Kaspersky Lab präsentiert die Viren Top 20 für August 2005

Position Veränderung Name Häufigkeit

1.

Up

+1

Net-Worm.Win32.Mytob.c

16.28

2.

Down

-1

Email-Worm.Win32.NetSky.q

11.38

3.

No Change

Email-Worm.Win32.Zafi.b

8.49

4.

No Change

Email-Worm.Win32.Zafi.d

5.98

5.

Up

+1

Net-Worm.Win32.Mytob.bk

4.45

6.

Up

+3

Email-Worm.Win32.NetSky.b

3.79

7.

No Change

Email-Worm.Win32.NetSky.aa

3.51

8.

Up

+7

Email-Worm.Win32.LovGate.w

3.38

9.

Down

-4

Net-Worm.Win32.Mytob.be

3.37

10.

No Change

Net-Worm.Win32.Mytob.bi

2.72

11.

Up

+5

Net-Worm.Win32.Mytob.q

2.60

12.

Up

+5

Net-Worm.Win32.Mytob.t

2.22

13.

New!

Neu!

Net-Worm.Win32.Mytob.h

2.04

14.

Down

-1

Net-Worm.Win32.Mytob.u

1.68

15.

Return

Wiedereintritt

Email-Worm.Win32.NetSky.t

1.52

16.

Down

-5

Net-Worm.Win32.Mytob.au

1.51

17.

Down

-9

Net-Worm.Win32.Mytob.bt

1.25

18.

Return

Wiedereintritt

Net-Worm.Win32.Mytob.r

1.17

19.

New!

Neu!

Net-Worm.Win32.Mytob.a

1.15

20.

New!

Neu!

Net-Worm.Win32.Mytob.bw

1.15

Andere Schadprogramme

20.36

Kaspersky Lab, ein international führender Experte im Bereich IT-Sicherheit, präsentiert die Viren-Top- 20 des Monats August.

Von Zeit zu Zeit finden im Internet regelrechte Cyberkriege statt. So sind Kämpfe zwischen konkurrierenden Gruppierungen von Virenschreibern an der Tagesordnung. Oder aber die gesamte kriminelle Energie mündet in einer konzertierten Hacker-Attacke, wie beispielsweise einen Angriff auf ausländische Regierungsserver. Ein Umstand, der sich auch im aktuellen Viren-Rating widerspiegelt.

Bereits mehrere Monate infolge kämpfen NetSky.q und Mytob.c um die Führungsposition in den Top 20. Es handelt sich hierbei um vollkommen verschiedene Würmer, die unterschiedliche Sicherheitslücken nutzen und die darüber hinaus mit einer zeitlichen Differenz von einem Jahr das Licht der ‚Virenwelt“ erblickten. NetSky.q führte den Kampf gegen die Wurmfamilien Mydoom und Bagle und geht, wie es scheint, aus diesem Kampf als Sieger hervor. Mytob, auf dessen Grundlage die Quell-Codes des ersten Mydoom entstanden sind, zeigt sich als ein würdiger Nachfolger seines Urahnen. Zweifelsohne zählen die Kämpfe zwischen den Wurmfamilien Mytob und NetSky zu den bestimmenden Elementen unserer monatlichen Virenberichte.

13 von 20 Positionen belegen Mytob’s, vier von 20 Plätzen werden von NetSky vereinnahmt. Wenn man jedoch auf die ersten Zehn schaut, so scheint hier nahezu ein Gleichgewicht vorhanden – vier Mytob- und drei NetSky-Varianten.

Der Juli-Ansturm der bereits ‚arrivierten“ Würmer Zafi, Bagle und Mydoom blieb aus. Im August-Rating konnten sich weder Bagle noch Mydoom halten. Selbst die beiden verbliebenen Zafi-Würmer konnten lediglich die Positionen halten.

