Entwicklungstendenzen der Schadprogramme im Monat April

Der April wurde zum bislang „wurmigsten“ Monat in diesem Jahr. Es tauchten sehr viele Würmer auf und schnell erschienen immer weitere neue Versionen.

Email-Worm.Win32.Bagle

Nach etwa einem Monat Schweigen erschien eine neue Bagle-Variante: Email-Worm.Win32.Bagle.bi, entdeckt am 15. April 2005 (die letzte Version war vom 12. März 2005). Von diesem Moment an tauchten 7 weitere neue Bagle-Versionen auf: Bagle.bi-bn, und noch einige weitere Varianten, die zu Bagle.pac vereint wurden.

Bagle ist kein richtiger Wurm, vielmehr ein betriebsbereiter Prozess zum Sammeln von E-Mail Adressen.

Die Bagle-Autoren haben nun damit begonnen, die Reaktionsgeschwindigkeit der Antivirus-Unternehmen zu testen. Neue Versionen erschienen buchstäblich 15 Minuten nach der Veröffentlichung der Aktualisierung der Antivirus-Datenbanken. Charakteristisch ist, dass die neuen Bagle-Versionen gewöhnlich nach 00:00 Moskauer Zeit erschienen.

Jetzt ist Bagle auch nicht mehr ein richtiger E-Mail-Wurm, da in den meisten neuen Varianten die Selbstverbreitungsfunktion blockiert ist. Die neuen Bagle-Versionen werden an die Anwender über Massen-Spam-Versand verschickt. In den Schadprogrammen selbst ist in der Regel eine lange URL-Liste enthalten, von denen Bagle Dateien herunter laden kann. Dann, nach einiger Zeit, wird auf diese Adressen irgendein Programm hinterlegt, beispielsweise: SpamTool.Win32.Small.

SpamTool.Win32.Small sucht auf dem Computer E-Mail-Adressen und schickt diese an seinen Autor. Aller Wahrscheinlichkeit nach, werden genau an diese gesammelten Adressen neue Bagle-Versionen versandt. Auch ist die Wahrscheinlichkeit groß, dass die Datenbanken an die Spammer verkauft werden. Also ist es schon nicht mehr so richtig ein Wurm, sondern vielmehr ein betriebsbereiter Prozess zum Sammeln von E-Mail-Adressen. Der Anwender, welcher einmalig den Wurm zu seiner Ausführung auf dem Computer startete, wird Teil eines infizierten Netzes – des Botnetzes.

Net-Worm.Win32.Mytob

Im April erschienen 25 neue Versionen von Net-Worm.Win32.Mytob, welche die Zusätze „p“ bis „an“ erhielten. Dieser Wurm verwendet für seine Selbstverbreitung E-Mail-Versand, sowie eine Sicherheitslücke im LSASS-Service.

Die Version Mytob.c des Wurms besetzt derzeit den ersten Platz unserer Viren-Top 20 (Stand April). Die Erstplatzierung dieses Wurms wird durch die Nutzung einer Windows-Sicherheitslücke gewährleistet. Und das wiederum bedeutet, daß eine große Zahl Anwender ihr Betriebssystem nicht regelmäßig aktualisiert. Um einen sicheren Schutz des Computers vor Malware zu garantieren, sind regelmäßige Aktualisierungen unbedingt erforderlich, gerade derjenigen, welche die Sicherheit des Systems betreffen.

IM-Worm.Win32.Kelvir

Die meisten Versionen bietete jedoch Wurm IM-Worm.Win32.Kelvir — von „e“ bis „ap“ (38 neue Versionen).

Eine der neuen Kelvir-Modifikation (Kelvir.k) verwendet eine interessante neue Methode des Social Engineering: anstelle des Verschickens eines Links auf eine pif- oder scr-Datei, versendet der Wurm einen Link auf eine Datei mit der Erweiterung php.

Die Spezifik von Links auf php-Dateien ermöglicht es, beliebige Ziffern und Buchstaben zu ergänzen. Diese nach dem „?“ ergänzten Daten werden beim Klicken auf den Link an den Server versendet. Und genau das tut Kelvir.k — er ergänzt nach der php-Datei die E-Mail Adresse des MSNM-Anwenders.

Beispiel

  • E-Mail des Anwenders Nr.1:
    some@thing.qqq
  • E-Mail des Anwenders Nr.2:
    other@thing.zzz
  • Anwender Nr.1 erhält einen Link, der folgendermaßen aussieht:
    http://www.[edited].us/[edited]/pictures.php?email=some@thing.qqq
  • Anwender Nr.2 erhält einen Link, der folgendermaßen aussieht:
    http://www.[edited].us/[edited]/pictures.php?email=other@thing.zzz.

Wenn der Anwender auf den Link klickt, erhält er das Angebot, die Datei zu starten und zu speichern. Wir hoffen sehr, dass an dieser Stelle die Mehrzahl der Anwender Argwohn schöpfen und nicht sofort und unbedacht die Datei öffnen.
Wenn aber der Anwender auf den Link klickt, so erhalten die Übeltäter seine E-Mail Adresse. Und das wiederum heißt, die Adresse gelangt in die Spammer-Datenbanken, selbst wenn der Wurm keine Aktivität aufweist.

Prognose für Mai

Im kommenden Monat werden die Virenschreiber ihre Social Engineering Methoden vervollkommnen. Die Anwender sind vorsichtiger geworden und die alten Methoden funktionieren nicht mehr so einfach. E-Mail-Würmer werden durch den Versand von downloader-Programmen abgelöst – Trojanern, die andere Programme mit dem Ziel, Botnetze (Netze infizierter Computer) zu schaffen, herunter laden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.