Kaspersky Lab präsentiert die Viren-Top 20 online für August 2006

Viren Top 20 Online – August 2006 (Analyse des Kaspersky Online-Viren-Scanners)

Position Veränderung Name Häufigkeit
1. Neu!
Neu!
Email-Worm.Win32.Mydoom.m 4,93
2. Neu!
Neu!
Email-Worm.Win32.NetSky.q 0,74
3. Wiedereintritt
Wiedereintritt
Email-Worm.Win32.Nyxem.e 0,31
4. Up
+1
Trojan-Dropper.Win32.Agent.asl 0,22
5. Neu!
Neu!
Backdoor.IRC.Zapchast 0,16
6. Neu!
Neu!
Email-Worm.Win32.NetSky.aa 0,15
7. Neu!
Neu!
Trojan-Downloader.Win32.Agent.arc 0,15
8. Neu!
Neu!
Backdoor.Win32.mIRC-based 0,13
9. Neu!
Neu!
Trojan-Proxy.Win32.Horst.av 0,12
10. Neu!
Neu!
Virus.DOS.PS-MPC-based 0,10
11. Down
-8
Email-Worm.Win32.Rays 0,10
12. Up
+1
not-a-virus:Monitor.Win32.Perflogger.163 0,10
13. Neu!
Neu!
not-a-virus:RiskTool.Win32.HideWindows 0,09
14. Neu!
Neu!
Email-Worm.Win32.Bagle.fj 0,09
15. Down
-14
Trojan-Spy.Win32.Banker.anv 0,09
16. Neu!
Neu!
Net-Worm.Linux.Ramen 0,09
17. Down
-13
Email-Worm.Win32.Brontok.q 0,09
18. Down
-3
Virus.Win32.Parite.b 0,08
19. Neu!
Neu!
Backdoor.IRC.Acnuz 0,08
20. Neu!
Neu!
Backdoor.IRC.Mimic 0,07
Sonstige Schadprogramme 92,11

Die Online Top 20 für August ist die ungewöhnlichste seit ihrem Bestehen. Auf der einen Seite passt sie sich nicht an die gegebene Virensituation an, auf der anderen Seite sind viele Schadprogramm-Klassen darin enthalten, die zuvor nicht in der Statistik auftauchten, jedoch besondere Aufmerksamkeit verdienen. Die aktuelle Online-Top-20 beinhaltet Viren, die dort aufgrund ihrer Verbreitung zurecht zu finden sind, aber auch Viren, die ausschließlich durch die Funktionalität des Online-Scanners in das Rating kamen und aller Wahrscheinlichkeit nach im nächsten Monat die Statistik wieder verlassen.

Die ersten drei Programme der August-Online-Top-20 passen eher zu den Daten der E-Mail-Statistik Anfang des Jahres, wobei besonders die ersten beiden in den Jahren 2004/2005 ihre Spuren hinterließen. NetSky.q war der am meisten verbreitete Virus des gesamten Jahres 2004. Gegenwärtig haben jedoch beide Würmer die E-Mail-Top-20 schon wieder verlassen, was von ihrem Verschwinden aus dem E-Mail-Traffic zeugt. Es gibt mehrere Gründe für ihr Erscheinen in der Online-Statistik. Als wichtigsten Grund sehen wir die unterschiedlichen Quellen für die Erstellung der beiden Statistiken. Die E-Mail-Top-20 nutzt als Quelle die Daten von Antiviren-Programmen auf großen Mail-Servern und spiegelt die abgefangenen und vernichteten Übeltäter wider. Die Online-Statistik basiert auf Daten von Endanwender-PCs, die teilweise auch keinen Antiviren-Schutz nutzen, wodurch die Malware-Vielfalt enorm ist.

Der dritte und der vierte Platz sind eine logische Schlussfolgerung, wenn man sich die Virensituation ansieht: Nyxem.E erlebte in den vergangenen Monaten seine Wiedergeburt und ist auch im E-Mail-Traffic zu finden. Trojan-Dropper.Win32.Agent.asl konnte trotz Rückgang seiner Prozente einen Platz höher klettern.

