Kaspersky Lab präsentiert die Viren Top 20 für Oktober 2005

Position Veränderung Name Häufigkeit
1. Up
+1

Net-Worm.Win32.Mytob.c
14,56
2. New!
Neu!

Email-Worm.Win32.Doombot.b
10,27
3. Down
-2

Email-Worm.Win32.Zafi.d
7,92
4. Up
+15

Net-Worm.Win32.Mytob.bi
6,80
5. Down
-1

Email-Worm.Win32.LovGate.w
5,27
6. Up
+2

Email-Worm.Win32.NetSky.q
3,66
7. New!
Neu!

Email-Worm.Win32.Doombot.d
3,27
8. Down
-3

Email-Worm.Win32.NetSky.b
3,08
9. Down
-2

Net-Worm.Win32.Mytob.bk
3,03
10. Down
-1

Net-Worm.Win32.Mytob.t
2,51
11. Up
+4

Net-Worm.Win32.Mytob.y
2,35
12. Up
+5

Net-Worm.Win32.Mytob.be
2,22
13. Down
-7

Net-Worm.Win32.Mytob.q
2,10
14. Down
-4

Net-Worm.Win32.Mytob.u
2,08
15. Down
-12

Email-Worm.Win32.Zafi.b
1,59
16. New!
Neu!

Email-Worm.Win32.Fanbot.f
1,46
17. New!
Neu!

Email-Worm.Win32.Bagle.dx
1,24
18. New!
Neu!

Trojan-Spy.HTML.Bayfraud.hn
1,22
19. Down
-8

Net-Worm.Win32.Mytob.r
1,20
20. Down
-8

Email-Worm.Win32.NetSky.aa
1,16
Sonstige Schadprogramme 23,01

Kaspersky Lab, ein international führender Experte im Bereich IT-Sicherheit, präsentiert die Viren-Top-20 des Monats Oktober.

Wir haben bereits darüber geschrieben, dass Ende August in Marokko und in der Türkei zwei junge Menschen verhaftet wurden, denen die Erstellung von Würmern der Mytob-Familie angelastet wird. Ob sie schuldig sind oder nicht, wird die Ermittlung zeigen. Offensichtlich ist jedoch, dass sich die Zahl der neuen Mytob-Modifikationen im September erheblich verringerte.

Diese Situation ließen sich andere Cyberverbrecher nicht entgehen, indem sie sofort mehrere neue Familien gefährlicher Würmer in die freie Wildbahn schickten.
Insgesamt war der Oktober 2005 ziemlich reich an neuen Schadprogrammen. Die Spezialisten des Kaspersky Lab stellten einen eigenartigen Rekord fest: sie ergänzten innerhalb einer Woche über 1400 neue Viren in die Anti-Viren-Datenbanken.

In der Viren-Top20 kam es zum wiederholten Male zu einem Führungswechsel – Hitparadensieger wurde erneut ein Mytob – diesmal Mytob.c. Aller Wahrscheinlichkeit nach wird gerade dieser Wurm zum meist verbreiteten in 2005.

Den zweiten Platz belegt ein Neuer der Top20, ein Vertreter der „neuen“ Generation Internetwürmer, über die wir schon weiter oben sprachen – Doombot.b. Dieser Wurm ist Mytob in all seinen Funktionen sehr ähnlich. Er kombiniert ebenfalls Mail-Wurm- und IRC-Bot-Funktionen. Genau wie Mytob wurde er auf dem Quell-Code von Mydoom erstellt. Jedoch sind wir aufgrund von Unterschieden bei der Umsetzung vieler wichtiger Wurmkomponenten gezwungen, ihn als eigenständige Familie aufzunehmen.

Wir möchten an dieser Stelle erwähnen, dass die Modifikation .b erst am 16. Oktober entdeckt wurde, und in nur zwei Wochen nach Auftauchen den zweiten Platz erklomm. Es ist nicht ausgeschlossen, dass dieser Wurm bereits im November Spitzenreiter unserer Viren-Hitparade wird.

Einen sehr beeindruckenden Entwicklungsverlauf demonstrierte Mytob.bi. Obwohl er im September Platz 19 belegte und beinahe eigentlich schon aus unserem Blickfeld verschwand, konnte er im Oktober um 15 Plätze aufsteigen und okkupierte somit Platz 4. Auch prozentual schneidet er in der Gesamtwertung ziemlich hoch ab.

