Rückblick auf die Virenaktivitäten 2004

Die Hall of Fame der Viren und was sonst noch geschah
(PresseBox) (Duisburg, ) 2004 war in Bezug auf die Virenbelastung ein launisches Jahr. Wir hatten Epidemien wie die von Sasser oder Mydoom und wir haben einen regelrechten Krieg zwischen verschiedenen Gruppen von Virenautoren ertragen müssen, die ihre Kreationen wie Bagle und Netsky so weit wie möglich verbreiten wollten. Glücklicherweise gab es auch Zeiten, die relativ ruhig verliefen.

Unsere Hall of Fame der Viren für 2004

- Der Schädlichste. In diesem Jahr belegt Sasser diesen zweifelhaften Rang. Er war nicht nur für eine der größten Epidemien verantwortlich, sondern hinderte auch all seine Opfer an einer weiteren Nutzung ihrer infizierten Rechner indem er die Systeme immer und immer wieder neu starten ließ. Die gute Nachricht war jedoch das der Autor dieses schädlichen Code letztlich gefasst wurde.

- Der technisch Ausgefeilteste. Keine leichte Wahl aber dieser Platz ging in 2004 an Noomy.A. Dieser Wurm konstruiert infizierte Webseiten und sendet Nachrichten über Chatkanäle als wäre er ein ganz normaler, aufrichtiger User. Er hat keine größeren Schäden an den Computern verursacht und doch war er aus technischer Sicht der komplexeste Wurm dieses Jahres.

- Der Gesprächigste. Eine leichte Endscheidung, denn er ist der einigste seiner Art. Amus.A, ein schädlicher Code aus der Türkei, benutzt eine Sprachengine im Windows XP System um sich anzukündigen.

- Der Musikalischste. Nicht ein einzelner sondern gleich mehrere Varianten des Netsky Wurms erhalten diesen Titel. Er spielte immer wieder für drei lange Stunde ein und die Selbe merkwürdige Melodie auf dem infizierten Computer ab.

- Der Schüchternste. Diese Kategorie führen einige Varianten des Bagle Wurms an, die sich in Passwort geschützten ZIP Archiven versendet haben, um dem Scan durch ein Antivirenprogramm zu entgehen. Diese Strategie wird von vielen Viren genutzt, wir haben uns hier für Bagle aufgrund seiner starken Verbreitung in 2004 entschieden.

- Der Scheinheimlichste und Sprachgewandteste. Zafi.D wird vielen noch in Erinnerung sein. Er versendete Weihnachtsgrüße und nutzte so die festliche Stimmung der Menschen für seine Infektionen aus. Außerdem konnte er sich an die Sprache der Empfänger-Mail-Domain anpassen, wodurch er gleich in zwei Kategorien zum fragwürdigen Sieger erklärt wurde.

- Der Ordinärste. Pornographie war kein viel genutztes Thema dieses Jahr, dennoch gab es einige wenige Viren, die es nutzten. Einer von Ihnen war Tasin.C der ein erotisches Bild eines spanischen Prominenten herunter lud.

- Der Monotonste. Diese Kategorie ist wirklich gut geeignet für den Autor der Gaobot Familie. Es gab mehr als 2000 neue Varianten des Wurms in 2004.

- Der Schizophrenste. Bereb.C konnte 442 verschiedene Namen nutzen, um sich über P2P File Sharing Anwendungen zu verbreiten. Selbst der Autor konnte sich an den Namen des Originals nicht mehr erinnern.

- Der Höflichste. In dieser Kategorie hat man sich für 3 Codes entschieden: StartPage.AV, Harnig.B und Multidropper.AM-. Alle waren so freundlich den User zu informieren, dass er gerade infiziert wurde.

Studien haben gezeigt, dass ein ungeschütztes System ohne Virenschutz im Internet nicht lange “sauber” bleibt, darum rät Panda Software jedem Anwender dringend dazu seinen Rechner mit einer guten Anti-Viren-Lösung zu schützen und diese auf dem neusten Stand zu halten.

Weitere Informationen finden sie unter: http://www.pandasoftware.com/....



