Viren-Top-20 für Mai: Zwei LovGate-Modifikationen auf dem zweiten und vierten Platz

Zunahme der Mytob-Varianten bzw. die Rückkehr alter Modifikationen

(13.06.06) - Kaspersky Lab präsentierte die Viren-Top-20 für den Monat Mai. Die Mai-Statistik des E-Mail-Traffic unterscheidet sich nicht sehr von der aus dem April, März- und Februar. Denn das Ausbleiben globaler Epidemien durch E-Mail-Würmer ist nun schon keine Ausnahmeerscheinung mehr, sondern wurde zur Normalität.

Mytob.c, seit Februar an der Spitze der Top 20, ist auch weiterhin Tabellenführer und hält seine Konkurrenten auf Abstand. Am Fuße des Throns wird der Streit um den zweiten Platz ausge-fochten. In den vergangenen Monaten - und sogar Jahren - befinden sich unter den ersten fünf Vertretern der Top 20 Modifikationen von Mydoom, NetSky, Bagle und Mytob.

Anfang 2006 hat sich dann ein den Europäern wenig bekannter und selten in den Medien genannter Vertreter aus Südkorea langsam den Weg zur Spitze gebahnt. Ein weiteres Mal landen damit zwei LovGate-Modifikationenauf dem zweiten und vierten Platz des Ratings und überließen Platz drei und fünf NetSky-Ablegern. NetSky.t ist dabei vom zweiten auf den fünften Platz abgefallen, da seine Zahl im Mail-Traffic dieses Monats um fast 50 Prozent gesunken ist. Genau dies hatte Kaspersky auch erwartet, als das Unternehmen im April darüber sprach, dass das Wachstumstempo von NetSky.t ausgeschöpft sei und seine Zahl nun sinken würde.

Im April prognostizierte Kaspersky darüber hinaus eine Zunahme der Mytob-Varianten bzw. die Rückkehr alter Modifikationen. Die Kaspersky-Prognose wurde bestätigt: Zwei alte Vertreter, Mytob.u und .a, erhöhten ihre Präsenz und dominieren jetzt mit ihrer gesamten Familie die Top Ten. Außerdem erschien mit der Modifikation .eg in den Top 20 ein Vertreter der neuen Mytob-Generation.

Ungeachtet der Verhaftung zweier Angeklagter im August vergangenen Jahres, die der Verbreitung dieser Würmer angeklagt wurden, tauchen mit erschreckender Regelmäßigkeit immer weitere Modifikationen auf, was wahrscheinlich mit der Offenlegung des Quellcodes zusammenhängt. Doch nicht genug damit, dass ständig neue Vertreter der Mytob-Familie auftauchen, es kehren auch alte Modifikationen zurück - im Mai waren dies Mytob.x und .bx.

Klone dieses Wurms machen fast die Hälfte des Ratings aus - neun Plätze von 20 sind derzeit in Mytob-Hand. Im übrigen Teil der "Hitparade“ sind nur zwei Neulinge von Interesse, darunter die Würmer Scano.ag und .ab.

Scano ist ein relativ neuer Name in der Virenszene. Im April beobachteten wir auf dem 14. Platz die Modifikation Scano.e. In diesem Wurm wurde die Feebs-Technologie weiterentwickelt, unter-scheidet sich jedoch durch einen polymorphen JavaScript-Dropper; als solcher erreicht der Wurm seine Opfer per E-Mail. Die Verwendung von polymorphen Technologien nimmt bei Virenschreibern immer weiter zu, da gewöhnliche Viren sehr schnell von Antivirus-Programmen erkannt werden. Polymorpher Schadcode hingegen verändert sich ständig und macht es Antiviren-Lösungen schwer, ihn aufzufinden. Scano.e verschwand von der Bildfläche, dafür erschienen zwei neue Vertreter, welche die Plätze 15 und 19 belegen. Aller Wahrscheinlichkeit nach werden aber auch sie im Juni verschwinden, doch sicherlich nicht vollständig - der Wurmautor zeichnet sich durch hohe Produktivität aus und schickt jede Woche neue Modifikationen in die Welt. (Kaspersky: ra)