Aktuelle Virengefahren – Trends und Entwicklung

Kaspersky Lab präsentiert seinen Lesern eine Analyse über die Entwicklungs-Tendenzen der IT-Bedrohungen im ersten Quartal 2005, erstellt vom führenden Antivirus-Experten des Unternehmens Alexander Gostev.

Warum verzeichnen wir bereits über ein Jahr keine großen Mailwurm-Epidemien mehr? Was versteckt sich hinter den heutigen Würmern für ISQ-, AOL- und MSN-Messenger? Wodurch ist das qualitative und quantitative Anwachsen von Phishing-Attacken bedingt? Was hat sich seit der Veröffentlichung von Service Pack 2 für Windows XP verändert? Was ist Adware und Spyware, und warum wird in der letzten Zeit so viel darüber gesprochen?

Lesen Sie dazu unsere erste Quartalsanalyse!

Inhalt

  1. IM-Würmer (Instant Messenger Würmer)
  2. Das Problem der Botnetze
  3. Niedergang der Postwurm-Epoche
  4. Social Engineering
  5. Das Fehlen neuer kritischer Schwachstellen in Windows
  6. Bedrohung der Nutzer von online-Spielen
  7. Adware und Viren – wo ist die Grenze?
  8. Schadprogramme für mobile Geräte

IM-Würmer (Instant Messenger Würmer)

IM-Würmer sind Würmer, die sich über Instant Messenger-Netzwerke verbreiten. Die bekannten Computerwürmer dieses Typs nutzen als einzigen Weg zu ihrer Selbstverbreitung Mitteilungen, die an Kontakte der Instant Messenger-Kontaktlisten versandt werden. Diese enthalten eine URL auf eine Datei, die sich auf einem beliebigen Webserver befindet.

Bemerkenswert für die Computer-Virologie im 1. Quartal 2005 ist das Auftauchen einer Vielzahl von Würmern, die zu ihrer Verbreitung die bekannten Netzwerke für das Versenden von Sofortnachrichten nutzten – die MSN- und AOL Messenger.

Wenn man die bisher im Jahr 2005 gefundenen IM-Würmer analysiert und die Daten in einer Tabelle auflistet, kann man einige wesentliche Schlüsse ziehen, die zu verstehen helfen, wie diese Klasse Schadprogramme tatsächlich agiert.

Name IM-Client Varianten Programmiersprache Verbreitungs-Methode
Aimes AOL 4 VB Datei
Atlex ICQ 1 C Link
Bropia MSN 18 VB Link
Kelvir MSN 4 VB Link
Nemesix MSN 1 VB Link
Sumom MSN 3 VB Datei
VB MSN 9 VB Link

Aus der Tabelle ist ersichtlich, dass die Mehrheit der Würmer für ihre Verbreitung den MSN-Messenger benutzt, der in den USA sehr populär ist, in Russland zum Beispiel jedoch kaum eingesetzt wird. Alle Würmer (mit einer Ausnahme) sind in der Programmiersprache Visual Basic (VB) geschrieben.

Dies legt die Annahme nahe, dass wir derzeit die erste Entwicklungsphase dieser Klasse Schadprogramme beobachten. Die Verwendung von VB lässt auf geringe Programmier-Erfahrung der Wurmautoren schließen: die Sprache ist einfach zu erlernen, und ist nicht geeignet zum Erstellen von komplexen Programmen: Die ausführbaren Dateien wären viel zu groß und würden die Arbeitsgeschwindigkeit des Wurmes stark verringern.

Die deutliche Ausrichtung auf den MSN-Messenger zeugt davon, dass praktisch alle Würmer ähnlicher Machart nach dem Muster früherer Exemplare erstellt worden sind. Diese Schlussfolgerung wird durch eine umfangreiche Analyse des Codes der IM-Würmer durch das Virenlabor bei Kaspersky Lab bekräftigt. Nachgewiesen ist, dass die Quellcodes einiger IM-Würmer teilweise im elektronischen Schriftverkehr der Virenschreiber veröffentlicht wurden. Genau diese Quellcodes waren die Grundlage für die meisten der später entdeckten IM-Würmer. Man kann mit 100%ger Sicherheit davon ausgehen, dass sich mit dem Entstehen dieser Klasse Viren gegenwärtig ausschließlich unerfahrene Programmierer beschäftigen (sogenannte Script Kiddies).