Was sonst noch geschah…

Das Viren Jahrbuch 2004


- Bedingungen für Viren-Attacken

Mydoom.A war Teil der ersten Ausbrüche in 2004, auf dem Höhepunkt seiner Verbreitung wurde vermutet, das 1 von 4 e-Mails den Virus mit sich führten. Mydoom.A nutzte eine einfache aber effektive Social Engineering Technik: Er gab vor eine „undelivered email“, also eine nicht übermittelte e-Mail zu sein, die vom Server zurückkommt. Doomjuice, Deadhat und Mitglieder verursachten über eine von Mydoom.A erstellte Hintertür dann neue Angriffe. Das bedeutet, dass eine Infektion durch nur einen einzigen Virus weitere Attacken von anderen Viren nach sich ziehen kann.


- Die Guten?

Zwei Varianten des Nachi Wurms und Doomhunter erschienen in der Szene als modere Cyber Robin Hoods. Sie waren gekommen, um die armen Opfer von Mydoom, Doomjuice und Blaster von ihrem Leid zu erlösen. Es stimmt wohl, dass sie die infizierten Rechner von den genannten Viren befreiten, im selben Augenblick nutzen sie jedoch zahlreiche Sicherheitslücken, mit nicht ganz so noblen Absichten aus.


- Cyber-Wars

In 2004 konnten wir den ersten Cyber-War zwischen Virenautoren beobachten, mit einer ganzen Reihe von Varianten des Bagle, Netsky oder Mydoom Virus als Gesultat. Alle trugen in ihrem Code eine Nachricht an den jeweiligen „Gegner“. Hat irgendeiner gewonnen? Die Verlierer waren jedoch ganz klar die User deren Computer infiziert wurden.


- LSASS: Die große Sicherheitslücke 2004

LSASS, eine Softwaresicherheitslücke über die verschiedene Windowssysteme infiziert werden konnten. Am deutlichsten wurde ihr Ausmaß wohl bei den zahlreichen Infektionen durch Sasser, die den Rechner immer wieder neu starten ließen. Sasser war das aktuellste Beispiel zur Ausnutzung einer Sicherheitslücke aber auch Klez.I (Iframe vulnerability) und Blaster (RPC DCOM vulnerability) sind noch nicht vergessen. Es scheint eine never ending story zu sein, denn nach Sasser nutzten noch viele weitere die LSASS Sicherheitslücke aus…Korgo, Bobax, Cycle, Kibuv, Plexus….


- Viren infizieren neue Plattformen

Telefone mit dem Betriebssystem Sybian wurden durch Toquimos.A, Skulls.A oder die Cabir Familie bedroht und auch vor 64-bit Systemen machten die Viren nicht halt (Shruggle.1318).


- Neue Viren Formate

JPGDownloader und JPGTrojan nutzten die Verwundbarkeit von JPEG Dateien aus, die es ermöglichte beim öffnen eines Bildes Virenangriffe auszuführen.


- Die smartesten Tricks

Auch wenn immer mehr Viren Sicherheitslücken nutzten um sich zu verbreiten, so bleiben wohl vorerst Social Engineering Taktiken am wirkungsvollsten. Angebliche Fehlermeldungen (Mydoom.A) oder angeblich durch ein Antivirenprogramm gescannte Dateien, die absolut sicher sind (Netsky.N, Netsky.O oder Mywife.A) sorgten für zahlreiche Infektionen bei gutgläubigen Usern.


- Taktiken und Vorbeugende Maßnahmen der Viren

In 2004 konnten viele neue Strategien beobachtet werden um nicht direkt durch ein Antivirenprogramm erkannt zu werden. Viele Viren stellten sicher, dass sie sich nicht via e-Mail an Adressen weiter verteilten, die zu Antivirenherstellern gehören, um Zeit für ihre Verbreitung zu gewinnen. Mehr und Mehr Codes versuchten Antivirenprogramme lahm zu legen und den Code zu manipulieren. Es wurde also nicht länger nur probiert nicht erkannt zu werden, sondern es wurden auch gleich Maßnahmen getroffen weiteren Viren freien Zugang zu gewähren.

Kontakt

Panda Security Germany
Dr. Alfred-Herrhausen-Allee 26
D-47228 Duisburg
Markus Mertes
Presse / Marketing
Bereichsleiter New Business
Social Media