Viren Top 20 für November 2004

Position Veränderung Name Häufigkeit
1 +6 I-Worm.Bagle.at 21.39%
2 +12 I-Worm.Mydoom.ab 11.52%
3 -2 I-Worm.Netsky.q 8.70%
4 +4 I-Worm.Zafi.b 7.83%
5 -3 I-Worm.Netsky.aa 7.33%
6 +6 I-Worm.LovGate.w 5.69%
7 -4 I-Worm.Netsky.b 5.39%
8 neu I-Worm.Bagle.au 4.89%
9 -4 I-Worm.Bagle.z 2.90%
10 -4 I-Worm.Mydoom.m 2.60%
11 +6 I-Worm.Mydoom.r 2.17%
12 -1 I-Worm.NetSky.y 1.65%
13 neu I-Worm.Bofra.b 1.58%
14 neu I-Worm.Sober.i 1.37%
15 -5 I-Worm.NetSky.d 1.33%
16 -3 I-Worm.Mydoom.l 1.33%
17 -8 I-Worm.NetSky.t 1.21%
18 neu I-Worm.LovGate.ad 0.82%
19 -4 I-Worm.NetSky.r 0.82%
20 -4 I-Worm.Bagle.gen 0.57%
Andere Malware (nicht in den Top 20 enthalten) 8.89%

Kaspersky Lab, ein international führender Experte im Bereich IT-Sicherheit, präsentiert die Viren Top 20 für November.
Der November 2004 war durch einen Führungswechsel in der Viren Top 20 gekennzeichnet. Die erst Ende Oktober entdeckten Würmer Mydoom.ab und Bagle.at (die in der Oktoberrangliste Platz 14 und 7 belegten) haben im November kräftig aufgedreht und okkupierten die ersten beiden Plätze. Mydoom rutschte dabei gleich 12 Plätze nach oben und stellt damit einen neuen Rekord für 2004 auf.

In den vergangenen Monaten führte die Wurmfamilie Netsky die Top 20 an. Im November jedoch gab es große Veränderungen: Es wurden vier neue Schadprogramme ausgemacht, wobei jedes von ihnen eine eigene Wurm-Familie darstellt. Am interessantesten aus analytischer Sicht sind Bofra.b und Sober.i.

Bofra.b ist eine stark modifizierte Variante von Mydoom, die auf dessen Ursprungs-Code basiert. Dies war auch der Grund dafür, dass einige IT-Unternehmen diesen Wurm zunächst als eine Abwandlung von Mydoom identifizierten, ihn dann schließlich doch einer eigenständigen Wurmart zuordneten. Diese Entscheidung wurde getroffen, weil Bofra sich auf andere Art und Weise vermehrt und in Systeme eindringt als Mydoom. Der Wurm startet auf dem infizierten Gerät einen eigenen http-Server, auf dem er eine selbst konstruierte HTML -Seite platziert, die den IE-Exploit enthält (IFrame buffer overflow). Danach verschickt er nicht sich selbst als E-Mail-Anhang, sondern vielmehr einen Hyperlink mit der Adresse des infizierten Computers. Bei Klick auf den E-Mail-Link gelangt man auf die infizierte HTML-Seite, und der Wurm wird in den Rechner eingeschleust.

Eine weitere Neuheit in der Rangliste der Top 20 stellt Sober.i dar. Am 19. November wurde er an Millionen Adressen in Westeuropa per E-Mail versandt (hauptsächlich in Deutschland und Österreich), was eine Kurzzeit-Epidemie in diesen Ländern hervorrief. So schnell wie er kam, war er auch wieder verschwunden. Schuld daran ist ein Code-Fehler im Schadprogramm, der schon einmal Ende 2003 in einer ersten Version dieses Wurms beobachtet wurde: Der Wurm verschickt per E-Mail nicht sich selbst, sondern lediglich sinnlose Daten.
Die im Oktober entdeckte neue Variante des Wurms Zafi.c, wurde in der ‚freien Wildbahn‘ nicht aufgefunden, wo hingegen sich sein Vorgänger Zafi.b (führend in den Sommer-Ranglisten) um vier Positionen verbessern konnte und sich damit wieder dem Führungs-Trio näherte.

Der koreanische Wurm LovGate.w, der sich schon lange in der Hitparade befindet, wurde durch seine Reinkarnation LovGate.ad ergänzt. Interessant ist dabei, dass diese Variante bereits im Juli dieses Jahres entdeckt wurde, seitdem jedoch in den Statistiken nicht weiter vorkam. Die genannten Würmer wurden im Unterschied zu anderen Würmern der Rangliste nicht an Millionen Adressen massenartig versandt. Es ist augenscheinlich, dass sie sich auf ‚klassische‘ Art ausbreiten – beginnend mit wenigen Computern und sukzessive an Kraft gewinnend. Der 6. und 18. Platz in der Rangliste ist ein ernst zu nehmendes Zeichen für diese Wurmart.

Die November Top 20 besteht ausschließlich aus unterschiedlichen E-Mail-Würmern. Es ist jedoch anzumerken, dass groß angelegte ‚Phishing‘-Attacken zu einer November-Erscheinung wurden. Ihre Zahl überstieg vier Dutzend.
Viele dieser ‚fraud‘-Mails befinden sich in unmittelbarer Nähe der Top 20. Berücksichtigt man ihr einmaliges Auftreten im Mailverkehr (Würmer verschicken im Gegensatz zu Fraud-Mails Millionen ihrer Kopien), so ist dies eine ziemlich erschreckende Tatsache. Denn der Spam-Massenversand dieser Mails kann bereits jetzt den Ausmaßen von Wurm-Epidemien gegenübergestellt werden.

Andere Schadprogramme stellten im November 8,89% des gesamten Virenverkehrs im Internet dar. Insgesamt wurden im Mailverkehr mehr als 200 verschiedene Schadprogramme aller Arten und Klassen festgemacht.

Zusammenfassung:

Neu Bagle.au, Bofra.b, Sober.i, LovGate.ad
Aufgestiegen Bagle.at, Mydoom.ab, Zafi.b, LovGate.w, Mydoom.r
Abgestiegen NetSky.q, NetSky.aa, NetSky.b, Bagle.z, Mydoom.m, Netsky.y, Netsky.d, Mydoom.I, Netsky.t, Netsky.r, Bagle.gen

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.