Malware-Szene verfolgt heute verstärkt finanzielle Motive

Bei den meisten Malicious Codes des Aprils handelt es sich um
modifizierte Varianten

(18.05.05) - Trend Micro registrierte zwischen dem 21. März und dem 20. April 2005 insgesamt 3.222 Malicious Codes. Bei rund 60 Prozent (1.957) handelte es sich um neuentdeckte Bedrohungen, die im April erstmals aufgetreten sind. In Übereinstimmung mit den Trends der letzten Monate stellten Trojaner dabei mit 48 Prozent (1.560) der gesamten Malicious Codes die ganz klar dominierende Kategorie. Diese Entwicklung zeigt erneut, dass die Malware-Szene heute verstärkt finanzielle Motive verfolgt. Positiv ist, dass im April kein einziger großer Virenausbruch zu verzeichnen war und somit auch kein Alarm notwendig wurde. Trotzdem sahen sich Anwender auch letzten Monat massiven Angriffen gegenüber, insbesondere durch den immer noch sehr aktiven Wurm NETSKY.P.

Obwohl die Anzahl der Malicious Codes kontinuierlich steigt, wurden letzten Monat von der Malware-Szene nur vorhersehbare und sich wiederholende Verbreitungsverfahren eingesetzt. Bei den meisten Malicious Codes des Aprils handelt es sich um modifizierte Varianten bereits bekannter Bedrohungen, sodass Antiviren-Hersteller in kürzester Zeit wirksame Gegenmittel bereitstellen konnten. Vom Trend Micro World Tracking Center wurden dementsprechend weltweit 2.342.391 Infektionen protokolliert, der geringste Monatswert seit November 2003. Dies entspricht einem Rückgang von erfreulichen 41 Prozent gegenüber dem März 2005. Gleichzeitig ist damit aber die Gesamtzahl der Infektionen 2005 auf 11.953.235 gestiegen, im Vergleich zum Vorjahreszeitraum ein Zuwachs von 6 Prozent.

NETSKY.P immer noch virulent

Seit der ersten Entdeckung im März 2004 hält sich WORM_NETSKY.P im Spitzensegment der "Virus Top Ten" des Trend Micro World Tracking Center. Diese NETSKY-Variante ist so virulent, dass sie mittlerweile zu den am weitest verbreiteten Malicious Codes aller Zeiten gehört. Der Mass-Mailing-Wurm nutzt ausgeklügelte Social-Engineering-Techniken, um Anwender zum Öffnen infizierter Dateianhänge zu bewegen. Bei der Generierung der E-Mail werden mehrere Hundert Kombinationen verschiedener Betreffzeilen und Nachrichtentexte verwendet.

Um die Verbreitung noch zu optimieren, nutzt NETSKY.P zudem eine Schwachstelle des Internet Explorer aus. Dieser sogenannte Exploit (HTML_NETSKY.P) kann dazu führen, dass Dateianhänge automatisch ausgeführt werden, wenn Anwender die infizierte E-Mail lesen oder im Vorschaufenster betrachten. Auf WORM_NETSKY.P und HTML_NETSKY.P entfallen im April zusammen 104.497 Infektionen, rund 40 Prozent aller von "Top Ten Viren" befallenen Systeme.

SOBER versucht Comeback

Die erste Variante des SOBER-Wurms registrierte Trend Micro bereits im Oktober 2003. Mit WORM_SOBER.M und WORM SOBER.N sind letzten Monat zwei neue Varianten aufgetaucht, die als Vorboten eines erneuten Comebacks bewertet werden könnten. Beide Würmer tarnten sich als unspektakuläre E-Mail-Systemmeldungen, sodass sich nur vergleichsweise wenige Anwender zum Start des Dateianhangs verleiten ließen. Wie schnell sich die Situation ändern kann, beweist der am 2. Mai 2005 aufgetauchte WORM_SOBER.S: Der Malicious Code erweckt den Eindruck, von der Fußballorganisation FIFA zu stammen. Im Text werden dem Empfänger Fußballtickets für die WM 2006 in Aussicht gestellt. Aufgrund von geschicktem Social Engineering - einem Marken-zeichen des ursprünglichen SOBER-Wurms - ist auch zukünftig mit weiteren Bedrohungen zu rechnen.

Zahl der Trojaner steigt beständig

Die steigende Anzahl der Trojaner belegt eindeutig, dass die Malware-Szene zunehmend ganz klare Profitinteressen verfolgt. Trojaner öffnen Ports, richten Proxy-Server ein, installieren unerwünschte Dateien oder zeichnen Tastatureingaben auf, um Hackern den Diebstahl sensibler Informationen zu ermöglichen. So versuchen zum Beispiel TROJ_BANKER, TROJ_BANCBAN und TROJ_BANCOS gezielt Online-Kontodaten auszuspionieren. Für den Zweck lassen sich auch Backdoor-Programme nutzen, die drittgrößte Malware-Kategorie. Zusammen entfallen auf Trojaner und Backdoors 64 Pro-ent aller registrierten Malicious Codes. (Trend Micro: ma)