Angriffe krimineller Natur haben sich im Jahr 2006 zur Hauptbedrohung im
Internet entwickelt. Die massenhafte Verbreitung von Schädlingen scheint nun
endgültig ihren Höhepunkt hinter sich gelassen zu haben. Cyber-Kriminelle
schreiben auf das anvisierte Ziel zugeschnittene Schadprogramme, die nicht viel
Wirbel verursachen. Dabei konzentrieren sie sich vor allem auf die
Programmierung von Trojanern – einer Malware-Art, die für Online-Verbrechen
eingesetzt werden kann.
Computer-Attacken finden soweit es geht still und
diskret statt, damit sensible Daten und Gewohnheiten von Anwendern heimlich
ausspioniert werden können. Auch wenn im vergangenen Jahr spektakuläre Epidemien
einzelner Schädlinge ausblieben: Die Anzahl der Angriffe auf Computer wächst
kontinuierlich.
Diese Entwicklung spiegelt sich auch in der Panda Software Viren Top Ten des
Jahres 2006 wieder:
Das ganze Jahr über souverän auf dem ersten Platz
gehalten hat sich das Skript Sdbot.ftp. Im Jahr 2004 erschienen, konnte
sich Sdbot.ftp sechs Monate später zum ersten Mal die Pole Position sichern.
Seitdem schaffte es kein anderer Schädling das Skript von Platz eins zu
verdrängen. Sdbot.ftp dient mehreren Varianten der zahlreichen Sdbot
Wurm-Familie zum Herunterladen von Wurm-Kopien über Systemanfälligkeiten (LSASS,
RPC-DCOM). 2,62 Prozent aller Infektion im Jahr 2006 gehen auf das Konto von
Sdbot.ftp.
Platz zwei belegt ein weiterer Veteran, der seit 2004 in der
Top Ten der am häufigsten verbreiteten Schädlinge auftaucht: Netsky.P.
Der Wurm verbreitet sich über E-Mails und P2P File-Sharing Applikationen. Dabei
profitiert er von einer alten Sicherheitslücke in ungepatchten Versionen des
Internet Explorers. Der in der Nachricht beigefügte Anhang wird automatisch
ausgeführt, sobald die HTML-Mail angesehen wird. Netsky.P war im vergangenen
Jahr für 1,22 Prozent aller Computer-Infektionen verantwortlich.
Der
dritte Platz geht mit einer Infektionsrate von etwas über einem Prozent an
Exploit/Metafile. Das Exploit sucht sich einen Systemfehler in der Bild-
und Fax-Datei der GDI32.DLL Bibliothek auf den Betriebssystemen Windows 2003, XP
und 2000 als Zutrittspunkt zum Verseuchen von Computern.
Tearec.A
schafft es in der Gesamt-Auswertung des Jahres 2006 auf den vierten Rank. Mitte
Januar richtete sich der Angriff des so genannten Kamasutra-Wurms an Rechner auf
der ganzen Welt. Durch den Gebrauch von Social Engineering Techniken innerhalb
von Mails mit erotischen Inhalten, konnte sich Tearec.A schnell und effizient
übers Internet verbreiten. Nach der ersten großen Angriffswelle aktivierte sich
der Wurm an jedem dritten Tag eines Monats erneut, um Virenschutzprogramme zu
beenden und den Datenverkehr bestimmter Mail-Services zu
kontrollieren.
Auf dem fünften Platz der Top Ten landet der Trojaner
Qhost.gen, der aus einer Gruppe modifizierter Codes zur Veränderung der
Host Datei eines Systems besteht. Zudem hindert er den User daran, IT
Sicherheits-Webseiten zu öffnen. 0,76 Prozent aller Infektionen sind auf
erfolgreiche Qhost.gen-Angriffe zurückzuführen.
Der sechste Platz geht an
Torpig.A. Der Angriff des Trojaners kann für betroffene User ernsthafte
Folgen haben, da er Informationen (z.B. Passwörter) entwendet, die vom User
eingetippt oder von Windows Services gespeichert werden.
