Entwicklungstendenzen der Schadprogramme im September 2004

Der vergangene Monat hielt keine bemerkenswerten ernsthaften Veränderungen in der Welt der Schadprogramme für Computer bereit. Wahrscheinlich ist die Saison der Sommerferien und des Urlaubs für Virenschreiber noch nicht vorbei, oder aber unter den Virenschöpfern gehen ernsthafte innere Prozesse vor sich, so dass wir derzeit die klassische ‚Ruhe vor dem Sturm‘ beobachten können. Wie dem auch sei, die Evolution der Schadprogramme im September entwickelte sich in den Standardrichtungen:

    Auftreten neuer Versionen der Postwürmer aus ‚fruchtbaren‘ Wurm-Familien (in diesem Monat waren das Mydoom und Bagle);

  • Erscheinen neuer Schadprogramme, die prinzipiell neue Infiziertechnologien zu ihrer Verbreitung nutzten;
  • neue ‚Trojaner‘, die erst kürzlich gefundene Angreifbarkeiten in weit verbreiteten Programmen ausnutzen

Die gesamte ‚Brut‘ der neuen Postwürmer der Aufsehen erregenden Familie I-Worm-Mydoom (Modifikationen von R bis Y, insgesamt 8 Stück) tauchte vorrangig in der ersten Septemberhälfte auf, dabei gleich 3 Würmer an ein und demselben Tag. Einen mehr oder weniger wesentlichen Unterschied von seinen Vorgängern wies lediglich I-Worm.Mydoom.y nach, der sich über das ICQ des Anwenders ungesehen einschleichen konnte. Die letzte Version von Mydoom ist außerdem in der Lage, auf dem infizierten Computer verschiedene Versionen des Trojaner-Programms Backdoor.Win32.Surila zu starten.

er zweite Punkt unserer Liste ist in diesem Monat durch das harmlose not-a-virus Programm:Win32. Rucar.a vertreten. Dieses Scherzprogramm lässt auf dem Bildschirm die Dateinamen erscheinen, die sich auf der Festplatte befinden. Die Besonderheit besteht darin, dass sich der gesamte Funktions-Code dem Anschein nach in einem gewöhnlichen BMP-Bild befindet, das wiederum in der ausführenden Dechiffrierungs-Datei versteckt ist.

Diese Technologie ist im Prinzip nicht neu, sondern stellt ein klassisches Beispiel für Stenografie unter Nutzung der BMP-Dateien dar, im Virus-Kontext jedoch findet diese Technologie erstmalig Anwendung. Der Funktions-Code ist auf den ungenutzten Bits der BMP-Datei ‚verschmiert‘, zu dem die ausführende Ausgangsdatei Dechiffrierungs-Schutzhülle ist.

Im vergangenen Monat erschienen letztlich zwei Trojaner-Programme, die die erst kürzlich aufgefundenen Anfälligkeiten in bekannten Programmen nutzen.

Das ist erstens, die neue Familie der selbstständigen ‚Trojaner‘, die als ein Bild im JPEG-Format erscheinen (von Kaspersky Anti-Virus erkannt als Exploit.Win32.MS04-028.gen).

Die Nutzung des Schad-Codes erfolgt auf der Basis des Exploit für Anfälligkeiten, gefunden am 14. September im Bearbeitungsmechanismus der JPEG-Bilder durch die Mehrheit der aktuellen Versionen des Kerns des Internet-Explorers
(der außer dem IE selbst in Programmen wie Outlock Express und von Komponenten von Microsoft Office XP genutzt wird). Der ‚Trojaner‘-Code befindet sich in der speziell konstruierten Datei im JPEG-Format und wird unmittelbar bei der ‚Betrachtung‘ des angreifbaren Programms ausgeführt; die früheren Versionen von Exploit.Win32.MS04-028.gen riefen nur eine Beendigung der Havarie des Programm-Betrachters hervor.

Zweitens, im September wurde das erste Trojaner-Programm Dropper aufgefunden, welches in Java geschrieben ist (von Kaspersky Anti-Virus erkannt als Trojan.Java.Binny.a). Der ‚Trojaner‘ nutzt die Anfälligkeit in Sun Java Runtime aus zum Start eines beliebigen anderen darin enthaltenen Programms aus. Exploit beginnt seine Tätigkeit beim Betrachten der Seite mit entsprechendem Java-Applet in den Browsern Opera und Mozilla.

Was die Prognosen für Oktober anbetrifft, so bleiben sie genauso wie vor einem Monat. Mit fast 100% Sicherheit kann man mit dem Auftauchen einiger neuer epidemiologisch gefährlicher Modifikationen schon bekannter Internet-Würmer rechnen. Angesichts der nahenden kalten Jahreszeit ist mit Aktivitäten der Virenschreiber zu rechnen. Wie schon immer sollte man auf neue Viren für mobile Geräte vorbereitet sein, deren Auftreten nur eine Frage der Zeit ist.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.