Von den ersten Zehn des Ratings verdient Doombot.d, ein Vertreter der Familie Doombot, gesondert erwähnt zu werden. Ursprünglich wurde er als Mytob.dc eingestuft. Aufgrund der vorhandenen Zeile ‚H-E-L-L-B-O-T-P-O-L-Y-M-O-R-P-H“, die ausschließlich den Doombot-Würmern zueigen ist, konnte er schließlich doch richtig benannt werden. Überhaupt ist es relativ schwierig, derartige Grenzfälle genau einzustufen, da die allgemeinen Funktionen und die Programm-Struktur der meisten Wurm-Bots einander ähneln. Im Großen und Ganzen sind sie alle Klone des Wurms Mydoom, der schon bald seinen 2. Jahrestag feiern wird.

Dies ist außerdem ein gutes Beispiel dafür, dass die Verbreitung von Viren-Quell-Codes teilweise einen größeren Schaden anrichtet, als das Erscheinen eines neuen Wurms, der aus diesen Codes erstellt wurde. Ist der Quell-Code eines Virus‘ bekannt, kann jedes „skript-kiddie“ schnell eine eigene Abwandlung des Wurms durch einfache Modifikation des Codes erstellen, ohne dabei über tiefgründige Programmierkenntnisse zu verfügen.

Drei weitere neue Schadprogramme, Platz 16 – 18 der Top20, verdienen unsere besondere Aufmerksamkeit. Sie alle sind sehr unterschiedlich und dadurch umso interessanter.

Platz 16 belegt ein Vertreter der neuen Generation. Wurm Fanbot.f, wiederum auf der Grundlage von Mydoom und Backdoor SdBot erstellt, versucht, einen Cyber-Fernkrieg mit dem Doombot-Autor zu führen. Davon zeugen eindeutig die folgenden Textzeilen des Viren-Body:

«HellBot3 have BackDoor in ‚HellMsn.h‘. The HellBot3 author is an idiot!!!
[Phantom] 2005 Made By Evil[xiaou]. Greetz to good friend x140d4n. Based On sdbot&&mydoom.»

Der Autor von Fanbot äußert darüber hinaus seine Unzufriedenheit gegenüber den Anti-Viren-Unternehmen, die diesen Virus nicht so benannten, wie es der Autor gern gehabt hätte:

«MSG to Kaspersky&Norton: can u make it difficulty next time!!! stupid. dont call me Fanbot,i am [Phantom]!!! SHIT!!! Play with The best, Die like the rest.»

Fanbot ist eine ziemlich vielzählige Familie. Gegenwärtig sind uns 11 Modifikationen dieses Wurms bekannt, und aller Wahrscheinlichkeit nach werden sie und Doombot die aktivsten Viren in den kommenden Monaten.

Auch die Bagle-Autoren folgten der allgemeinen Tendenz. Im September haben wir darüber geschrieben, dass über 2 Dutzend neue Bagle-Modifikationen entdeckt wurden. Im Oktober war die Aktivität geringer, und zwar zugunsten der „Qualität“ dieser Würmer. Der am 20. Oktober entdeckte Bagle.dx wurde auf diese Weise zu einem bedeutenden Ereignis in der Viren-Statistik. Wie immer ist das Hauptziel der Bagle-Würmer nicht die Vermehrung des Wurms. Vielmehr positionieren sie Trojaner Proxy-Server zur Spam-Verbreitung und Programme zur Sammlung von E-Mail-Adressen auf die infizierten Maschinen. Wir sind der Ansicht, dass wir in den vergangenen Wochen ausgerechnet „dank“ Bagle und dessen letzten lokalen Epidemien ein weltweit rapides Wachstum des Spam-Versands zu verzeichnen haben.

Neben dem Spam-Versand gewöhnlicher E-Mails werden über die infizierten Computer Phishing-Attacken organisiert. Eine der massivsten Attacken im Oktober wurde der Versand des Trojaners Trojan-Spy.HTML.Bayfraud.hn, der auf die Anwender des Systems eBay ausgerichtet war. Eben diese E-Mail nimmt den 18. Platz in unserer Statistik ein und erinnert zum wiederholten Mal an die Gefahr durch Phishing.

Die Kategorie „Sonstige Schadprogramme“ verbucht – gemessen an der Gesamtzahl der abgefangenen Schadprogramme – einen beträchtlichen Prozentsatz (20,01%). Dies zeugt von einer recht hohen Anzahl sonstiger Würmer und Trojaner, die anderen Familien zuzuordnen sind.

Zusammenfassung:

Neu Doombot.b, Doombot.d, Fanbot.f, Bagle.dx, Bayfraud.hn
Aufgestiegen Mytob.c, Mytob.bi, NetSky.q, Mytob.y, Mytob.be
Abgestiegen Zafi.d, Lovgate.w, NetSky.b, Mytob.bk, Mytob.t, Mytob.q, Mytob.u, Zafi.b, Mytob.r, NetSky.aa

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.