Diese Situation ist eine Wiederholung der Entstehungs- und Entwicklungsgeschichte der P2P-Würmer der Jahre 2003/2004. Zu Beginn ihrer Entwicklung waren die P2P-Würmer in der Programmiersprache Visual Basic geschrieben und nutzten zu ihrer Selbstverbreitung nur einen bekannten P2P-Client – Kazaa. Aufgrund der Einfachheit derartiger Würmer und ihrer relativ hohen Verbreitungs-Geschwindigkeit entstanden gleich einige Hundert verschiedene P2P-Wurmfamilien. Die Hoch-Zeit der P2P-Würmer war im Jahr 2003, als wöchentlich etwa ein Dutzend neuer Varianten in Umlauf gebracht wurden.

Die derzeitige Situation ist eine Wiederholung der Entstehungs- und Entwicklungsgeschichte der P2P-Würmer der Jahre 2003/2004.

Analysen von Kaspersky Lab zufolge zeigten, dass jede zweite Datei des FileSharing-Netzes Kazaa eine P2P-Wurmvariante war. Außerdem nutzten viele Mail- und Netzwürmer FileSharing-Netze als zusätzliches Verbreitungsmedium. 2004 jedoch flachte die rasante Entwicklung dieser Würmer ab, und gegenwärtig erfahren diese Schadprogramme einen Niedergang. Aller Wahrscheinlichkeit nach erwartet die IM-Würmer ein ganz ähnlicher Entwicklungs-Zyklus.

Interessant bei IM-Würmern zu beobachten ist, dass ihre Körper auf den zu attackierenden Computer geschickt werden. Ungeachtet der Fähigkeit aller Internet Messenger Netze, Dateien zu übermitteln, vermeiden die Wurmautoren diese Methode zum Eindringen in Systeme (oder sie verfügen einfach nicht über die nötigen Programmierkenntnisse). Anstelle dessen nutzen sie eine Methode, die 2004 bereits einige Mailwurm-Autoren einsetzten: die Versendung von Links auf speziell dafür präparierte Webseiten, auf denen sich das Schadprogramm selbst befindet. Da der Wurm die Links an die eigenen Kontakte des IM-Clients versendet, ist die Wahrscheinlichkeit hoch, dass der Empfänger auf die URL klickt, die sein vermeintlicher Bekannter ihm schickt. In diesem Moment gelangt der Wurm (über Exploits verschiedener Sicherheitslücken im Internet Explorer oder über direktes Laden und Starten aus dem Internet) in das System.

Wir empfehlen Systemadministratoren und Spezialisten aus dem Bereich IT-Sicherheit die gegenwärtig erhöhten Bedrohung von IM-Clients ernst zu nehmen und gegebenenfalls Sicherheitsregeln in die Unternehmens-Politik aufzunehmen, welche die Verwendung derartiger Programme unterbindet. Da die Würmer über Links in die Systeme eindringen, muss unbedingt der gesamte eingehende HTTP-Verkehr von einem Virenscanner überprüft werden.

Neben der Fähigkeit zur Selbstverbreitung ist die Mehrheit der IM-Würmer in der Lage, weitere Schadprogramme in das System zu installieren. So installiert der derzeit in vielen Varianten vertretene Wurm Bropia auf den Computer den Backdoor.Win32.Rbot und integriert den Rechner damit in ein Netz von Zombie-Maschinen, in ein so genanntes Botnetz (botnet).

Problem: Botnetze

Dieses Problem existiert bereits seit einigen Jahren: die ersten großen Netze infizierter Computer erschienen im Jahre 2002 auf dem „Untergrund-Schwarzmarkt“. Mit der Zunahme der Zahl von Internet-Nutzern und dem Auffindens neuer kritischer Sicherheitslücken in Windows nahm die Zahl der zu Botnetzen verbundenen Computer entsprechend zu.