Sober.AH,
der Wurm, der sich u. a als Warnungs-Mail des BKA tarnt und Prozesse
verschiedener Sicherheits-Tools beendet, landet auf dem siebten Platz. Wie
Tearec.A bedient sich auch Sober.AH Social Engineering Techniken, um Anwender zu
irritieren und unzureichend geschützte Systeme zu infizieren. Diese Technik
zielt auf die Neugier der Nutzer und lockt mit scheinbar interessanten
Dateianhängen.
Auf Platz acht finden wir das erste und einzige Virus in
der Panda Software Rankliste des vergangenen Jahres: Parite.B – ein
üblicher Verdächtiger, der seit 2003 sein Unwesen treibt. Das Virus sucht in
allen lokalen Netzwerken nach EXE- und SCR-Dateien, hängt sich dort an und
vergrößert jede befallene Datei, um den Speicherplatz zu
verringern.
Gaobot.gen ist ein Abkömmling der Gaobot
Wurm-Großfamilie, die verschiedene Sicherheitslücken zu ihrer Verbreitung nutzen
und vertrauliche Informationen von infizierten Systemen sammeln. Im Top Ten
Ranking landet er auf Platz neun.
Und auch die berühmt-berüchtigte
Bagle-Familie schafft es mit Bagle.pwdzip gerade noch sich mit dem
zehnten Platz in die Top Ten zu drängen. Bagle.pwdzip transportiert sechs
weitere Bagle-Varianten in einer Passwort geschützten Zip-Datei: Bagle.F,
Bagle.G, Bagle.H, Bagle.I, Bagle.N und Bagle.O. Die Verbreitung erfolgt über
E-Mail Anhänge.
Virus | % of infections |
W32/Sdbot.ftp.worm | 2.62 |
W32/Netsky.P.worm | 1.22 |
Exploit/Metafile | 1.08 |
W32/Tearec.A.worm!CME-24 | 0.79 |
Trj/Qhost.gen | 0.76 |
Trj/Torpig.A | 0.69 |
W32/Sober.AH.worm!CME-681 | 0.67 |
W32/Parite.B | 0.62 |
W32/Gaobot.gen.worm | 0.55 |
W32/Bagle.pwdzip | 0.54 |
Fazit:
Finanzieller Betrug – eine ständige
Bedrohung: Sdbot.ftp führt seit zwei Jahren die Top Ten der am häufigsten
verbreiteten Malware an. Dabei handelt es sich um einen typischen Wurm, der als
„Geldeintreiber“ eingesetzt wird. Der vorherrschende Trend wird auch durch die
Präsenz von Exploit/Metafile auf dem dritten und Torpig.A auf dem sechsten Platz
im Ranking bestätigt.
Zahlreiche Varianten von Würmern: Hacker
tendieren dazu, verschiedene Varianten eines Schädlings in einem sehr kurzen
Zeitraum im Netz zu streuen, um die Wahrscheinlichkeit einer Infektion zu
erhöhen und einer Erkennung durch Sicherheitsprogramme zu entgehen. So bestehen
z.B. mehrere Exemplare von Qhost.gen, Gaobot, Bagle und
Sdbot.
Infektionsrate: Im Vergleich zu 2005 haben sich die
Infektionsraten der einzelnen Schädlinge im vergangenen Jahr verringert. Während
sich 2005 noch fast alle Viren, Würmer und Trojaner, die in der Top Ten
vertreten waren, jeweils für über ein Prozent der Infektionen verantwortlich
zeichneten, konnten im Jahr 2006 nur noch die ersten drei Schädlinge diesen
Prozentsatz erreichen. Was aber nicht bedeutet, dass nun weniger Infektionen
stattfinden. Ganz im Gegenteil: Das ist ein klares Anzeichen für den Trend zum
Variationsreichtum. Die insgesamt höhere Infektionsrate wird lediglich unter der
nun breiteren Masse an Schädlingen verteilt.