Entwicklungstendenzen der Schadprogramme im Mai 2005

Im vergangenen Monat nahm die Aktivität verschiedener Malware-Gruppen erheblich zu. Net-Worm.Win32.Mytob, beispielsweise, schwächte stark die Positionen des ziemlich bekannten Mail-Wurms Email-Worm.Win32.Mydoom. Es ist nicht ausgeschlossen, dass er ihn in der nahen Zukunft vollständig aus seiner Nische verdrängt. Zu erklären ist dieser Effekt damit, dass Net-Worm.Win32.Mytob direkter Nachkomme von Email-Worm.Win32.Mydoom ist. Es ist beinahe fast derselbe Mydoom, ergänzt durch eine Funktion zur Verbreitung über das Internet mittels bekannter Microsoft Windows Sicherheitslücken sowie einer IRC-backdoor-Funktion.

Einige dieser Wurm-Modifikationen nutzen zu den bereits aufgezählten „Neuheiten“, die Möglichkeit der Verbreitung über Instant Messenger-Netzwerke. Diese Funktion wird durch ein extra Modul in Form eines Klons von IM-Worm.Win32.Kelvir realisiert, welches einzeln mit der Hauptdatei des Schadprogramms in das System installiert wird.

Neben den funktionellen Neuerungen hat sich die Lebensdauer des Wurms verändert. Im Unterschied zu den leicht verfolgbaren letzten Versionen der „Eintags“-Mail-Würmer, verfügt Mytob über große Zeitreserven, die mit den ersten Vertretern von Mydoom, NetSky, Zafi und Bagle vergleichbar sind. Alle oben aufgeführten Modifikationen insgesamt, wie auch das regelmäßige Auftauchen neuer Versionen und Abwandlungen erzeugen den Effekt hoher Aktivität dieses Wurms.

Eine weitere Wurm-Gruppe, die unsere Aufmerksamkeit auf sich lenkt, ist Eyeveg. Der Wurm drängelt sich nach einem fast halbjährigen Faulenzen buchstäblich in obere Positionen. Dieses Verhalten erinnert sehr an einen aktiven Vulkan – ein krasser Übergang vom Zustand des Winterschlafs zu höchster Aktivität. Die ersten drei Versionen dieses Wurms tauchten 2003 auf. 2004 kamen zwei weitere dazu (die letzte am 14. Oktober). Danach, wie bereits erwähnt, trat ein halbjähriges Schweigen ein. Im Mai 2005 gab es dann gleich 3 neue Versionen – Eyeveg.f, Eyeveg.g und Eyeveg.h, die mit einer Zeitpause von etwa einer Woche erschienen und praktisch sofort Führungspositionen in der Liste der aktivsten Schadprogramme einnahmen. Die größte Aktivität war in Russland zu verzeichnen. Momentan ist es schwierig, das weitere Verhalten dieses Wurms zu prognostizieren. Es kann durchaus sein, dass er nach diesem blitzartigen Auftirtt wieder für unbestimmte Zeit einschläft, aber es kann auch vollkommen entgegengesetzt kommen – wie bei den etwas in Vergessenheit geratenen Programmen der Trojan-Downloader.Win32.INService.

Ein dritter, schon bekannter Email-Worm.Win32.Sober.q, zeigte besonders in den Ländern Europas hohe Aktivität, er verbreitete rechtsradikale Propaganda.

Was die IM-Würmer anbetrifft, so beobachten wir eine gewisse Stabilität der Aktivität. Charakteristisch für die zwei aktivsten Vertreter dieser Familie, IM-Worm.Win32.Bropia und IM-Worm.Win32.Kelvir ist das ziemlich häufige Auftauchen neuer Versionen mit sehr kurzer Lebensdauer.

Bei der Spyware beobachten wir eine gewisse Verringerung der Aktivität, die hauptsächlich die Gruppe Trojan-PSW.Win32.LdPinch, PdPinch und Trojan-Spy.Win32.Goldun betrifft. Es ist eine Art Übergang auf ein stabiles Niveau.

Der „Stabilisierung“ der genannten Gruppe können wir eine starke Aktivitäts-Zunahme der brasilianischen Spyware gegenüberstellen, der Trojan-Spy.Win32.Banker, Bancos, Banbra, und Banpaes, und genauso der sie begleitenden Zustell-Mechanismen – Trojan-Downloader.Win32.Dodobra. Täglich erscheinen entweder neue Versionen, oder ältere werden so modifiziert, dass die Antivirus-Programme sie nicht erkennen können. Als eine sich ständig ändernde Version tritt beispielsweise Trojan-Spy.Win32.Baner.ju auf.

Spyware verbreitet sich über verschiedene Wege, meist über Massen-Spamversand. Hier gibt es ebenfalls zwei verschiedene Varianten – eine einstufige und eine zweistufige. Der Unterschied besteht in der Qualität der über Spam-Versand zu verbreitenden Datei: entweder erscheint eine Modifikation des Spions (einstufige Variante), oder Trojan-Downloader Dadobra, welcher ein oder zwei verschiedene Programm-„Spione“ dieser Gruppe (zweistufige Variante) herunter lädt. Viel seltener trifft man eine weitere Variante, in welcher ein kleiner Mailwurm mit dem Namen Email-Worm.Win32.Combra als Infektionsverbreiter erscheint, der letztlich auf die infizierte Maschine entweder das endgültige Spion-Programm oder den Trojan-Downloader lädt. Vermerkt sei auch, dass mit Trojaner Dadobra einige Veränderungen vor sich gehen – einige der letzten Versionen verwenden für das Herunterladen der Dateien das FTP-Protokoll, im Unterschied zu dem im vergangenen Jahr weit verbreitetem HTTP-Protokoll.

Auch die Vertreter der Chinesen sind bemüht, sich den Brasilianern anzupassen. Die Situation, die wir in diesem Bereich beobachten, kann durchaus als stabil eingeschätzt werden. Besondere Aktivität der bekannten chinesischen Schadprogramme, solcher wie Trojan-PSW.Win32.Lmir, Lineage, Gamania und verschiedener QQ „Diebe“, ist nicht zu verzeichnen. Nur Backdoor.Win32.Hupigon ist hervorzuheben, da in der letzten Zeit ziemlich aktiv neue Versionen geprägt werden, die jedoch keine ernsthaften Störungen anrichten.

Letztlich sei noch ein interessanter Neuer des vergangenen Monats genannt – Trojan-Downloader.Win32.Peerat.a. Er besitzt eine ziemlich eigenartige Funktion: im Unterschied zu den klassischen Trojan-Downloadern lädt er nicht nur irgendein Schadprogramm, sondern versucht, es in ein Filesharing-Netz einzuschleusen, sollte auf der infizierte Maschine ein solches vorhanden sein.

Zusammenfassend können wir sagen:

  1. Die Tendenz der Verdrängung des Mailwurms Mydoom durch seinen Nachfolger Mytob wird sich aller Wahrscheinlichkeit nach in naher Zukunft fortsetzen, auch ein vollständiger Ersatz ist möglich.
  2. Die Wiederbelebung einiger früher bekannter, aber derzeit vergessener Schadprogramme ist möglich.
  3. Spyware und Riskware werden weiterhin genutzt – entweder stabil, oder mit wachsender Intensität.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.