Der Begriff Botnetz wird gegenwärtig bei jedem analogen Netz angewandt, das zentral von den Übeltätern gesteuert wird. Ursprünglich wurden die infizierten Computer über einen IRC-Channel verbunden und erhielten Befehle über IRC von dem Autoren. Diese Art Steuerung ist auch jetzt noch stark verbreitet und wird von den zahlenmäßig am stärksten vertretenen Bot-Familien benutzt – Agobot, Rbot, SdBot. Sie alle verwenden für das Eindringen in das System Schwachstellen des Windows-Betriebssystems. In der Regel sind das Schwachstellen in den Sicherheitsdiensten RPC DCOM und LSASS, doch es gibt auch Bots, die Exploits für 8 und mehr Schwachstellen enthalten um diese gleichzeitig auszunutzen. Aktuelle Bots benutzen auch Passwort-Generierungs Algorithmen und Techniken um offene Netzwerkressourcen anzugreifen.

Die aktuelle Situation der Botnetze ist durch die Ereignisse von 2003 geprägt, insbesondere durch das Auffinden der Schwachstelle im Sicherheitsdienst RPC DCOM Windows 2000 und XP (über diese Schwachstelle verbreitete sich zum Beispiel der Wurm Lovesan, der weltweit viel Aufsehen erregte und Schaden anrichtete).

Der Begriff Botnetz wird gegenwärtig bei jedem analogen Netz angewandt, das zentral von Übeltätern gesteuert wird.

Einen weiteren herausragenden Beitrag in Sachen Entwicklung von ‚Zombie-Netzen“ lieferte der Mailwurm Mydoom, der im Januar 2004 entdeckt wurde. Er öffnete auf der infizierten Maschine einen Port im Bereich 3127-3198 und ermöglichte dem Übeltäter den vollständigen Zugriff auf das System. Außerdem war er in der Lage, beliebige Dateien aus dem Internet herunterzuladen und ausführbare Files zu starten. Der Zugriff auf den Backdoor erfolgte über eine 5byte-Kombination, die anderen Virenschreibern ziemlich schnell zugänglich war, und das Netz wurde regelrecht von Würmern überschwemmt, welche die von Mydoom infizierten Computer attackierten. Außerdem entwickelten die Viren-Autoren Programm-Scanner, die es ihnen ermöglichten, eine Reihe von IP-Adressen im Netz auf die Infektion mit Mydoom hin zu scannen und dem infizierten Computer eine beliebige Datei zur Ausführung zu übermitteln. Die infizierten Rechner konnten auf diese Art und Weise einige Male pro Tag „von Hand zu Hand“ gereicht werden, um früher oder später Bestandteil eines Botnetzes zu werden.

Dritter Meilenstein bei der Entwicklung der Botnetze wurde die im April 2004 aufgefundene kritische Windows-Schwachstelle, diesmal im lokalen Sicherheitsdienst LSASS. Im Mai begann bereits die Epidemie von Wurm Sasser, der sich just über den Exploit dieser Schwachstelle verbreitete. Und erneut nutzten die Virenschreiber die durch Sasser infizierten Computer für ihre Zwecke.

Nach Einschätzung einer Reihe von IT-Sicherheits-Spezialisten steigt die Zahl der Computer, die einem beliebigen Botnetz angehören, gegenwärtig jeden Monat um etwa 300.000-350.000, und die Gesamtzahl der „Zombie-Maschinen“ beträgt bereits mehrere Millionen. Sie alle werden von den Cyberverbrechern mit dem Ziel der finanziellen Bereicherung eingesetzt – über sie wird Spam versandt, DoS-Attacken zu Erpressungszwecken gefahren, und es werden über sie neue Schadprogramm-Versionen versandt.

Insbesondere Botnetze stellen derzeit ein Hauptproblem und eine große Gefahr für die Sicherheit der Internet-Nutzer dar. Sie bilden praktisch den Boden für ständig neue Virus-Epidemien. Die Lösung des Botnetz-Problems sollte daher in der IT-Industrie Priorität eingeräumt werden. Denn von der erfolgreichen Beseitigung dieser Netzwerke hängt die Zukunft des Internets direkt ab.

Der Niedergang der Postwurm-Epoche

Bereits zu Beginn 2005 wurden die Prognosen einiger Antivirus-Experten bestätigt. Sie sagten das allmähliche Aussterben moderner Mailwürmer vorher, und dass sie den Staffelstab an verschiedene Netzwürmer mit Trojaner-Funktionen übergeben würden.

