Virenreport für November 2005 von Trend Micro

Zweimal einen globalen Yellow Alert ausgelöst

(08.12.05) - Trend Micro musste im November zweimal einen globalen Yellow Alert auslösen, um der Verbreitung von WORM_SOBER.AG und WORM_MYTOB.MX entgegenzutreten. Durch angepasste Nachrichtentexte in Landesprache stellte die SOBER-Variante eine ernste Bedrohung für deutsche Anwender dar. Darüber hinaus versuchte der Malicious Code, den Microsoft Windows Virenschutz zu deaktivieren. Bei WORM_MYTOB.MX handelte es sich hingegen um einen typischen Bot-Wurm, der auf infizierten Systemen Hintertüren für weitere Angriffe öffnet. Zu den wichtigen Ereignissen des Novembers gehört zudem die Zweckentfremdung eines Musik-CD-Kopierschutzsystems von Sony-BMG durch Malware-Programmierer.

Am 21. November 2005 warnten die TrendLabs, das weltweite Netzwerk der AntiViren-Forschungs-zentren von Trend Micro, mit einem Yellow Alert vor der Verbreitung von WORM_SOBER.AG in Deutschland, den USA, Kanada, Belgien und Neuseeland. Der Wurm erkennt die Länder-Domain .DE sowie die Adressen des hierzulande populären Freemail-Providers GMX und verwendet für infizierte E-Mails dementsprechend deutsche Nachrichtentexte, wodurch Anwender noch effektiver getäuscht werden können. Zur Verbreitung benutzt der Wurm eine eigene SMTP (Simple Mail Transfer Protocol) Engine, sodass Anwender den Versand infizierter E-Mails von ihrem System aus meist nicht einmal bemerken. Darüber hinaus versucht WORM_SOBER.AG, das Virenschutz-programm mrt.exe (Microsoft Windows Malicious Software Removal Tool) zu beenden, um den Computer anfälliger für Angriffe zu machen.

WORM_MYTOB.MX ist ein typischer Vertreter der Kategorie Bot-Wurm. Die Malware verbreitete sich vor allem in Osteuropa, Deutschland, Spanien sowie Österreich und verfügt ebenfalls über eine eigene SMTP-Engine. Damit ist WORM_MYTOB.MX in der Lage, Kopien von sich als E-Mail-Anhang zu versenden, ohne Mail-Programme wie Microsoft Outlook zu Hilfe zu nehmen. Auf infizierten Systemen versucht der Wurm auch Hintertüren zu öffnen: Dazu verbindet sich der Malicious Code mit einem IRC-Server (Internet Relay Chat) und wartet dort auf Befehle des Malware-Programmieres, der so die Kontrolle über das System übernehmen kann.

Malicious Codes zweckentfremden Musik-CD-Kopierschutz von Sony-BMG

Der Fall von Sony-BMG zeigte im November erneut, dass Malware-Programmierer heute jede sich bietende Gelegenheit raffiniert für die Verbreitung ihrer Malicious Codes ausnutzen. Sony entwickel-te diese Software ursprünglich, um einen Kopierschutz auf ihren Musik-CDs zu integrieren. Das einem Rootkit ähnliche Programm integriert sich als Gerätetreiber in das Betriebssystem und versteckt alle Dateien, deren Namen mit der Zeichenfolge $sys$ beginnen. Nach Bekanntwerden der Rootkit-Funktionalität wurden verschiedene Malicious Codes entdeckt, die diese Funktion zweckentfremdeten und so auf Systemen nahezu unsichtbar waren. (David Kopp, Trend Micro: ma)