TREND MICRO Viren-Report für den Juni 2004

David Kopp, Leiter der TrendLabs EMEA, kommentiert aktuelle Entwicklungen bei Viren und Würmern
(PresseBox) (Unterschleißheim, ) TREND MICRO (NASDAQ: TMIC, TSE: 4704), einer der weltweit führenden Hersteller von Web-basierter Antiviren- und eSecurity-Software, entdeckte im Juni rund 950 neue Malicious Codes (Würmer, Viren, Trojaner und andere Malware). Dies bedeutet einen Rückgang gegenüber dem Vormonat, in dem 1.050 neue Malicious Codes gefunden wurden. Darüber hinaus musste TREND MICRO im Juni zum ersten Mal in diesem Jahr keinen Virenalarm auslösen. Trotzdem ist noch immer ein hohes Maß an Viren-Aktivitäten zu verzeichnen, was auf die starken Angriffe der letzten Zeit zurückgeführt werden kann. So belegen verschiedene Varianten des NETSKY-Wurms acht Plätze in den "Virus Top Ten" der Region EMEA im Monat Juni.

"Virus Top Ten" für den Juni (bis 28.06.04)

1. PE_ZAFI.B
2. WORM_NETSKY.P
3. HTML_NETSKY.P
4. TROJ_DASMIN.B
5. WORM_NETSKY.B
6. WORM_NETSKY.D
7. WORM_NETSKY.X
8. WORM_NETSKY.Z
9. WORM_NETSKY.C
10. WORM_NETSKY.Q

Aus dieser Liste können mehrere Schlussfolgerungen gezogen werden: Eine Vielzahl von PCs, vor allem in Privathaushalten, verfügt immer noch nicht über aktuellen Virenschutz. Die Internet-Anbindung über Breitbandtechnologien wie DSL erfolgt anscheinend ohne dedizierte Sicherheitsebene. Darüber hinaus belegen die "Top Ten Viren" eindrucksvoll, dass die Aufklärung und Sicherheitsschulung von Anwendern immer noch zu den drängendsten Aufgaben gehört. Viele der oben aufgeführten Bedrohungen können zudem durch die Implementierung grundlegender Sicherheitsregeln wirkungsvoll abgewehrt werden. Erforderlich sind daher Maßnahmen wie die Blockade von Email-Anhängen, Firewall-Richtlinien sowie die regelmäßige Installation neuer Sicherheits-Updates.

PE_ZAFI.B - größte Bedrohung im Juni
Im Monat Juni ging die größte Gefahr von PE_ZAFI.B aus. Diese Malware ist ein typisches Beispiel für eine hybride Bedrohung. Bei dem Wurm handelt es sich um einen PE-Infektor, der sich über Emails und Peer-to-Peer-Netzwerke (P2P) wie Kazaa, Morpheus und eDonkey verbreitet. PE_ZAFI.B ist speicherresident und überschreibt EXE-Dateien. Darüber hinaus werden alle Prozesse beendet, die eine der folgenden Zeichenfolgen beinhalten:

* Regedit
* Msconfig
* Task

Dadurch wird die Entfernung dieses Malicious Codes wesentlich erschwert. Zur Verbreitung nutzt PE_ZAFI.B wieder einmal Techniken des Social Engineering: Für die Absenderadresse der infizierten Email werden häufige Namen wie David, Alice oder Jennifer verwendet, um so den Eindruck zu erwecken, die Nachricht stamme von einem Bekannten oder Freund. Durch erotische oder vermeintlich geschäftsbezogene Anspielungen im Nachrichtentext und dem Namen des Dateianhangs soll zudem die Neugier des Anwenders geweckt werden.

Die erfolgreich eingesetzten Techniken des Social Engineering haben dazu geführt, dass sich der Malicious Code stark verbreiten konnte. Durch seine Komplexität und schwierige Entfernung stellt PE_ZAFI.B daher die gefährlichste Bedrohung im Monat Juni dar.

EPOC_CABIR - der erste echte Virus für Mobiltelefone?
Kann der am 15. Juni entdeckte EPOC_CABIR wirklich als erster Virus für Mobiltelefone betrachtet werden? Die Machbarkeit eines dedizierten Handy-Virus wird bereits seit geraumer Zeit diskutiert, daher stellt sich die Frage, inwiefern EPOC_CABIR eine wirklich ernstzunehmende Bedrohung darstellt und wie hoch das Schadenspotenzial ist.

Aufgrund der weiten Verbreitung von Mobiltelefonen ist es nicht verwunderlich, dass über die Möglichkeit eines Handy-Virus spekuliert wird. Bis heute haben Malicious Codes aber immer nur die einzelnen Geräte an sich angegriffen. Im Gegensatz dazu nutzt EPOC_CABIR tatsächlich die Technologie moderner Mobiltelefone zur Weiterverbreitung.