Nach den gigantischen Epidemien von 2004 (Mydoom, NetSky, Bagle und Zafi) beobachten wir gegenwärtig ein entgegengesetztes Szenario. 2005 haben wir praktisch nicht eine Mailwurm-Epidemie gesehen, die mit einer mittleren Epidemie des vergangenen Jahres zu vergleichen wäre.

Einerseits kann dies von den Erfolgen der Antivirus-Unternehmen im Kampf gegen Wurm-Epidemien zeugen – Im Laufe des vergangenen Jahres hat die Antivirus-Industrie einige neue Technologien zum Abfangen infizierter E-Mails hervorgebracht und Epidemien so bereits im frühen Entwicklungsstadium unterbinden können (beispielsweise durch das Erkennen von Würmer selbst in passwortgeschützten Archiv-Anhängen sowie durch die Analyse von E-Mails mit ausführbaren Datei-Anhängen usw.).

Nach den gigantischen Epidemien von 2004 (Mydoom, NetSky, Bagle und Zafi) beobachten wir gegenwärtig ein entgegengesetztes Szenario.

Aller Wahrscheinlichkeit nach erwarten uns in nächster Zukunft auch keine bedeutenden Epidemien von Mailwürmern mehr, die als Anhang an E-Mails versandt werden. Erstens sind die kritischen Schwachstellen in den am weitesten verbreiteten E-Mail-Clients Microsoft Outlook und Outlook Express längst gepatcht worden. Zweitens zeigen die Aufklärungsarbeit durch Antivirus-Unternehmen und die Medien der letzten Jahre Erfolg: Die Anwender gehen weitaus bedächtiger vor, wenn sie E-Mail-Anhänge öffnen – besonders, wenn der Brief von unbekannten Absendern kommt. Für die Virenschreiber tritt nun das „Social Engineering“ in den Vordergrund: Sie versuchen, E-Mails so interessant zu gestalten, dass der Anwender die angehängte Datei trotz aller Warnungen öffnet.

Social Engineering

Unter Social Engineering versteht man die Methode, Anwender durch die Übermittlung angeblich für ihn wichtiger Daten gezielt in die Irre zu führen. Dieses Phänomen tritt gegenwärtig in ein nächsthöheres Entwicklungsstadium ein. Neue Vorgehensweisen wurden zwar bislang noch nicht entwickelt, aber die alten und bewährten werden in erschreckenden Ausmaßen eingesetzt. Bestes Beispiel hierfür sind die derzeit jedem bekannten Phishing-Attacken:

Unter Phishing versteht man online-Betrug mit dem Ziel, persönliche Daten von Internet-Nutzern zu erhalten. Die „Phisher“ versenden dazu E-Mails im Namen bekannter Marken (meist Banken), die Links auf gefälschte Webseiten enthalten. Ist der User auf einer solchen Webseite gelandet, versuchen die Phisher ihm wertvolle Informationen zu entlocken – beispielsweise die Nummer seiner Kreditkarte – indem sie ihn einfach danach fragen.

Forschungen der Antiphishing Working Group zufolge versanden Phishing-Organisatoren alleine im Januar 2005 12.845 E-Mails mit Links auf 2.560 verschiedene gefälschte Webseiten!

Die Aktivität der online-Betrüger wuchs im Vergleich zum Dezember 2004 um 47% (1.740 gefälschte Webseiten wurden damals gefunden) und fast um das Doppelte im Vergleich zum Oktober 2004 (mit 1.186 gefälschten Webseiten, die aufgefunden wurden). Die Zahl der E-Mails mit der Aufforderung, die gefälschten Webseiten zu besuchenn wuchs im Vergleich zum Dezember 2004 um 42%.

Der größten Gefahr sind die Kunden bekannter Banken und Finanzdienstleister bzw. online-Auktionssplattformen ausgesetzt, wie zum Beispiel Citibank, Ebay, Paypal, E-Gold, US-Bank, WAMU usw.

Auch bei phishing-Attacken werden die E-Mails über die bereits beschriebenen Botnetze versand. Außerdem werden über sie ständig Trojaner-Programme verschickt, die für den Diebstahl von Bankdaten der Anwender eingesetzt werden. Die größte Aktivität zeigen dabei brasilianische Cyberverbrecher. Trojaner-Programme, die auf den Diebstahl persönlicher Daten abzielen, bilden die zahlenmäßig größte Gruppe innerhalb dieser Art Schadprogramme.

