Entwicklungstendenzen der Schadprogramme im Oktober 2004

Der Oktober war im Vergleich zu den Vormonaten, was das Auftreten neuer Schadprogramme anbetraf, relativ ruhig. Nur wenige bedeutsame Epidemien, nach wie vor jedoch eine hohe Aktivität der ‚Diebe‘ und ‚Spione‘ sowie neue Anfälligkeiten waren zu verzeichnen.

Unseren Rückblick möchten wir mit der neuen Anfälligkeit beginnen, die im Microsoft Internet Explorer gefunden wurde (eine umfangreiche Beschreibung und entsprechende Patchs sind im Microsoft Security Bulletin MS04-032 aufgeführt). Zur Liste der bereits früher aufgefundenen Anfälligkeiten, die mit der Bearbeitung der Dateien in den Grafikformaten BMP und JPEG zusammenhingen, wurden die Formate WMF/EMF der Microsoft Metadateien ergänzt. Diese neuen Anfälligkeiten haben als Fehler des Betriebssystems die Überfüllung der Buffer zur Folge, durch die wiederum der Schad-Code, der in eine infizierte Abbildung eingebaut wurde, zu seiner Ausführung kommt. Es ist zu bemerken, dass diese neue ‚Lücke‘ aufgrund der Besonderheiten des Betriebssystems Microsoft Windows gefährlicher ist, als seine Vorgänger. Die Sache ist die, dass als ‚Piktogramm‘ für die Dateien WMF/EMF der Inhalt der Dateien selbst genutzt wird. So reicht es für die Realisierung der Anfälligkeit schon aus, wenn dem Betriebssystem genehmigt wird, auf dem Desktop das Piktogramm dieser Datei abzubilden.

Weiter im Rückblick folgen die im Oktober aufgefundenen neuen Netzwürmer.
In den letzten Monaten bemerken wir eine Tendenz für das Auftreten von Würmern mit kurzer Lebensdauer. Das ist ersichtlich an den Vertretern der Wurmfamilien I-Worm.Bagle und I-Worm.Mydoom. Sie leben nicht länger als 2-3 Tage. Danach bricht der Wurm seine Arbeit ab.

Dabei bilden die im vergangen Monat erschienenen I-Worm.Mydoom.aa, I-Worm.Mydoom.ab, I-Worm.Bagle.atand I-Worm.Bagle.au keine Ausnahmen. Angesichts dessen, dass alle diese ‚Klone‘ auf der Basis der Ausgangs-Codes ihrer Vorgänger entstanden sind, gibt es von Version zu Version praktisch keine wesentlichen Unterschiede.

Im Oktober, nach relativ langer Pause, vervollständigte sich die Familie der Internet-Wurm-Familie I-Worm.Zafi. Die neue Version Zafi.c erschien Ende des Monats und ist ziemlich interessant.
Erstens, die Autoren des Wurms setzen weiterhin aktiv die Entwicklung der Technologie der regional-orientierten Textnachrichten für infizierte elektronische Briefe fort. Das ist am Beispiel des ‚Text-Baukastens‘ ersichtlich, der einige wesentliche Veränderungen im Vergleich zur Vorversion von Zafi zu vermerken hat. Den Autoren ist es gelungen, eine ziemlich große Vielfalt verschiedenster Textnachrichten bei relativ kleinem Textumfang in den ‚Baukasten‘ zu legen, und zudem sinnvolle und verlockende Briefe zu entwickeln.

Die zweite interessante Besonderheit dieser Wurmversion stellt die Liste der Server dar, auf die er die DDoS Attacken ausführen soll. Bemerkenswert ist, dass außer google.com und microsoft.com in diese Liste die Seite des Premierministers von Ungarn geraten ist, was dieser Wurmversion einen eigentümlichen politischen Anstrich verlieh.

Letztlich gesellte sich zu dieser Gemeinschaft der erst kürzlich aufgetretene Netzwurm I-Worm.Bagz.a. Mit diesem Wurm kann man sich nicht nur über infizierte elektronische Briefe anstecken, sondern auch über den Besuch einiger Webseiten, die Schadskripte enthalten und so den Wurm auf den Computer installieren. Die Version Bagz ist nicht sehr aktiv, die Familie selbst zeigt eine deutliche Tendenz zur Weiterentwicklung. Mit großer Wahrscheinlichkeit ist daher in naher Zukunft mit neuen, aktiveren Versionen des I-Worm.Bagz zu rechnen.

Zur Zahl der interessanten ‚Neuheiten‘ des letzten Monats kann man auch den Netzwurm Worm.Win32.Opasoft.s hinzufügen. ‚Updates‘ der Familie dieser Schadprogramme liegen relativ lange zurück. Nun ist es aber passiert. Der neue Wurm rief in Russland eine verhältnismäßig umfangreiche Epidemie hervor. Die Weiterentwicklung der Wurmfamilie Worm.Win32.Opasoft ist schwierig zu prognostizieren. Es kann einen Aktivitätsanstieg geben, aber es kann auch sein, dass diese Wurmfamilie erneut für ungewisse Zeit aus unserem Blickfeld verschwindet.

Abschließen möchten wir unseren monatlichen Rückblick mit der Betrachtung der nach wie vor hohen Aktivität der ‚Spione‘ und ‚Diebe‘ und der remote-Familien Backdoor.Win32.Agobot, Backdoor.Win32.Rbot, Backdoor.Win32.Wootbot und Backdoor.Win32.SdBot.

Innerhalb der Vertreter der ‚Spione‘ und ‚Diebe‘ heben sich besonders die folgenden Schadprogramme hervor: Trojan.PSW.LdPinch, Trojan.PSW.PdPinch sowie auch regional-orientierte Trojan.PSW.LdPinch, Trojan.PSW.PdPinch, and the strictly regional Trojan.PSW.Lmir, Trojan.PSW.Lineage, TrojanSpy.Win32.Bancos und TrojanSpy.Win32.Banker . Aktiv waren auch gefälschte Postsendungen von verschiedenen ‚Banken‘ – TrojanSpy.HTML.Citifraud, TrojanSpy.HTML.Bankfraud und TrojanSpy.HTML.Sunfraud.

All das zeugt davon, dass die Nachfrage dieser Art Programme nach wie vor sehr hoch ist. Es ist mit einem weiteren mäßigen Anwachsen ihrer Aktivität zu rechnen.

Der vergangene Monat zeigte, dass die Schöpfer der oben genannten Trojaner-Spion-Typen nach dem Prinzip vorgegangen sind: verpack Altes in eine neue Hülle und du erhältst Neues. Im vergangenen Monat wurde eine große Zahl dieser Art Schadprogramme aufgefunden. Um sie vor den scharfsichtigen Augen der Antiviren zu verstecken, nutzten die Virenschreiber meistens neue Komprimierungs- und Verschlüsselungsmethoden.

Folgende Schlussfolgerungen können wir ziehen:

  • Es werden weiterhin neue Anfälligkeiten und Viren entdeckt, wo die Arbeitsmethoden mit diesen neuen ‚Lücken‘ realisiert werden.
  • Alle ernsthaften Virusepidemien waren mit der Weiterentwicklung der ‚fruchtbaren‘ Netzwurmfamilien Mydoom, Bagle und Opasoft verbunden.
  • Fakt ist, dass sich die Schad-Codes für den Raub wichtiger Informationen für die Anwender stets vergrößern und vervollständigen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.