Die nächsten sechs Plätze im Online-Viren-Rating stellen einen Mix aus aktuell gefährlichen Viren dar, aus Viren, die schon vor einigen Jahren aktuell waren und „Antiquitäten“, deren Existenz auf modernen Betriebssystemen kaum mehr vorstellbar ist.

Zum ersten Block gehören Trojan-Downloader.Win32.Agent.arc und Trojan-Proxy.Win32.Horst.av. Horst.av ist derzeit zweifelsohne eine der Hauptbedrohungen für die Anwender: Ein recht kompliziert aufgebauter Trojaner, der aus vielen Komponenten zusammengesetzt ist, Rootkit beinhaltet und verschiedene polymorphe Technologien verwendet, die ein Erkennen durch Antivirus-Programme verhindern sollen.

Der zweite Block besteht aus einer Kombination aus Backdoor.IRC.Zapchast+Backdoor.Win32.mIRC-based und dem Wurm NetSky.aa.
Wie man aus dem Namen „IRC“ erkennen kann, haben wir es mit einem Trojaner-Programm zu tun, welches über IRC gesteuert wird. Es ist einer der ersten Vertreter der Klasse der „Bootnets“. Die ersten Modifikationen von Backdoor.IRC.Zapchast entdeckten wir bereits 2002, mittlerweile beträgt die Zahl über Tausend. Möglicherweise gab es im August 2006 eine lokale Epidemie einer dieser Modifikationen.

Und schließlich Virus.DOS.PS-MPC-based. Dieser Virus ist keine konkrete Datei, sondern ein Vielzahl von Modifikationen, die mithilfe des Viren-Baukastens PS-MPC erstellt wurde. Dieser Baukasten ist uns schon über 10 Jahre lang bekannt, aber es gibt offensichtlich Menschen, die meinen, man könne noch gefährliche Viren damit erstellen. Daher rühren auch die zahlreichen Scans unseres Online-Scanners und der damit einhergehende 10. Platz.

Die zweite Hälfte des Online–Ratings ist schon durchschaubarer: alte Bekannte wie die Würmer Rays, Brontok, Keylogger Perflogger, Virus Parite.b und der noch vor kurzem als Spitzenreiter „gekürte“ und immer noch unter den ersten 5 stehende Trojaner-Spion Banker.anv. Jetzt fiel er jedoch gleich um 14 Positionen, doch wir gehen davon aus, dass er im September wieder einen Platz in der oberen Hälfte belegen wird.

Der bemerkenswerte Wurm Ramen ist einer der meist verbreiteten Linux-Schädlinge. Es gelang ihm im August, die notwendigen Prozente zu sammeln, um Platz 16 zu belegen. Es wird interessant, was der im September bringt.
Die zwei letzten Plätze belegen fremde Backdoors – es ist jedoch nicht ausgeschlossen, dass dies mit dem oben beschriebenen Backdoor.IRC.Zapchast eng zusammenhängt, was eine logische Schlussfolgerung zuließe.

Zusammenfassung TOP 20 Online:

Neue und potentiell gefährliche Programme Email-Worm.Win32.Mydoom.m, Email-Worm.Win32.NetSky.q, Backdoor.IRC.Zapchast, Email-Worm.Win32.NetSky.aa, Trojan-Downloader.Win32.Agent.arc, Backdoor.Win32.mIRC-based., Trojan-Proxy.Win32.Horst.av, Virus.DOS.PS-MPC-based, not-a-virus:RiskTool.Win32.HideWindows, Email-Worm.Win32.Bagle.fj, Net-Worm.Linux.Ramen, Backdoor.IRC.Acnuz., Backdoor.IRC.Mimic
Aufgestiegen Trojan-Dropper.Win32.Agent.asl, not-a-virus:Monitor.Win32.Perflogger.163
Abgestiegen Email-Worm.Win32.Rays, Trojan-Spy.Win32.Banker.anv, Email-Worm.Win32.Brontok.q, Virus.Win32.Parite.b
Zurückgekehrt Email-Worm.Win32.Nyxem.e

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.