TREND MICRO Viren-Report für September 2004

(PresseBox) (Unterschleißheim, ) David Kopp, Leiter der TrendLabs EMEA, kommentiert aktuelle Entwicklungen bei Viren und Würmern
TREND MICRO (NASDAQ: TMIC, TSE: 4704), einer der weltweit führenden Hersteller von unternehmensweiter AntiViren- und Content Security-Software und -Services, entdeckte im September rund 1.485 neue Malicious Codes (Würmer, Viren, Trojaner und andere Malware). Im selben Vorjahreszeitraum wurden im Gegensatz dazu lediglich 250 neue Malicious Codes registriert. Mit rund 61 Prozent haben Trojaner und Backdoors den größten Anteil an neuentdeckter Malware, auf Würmer entfallen 29 Prozent. Besonders bemerkenswert ist darüber hinaus die starke Verbreitung von Bot-Programmen: Bei 79 Prozent (entspricht 400 Exemplaren) aller im September von den TrendLabs identifizierten Würmern handelt es sich um Bot-Programme. Diese hohe Zahl ist ein Indiz für die wachsende Verbreitung von so genannten "Zombie"-Netzwerken, die unbemerkt von Angreifern kontrolliert werden.

"Virus Top Ten" für September (bis 21.09.04)
1. SASSER.B
2. PE_ZAFI.B
3. WORM_NETSKY.P
4. HTML_NETSKY.P
5. WORM_NETSKY.D
6. JAVA_BYTEVER.A
7. PE_FUNLOVE.4099
8. TROJ_AGENT.EG
9. WORM_KORGO.R
10. HTML_BAGLE.AL

Gründe für die steigende Zahl von Malicious Codes
Eine Reihe von Gründen ist für die wachsende Zahl von Malicious Codes verantwortlich: So haben sich zum Beispiel die Motive von Malware-Programmierern grundsätzlich geändert. Durch Malicious Codes sollte früher vor allem eine möglichst große Medienaufmerksamkeit erreicht werden. Heute stehen hingegen ganz eindeutig finanzielle Interessen im Mittelpunkt. Ein Beweis dafür ist die wachsende Anzahl von Malicious Codes, mit denen Zombie-Netzwerke (siehe unten) aufgebaut werden sollen. Diese Netzwerke lassen sich lukrativ an den Meistbietenden vermieten. Ein weiteres Indiz ist die schnell aufeinanderfolgende Veröffentlichung von Trojanern wie TROJ_BANKER oder TROJ_BANCOS, die speziell für den Diebstahl sensibler Informationen (z.B. Kontodaten) konzipiert wurden. Durch die steigende Verfügbarkeit von Malware-Quellcodes im Internet ist es Hackern darüber hinaus möglich, in kurzer Zeit und mit geringem Aufwand immer neue Varianten bekannter Malicious Codes zu schaffen. Dies stellt vor allem bei Würmern wie MYDOOM, BAGLE und LOVGATE ein ernstes Problem dar.

Streben Hacker die Kontrolle an?
Die TrendLabs registrierten im September rund 400 neue Bot-Programme. Im selben Zeitraum des Vorjahres waren es hingegen nur 17. Diese Malicious Codes nutzen üblicherweise Sicherheitsschwachstellen des Netzwerks aus und verwenden zudem Internet Relay Chat (IRC), um den Fernzugriff auf infizierte Systeme zu ermöglichen. Auf diesem Weg können Angreifer so genannte Zombie-Netzwerke aufbauen und für ihre Zwecke missbrauchen, so zum Beispiel für Denial-of-Service-Attacken. Darüber hinaus lassen sich die Netzwerke auch für den Spam-Versand vermieten. Die wachsende Anzahl der Bot-Programme ist damit auch ein Beleg für die Ausbreitung der Zombie-Netzwerke. Gleichzeitig legt dieser Trend den Verdacht nahe, dass Hacker in stärkerem Maße als bisher die Kontrolle über infizierte Systeme anstreben.

SASSER verbreitet sich immer noch
Vier Monate nach dem ersten Auftreten führt SASSER.B die "Virus Top Ten" der TrendLabs an. Rund 31 Prozent aller Infektionen, die in der Liste für den September 2004 erfasst wurden, gehen auf diesen Wurm zurück. Besonders häufig wurde der Malicious Code dabei aus Indien gemeldet. Die anhaltend starke Verbreitung von SASSER beweist, dass weltweit immer noch viele Systeme in Betrieb sind, die nicht über das nötige Sicherheitsupdate zum Schutz der angegriffenen Schwachstelle verfügen - trotz aller Warnungen der Sicherheitsindustrie.

