Entwicklungstendenzen der Schadprogramme im März 2005

Im März 2005 demonstrierten die Virenschreiber ihre Bereitschaft nicht nur für die Entwicklung neuer, sondern auch für die Weiterentwicklung bereits bewährter Technologien. Immer häufiger erschienen Trojaner-Programme, die zur Erhöhung der Geschwindigkeit im System Viren-Technologien benutzten: im März haben wir mehrere neue Modifikationen von Virus.Win32.Bube entdeckt.

Mobile Viren

Wie vorausgesagt, entwickelten sich die Würmer und Trojaner für Mobiltelefone unter Symbian rasant. In unserer Kollektion zählen wir mittlerweile 11 Versionen von Worm.SymbOS.Cabir (a-k), ein Lasco.a, sowie einige Modifikationen Trojan.SymbOS.Skuller, Mosquit, Locknut und Dampig. Gegenwärtig erhöht sich die Anzahl der Schadprogramme für Symbian-Geräte etwa um 1 neues Programm pro Woche.

Bemerkenswert ist die Tatsache, dass im März in die Antivirus-Datenbanken Vertreter einer neuen Klasse Würmer für Mobiltelefone, die unter Betriebssystem Symbian laufen, ergänzt wurden. Hierbei handelt es sich um mobile Mail-Würmer, die zu ihrer Selbstverbreitung MMS verwenden. In die entdeckten März-Exemplare sind zwei Methoden zur Selbstverbreitung eingebaut: die erste, für mobile Würmer schon traditionell gewordene, über das Bluetooth-Protokoll (der Wurm verbreitet sich, indem er sich an alle erreichbaren Geräte im Radius 10-15 Meter versendet), und die zweite – über MMS-Mitteilungen.

Im März wurden in die Antivirus-Datenbanken Vertreter einer neuen Klasse Würmer für Mobiltelefone, die unter Betriebssystem Symbian laufen, ergänzt.

Gegenwärtig sind zwei MMS-Wurmfamilien bekannt: Comwar, welche sich an das gesamte Telefonbuch des Handys verschickt; und Cabir.k, der sich origineller verhält, indem er auf den Eingang von SMS- oder MMS-Mitteilungen auf das Telefon wartet und sich dann als Antwort zurückschickt. So erfolgt der Versand des Wurms nur bei Mitteilungs-Eingang und nicht automatisch, was die Möglichkeit einer schnellen Verbreitung des Wurms im Mobilfunk-Netz bedeutend verringert und die Wahrscheinlichkeit, dass der Anhang an eine derartige Mitteilung vom Empfänger geöffnet wird, erhöht.

Obwohl sie mit nur einem einzigen Bluetooth-Wurm begonnen haben, sind die Schadprogramme für mobile Geräte mittlerweile schon mit 3 Klassen vertreten: Würmer (wobei es sowohl „Netz“ als auch „Mail“- Würmer gibt), Viren, Trojaner. Diese Klassifikation entspricht vollständig der existierenden Struktur Schadprogramme für Computer. Brauchten die traditionellen Viren Jahre, um zu einer derartigen Zahl verschiedener Variationen zu gelangen, so benötigten die Mobil-Viren weniger als ein Jahr. Man kann mit ziemlicher Sicherheit davon ausgehen, dass im kommenden Jahr mobile Vertreter auch der anderen Klassen der Computer-Viren erscheinen.

Instant Messenger Viren

Im März entdeckten wir eine erhebliche Anzahl Vertreter der Schadprogramm-Klasse IM-Worm — Würmer, die zu ihrer Verbreitung die bekannten Netzwerke für das Versenden von Sofortnachrichten nutzten: die MSN- und AOL Messenger.
Die Mehrheit der Würmer verwendet zu ihrer Verbreitung den MSN-Messenger, der in den USA sehr populär ist, in Russland zum Beispiel jedoch kaum eingesetzt wird. Alle Würmer (mit einer Ausnahme) sind in der Programmiersprache Visual Basic (VB) geschrieben.

Ausführlicher darüber haben wir im kürzlich veröffentlichten Quartalsbericht über die aktuellen IT-Gefahren berichtet.

Zusammenarbeit der Virenschreiber

Es ist offensichtlich, dass die Virenschreiber nicht mehr „Einzelkämpfer“ sind und ihre Handlungen planbar werden. Dies bekräftigt der „Bagle-Terror“ vom 1. März, als Kaspersky Lab 15 neue Modifikationen des Wurms in seine Datenbanken aufnahm. Jede neue Version erschien im Moment des Erkennens der vorherigen, was es dem Autor ermöglichte, maximal die Computer-Anwender zu attackieren. Er war der Aktualisierung der Antivirus-Programme stets um einige Minuten voraus.

Diese Zusammenarbeit bestätigt außerdem die augenscheinliche Verbindung zwischen den Autoren von Bagle, Zafi und einer Reihe anderer Würmer. Die Cyberkriminellen verwenden gemeinsame Datenbanken der E-Mail-Adressen und andere Ressourcen, sogenannte Netze von Zombie-Maschinen (botnets).

„Drei-Buchstaben“ Familien

Am 18. März wurde die Sammlung der Familie von Schadprogrammen, die einen Drei-Buchstaben-Kennsatz zur Versionserkennung bei Kaspersky Lab haben, durch ein weiteres Mitglied: Backdoor.Win32.Agobot.aaa ergänzt. Eine Modifikation aus drei Buchstaben haben:

(Stand der Einträge in die Antivirus-Datenbanken: 15. April)

Vereinen Backdoor.Win32.VB und Trojan-Downloader.Win32.Small in sich eine große Zahl verschiedener Schadprogramm-Familien, so sind die beiden anderen Erkennungen zur Auffindung einer Vielzahl Varianten ein- und desselben Schadprogramms geschaffen. Dies ist Folge der Veröffentlichung der Ursprungs-Code im Internet, die es jedem X-beliebigen ermöglichte, neue Version davon zu erstellen und ins Netz zu schicken.

Trojan-PSW.Win32.Lmir, ein Trojaner, der die Passwörter zu dem in Südkorea sehr bekannten online-Spiel Legend of Mir stiehlt, steht schon lange auf dieser Liste. Mit jedem Tag geraten die online-Spiele immer mehr in den Blickfang der Übeltäter.

Spam-Versand

Zum Abschluss erwähnen wir den schon zu einer gewohnten Sache gewordenen Spam-Massenversand, diesmal des Trojan-Downloader.Win32.Small.aon, der sorgfältig geplant war. Alle 15 Minuten wurden neue Modifikationen des Schadprogramms verschickt – insgesamt haben wir 29 Modifikationen erhalten.

Allem Anschein nach treten wir in eine neue Epoche ein: die Virenschreiber beginnen, mit den Antivirus-Unternehmen um die Reaktionsschnelligkeit zu wetteifern.

Nach seiner Installation ins System lud dieser Downloader von verschiedenen Netz-Ressourcen einige gefährliche Trojaner-Programme:

Das erste Programm ist am gefährlichsten, da es ein Programm des Typs rootkit ist. Insgesamt wurden im März eine Vielzahl traditioneller und längst bekannter Trojaner-Programme und Backdoor’s entdeckt, die ihre Funktionen durch verschiedene Methoden zum Verbergen ihrer Anwesenheit im System erweitert haben. Dies wiederum ist eine weitere gefährliche Entwicklungs-Tendenz der aktuellen Schadprogramme.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.