Auch einige Hersteller von Adware-Programmen widmeten sich dem Thema Spyware, und natürlich erst recht die geldwitternden Cyberkriminellen.

Eine Unterart des Social Engineering stellt die durch die Medien und IT-Industrie hochstilisierte Problematik „Spyware“ dar. Darunter verstehen Marketing-Personen Programme, die Computer nach Daten ausspionieren. In Wirklichkeit sind diese Programme aber lediglich Subsets von Computerviren und Trojanern, die jedes bessere Anti-Virus-Produkt auffindet.
Buchstäblich mit Erscheinen der kostenlosen Utility AntiSpyware von Microsoft haben Viren-Autoren Schadprogramme ins Netz gestellt, die sich als neue, verbesserte Version von MS AntiSpyware ausgaben. Auch einige Hersteller von Adware-Programmen widmeten sich dem Thema Spyware, und natürlich erst recht die geldwitternden Cyberkriminellen.

Kaspersky Lab registrierte außerdem eine deutliche Zunahme des Spam-Versands über den Windows Messenger -Service.
Diese Art Spam gelangt über das Messenger-ServiceProtokoll auf den Computer und sieht wie gewöhnliche Mitteilungs-Fenster des Betriebssystems aus.

Diese Nachrichten „informieren“ in der Regel darüber, dass auf dem Computer Spyware-Programme gefunden wurden und empfehlen dem Anwender, eine bestimmte Webseite zu besuchen, um ein kostenloses Anti-Spyware-Programm herunterzuladen. Bei diesen Programmen handelt es sich jedoch um Trojaner, keine Viren entfernen, sondern vielmehr selbst zum Zwecke der Spionage eingesetzt werden.

Nichts bleibt von Kriminellen ungenutzt – selbst wenn es sich um solch gewaltige Katastrophen wie der Dezember-Tsunami in Südost-Asien handelt, der Hunderttausenden das Leben gekostet hat. Selbst dieses Thema machten sich Cyber-Verbrecher zueigen, indem sie Viren in vorgetäuschte Hilfs- und Spendenaufrufe einschleusten und damit Bankinformationen stahlen. Auch in Tsunami-Fotos und Berichten über die Anzahl der Opfer wurden Trojaner-Programme registriert.

Das Fehlen neuer kritischer Schwachstellen in Windows

Die eingetretene Ruhe an der Virusfront zu Beginn 2005 ist in bedeutendem Maße Microsoft zuzuschreiben, in dessen Produkten keine weiteren Sicherheitslücken aufgefunden wurden, die vergleichbar mit den Sicherheitslücken in den Diensten
RPC DCOM oder
LSASS wären. Die letzte derartige Bedrohung war eine Schwachstelle im WINS-Server NetBIOS für das Windows Betriebssystem, aufgefunden am 26. November vergangenen Jahres und geschlossen durch ein Patch von Microsoft am 30. November.

Trotz der relativ gefährlichen Schwachstellen in Windows, die zu Beginn 2005 aufgefunden wurden (Vulnerability in Cursor and Icon Format Handling, Windows Kernel Vulnerability, Vulnerability in PNG Processing, Vulnerability in Hyperlink Object Library), hat nicht eine von ihnen eine globale Epidemie ausgelöst. Sie alle waren zwar in das eine oder andere Virenaufkommen verwickelt, wurden jedoch ausschließlich zum Einschleusen von Spionage-Programmen verwendet.

Man kann zusammenfassen, dass in den ersten Monaten des laufenden Jahres das Fehlen neuer kritischer Schwachpunkte in Windows und die immer stärkere Verbreitung von Windows XP SP 2 wesentliche Faktoren für die Abwehr globaler Epidemien waren.

Experten von Kaspersky Lab zufolge ist die gegenwärtig für das Einschleusen von Schadcode am häufigsten verwendete Sicherheitslücke im Browser des Internet Explorer zu finden: (CAN-2004-0380).