BAGLE und MYDOOM weiterhin aktiv
Vom 25. August bis 25. September 2004 musste TREND MICRO nur einen Yellow Alert auslösen, nämlich für WORM_BAGLE.AI. Im Juli und August waren bereits einige neue Varianten des BAGLE-Wurms aufgetaucht, die sich von ihren Vorgängern in wesentlichen Bereichen unterschieden. Neue Varianten des Wurms verwenden eine komplexere Verbreitungsroutine und setzen nicht mehr ausschließlich auf simple Massen-Mailings. Stattdessen werden heute Komponenten zum Trojaner-Download sowie HTML-Skripte als Zip-Dateien versendet und über öffentliche Netzwerk-Ordner verteilt. Genau wie ihre Vorgänger versuchen aber auch die neueren BAGLE-Varianten, den rivalisierenden NETSKY-Virus zu entfernen. Darüber hinaus ist auch die Bedrohung durch MYDOOM noch nicht vollständig beseitigt. Allein im September wurden fünf neue Varianten des Malicious Codes entdeckt, der erstmalig im Januar 2004 aufgetreten war.

Erster JPEG-Virus entdeckt
Am 14. September veröffentlichte Microsoft das Security Bulletin MS04-028, das eine kritische Schwachstelle bei der JPEG-Verarbeitung durch bestimmte Windows-Komponenten beschreibt. Angreifern ist es damit unter Umständen möglich, ausführbaren Code in eine JPEG-Datei einzufügen. Wird die entsprechende Bilddatei auf nicht aktualisierten Systemen geöffnet oder im Vorschaufenster angezeigt, kommt es zu einem automatischen Start des Codes. Dabei erhalten Angreifer dieselben Zugriffsrechte für Informationen, wie der autorisierte Nutzer des Systems.

Die Verbreitung könnte über speziell eingerichtete Web-Sites erfolgen, die genau auf diese Schwachstelle abzielen. Alternativ lassen sich modifizierte JPEG-Dateien auch als Email-Anhang oder über öffentliche Netzwerkordner verteilen. Der automatische Start erfolgt bereits, wenn Anwender nur die Vorschaufunktion nutzen oder den Mauszeiger über das JPEG-Bild bewegen.

Die Entdeckung dieses Virus gibt Anlass zu großer Sorge, da JPEG-Dateien zu den populärsten und am weitesten verbreiteten Bildformaten gehören. Schon drei Tage nach Veröffentlichung der Schwachstelle tauchten erste Proof-of-Concept-Viren auf.
Am 24. September folgte ein Werkzeug-Set, mit dem die Schwachstelle in vollem Umfang ausgenutzt werden kann. Offensichtlich arbeiteten hier also verschiedene Parteien zusammen, um den Schaden zu maximieren.

TREND MICRO erkennt das Werkzeug-Set als HTKL_JPGDOWN.A. Mit diesem Programm können ganz einfach modifizierte JPEGs zum Angriff auf die oben beschriebene Schwachstelle erstellt werden. Nach dem Start wird zunächst ein Nachrichtenfenster mit dem Titel "JPEG Downloader by [ATmaCA]." angezeigt. Der Anwender muss daraufhin lediglich eine URL angeben, von der ein Download durch das erzeugte JPEG stattfinden kann. Ein weiterer Klick auf die Schaltfläche "Make" reicht aus, um die Bilddatei zu generieren. TREND MICRO identifiziert dieses modifizierte JPEG als EXPL_JPGDOWN.A.

Weitere Informationen zur MS04-028 Schwachstelle stehen unter folgenden URLs bereit:
http://www.microsoft.com/...
http://www.trendmicro.com/...
http://www.trendmicro.com/...

Die TrendLabs EMEA überwachen kontinuierlich alle verdächtigen Virenaktivitäten, um ein Höchstmaß an Sicherheit und Service für die Kunden von TREND MICRO zu gewährleisten.

Kontakt

TREND MICRO Deutschland GmbH
Zeppelinstraße 1
D-85399 Hallbergmoos
Hana Göllnitz
Trend Micro Deutschland GmbH
Social Media