Kaspersky Lab präsentiert die Viren-Top 20 für Oktober 2006

Viren-Top 20 für Oktober (Analyse des E-Mail-Traffics)

Position Positions-Veränderung Name Häufigkeit
1. Return
Wiedereintritt
Email-Worm.Win32.NetSky.q 13.14
2. New!
Neu!
Email-Worm.Win32.Warezov.dn 11
3. Return
Wiedereintritt
Email-Worm.Win32.Bagle.gen 10.43
4. No Change

Email-Worm.Win32.Scano.gen 7.97
5. New!
Neu!
Email-Worm.Win32.Warezov.ev 6.32
6. Return
Wiedereintritt
Email-Worm.Win32.Bagle.mail 4.04
7. New!
Neu!
Email-Worm.Win32.Warezov.dc 3.65
8. Return
Wiedereintritt
Email-Worm.Win32.Mydoom.l 2.89
9. Return
Wiedereintritt
Email-Worm.Win32.Mydoom.m 2.74
10. Return
Wiedereintritt
Email-Worm.Win32.Scano.e 2.46
11. New!
Neu
Email-Worm.Win32.Warezov.do 2.41
12. Return
Wiedereintritt
Email-Worm.Win32.NetSky.aa 2.08
13. Down
-8
Email-Worm.Win32.NetSky.b 2.04
14. Down
-13
Net-Worm.Win32.Mytob.c 2.01
15. Down
-2
Trojan-Spy.HTML.Bankfraud.od 1.84
16. New!
Neu!
Email-Worm.Win32.Warezov.eu 1.83
17. New!
Neu!
Email-Worm.Win32.Warezov.gen 1.26
18. Return
Wiedereintitt
Email-Worm.Win32.Bagle.dx 1.24
19. New!
Neu!
Email-Worm.Win32.Warezov.dh 0.84
20. Down
-12
Email-Worm.Win32.Scano.aq 0.8
Sonstige Schadprogramme 19.01
Warezov-Modifikationen 27.31

Seit nunmehr drei Monaten kämpfen Mytob.c und Nyxem.e um den ersten Platz. Es war schwer zu sagen, wie lange dieser Kampf noch andauern würde. Nur eine globale Epidemie hätte diese Situation ändern können. Im Jahre 2006 haben wir jedoch derartige „Attacken“ auf das Internet durch E-Mail-Würmer beinahe vergessen. Viel größere Aktivität zeigten gewöhnliche Trojaner oder Internet-Würmer, die für ihre Verbreitung Sicherheitslücken in Windows verwenden, einschließlich der kürzlich entdeckten MS06-040.

Doch im Oktober änderte sich die seit Wochen bekannte Konstellation buchstäblich binnen einer Stunde. Wurm Warezov brach ein und stellte die gesamte Statistik derart auf den Kopf, dass lediglich fünf Schadprogramme aus den September-Top 20 aktuell noch vertreten waren. Warezov sorgte bei Antivirus-Unternehmen weltweit den gesamten Oktober hinweg für Kopfzerbrechen. Höchste Aktivität zeigte er Ende des Monats, als täglich bis zu 20 neue Modifikationen erschienen. Dies war der Anlass, die statistische Datensammlung wesentlich zu modernisieren, was sich auch an der daraus resultierenden Umverteilung der Plätze in der Oktober-Top 20 ablesen lässt.

Der „Warezov-Wahnsinn“ führte dazu, dass einzelne Modifikationen dieser Familie gleich sieben Plätze im Rating belegen. Ein ähnliches Debut gelang in der gesamten Historie nur Mytob. Insgesamt macht die Summe aller dieser Warezov-Modifikationen über 27 Prozent aus. Würde man die Verbreitung nicht pro Modifikation sondern nach Wurm-Familien zählen, dann wäre er im Oktober absoluter Spitzenreiter. So belegt Warezov.dn Platz zwei und liegt damit absolut gesehen nur um zwei Prozentpunkte hinter dem Spitzenreiter von 2004, NetSky.q. Dieser führt die Hitparade erneut an, doch es lässt sich noch nicht erkennen, ob es sich hierbei tatsächlich um eine Tendenz oder aber lediglich um eine Einmalerscheinung handelt. Beispiele hierfür sind aus den vergangenen Jahren reichlich bekannt.

