Kaspersky Lab präsentiert die Viren-Top-20 für April 2005

Position Veränderung Name Häufigkeit
1. +3 Net-Worm.Win32.Mytob.c 27.80
2. -1 Email-Worm.Win32.NetSky.q 16.53
3. -1 Email-Worm.Win32.NetSky.aa 6.05
4. -1 Email-Worm.Win32.NetSky.b 5.77
5. Email-Worm.Win32.Lovgate.w 3.65
6. +1 Email-Worm.Win32.Zafi.b 3.45
7. neu Net-Worm.Win32.Mytob.q 3.29
8. -2 Email-Worm.Win32.Zafi.d 2.89
9. neu Net-Worm.Win32.Mytob.u 2.42
10. -1 Email-Worm.Win32.NetSky.d 2.17
11. -1 Email-Worm.Win32.Mydoom.l 1.99
12. -4 Email-Worm.Win32.Mydoom.m 1.82
13. -1 Email-Worm.Win32.NetSky.x 1.47
14. neu Net-Worm.Win32.Mytob.r 1.42
15. -1 Email-Worm.Win32.NetSky.t 1.25
16. -5 Email-Worm.Win32.NetSky.y 1.15
17. neu Net-Worm.Win32.Mytob.t 1.06
18. neu Net-Worm.Win32.Mytob.h 1.01
19. -6 Email-Worm.Win32.NetSky.r 0.98
20. -5 Email-Worm.Win32.Bagle.ai 0.81
Andere Schadprogramme 13.02

Kaspersky Lab, ein international führender Experte im Bereich IT-Sicherheit, präsentiert die Viren-Top 20 für den Monat April.

Nun ist es also eingetreten, das längst vorhergesehene Ereignis in der Top 20: Die Führungsposition übernimmt ein Vertreter der zahlenmäßig größten Familie der Netzwürmer, die 2005 geschaffen wurden – Mytob. Der am 4. März entdeckte Wurm Mytob.c konnte in nur zwei Monaten den bisherigen Tabellenführer von 2004, NetSky.q, von Platz 1 verweisen.

Buchstäblich vom ersten Tag seines Erscheinens an zeigte Mytob.c, dass es ihm ernst und er für lange gekommen ist. Er basiert auf dem Quellcode von Mydoom.a und enthält wie dieser eine Selbstverbreitungsfunktion über die Sicherheitslücke LSASS. Außerdem verfügt er über eine bot-Funktion, was bereits an seinem Namen zu erkennen ist, den ihm die Antivirus-Unternehmen gegeben haben – My(doom)+tob(von hinten gelesen).

Die doppelte Verbreitungs-Methode über E-Mail und die Windows-Sicherheitslücke und macht ein schnelle Beenden der Epidemie beinahe unmöglich. Der Wurm muss zuerst erkannt und dann von großen Mail-Servern entfernt werden. Um das „Mytob-Problem“ zu lösen, ist es erforderlich, dass möglichst viele Anwender die Windows-Aktualisierungen installieren, welche die kritische LSASS-Sicherheitslücke schließen.

Aufsehen erregte auch die Tatsache, dass Mytob.c nicht alleine kam. Weitere fünf Vertreter dieser Familie konnten im April einen Platz unter den ersten 20 belegen. Ausgehend von der Familiengröße kommt Mytob damit nach Netsky mit seinen acht verschiedenen Varianten. Es sei an dieser Stelle bemerkt, dass NetSky mehrere Monate dafür benötigte, was Mytob in nur einem Monat schaffte.

Zweifelsohne wird die Wurmfamilie Mytob noch lange Zeit in diesen Berichten vertreten sein. Und auch die Autoren dieser Würmer vermindern ihre Aktivität nicht (Ende April erschien jeden zweiten Tag eine neue Variante), wobei sich die neuen Versionen in ihren Funktionen nicht stark voneinander unterschieden. Die Unterschiede liegen meist in der Veränderung der Komprimierungsdateien, wodurch die Wurm-Autoren versuchen, die Antiviren-Scanner zu umgehen.

Die Mytob-Modifikationen waren natürlich nicht die einzigen Würmer, die im April 2005 entdeckt wurden. Es gab einige lokale Epidemien, die durch neue Modifikationen der Familien Sober und Bagle hervorgerufen wurden. Es gelang jedoch keinem von ihnen, in der Top 20 zu landen. Gründe dafür sind unter anderem Fehler im Code und die schnelle Reaktion der Antivirus-Unternehmen.
Die weiteren Vertreter des Ratings waren dem forschen Angriff der neuen Mytob-Versionen überwiegend unterlegen und rutschten gleich mehrere Positionen ab. Lediglich Zafi.b konnte sich um einen Platz nach oben „verbessern“. Durch Mytob haben es auch keine neuen Trojan-Downloader-Versionen oder Modifikationen der Programme in die Top 20 geschafft, die bei Phishing-Attacken eingesetzt werden (Trojan-Spy.HTML). Das ist verwunderlich, da diese Programme nach wie vor täglich versendet werden.

Offensichtlich sind die Autoren nicht auf eine zu große Masse an Aussendungen aus. Sie geben dem „Targeting“ (zielgenaues Werben) den Vorrang, indem sie Kunden einer konkreten Bank attackieren oder aber Trojaner ausschließlich an Adressen einer Domäne versenden (beispielsweise .ua).

Die „anderen Schadprogramme“ im Mail-Verkehr des Monats April stellen mit 13.02% einen bedeutenden Prozentsatz der Gesamtzahl der abgefangenen Schadprogramme dar, was von einer relativ großen Anzahl sonstiger Würmer und Trojaner zeugt, die zu verschiedenen anderen Familien gehört.

Zusammenfassung:

Neu Mytob.q, Mytob.u, Mytob.r, Mytob.t, Mytob.h
Aufgestiegen Mytob.c, Zafi.b
Abgestiegen NetSky.q, NetSky.aa, NetSky.b, Zafi.d, NetSky.d, Mydoom.l, Mydoom.m, NetSky.x, NetSky.t, NetSky.y, NetSky.r, Bagle.ai
Unverändert LovGate.w

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.