Virenreport für Mai 2005 - Vier globale Virenalarme in einem Monat

Es dominierten wieder die Trojaner, gefolgt von Würmern und
Backdoor-Programmen

(12.06.05) - Trend Micro registrierte zwischen dem 21. April und dem 20. Mai 2005 insgesamt 1.505 neue Malicious Codes. Damit steigt die Zahl der bislang in diesem Jahr erstmalig registrierten Malware auf über 8.000, ein Wachstum von 200 Prozent gegenüber dem gleichen Vorjahreszeit-raum. Auch im Mai dominierten dabei wieder die Trojaner mit 881 Exemplaren, gefolgt von Würmern (379) und Backdoor-Programmen (128). Das Trend Micro World Tracking Center verzeichnete für den letzten Monat weltweit 2.720.351 Infektionen, die größte Anzahl seit August 2003. Insgesamt viermal musste Trend Micro im Mai einen globalen Virenalarm auslösen. Darüber hinaus wurde ein neuer Trojaner entdeckt, der von Anwendern Lösegeld erpressen soll.

Nachdem im April kein einziger großer Virenausbruch zu verzeichnen war und somit auch kein Alarm notwendig wurde, musste Trend Micro im Mai gleich viermal vor Angriffen durch WORM_SOBER.S, WORM_MYTOB.ED, WORM MYTOB.EG und WORM_WURMARK.J warnen. Aufgrund einer ausgeklügelten Social Engineering Technik verbreitete sich vor allem die SOBER-Variante mit hoher Geschwindigkeit unter deutschen Anwendern. Der Wurm tarnt sich als Benachrichtigung der Fußballorganisation FIFA und verspricht Tickets für die Weltmeisterschaft 2006. Zudem nutzt SOBER.S eine mehrstufige Verbreitungsroutine: Nach erfolgreicher Infektion eines Systems versuchte der Wurm ab dem 15.Mai, den Malicious Code SOBER.U von einer bestimmten URL herunterzuladen. SOBER.U lädt wiederum verschiedene Dateien herunter und benutzt das infizierte System für den Versand von Spam-Mails, die Links zu rechtsradikalen Themen enthalten. Damit scheint der Angriff aber noch nicht beendet zu sein, da WORM_SOBER.U bereits bei der Installation weiterer Malware beobachtet wurde. Darüber hinaus sahen sich Anwender im Mai durch zwei Varianten des MYTOB-Wurms bedroht, die mit wenigen Stunden Abstand voneinander erschienen. WORM_MYTOB.ED und WORM_MYTOB.EG verbreiten sich über infizierte Email-Dateianhänge und verfügen über Backdoor-Funktionen, sodass Hacker unter Umständen schädliche Aktionen auf dem infizierten System ausführen können. Den vierten Alarm im Mai löste Trend Micro aufgrund von WORM_WURMARK.J aus, der kommerzielle Spyware und einen Keylogger auf infizierten Systemen einrichtet. Der Wurm gehört somit zu einer wachsenden Zahl von Malicious Codes, die gezielt versuchen, sensible Anwenderdaten auszu-spähen.

Mit TROJ_PGPCODER.A wurde letzten Monat ein Trojaner entdeckt, der verdeutlicht, mit welcher Aggressivität die Malware-Szene ihre Profitinteressen verfolgt: Der Malicious Code durchsucht infizierte Systeme nach bestimmten Dateien (z.B. Microsoft Word- und Excel-Dokumente, HTML-Dateien usw.) und verschlüsselt diese, sodass Anwender keinen Zugriff mehr erhalten. In einer Textdatei werden Computernutzer angewiesen, zweihundert Dollar für ein Decoder-Programm zu zahlen, ansonsten bleiben die Daten unbrauchbar. Sicherheitsunternehmen klassifizieren TROJ_PGPCODER.A daher als "Ransomware", d.h. Software, die Lösegeld fordert.

Nach sieben Monaten im Spitzensegment der Trend Micro "Virus Top Ten" zeigt das Tandem aus WORM_NETSKY.P und HTML_NETSKY.P nun erstmalig Ermüdungserscheinungen. Obwohl die HTML-Komponente ihre Infektionsrate im Vergleich zum April fast verdoppeln konnte, registrierte Trend Micro für den eigentlichen Wurm die geringste monatliche Verbreitung seit Entdeckung. (Trend Micro: ma)