Dem gegenüber stellten die Mytob’s ihre Juni-Platzierung wieder her, da es sich bei den drei Neuplatzierten der Top 20 ausgerechnet um Mytob’s handelt.
Erstaunlich ist zudem, dass sich unter den Neuen unerwartet der erste Mytob in der Variante A befand, der aufgrund der Erfolge seiner Klone noch nie in unser Blickfeld geraten war. Möglicherweise verbreitete er sich nicht mittels Spam, sondern infizierte zunächst nur eine geringe Zahl von Computern. Ähnliche Beispiele gab es schon früher. Den 8. Platz belegt in der August-Statistik ein Vertreter, der genau diese Art Viren-Verbreitung verwendete – LovGate.w. Im Juli prognostizierten wir, dass LovGate.w sehr bald die Top 20 verlässt (Platz 15 im Juli), jedoch konnte er nicht nur seinen Platz halten, sondern er holte das Verlorene wieder auf und rückte gleich 7 Plätze nach oben.

Und ein weiterer, eigenartiger Neuling zeigte sich – Mytob.h. Erstmalig wurde er am 25. März dieses Jahres entdeckt. Genau wie Mytob.a war seine Präsenz im Internet nicht zu bemerken. Und dann gleich Platz 13! Übrigens haben wir für diesen Fall eine Erklärung: Ursprünglich wurde Mytob.h mittels Morphine und MEW komprimiert. Im August erfolgte die Komprimierung der Originaldatei jedoch unter Zuhilfenahme von Upack, UPX und FGS, infolgedessen drei neue Varianten zum Vorschein kamen. Natürlich werden sie alle mit der alten Prozedur und unter ein und demselben Namen für ihre Erkennung detektiert.

Zu erwähnen ist auch die Geschichte rund um den Wurm „Zotob“. Mit Absicht steht dieser Name in Anführungszeichen, da es in den Antivirus-Datenbanken von Kaspersky Lab keine Bezeichnung für ein derartiges Schadprogramm gibt. Andere Antivirus-Unternehmen verwenden diesen Namen für sehr unterschiedliche Würmer, die oftmals nichts gemein haben.
Es ist offensichtlich, dass die Namen Zotob.a, Zotob.b und Zotob.c auf Würmer der Familie Mytob (laut Klassifikation bei Kaspersky Lab) zurückgehen. So entspricht Zotob.a dem Mytob.cg, Zotob.b dem Mytob.cf und Zotob.c ist mit Mytob.ch identisch. Die Funktion, sich via E-Mail zu versenden, besitzen nur Mytob.ch und Mytob.cg. Die Variante Mytob.cf kann nur über die Sicherheitslücke im Betriebssystem Microsoft Windows MS05-039 in den Computer eindringen.

Am 26. August erreichte uns aus Marokko die Nachricht über die Verhaftung des mutmaßlichen Autoren dieser Würmer, der diese zusammen mit einem Virenschreiber aus der Türkei (dieser wurde verhaftet) geschrieben hat. Die Funktionen innerhalb dieser kriminellen Gruppe waren sehr genau zugeteilt – einer war mit dem Schreiben des Virus beschäftig, der andere mit seiner Verbreitung im Internet. Während eine Vielzahl von Medienvertretern berichtete, dass genau diese Würmer für die Virenepidemie in den amerikanischen Telekommunikationsunternehmen ABC und CNN zuständig gewesen seien, handelte es sich unseren Annahmen zufolge jedoch um einen Wurm der Familie Bozori, der dieselbe Sicherheitslücke – MS05-039 – nutzt.

Die Kategorie ‚Sonstige Schadprogramme“ verbucht, gemessen an der Gesamtzahl der abgefangenen Schadprogramme, einen erheblichen Prozentsatz (20,36%). Dies zeugt von einer recht hohen Anzahl sonstiger Würmer und Trojaner, die anderen Familien zuzuordnen sind.

Zusammenfassung:

Neu Mytob.h, Mytob.a, Mytob.bw
Wiedereintritt NetSky.t, Mytob.r
Aufgestiegen Mytob.c, Mytob.bk, NetSky.b, LovGate.w, Mytob.q, Mytob.t
Abgestiegen NetSky.q, Mytob.be, Mytob.u, Mytob.au, Mytob.bt
Unverändert Zafi.b, Zafi.d, NetSky.aa, Mytob.bi

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.