Die Schwachstelle liegt in den Dateien des CHM Formates (Microsoft Compiled Help). Deren Links sind im Internet vorhanden und enthalten ausführbare Skripte der Sprachen VB-Script und J-Script. Beim Öffnen derartiger CHM-Dateien werden diese auf den zu attakierenden Systemen in der Local Internet Zone mit den Rechten des aktuellen Anwenders ausgeführt. In der Regel gehören diese Skripte in der Klasse Trojaner-Programme zu den Trojan-Downloader oder Trojan-Dropper. Ziel dieser Skripte ist die Installation des Trojaner-Programmes auf dem attakierten System.

Bemerkung: Diese Schwachstelle wurde von Microsoft selbst am 13. April 2004 gepatcht (MS04-013).

Bedrohung der Nutzer von online-Spielen

Neben dem online-Diebstahl von Bank- und Zahlungsdaten sehen Virenschreiber eine neue Herausforderung bei Internet-Spielen. Der Markt für Internet-Spiele, der mit dem 1997 erschienenen Spiel MMORPG Ultima Online entstand, erlebt momentan eine Blütezeit und entwickelt sich aktiv weiter. Auf Internet-Auktionen werden virtuelle Gegenstände oder Personen aus Internet-Spielen verkauft und können mitunter einige Tausend – nicht-virtuelle – Dollar kosten. Bekannt ist, beispielsweise, dass eine „virtuelle Insel“ aus einem solchen Spiel für 26 500 Dollar verkauft wurde.

Insgesamt zirkulieren in und um Internet-Spielen bereits einige Milliarden Dollar. Diese Tatsache ließ Cyber-Räubern selbstverständlich keine Ruhe. Erste Opfer von Cyberkriminellen waren die Spieler des in Asien weitverbreiteten Games „Legend of Mir“ (gegenwärtig zählt das Spiel mehr als drei Millionen Fans, hauptsächlich aus Südkorea). Anfang 2003 erschienen die ersten Trojaner-Programme, die die statistischen Eintragungen in den Spieler-Accounts raubten. Bis heute sind bereits 700 verschiedene Spionage-Programme bekannt, die die Spieler von „Legend of Mir“ attackieren. Eine Analyse bestätigt, dass die Mehrzahl von ihnen in Südkorea und China entwickelt wurden.

Die Popularität der online-Spiele und das darin „spielende“ Geld wachsen immens und entsprechend natürlich das Interesse der Übeltäter.

Ein weiteres beliebtes und dadurch gefährdetes online-Spiel aus Korea ist „Lineage“. Die ersten Trojaner für dieses Spiel wurden vor einem halben Jahr (im Oktober 2004) entdeckt, mittlerweile übersteigt die Zahl der Modifikationen bereits 100.

Von den „frisch gebackenen“ Spiele-Spionen lohnt es sich, eine Klasse Trojaner-Programme zu erwähnen, die persönliche Daten aus dem Spiel Gamania stehlen. Der erste wurde im Februar 2005 gefunden. Seitdem erscheinen wöchentlich neue Varianten.

Auch russische Virenschreiber sind beim Datenklau in Spielen mit von der Partie. Sie haben das bekannte russische Spiel „Klub der Kämpfer“ als Zielscheibe, in dem die Kosten einiger Gegenstände Tausend Dollar übersteigen.
Die Administratoren des Spiele-Projekts haben sich an Kaspersky Lab gewandt, als sie sich über das Ausmaß der Kriminalität klar wurden. Kaspersky Lab arbeitet nun mit „Klub der Kämpfer“ zusammen und erhält Informationen über neue Viren, Trojaner und andere Schadprogramme, die im Zusammenhang mit den Spiele-Portalen stehen. Wir entwickeln in kürzesten Zeit Schutzmethoden gegen die Programme und aktualisieren die Antivirus-Datenbanken. Weltweit ist dies ein einzigartiges Beispiel für die Zusammenarbeit zwischen Sicherheits- und Spiele-Industrie.

Adware und Viren – wo ist die Grenze?

Adware ist neben Spyware ein weiterer moderner Begriff im Bereich IT-Sicherheit. Wir werden hier keine rechtlichen Ausführungen zu diesem Problem vornehmen und uns auch nicht auf ideologische Diskussionen zu diesem Thema einlassen; sondern wollen versuchen, uns auf Fakten zu konzentrieren.

