Sophos veröffentlicht Top Ten der Viren im ersten Halbjahr 2005

Viren auf dem Vormarsch - Zeit bis zur Infektion des PCs nimmt deutlich ab

(07.07.05) - Sophos hat die Ergebnisse ihrer Virenanalysen des ersten Halbjahres 2005 zusammengefasst: So entdeckten die Experten auf der ganzen Welt von Januar bis Juni 7.944 neue Viren. Dies entspricht einer Zunahme von 59 Prozent im Vergleich zu den ersten sechs Monaten des Vorjahres. Neben dem erheblich gestiegenen Virenaufkommen stellte Sophos außerdem fest, dass die durchschnittliche Zeit bis zur Infektion eines Rechners immer kürzer wird: Mit einer Wahrscheinlichkeit von rund 50 Prozent wird ein Windows-PC ohne Virenschutz und aktuelle Sicherheits-Patches innerhalb von nur 12 Minuten durch einen Internet-Wurm infiziert.

Von Januar bis Juni 2005 waren folgende Viren am häufigsten in den monatlichen Top Ten vertreten:

1. W32/Zafi-D 25,3 %

2. W32/Netsky-P 17,5 %

3. W32/Sober-N 10,3 %

4. W32/Zafi-B 4,7 %

5. W32/Netsky-D 3,8 %

6. W32/Mytob-BE 2,6 %

7. W32/Netsky-Z 2,3 %

8. W32/Mytob-AS 2,0 %

9. W32/Netsky-B 1,9 %

10. W32/Sober-K 1,7 %

Sonstige 27,9 %

Der in Ungarn entwickelte Wurm Zafi-D führte von Januar bis April die monatliche Viren-Hitliste an und war für mehr als ein Viertel aller Sophos bekannten Angriffe verantwortlich. Getarnt als Weihnachtsgruß, verleitet Zafi-D die Anwender dazu, den infizierten Dateianhang zu öffnen.

Der zweisprachige Wurm Sober-N belegt den dritten Platz in der Halbjahresbilanz. Er wurde im Mai erstmals entdeckt und setzte sich noch im selben Monat an die Spitze der Viren-Charts, wo er den Wurm Zafi-D ablöste. Sober-N, der sich als Benachrichtigung über ein zugeteiltes Ticket zur Fußball-WM 2006 ausgibt, verbreitete sich innerhalb kürzester Zeit in 40 Ländern, vor allem Deutschland, und befiel Tausende von Rechnern. Sober-N wartete unbemerkt im Hintergrund, aktualisierte sich später selbst und missbrauchte die PCs der betroffenen User als sogenannte Zombie-PCs, um ohne deren Wissen Neonazi-Propaganda-Mails zu versenden.

Ein weiterer alter Bekannter ist Netsky-P: Der gefährlichste Virus des Vorjahres hielt sich auch 2005 außerordentlich lange in den oberen Rängen der Top Ten. Sein deutscher Programmierer Sven Jaschan muss sich nächste Woche wegen Computer-Sabotage, Datenmanipulation und Störung öffentlicher Systeme vor Gericht verantworten. Er hat zugegeben, sowohl den Netsky- als auch den Sasser-Wurm vor über einem Jahr geschrieben zu haben.

In diesem Jahr wurden bereits mehrere Verhaftungen bekannt, die in Verbindung mit Computer-kriminalität stehen. So verhaftete die israelische Polizei im Mai ein Paar in London: Die von den beiden geschriebenen Schadprogramme wurden von israelischen Unternehmen dazu verwendet, ihre Konkurrenten auszuspionieren. Einen Monat vorher wurde ein Zypriote verhaftet, der eine 17-Jährige über ihre Webcam ausspionierte, nachdem er ihren PC mit einem Trojaner infizierte. Aus einem ähnlichen Grund muss ein spanischer Student nun eine Geldstrafe zahlen.

Was die Anzahl der Keylogging-Trojaner angeht, registrierte Sophos in diesem Jahr eine Verdrei-fachung. Bei Keylogging-Trojanern handelt es sich um Schadprogramme, die die auf dem PC eingegebenen Tastenfolgen speichern. Sie gelangen über E-Mail-Anhänge oder Links in die betroffenen Unternehmen und werden meistens von Hackern benutzt, um von außerhalb geschäfts-kritische Informationen zu stehlen, oft auch um weitere Angriffe zu starten.

Organisierte Computerkriminalität mit finanziellen Motiven ist so weit verbreitet wie nie zuvor: Der versuchte Raub in der Londoner Sumitomo Mitsui Bank und der Hacker-Angriff auf MasterCard sind gute Beispiele für diesen anhaltenden Trend.

Varianten des Mytob-Wurms sind in der Hitliste auf dem sechsten und achten Platz vertreten. Jüngere Versionen dieses Schädlings arbeiten mit einem neuen Trick, der meist bei Phishing-Attacken benutzt wird: Er beinhaltet einen gefälschten Link, der zu dem bösartigen Code führt. Jede neue Mytob-Variante wurde im Vergleich zur Vorgängerversion leicht verändert - das deutet möglicherweise darauf hin, dass die Autoren nach den Elementen ihres bösartigen Code suchen, um einen besonders gefährlichen "Super-Wurm" zu kreieren. (Sophos: ma)