TREND MICRO Viren-Report für den Mai 2004

David Kopp, Leiter der TrendLabs EMEA, kommentiert aktuelle Entwicklungen bei Viren und Würmern
(PresseBox) (Unterschleißheim, ) TREND MICRO (NASDAQ: TMIC, TSE: 4704), einer der weltweit führenden Hersteller von Web-basierter Antiviren- und eSecurity-Software, entdeckte im Mai rund 1.050 neue Malicious Codes (Würmer, Viren, Trojaner und andere Malware). Trotz dieses Rückgangs gegenüber dem Vormonat (April: 1.700) ist noch immer ein hohes Maß an Viren-Aktivitäten zu verzeichnen. Im Laufe des Mai musste TREND MICRO zum ersten Mal in diesem Jahr einen globalen Red Alert auslösen, um Computernutzer vor WORM_SASSER zu warnen.

Im Monat Mai weisen rund 100 Prozent der Malicious Code in den "Virus Top Ten" Merkmale eines Wurms auf. Für Unternehmensnetzwerke und Heimanwender stellen Schädlinge dieser Kategorie somit die Hauptbedrohung dar. Zusätzlich zu dem oben erwähnten Red Alert löste TREND MICRO im Mai zwei Yellow Alerts aus, um die Verbreitung von WORM_SASSER.A und WORM_WALLON.A zu verhindern.

"Virus Top Ten" für den Mai (bis 25.05.04)

1. WORM_NETSKY.P
2. WORM_MYDOOM.A
3. HTML_NETSKY.P
4. WORM_NETSKY.D
5. WORM_NETSKY.B
6. PE_NIMDA.A
7. WORM_NETSKY.Z
8. WORM_SASSER.E
9. WORM_NETSKY.Q
10. WORM_NETSKY.C

Die Angriffe der letzten Zeit unterstreichen die Bedeutung einer regelmäßigen Aktualisierung von Betriebssystemen und Applikationen. Würmer greifen heute gezielt die Schwachstellen populärer Software an, so zum Beispiel von Microsoft Outlook Express (WORM_WALLON.A) und von Microsoft Windows (WORM_SASSER). Durch die rechtzeitige Installation der von Microsoft bereitgestellten Security-Patches lassen sich Systeme vor diesen Malicious Codes am besten schützen.

Traditionelle Antiviren-Produkte nicht mehr ausreichend Bei den Varianten der SASSER-Familie handelt es sich um eine neue Generation von Malicious Codes, die ihren Angriff über TCP/IP starten. Wie die Würmer Nimda, Code Red, WORM_SLAMMER und WORM_MSBLAST verbreitet sich auch WORM_SASSER ohne infizierte Emails, Web-Inhalte oder File-Sharing-Dokumente. Jeder mit dem Internet verbundene Computer, auf dem nicht die neuesten Security-Patches für das Betriebssystem installiert sind, stellt ein potenzielles Angriffsziel für den Wurm dar.

Mit traditionellen Antiviren-Lösungen allein kann diesen Bedrohungen nicht mehr effektiv begegnet werden, da moderne Malicious Codes gleiche mehrere verschiedene Verbreitungsmethoden nutzen. Einige davon laufen vollkommen ohne Aktionen des Anwenders ab. Zum Schutz ihrer Systeme benötigen Unternehmen daher statt einer herkömmlichen Antiviren-Policy vielmehr eine ganzheitliche Sicherheitslösung. Deshalb hat TREND MICRO ein Portfolio aus Produkten und Services entwickelt, das unter dem Namen Enterprise Protection Strategy (EPS) am Markt bekannt geworden ist. EPS ermöglicht es Unternehmen, in allen Phasen eines Virenausbruchs die Kontrolle zu behalten und die Netzwerk-Infrastruktur wirkungsvoll zu schützen, von der Identifikation und Behebung von Schwachstellen über die Abwehr von Malicious Codes bis zur Systembereinigung. Im Laufe des ersten Quartals 2004 hat TREND MICRO darüber hinaus die Network VirusWall Appliance präsentiert und damit EPS noch einmal wesentlich erweitert. Die Network VirusWall Appliance unt erstützt Unternehmen bei der Abwehr von Netzwerk-Viren (Internet-Würmern) sowie bei der Blockade von Sicherheitsschwachstellen während eines akuten Angriffs. Infektionsquellen, wie zum Beispiel ungeschützte mobile Geräte im Netzwerk, werden isoliert und von Malicious Codes befreit. Basis sind bedrohungsspezifische Erkenntnisse von TREND MICRO, die auf der Netzwerkebene umgesetzt werden.