Die Grenze zwischen „harmlosen“ Reklame-Programmen (Adware) und vollwertigen Schadprogrammen ist praktisch fließend. Immer häufiger enthalten Programme dieser Klasse Trojaner-Merkmale. Das kann man an der Art der Installation in das System erkennen (z.B. über Schwachstellen in Browsern) sowie am Verhalten auf dem Anwender-PC. Diese Programme tarnen sich und machen ihre Deinstallation aus dem System so schwer als möglich. Sie suchen und entfernen Konkurrenz-Programme und nehmen deren Platz ein. Sie können Module enthalten, die Informationen über besuchte Webseiten und eingegebene Daten der Computer-Eigentümer speichern und diese an Dritte weiterleiten. All dies beobachteten unsere Experten bereits 2004.

Die Grenze zwischen „harmlosen“ Reklame-Programmen (Adware) und vollwertigen Schadprogrammen ist praktisch fließend.

2005 kam uns eine neue Art dieser Programme hinzu, die als klassische Viren analysiert wurden. „Altmodische“ Viren, die Dateien infizieren und deren Zeit, wie man annahm, bereits im vergangenen Jahrhundert abgeschlossen war, feierten als Reklame-Programme ihr Comeback.

Der Virus Win32.Bube, zum Beispiel, wird beim Besuch von Webseiten auf den Computer geladen, die Exploits der Sicherheitslücken im Internet Explorer enthalten ((MHTML URL Processing Vulnerability) oder in der Microsoft Virtual Machine (Flaw in Microsoft VM). Nach dem Eindringen in das System infiziert der Virus die Datei Explorer.exe und verwendet sie dann als Trojan-Downloader, um andere Programme der Klasse Adware auf den Computer zu installieren. Die Infektion des Standard-Windows Explorer ermöglicht es ihm, verschiedene Firewalls zu umgehen.

Heute ist es nicht mehr möglich, eine starre Grenze zwischen Adware (Reklame-Programmen) und Malware (Schadprogrammen) zu ziehen, was eine gewisse Skepsis gegenüber gewissen Programmen aufkommen lässt, die ausschließlich Adware suchen und entfernen und nicht das gesamte Spektrum an Schadprogrammen erkennen.

Schadprogramme für mobile Geräte

2004 wurde eine neue Epoche in der IT-Sicherheit eingeläutet. Im Juni 2004 wurde ein neuer Schadcode entdeckt, der Mobiltelefone unter dem Betriebssystem Symbian angriff. In der letzten Zeit verändern sich die mobilen Bedrohungen und treten in eine neue Entwicklungsphase.

Die Technologie von Wurm Cabir, die nach dessen Erscheinen von einigen Vertretern des Cyber-Undergrunds in einem für die Allgemeinheit verständlichen Format veröffentlicht wurde, ist nach wie vor die einzig bekannte und von den Virenschreibern verwendete. Auf der Grundlage des Quellcodes von Cabir wurden einige seiner Modifikationen geschaffen, bei deren Entwicklung insbesondere brasilianische und chinesische Hacker fleißig Hand anlegten. Zu mehr als einigen Modifikationen kam es bislang jedoch noch nicht.

Stattdessen weckten einige neue Schadprogramme das Interesse der Antivirus-Industrie und Hersteller von mobilen Endgeräten. Um ein vollständiges Bild zu erhalten, haben wir sie in der nachstehenden Tabelle (Stand: 26.03.2005) erfasst:

Name Typ Erste Variante* Anzahl der Varianten*
Cabir Bluetooth-Worm Juni 2004 10
Mosquit Trojan August 2004 1
Skuller Trojan November 2004 6
Lasco Bluetooth-Worm/Virus Januar 2005 1
Locknut Trojan Februar 2005 2
Comwar MMS-Worm März 2005 2
Dampig Trojan März 2005 1
Drever Trojan März 2005 3

* Die Anzahl der Varianten und die Erkennungsdaten entsprechen der Einstufung bei Kaspersky Lab und können unter Umständen nicht mit den Daten anderer Antivirus-Unternehmen übereinstimmen.

