Entwicklungstendenzen der Schadprogramme im August 2004

Hauptereignis im August war zweifelsohne das Erscheinen des Schadprogramms für Pocket PC, das die Bezeichnung Backdoor.WinCE.Brador.a. erhielt. Dies ist ein kommerzielles remote Dienstprogramm (wird dem Kunden als Dienstprogramm für Geld angeboten), das verschiedene Befehle entgegennehmen und ausführen kann. Das wiederum bedeutet, dass dieser backdoor bald in der Lage sein wird, sich rasant zu verbreiten.

Weiterhin wurde vom Antiviren-Labor des Unternehmens das Trojaner-Programm Trojan.SymbOS.Mosquit.a. entdeckt, dessen Datei ein Spiel für Handys ist, die vom Betriebssystem Symbian gesteuert werden. Das Programm erhielt Trojaner-Charakter, weil es, neben seiner legalen Vorbestimmung, in der Lage ist, ohne Wissen des Nutzers SMS an bestimmte Telefon-Nummern zu senden.

Es vergrößert sich weiterhin die Anzahl der neuen Trojaner-Spion-Programme. Ende August gab es gleichzeitig sieben neue Varianten des a href=“viruslist.html?id=1838965″ class=virus>Trojan.PSW.LdPinch, zwei neue Varianten des TrojanSpy.Win32.Small.q. (das Programm raubt Nutzerdaten bei 55 verschiedenen elektronischen Zahlsystemen und schickt ihrem Autor den Trojaner) und eine ziemlich große Anzahl Trojan.PSW.Lmir (eine Trojaner-Familie, die die Parolen des chinesischen online-Spiels Legend of Mir raubt).

Mitte August wurde durch das Unternehmen Pentest eine Anfälligkeit in der WIDCOMM Bluetooth Connectivity Software entdeckt, die es erlaubt, einen willkürlichen Code auf das attackierte Gerät zu starten mit den Rechten des aktuellen Anwenders. Da es bislang noch keine Patches gibt, die diese Anfälligkeit beseitigen, ist es möglich, dass Programme zur Verbreitung der Anfälligkeit erscheinen.

Am 28. August wurden durch Spam-Massen-Versand Briefe verbreitet: Thema des Briefes ‚1‘, in der Anlage eine Datei von 8 Bite mit dem Namen ‚1.gif‘ und ‚2.gif‘, die in sich den Text ‚45451212‘ enthalten. In die Nachricht ist ein HTML-Code eingebaut, der Exploit.HTML.ObjData nutzt, um das Schadprogramm TrojanDropper.Win32.Small.kv aus dem Internet zu laden. Ebenso wird eine solche Datei durch den bekannten Internet-Wurm-Bagle verbreitet. Möglicherweise ist das die Vorbereitung auf das Erscheinen einer neuen Version von Internet-Wurm-Bagle.

Im vergangenen Monat wurde eine Epidemie des Postwurms I-Worm.Mydoom.q registriert. Die Verbreitungsmechanismen dieser Wurmversion brachen ihre Tätigkeit am 20.August 2004, nach 12:11:11 ab, jedoch blieb der vom Wurm auf den infizierten Computer installierte Backdoor.Win32.Surila.g weiterhin arbeitsfähig.

Vorschau für den kommenden Monat

Im kommenden Monat werden, wie gewöhnlich, die ersten Plätze nach der Anzahl der gleichen Kopien – von Würmern belegt, nach der Anzahl der verschiedenen Varianten – von Spion-Programmen. Möglich ist das Auftauchen neuer Schadprogramme für Pocket PCs und Handys, darunter auch solche, die sich mit Hilfe der Anfälligkeit der WIDCOMM Bluetooth Connectivity Software verbreiten. Im Zusammenhang mit der fixierten Spam-Versendung von Briefen mit der Anfälligkeit Exploit.HTML.ObjData, die das Schadprogramm TrojanDropper.Win32.Small.kv mit sich bringt, könnte eine neue Version von I-Worm.Bagle weit verbreitet werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.