 Prozent), gefolgt von Sasser.ftp (4.97 Prozent), Gaobot.gen (4.31 Prozent), Mhtredir.gen (4.22 Prozent), Netsky.D (3.98 Prozent), Downloader.L (3.56 Prozent).

Hier die letzten drei Plätze: Qhost.gen (3.48 Prozent), Netsky.B (3.45 Prozent) und StartPage.FH (3.34 Prozent).

Folgende Schlussfolgerungen können anhand der Auswertungen des ActiveScans getroffen werden:

·         Zum ersten Mal führt ein Trojaner

Im Juni 2004 wurde Downloader.GK zum ersten Mal registriert, seit dem hat er die meisten Infektionen auf User-PCs verursacht. Er zeigt einen gefährlichen neuen Trend bei den Viren an, denn bisher führten immer Würmer die Liste an. In 2002 war bloß ein Trojaner in den Jahres-Top Ten vertreten, in 2003 waren es zwei und heute sind es vier.

·         Netsky

Drei Plätze des Jahres-Ranking gingen an die Netsky-Familie (P-, B- und D-Variante), die sich via E-Mail mit variablen Eigenschaften versendet.

·         Softwareverwundbarkeiten im Fadenkreuz

Vier der schädlichen Codes in dem Ranking nutzen Softwaresicherheitslücken aus, was das deutlich macht, wie wichtig es geworden ist, sein System entsprechend zu patchen.

Virus                                    Häufigkeit in Prozent

Trj/Downloader.GK            14.00 Prozent

W32/Netsky.P.worm             6.92 Prozent

W32/Sasser.ftp                      4.97 Prozent

W32/Gaobot.gen.worm        4.31 Prozent

Exploit/Mhtredir.gen            4.22 Prozent

W32/Netsky.D.worm            3.98 Prozent

Trj/Downloader.L                  3.56 Prozent

Trj/Qhost.gen                        3.48 Prozent

W32/Netsky.B.worm            3.45 Prozent

Trj/StartPage.FH   3.34 Prozent

Weitere Informationen erhalten Sie unter: http://www.pandasoftware.com/virus_info/encyclopedia.

2004 war in Bezug auf die Virenbelastung ein launisches Jahr. Die Anwender mussten Epidemien wie die von Sasser oder Mydoom und einen regelrechten Krieg zwischen verschiedenen Gruppen von Virenautoren ertragen, die ihre Kreationen wie Bagle und Netsky so weit wie möglich verbreiten wollten. Glücklicherweise gab es auch Zeiten, die relativ ruhig verliefen.

·         Der Schädlichste

In diesem Jahr belegt Sasser diesen zweifelhaften Rang. Er war nicht nur für eine der größten Epidemien verantwortlich, sondern hinderte auch all seine Opfer an einer weiteren Nutzung ihrer infizierten Rechner, indem er die Systeme immer und immer wieder neu starten ließ. Die gute Nachricht war jedoch, dass der Autor dieses schädlichen Codes letztlich gefasst wurde.

·         Der technisch Ausgefeilteste

Keine leichte Wahl, aber dieser Platz ging in 2004 an Noomy.A. Dieser Wurm konstruiert infizierte Web-Seiten und sendet Nachrichten über Chat-Kanäle, als wäre er ein ganz normaler, aufrichtiger User. Er hat keine größeren Schäden an den Computern verursacht, und doch war er aus technischer Sicht der komplexeste Wurm dieses Jahres.

·         Der Gesprächigste

Eine leichte Endscheidung: Amus.A, ein schädlicher Code aus der Türkei, benutzt eine Sprach-Engine im Windows XP-System, um sich anzukündigen.

·         Der Musikalischste

Nicht ein einzelner, sondern gleich mehrere Varianten des Netsky-Wurms erhalten diesen Titel. Sie spielten immer wieder - für drei lange Stunden - ein und dieselbe merkwürdige Melodie auf dem infizierten Computer ab.

·         Der Schüchternste

Diese Kategorie führen einige Varianten des Bagle-Wurms an, die sich in Passwort geschützten ZIP-Archiven versendet haben, um dem Scan durch ein Antivirenprogramm zu entgehen. Diese Strategie wird von vielen Viren genutzt, wir haben uns hier für Bagle aufgrund seiner starken Verbreitung in 2004 entschieden.

·         Der Scheinheimlichste und Sprachgewandteste

Zafi.D wird vielen noch in Erinnerung sein. Er versendete Weihnachtsgrüße und nutzte so die festliche Stimmung der Menschen für seine Infektionen aus. Außerdem konnte er sich an die Sprache der Empfänger-Mail-Domain anpassen, wodurch er gleich in zwei Kategorien zum fragwürdigen Sieger erklärt wurde.

·         Der Ordinärste

Pornografie war kein viel genutztes Thema dieses Jahr, dennoch gab es einige wenige Viren, die es nutzten. Einer von ihnen war Tasin.C, der ein erotisches Bild eines spanischen Prominenten herunter lud.

