"Wurm-Polymorphismus" wird in den kommenden Monaten zu einem aktuellen Thema

Wurm schreibt eigenen Code immer wieder um und erschwert Detektierung erheblich

(09.05.06) - Kaspersky Lab präsentierte die "Top 20" der Schadprogramme für April. Vergleicht man die Top 20 für April oberflächlich mit einer Top 20 von vor einem halben Jahr, so scheint es, als sei die Computervirenwelt stehen geblieben, denn die aktuelle Statistik enthält viele Schadprogramme, die bereits über einen langen Zeitraum ihr Unwesen treiben. Bei näherer Betrachtung hat sich aber natürlich einiges verändert. Auch der Spitzenreiter der vergangenen Monate, Mytob.c, hat längst nicht die Verbreitung wie seine legendären Vorgänger Klez, Sobig oder Mydoom.a erreicht. Diese Würmer hielten die PC-Anwender über mehrere Jahre in Atem.

Obwohl in der Top 20 vor allem Mytob-Varianten dominieren, machen die anderen Viren-Familien keinesfalls den Anschein, die Arena verlassen zu wollen - im Gegenteil: Sie versuchen mit aller Macht, auf unsere Computer zu gelangen.

Highlight der vorliegenden April-Statistik ist eine lange von Kaspersky Lab erwartete Entwicklung - die beiden Zafi-Vertreter Email-Worm.Win32.Zafi.d und E-Mail-Worm.Win32.Zafi.b verließen das Rating. Einst führten sie das Rating an, dann positionierten sie sich chaotisch mal weiter oben, mal weiter unten, hin und wieder kamen sie ganz nahe an die Spitze. Seit Beginn 2006 jedoch beobachten die Virusanalytiker bei Kaspersky Lab ein zügiges Verschwinden dieser Würmer.

Die Langlebigkeit der beiden Zafi-Vertreter erklärt sich dadurch, dass die Familie für ihre Vermehrung einen sehr interessanten Trick verwendet. Zafi ist fähig, seine E-Mails mit Texten in mehr als einem Dutzend europäischer Sprachen zu versenden. Die Sprache der jeweiligen E-Mail bestimmt der Wurm selbst ausgehend von der Domain-Zugehörigkeit der Empfänger-Adresse. Auf diese Weise erhielten die deutschen Anwender den Wurm Zafi per E-Mail mit deutschem Inhalt, in Russland in russischer Sprache und so weiter.

LovGate - im April auf den Plätzen 3, 5 und 13 - ist ein Veteran der Virenszene, dessen Karriere gemeinsam mit Mydoom, Bagle, NetSky und Zafi begann. Während NetSky jedoch unter dem Druck Dutzender Mytob-Modifikationen ununterbrochen an Positionen verliert, sich aber gerade noch so in der Statistik hält, und Mydoom und Bagle praktisch vollkommen verschwunden sind, erhöht LovGate den Takt weiter und rückt mit seinen neuen Modifikationen Monat für Monat noch oben. Im April befinden sich zwei Würmer der LovGate-Familie unter den ersten fünf. Ihre Autoren erstellen immer neue Modifikationen klassischer Mail-Würmer, während zur gleichen Zeit der NetSky-Autor verhaftet und bestraft wurde und die Bagle-Autoren kurzzeitige lokale Epidemien von Trojaner-Programmen arrangierten.

Mytob erhöhte im April seine Schlagzahl erneut. Dies bestätigt nicht nur der erste Platz durch die Modifikation .c, sondern auch weitere acht Plätze im April-Rating. Es erschienen gefährliche neue Modifikationen, wovon eine davon, Mytob.cg, bereits Platz 20 erreicht hat. Es ist anzunehmen, dass sich die Anzahl der Mytobs in den Mai-Top 20 noch weiter erhöhen wird.

Die Statistik enthält darüber hinaus einen Vertreter einer völlig neuen Wurmfamilie. Scano.e ist eine von mehreren Scano-Modifikationen, die sowohl Anwendern als auch Experten der Antivirus-Unternehmen Kopfschmerzen bereiten. Er verbreitet sich in Form einer Java-Script-Datei und ist für Experten vor allem aufgrund seines hochgradig polymorphen Codes interessant - denn dadurch, dass er seinen eigenen Code immer wieder "umschreibt", wird auch die Detektierung erheblich erschwert. Hinsichtlich des Script-Polymorphismus ist er einem weiteren Wurm mit Namen Feebs sehr ähnlich. Feebs hat es zwar nicht in die Top 20 geschafft, aber es treffen regelmäßig Fragen von Anwendern bezüglich dieses Wurms ein. So gehen die Experten davon aus, dass "Wurm-Polymorphismus" in den kommenden Monaten zu einem aktuellen Thema wird. (Kaspersky: ra)