Anwenderschulung hat höchste Priorität Ganz gleich, welche Sicherheitslösung im Unternehmen oder privaten Bereich zum Einsatz kommt: Aufklärung und Schulung für Anwender sind von größter Wichtigkeit. Um die eigene Weiterverbreitung sicherzustellen, setzt eine Vielzahl von Würmern auch heute noch in erster Linie auf gezielte Täuschung des Anwenders. Bestes Beispiel für die anhaltende Bedrohung durch Social Engineering ist WORM_WALLON.A. Dieser Malicious Code verbreitet sich über Emails, die statt eines infizierten Dateianhangs lediglich einen Link im Nachrichtentext enthalten. Nachdem der Anwender den Link angeklickt hat, erscheint eine gefälschte Fehlermeldung. So wird der Eindruck erweckt, dass die angegebene Verknüpfung nicht funktioniert. Tatsächlich startet das Anklicken des Links aber die Installation des Malicious Code, der gezielt eine Schwachstelle in Microsoft Outlook Express ausnutzt. Nach der Infektion des Systems beginnt der Wurm dann mit der Weiterverbreitung. WORM_WALLON.A setzt ganz auf Social Engineering und das gezielte Ausnutzen von Sicherheitslücken. Durch Schulung und Aufklärung der Anwender im Vorfeld kann die Infektionsrate erheblich gesenkt werden. Darüber hinaus wirkt auch die rechtzeitige Installation von Security-Patches der Verbreitung des Wurms entgegen.

Aufgrund der vielen Infektionen durch WORM_WALLON.A entschied sich TREND MICRO, einen globalen Yellow Alert auszulösen. Die Verbreitungsrate des Wurms unterstreicht die Bedeutung eines gesteigerten Sicherheitsbewusstseins im Bezug auf Malicious Codes. Dies gilt vor allem bei Heimanwendern, die von WORM_WALLON.A besonders hart getroffen wurden.

Bedrohung durch NETSKY-Familie könnte anhalten Bei der Analyse der "Virus Top Ten" fällt auf, dass ein Großteil der Bedrohung immer noch von der WORM_NETSKY-Familie ausgeht. Dies ist ein Indiz für die Intensität der Fehde zwischen den Programmierern der NETSKY- und BAGLE-Würmer. Am 8. Mai wurde in Deutschland ein Verdächtiger festgenommen, dem die Programmierung und Verbreitung der NETSKY- und wahrscheinlich auch SASSER-Würmer zu Lasten gelegt wird. Es ist aber möglich, dass diese Person nicht alleinverantwortlich handelte. Wenige Tage nach der Verhaftung tauchten bereits neue NETSKY-Varianten auf.

MYDOOM und NIMDA in den Top Ten Überraschenderweise steht an zweiter Stelle der "Virus Top Ten" der WORM_MYDOOM.A. Dieser Malicious Code wurde so programmiert, dass er seine Verbreitung Anfang Februar selbstständig beendet. Anscheinend befinden sich also einige Systeme im Einsatz, die nicht über eine synchronisierte Uhr verfügen. Darüber hinaus ist auch NIMDA in den "Virus Top Ten" vertreten, obwohl dieser Virus bereits seit fast drei Jahren von allen Antiviren-Herstellern erkannt und blockiert werden kann. Ein eindrucksvoller Beweis dafür, dass herkömmliche Lösungen nicht ausreichen, um der Bedrohung durch Netzwerk-Viren zu begegnen.

Die TrendLabs EMEA überwachen kontinuierlich alle verdächtigen Virenaktivitäten, um ein Höchstmaß an Sicherheit und Service für die Kunden von TREND MICRO zu gewährleisten.

Kontakt

TREND MICRO Deutschland GmbH
Zeppelinstraße 1
D-85399 Hallbergmoos
Vera M. Sander
shortways communications
Social Media