Kaspersky Lab präsentiert die Viren Top 20 für November 2005

Position Veränderung Name Häufigkeit
1. No Change
0

Net-Worm.Win32.Mytob.c
18.25
2. No Change
0

Email-Worm.Win32.Doombot.b
8.11
3. No Change
0

Email-Worm.Win32.Zafi.d
7.61
4. No Change
0

Net-Worm.Win32.Mytob.bi
6.03
5. No Change
0

Email-Worm.Win32.LovGate.w
6.02
6. No Change
0

Email-Worm.Win32.NetSky.q
4.15
7. Up
+1

Email-Worm.Win32.NetSky.b
3.73
8. Up
+2

Net-Worm.Win32.Mytob.t
3.17
9. No Change
0

Net-Worm.Win32.Mytob.bk
2.50
10. Up
+4

Net-Worm.Win32.Mytob.u
2.36
11. Return
Wiedereintritt

Net-Worm.Win32.Mytob.h
2.16
12. Up
+1

Net-Worm.Win32.Mytob.q
2.15
13. New!
Neu!

Email-Worm.Win32.Sober.y
1.99
14. Return
Wiedereintritt

Net-Worm.Win32.Mytob.bt
1.79
15. Down
-4

Net-Worm.Win32.Mytob.y
1.69
16. New!
Neu!

Email-Worm.Win32.Doombot.g
1.52
17. No Change
0

Email-Worm.Win32.Bagle.dx
1.50
18. Down
-3

Email-Worm.Win32.Zafi.b
1.40
19. Return
Wiedereintritt

Email-Worm.Win32.NetSky.y
1.12
20. Down
-13

Email-Worm.Win32.Doombot.d
1.09
Sonstige Schadprogramme 21.66

Der vorletzte Monat des Jahres ist für die Jahresstatistik immer besonders wichtig. In der Regel ist es so: taucht im November kein neuer Spitzenreiter im Viren-Rating auf, ist der Jahresabschluss praktisch vollendet. Kein potenzielles Ereignis im Dezember kann die Kräfteverteilung in der Viren-Szene 2005 noch auf den Kopf stellen.

Der November 2005 war in seiner Stabilität einzigartig. Sechs Wurmführer des Oktobers blieben auf ihren Plätzen, kletterten weder rauf noch runter. Diese Stabilität ist umso erstaunlicher, da es im November eine Viren-Epidemie gab, die die vorderen Ränge eigentlich beeinflussen sollte. Jedoch trat dies nicht ein.
Der Spitzenreiter Mytob.c vergrößerte schließlich seinen Abstand zu den Nachfolgern noch weiter, indem er fast vier Prozent gemessen am gesamten Viren-Traffic via E-Mail zulegte. Man kann jetzt schon prognostizieren, dass einer der Mytob-Würmer die Auszeichnung zum ‚Wurm des Jahres“ für sich reklamieren wird. Sind sie am häufigsten unter den ersten Plätzen vertreten, seit wir sie beobachten. Man kann also sagen, dass Mytob eine der größten Epidemien im Jahr 2005 war und ihn in eine Reihe mit Viren wie Sobig (2003) und NetSky (2004) stellen.

Insgesamt verlieren die Würmer der Mytob-Familie jedoch etwas an Boden. Im November verbleiben ’nur noch“ neun Modifikationen in unserer Top-20-Liste. Natürlich können andere Virus-Familien von solchen Kennziffern nicht einmal träumen. Erinnern wir uns aber daran, dass die Mytobs kürzlich noch 13 der 20 Plätze im Rating belegten, konstatieren wir nun ihren allmählichen Rückzug.
Im Oktober erschienen in der Viren-Top-20 zwei Schadprogramme, die, so schien es, mit Mytob konkurrieren und andere Viren nachhaltig verdrängen könnten. Es handelt sich dabei um Doombot.b und Doombot.d. Erstgenannter erreichte binnen zwei Wochen den zweiten Platz, Doombot.d kletterte innerhalb einer Woche bis auf Platz sieben. Sie sind nahezu identisch mit den Mytobs, verbreiteten sich jedoch wesentlich rasanter. Daher nahmen wir an, dass Doombot.b im November als Sieger aus diesem Viren-Wettlauf hervorgehen könnte.