Angefangen mit Bluetooth-Wurm Worm.SymbOS.Cabir.a sind bereits drei Klassen von Schadprogrammen für mobile Geräte in Umlauf: Würmer, Viren und Trojaner. Wo die traditionellen Viren Jahre für ihre Evolution benötigten, schafften es mobile Viren weniger als in einem Jahr. Nicht zu unterschätzen ist hier vor allem die potentielle Gefahr eines „Flash-Wurms“, eines sogenannten „Warhol Worm“, der in der Lage ist, in kürzester Zeit sämtliche PCs zu attackieren, die theoretisch attackierbar sind.

Wir sprechen hier vom ersten Muster des MMS-Wurms, der im März analysiert wurde und zur Verbreitung MMS-Nachrichten nutzt. Zum Glück weist der Wurm ComWar einige Programmierfehler auf und war beim Versenden der Nachrichten ziemlich träge. Trotzdem sind diese Würmer rein theoretisch fähig, ihre Körper nicht nur sehr schnell von Telefon zu Telefon zu übermitteln, sondern auch den Verkehr in Telekommunikations-Netzen stark zu erhöhen, was zu einer Überlastung der Netze führen kann. Diese Viren könnten IT-Sicherheits-Spezialisten und Netzanbietern bereits in naher Zukunft erhebliche Kopfschmerzen bereiten.

Nicht zu unterschätzen ist hier vor allem die potentielle Gefahr eines „Flash-Wurms“, eines sogenannten „Warhol Worm“, der in der Lage ist, in kürzester Zeit sämtliche PCs zu attackieren, die theoretisch attackierbar sind.

Neue Bluetooth-Würmer wie Cabir wurden 2005 noch keine analysiert. Trotz des geringen Handlungsradius‘ durch die Bluetooth-Technologie und entsprechend geringer Verbreitungs-Geschwindigkeit dieser Würmer wurde Cabir.a und seine Modifikationen bereits in 17 Ländern der Welt aufgefunden.

Fünf gegenwärtig bekannte Trojaner-Familien für Mobiltelefone stellen gewissermaßen eine Trojaner-Bombe dar. Bei Installation auf das Telefon tauschen sie untereinander verschiedene System-Anwendungen aus und setzen damit das Telefon außer Betrieb. Bestandteil fast aller dieser Trojaner ist Wurm Cabir in der einen oder anderen Variante und sie versuchen, ihre Körper zusammen mit dem Körper dieses Wurms weiterzugeben.

Wurm Lasco soll unbedingt gesondert Erwähnung finden. Er ist ein Hybrid aus Wurm und Virus. Beim Start scannt er die Festplatte, sucht SIS-Archive und versucht die gefundenen Dateien zu infizieren, indem er seinen Code in das Archiv einschleust. Der Virus hat bislang zwei Varianten: eine Anwendung für die Win32-Plattform, welche die aufgefunden SIS-Dateien infiziert, und eine Anwendung für die Symbian-Plattform. Die Verbreitungsfunktion über Bluetooth ist in den Ursprungscodes des Cabir-Wurms begründet.

Abschließend sei erwähnt, dass Kaspersky Lab Untersuchungen durchgeführt hat, um die Möglichkeit einer Infektion von Symbian-Bord-Computern in KFZ durch Viren zu eruieren. Die Ergebnisse zeigen uns, dass solch eine Möglichkeit derzeit nicht gegeben ist. Wir gehen jedoch davon aus, dass mobile Geräte mit der Weiterentwicklung von Betriebssystemen in der Zukunft einer besonderen Gefahr ausgesetzt sein werden.

Anstelle einer Zusammenfassung

Und so bestätigen die Ereignisse des ersten Quartals 2005 eine Reihe der von uns in der Vergangenheit abgegebenen Prognosen. Im Einzelnen wurde die Tendenz des allmählichen Aussterbens der Mailwürmer Realität. Sie werden von den Netzwürmern abgelöst, den Instant Messenger-Würmern – denn die Instant Messenger Netze sind weitaus schlechter geschützt, als die modernen Mail-Systeme.

Während also die IM-Würmer ihre ersten Schritte machen, und das mometane „Fehlen“ neuer, bedeutender Schwachstellen in Windows das Auftauchen gefährlicher Netzwürmer verhindert, traten Symptome in den Vordergrund, die in der Vergangenheit als weniger kritisch eingestuft wurden: Phishing, Konvergenz-Viren und Reklame-Programme, der Kampf mit Botnetzen und Schadprogrammen für mobile Geräte – Pocket PC und Smartphones.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.