Die Merkmale von Warezov weisen starke Parallelitäten zu dem hinreichend bekannten Wurm Bagle auf. Obwohl Wurm Warezov die Quellcodes von Mydoom.a zugrunde liegen, Bagle hingegen auf die Entwicklung einer unbekannten Gruppe von Virenschreibern zurückgeht, sind wir geneigt, diese Würmer als „Verwandte“ zu betrachten. Erstens: die Verbreitungsmethoden ähneln einander sehr stark – es werden zeitnah massenhaft verschiedene Modifikationen in Umlauf gebracht. Ein Unterschied besteht dabei in der Differenzierung nach geografischer Lage – so wurden in Russland andere Modifikationen als in Europa verbreitet. Zweitens: ihre Funktionen sind ähnlich – sie installieren auf dem PC beliebige andere Module von Trojaner-Webseiten und sammeln E-Mail-Adressen. Bagle war der erste Wurm, der diese Viren-Technologie nutzte. Warezov agiert auf vergleichbare Weise. Drittens: das Erscheinen von Warezov und das vorläufige Ende neuer Bagle-Modifikationen fallen zeitlich zusammen. Aller Wahrscheinlichkeit nach sind beide Würmer Kreationen ein und derselben Gruppierung. Viertens: Bagle beeinflusste die Antiviren-Industrie maßgeblich, indem er diese veranlasste, eine Vielzahl neuer Schutzmethoden zu entwickeln. Warezov stellt diesen Industriezweig schon jetzt vor eine komplizierte Aufgabe, da die Virenschreiber mittels einer neuen Art der Code-Modifizierung (Obfuscator) versuchen, die Schutzmechanismen von Antiviren-Programmen auszuhebeln.

Im Übrigen ist Bagle noch längst nicht verschwunden. Es erscheinen zwar keine neuen Modifikationen, bekannte existieren jedoch nach wie vor und verbreiten sich aktiv. Anschauliches Beispiel dafür ist der dritte, sechste und achtzehnte Platz in den Oktober-Top 20.

Ein weiterer Wurm, der seinerzeit versuchte, durch Code-Modifizierung die Antivirus-Programme zu umgehen, ist Scano. Der polymorphe Script-Kern dieses Wurms wurde von Kaspersky Analytikern vor einigen Monaten erfolgreich geknackt. Dennoch weist Scano nach wie vor einen hohen Verbreitungsgrad auf. Bemerkenswert ist zudem, dass Scano.gen seinen 4. Platz aus dem September-Rating behielt, trotz der grundlegenden Veränderung des Statistik-Systems.

Die kyrillische Herkunft von Warezov, Bagle und Scano deutet darauf hin, dass diese entweder in Russland oder in einem anderen Land der ehemaligen Sowjetunion erstellt wurden.

In der Kategorie „Phishing-Attacken“ führt nach wie vor Bankfraud.od. Im September verlor Bankfraud.od lediglich einen Platz, im Oktober ging es zwei Plätze nach unten. Aufgrund der stetigen Zunahme von Phishing-Attacken im E-Mail-Verkehr plant Kaspersky Labs zukünftig eine separate Phishing-Statistik zu veröffentlichen.

Die Kategorie „sonstige Schadprogramme“ bildet mit 19,1 Prozent gemessen an der Gesamtzahl der abgefangenen Schadprogramme einen nicht zu vernachlässigenden Anteil.

Zusammenfassung
New! Neu Warezov.dn
Warezov.ev
Warezov.dc
Warezov.do
Warezov.eu
Warezov.gen
Warezov.dh
UpAufgestiegen keine
DownAbgestiegen NetSky.b Mytob.c Bankfraud.od Scano.aq
No ChangeUnverändert Scano.gen
Return Wiedereintritt NetSky.q
Bagle.gen
Bagle.mail
Mydoom.l
Mydoom.m
Scano.e
NetSky.aa
Bagle.dx

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.