VBS_TIMOFONICA griff Mobiltelefone an
Ein gutes Beispiel für die Technik bisheriger Handy-Viren ist VBS_TIMOFONICA. Wie schon der Name vermuten lässt, wurde der Wurm in der Microsoft VB-Skriptsprache geschrieben. VBS_TIMOFONICA verbreitete sich über Emails und durchsuchte auf infizierten Systemen das Adressbuch nach neuen potenziellen Opfern. Darüber hinaus war das VBS-Programm in der Lage, SMS-Nachrichten an zufällig generierte Telefonnummern zu versenden. Zu diesem Zweck verfügte der Malicious Code über einen hart-codierten SMS-Gateway. Eine Vielzahl von Handy-Nutzern erhielt auf diesem Weg unerwünschte SMS-Nachrichten. VBS_TIMOFONICA trat aber nur in Spanien auf und verwendete ausschließlich die spanische Sprache. Obwohl dieser Malicious Code also Mobiltelefone angriff, versendete er sich nicht von einem Handy zum anderen. Wie bei anderen Würmern auch erfolgte die Verbreitung über PCs, sodass VBS_TIMOFONICA von AntiVirus-Lösungen blockiert werden konnte. Die Bedrohung für Mobiltelefone hielt sich zudem in Grenzen, da lediglich SMS verschickt wurden. Trotzdem belegt VBS_TIMOFONICA, dass sich Virenprogrammierer schon seit geraumer Zeit mit der Mobilfunktechnologie beschäftigen.

Die immer populäreren Smartphones verwenden heute die weit verbreitete Programmiersprache JAVA. Da JAVA zu einem Angriff auf Mobiltelefone zweckentfremdet werden kann, ist das Interesse der Virenprogrammierer unvermeidbar. Die Entdeckung von EPOC_CABIR am 15. Juni kann vor diesem Hintergrund nicht mehr überraschen. Der Malicious Code verbreitet sich über die Bluetooth-Technologie, daher müssen sich potenzielle Angriffsziele in der näheren Umgebung des infizierten Mobiltelefons befinden. Darüber hinaus müssen die Geräte so konfiguriert sein, dass einkommende Verbindungen akzeptiert werden. EPOC_CABIR ist zudem bei der Installation auf die aktive Zustimmung des Anwenders angewiesen. Aber auch wenn Dateien erkennbar von einer nicht vertrauenswürdigen Quelle stammen, erklärt sich eine Vielzahl von Anwendern mit der Installation einverstanden. Dies beweist einmal mehr, wie wichtig Anwenderschulungen für den Virenschutz sind.

Streng technisch gesehen handelt es sich bei EPOC_CABIR nicht um einen Virus, da er sich nicht selbständig verbreitet und keine Dateien infiziert. Nach Einschätzung von TREND MICRO wurde EPOC_CABIR wahrscheinlich als Proof-of-Concept konzipiert und nicht als Malicious Code mit der expliziten Aufgabe, Mobiltelefone zu schädigen. Die Tarnung als reguläre Applikation legt aber eine Kategorisierung als Trojaner nahe.

Steht eine Welle von Handy-Viren bevor?
Verschiedene Faktoren beschränken bislang das Verbreitungspotenzial von Malicious Codes für Mobiltelefone. An erster Stelle steht hier das Fehlen eines weit verbreiteten Betriebssystems, wie zum Beispiel Microsoft Windows bei PCs. Auf Mobiltelefonen kommt eine ganze Reihe verschiedener Systeme zum Einsatz, darunter Windows Pocket PC, Palm OS und Symbian EPOC. Virenprogrammierer müssten sich mit all diesen Systemen auskennen, um eine massenhafte Verbreitung ihrer Malicious Codes zu ermöglichen. Darüber hinaus müsste der Code auf allen Systemen lauffähig sein, sodass zur Übertragung erhebliche Bandbreiten benötigt würden - wahrscheinlich mehr, als von Netzbetreibern in Europa und den USA heute bereitgestellt werden.

All das bedeutet aber nicht, dass Handy-Viren auch zukünftig keine Bedrohung werden könnten. EPOC_CABIR zeigt eindeutig die enge Verknüpfung von Vor- und Nachteilen neuer Technologien. Auch wenn der Malicious Code aktuell noch keine Schäden verursacht, ist er doch ein Indiz für das Interesse der Virenprogrammierer an neuen Verbreitungswegen.

Die TrendLabs EMEA überwachen kontinuierlich alle verdächtigen Virenaktivitäten, um ein Höchstmaß an Sicherheit und Service für die Kunden von TREND MICRO zu gewährleisten.

Kontakt

TREND MICRO Deutschland GmbH
Zeppelinstraße 1
D-85399 Hallbergmoos
Vera M. Sander
shortways communications
Social Media