Aber nein. Version .b verharrte auf Platz 2, verlor sogar zwei Prozentpunkte. Version .d verabschiedete sich beinahe ganz aus dem Rating und rutschte um 13 Positionen bis auf Platz 20 ab.

Ungeachtet dessen, dass in den Top 20 die neue Doombot-Version .g (Platz 16) auftauchte, wird diese Familie wahrscheinlich keine besondere Rolle spielen.
Wie man erkennen kann, gibt es nur zwei Neulinge in unserem Rating. Doombot.g haben wir bereits erwähnt. Richten wir nun unser Augenmerk auf Platz 13 – eine neue Modifikation der schon altbekannten Virenfamilie Sober. Die Geschichte der Sober-Würmer begann schon vor zwei Jahren, im Oktober 2003. Seitdem hat jede neue Modifikation dieses Wurms die epidemiologische Situation im Internet erheblich beeinflusst. Die von Sober.e oder Sober.c hervorgerufenen Epidemien zählten zu den bedeutendsten der letzten Jahre.

In der Regel zählen westeuropäische Internet-Anwender zum Hauptzielobjekt dieses Virus. Der Sober-Autor verwendet seine Kreationen schon lange für Propaganda-Zwecke, sprich zur Äußerung radikal-politischer Ansichten. Er nutzt dabei sehr effektiv die Methoden des Social Engineering. Ein Grund, warum die neuen Sober-Modifikationen so gefährlich werden.

Diesmal wartete der Wurm mit einem altbewährtem Trick auf – der Empfänger erhält eine E-Mail, angeblich vom BKA oder FBI. Dem Anwender wird nahegelegt, den Datei-Anhang zu öffnen. Interessant ist, dass im E-Mail-Body eine Telefonnummer des FBI angegeben wird. Viele Anwender, die eine derartige E-Mail erhalten haben, riefen dort an und organisierten damit unwissentlich eine Art DoS-Attacke auf die Nummer des FBI.

Interessant ist auch, dass der Presse-Dienst der bayerischen Polizei als erster über die neue Sober-Modifikation berichtete. Diese Information erschien bereits ein paar Tage vor dem eigentlichen Ausbruch des Wurms Sober.y und gibt Grund zur Annahme, dass die Ermittlungen gegen den Wurmautor bereits in vollem Gange sind. Möglicherweise hören wir bereits in naher Zukunft von seiner Verhaftung.

Sober.y wurde am 16. November entdeckt und war Auslöser einer der größten Epidemien des Jahres 2005 in Westeuropa. Der bescheidene 13. Platz in unserer Statistik ist dadurch begründet, dass diese Zahlen überwiegend auf der Grundlage russischer E-Mail-Server erstellt wurden und dieser Wurm seine E-Mails nur sehr ungern nach Russland verschickt.

Die Kategorie „Sonstige Schadprogramme“ verbucht – gemessen an der Gesamtzahl der abgefangenen Schadprogramme – erneut einen beträchtlichen Prozentsatz (21,66%). Dies zeugt von einer recht hohen Anzahl sonstiger Würmer und Trojaner, die anderen Familien zuzuordnen sind.

Zusammenfassung:

Neu Doombot.g, Sober.y
Aufgestiegen NetSky.b, Mytob.t, Mytob.u, Mytob.q
Abgestiegen Mytob.y, Zafi.b, Doombot.d
Wiedereintritt Mytob.h, Mytob.bt, NetSky.y
Unverändert Mytob.c, Doombot.b, Zafi.d, Mytob.bi, LovGate.w, NetSky.q, Mytob.bk, Bagle.dx

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.