·         Der Monotonste

Diese Kategorie ist wirklich gut geeignet für den Autor der Gaobot-Familie. Es gab mehr als 2000 neue Varianten des Wurms in 2004.

·         Der Schizophrenste

Bereb.C konnte 442 verschiedene Namen nutzen, um sich über P2P-File Sharing-Anwendungen zu verbreiten. Selbst der Autor konnte sich an den Namen des Originals nicht mehr erinnern.

·         Der Höflichste

In dieser Kategorie hat man sich für 3 Codes entschieden: StartPage.AV, Harnig.B und Multidropper.AM-. Alle waren so freundlich den User zu informieren, dass er gerade infiziert wurde.

Bedingungen für Virenattacken

Mydoom.A war Teil der ersten Ausbrüche in 2004, auf dem Höhepunkt seiner Verbreitung wurde vermutet, dass eine von vier E-Mails den Virus mit sich führten. Mydoom.A nutzte eine einfache, aber effektive Social Engineering-Technik: Er gab vor, eine "undelivered email", also eine nicht übermittel-te E-Mail zu sein, die vom Server zurückkommt. Doomjuice, Deadhat und Mitglieder verursachten über eine von Mydoom.A erstellte Hintertür dann neue Angriffe. Das bedeutet, dass eine Infektion durch nur einen einzigen Virus weitere Attacken von anderen Viren nach sich ziehen kann.

Die Guten?

Zwei Varianten des Nachi-Wurms und Doomhunter erschienen in der Szene als modere Cyber-Robin Hoods. Sie waren gekommen, um die armen Opfer von Mydoom, Doomjuice und Blaster von ihrem Leid zu erlösen. Es stimmt wohl, dass sie die infizierten Rechner von den genannten Viren befreiten, im selben Augenblick nutzen sie jedoch zahlreiche Sicherheitslücken - mit nicht ganz so noblen Absichten - aus.

Cyber-Wars

In 2004 konnten wir den ersten Cyber-War zwischen Virenautoren beobachten, mit einer ganzen Reihe von Varianten des Bagle, Netsky oder Mydoom Virus als Resultat. Alle trugen in ihrem Code eine Nachricht an den jeweiligen Gegner. Hat irgendeiner gewonnen? Die Verlierer waren jedoch ganz klar die User, deren Computer infiziert wurden.

LSASS: Die große Sicherheitslücke 2004

LSASS, eine Softwaresicherheitslücke, über die verschiedene Windows-Systeme infiziert werden konnten. Am deutlichsten wurde ihr Ausmaß wohl bei den zahlreichen Infektionen durch Sasser, die den Rechner immer wieder neu starten ließen. Sasser war das aktuellste Beispiel zur Ausnutzung einer Sicherheitslücke, aber auch Klez.I (Iframe vulnerability) und Blaster (RPC DCOM vulnerability) sind noch nicht vergessen. Es scheint eine "never ending story" zu sein, denn nach Sasser nutzten noch viele weitere die LSASS-Sicherheitslücke aus wie z.B. Korgo, Bobax, Cycle, Kibuv, Plexus.

Viren infizieren neue Plattformen

Telefone mit dem Betriebssystem Sybian wurden durch Toquimos.A, Skulls.A oder die Cabir-Familie bedroht und auch vor 64-Bit-Systemen machten die Viren nicht halt (Shruggle.1318).

Neue Virenformate

JPGDownloader und JPGTrojan nutzten die Verwundbarkeit von JPEG-Dateien aus, die es ermöglich-te, beim Öffnen eines Bildes Virenangriffe auszuführen.

Die smartesten Tricks

Auch wenn immer mehr Viren Sicherheitslücken nutzten, um sich zu verbreiten, so bleiben wohl vorerst Social Engineering-Taktiken am wirkungsvollsten. Angebliche Fehlermeldungen (Mydoom.A) oder angeblich durch ein Antivirenprogramm gescannte Dateien, die absolut sicher sind (Netsky.N, Netsky.O oder Mywife.A), sorgten für zahlreiche Infektionen bei gutgläubigen Usern.

Taktiken und Vorbeugende Maßnahmen der Viren

In 2004 konnten viele neue Strategien beobachtet werden, um nicht direkt durch ein Antivirenpro-gramm erkannt zu werden. Viele Viren stellten sicher, dass sie sich nicht via E-Mail an Adressen weiter verteilten, die zu Antivirenherstellern gehören, um Zeit für ihre Verbreitung zu gewinnen. Mehr und mehr Codes versuchten, Antivirenprogramme lahm zu legen und den Code zu manipulieren. Es wurde also nicht länger nur probiert, nicht erkannt zu werden, sondern es wurden auch gleich Maßnahmen getroffen, weiteren Viren freien Zugang zu gewähren. (ma)

Panda Software

Kontakt: Markus Mertes, Presse/Marketing

Tel. (02065) 961-0, Fax (02065) 961-195

E-Mail: mme@panda-software.de

Web: www.panda-software.de

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken