TREND MICRO Viren-Report für den April 2004

David Kopp, Leiter der TrendLabs EMEA, kommentiert aktuelle Entwicklungen bei Viren und Würmern

(PresseBox) (Unterschleißheim, ) TREND MICRO (NASDAQ: TMIC, TSE: 4704), einer der weltweit führenden Hersteller von Web-basierter Antiviren- und eSecurity-Software, entdeckte im April rund 1.700 neue Malicious Codes (März: 1.200, Dezember: 400). Zu den drei häufigsten Schädlingstypen gehörten dabei Trojaner, Backdoors und Würmer. Rund 90 Prozent der Malicious Codes in den aktuellen "Virus Top Ten" zeigen Merkmale eines Computerwurms. Im Laufe des April musste TREND MICRO insgesamt viermal einen globalen Yellow Alert auslösen, um vor WORM_NETSKY.Y, WORM_NETSKY.AB, WORM_BAGLE.X und WORM_BAGLE.Z zu warnen.

Rund 60 Prozent der neu entdeckten Malware weist heute Backdoor-Funktionalitäten auf. Bei einer Backdoor (Hintertür) handelt es sich um ein Programm, das einen versteckten Zugang zum infizierten System öffnet, sodass die installierten Sicherheitsvorkehrungen umgangen werden können. Backdoors befallen zwar keine andere Dateien auf dem Host-Rechner, so gut wie alle Programme dieser Art modifizieren aber die Registry.

Die steigende Verbreitung von Backdoors ist ein Beleg für die sich ändernden Motive von Virenprogrammierern. Durch die Verbreitung von Malicious Codes sollte bislang vor allem eine möglichst große Medienaufmerksamkeit erreicht werden. Vor diesem Hintergrund wurden nur wenige wirklich gefährliche Viren und Würmer programmiert, die Systeme absichtlich zu schädigen versuchten. Die Verbreitung von Backdoors markiert hier eine Trendwende.


Breitband-Technologien forcieren Trend zu Backdoors

Zu den Ursachen dieser Entwicklung zählt unter anderem die wachsende Popularität von Breitband-Technologien wie xDSL. Immer mehr Heimanwender verwenden diese Verbindungsart für ihre privaten Netzwerke. Gleichzeitig bestehen aber hinsichtlich der benötigten Sicherheitsmaßnahmen noch erhebliche Unsicherheiten: Oftmals werden zum Beispiel Laptops oder PDAs ohne Schutz direkt mit dem DSL-Modem verbunden. Dies bringt ernste Risiken mit sich, zumal viele Anwender ihre Internetverbindungen über sehr lange Zeiträume oder sogar ununterbrochen aufrechterhalten.

Computer von Heimanwendern werden auf diesem Weg zu bevorzugten Angriffszielen für Hacker, Virenprogrammierer oder Spammer. Diese Gruppen formen in zunehmenden Maße Allianzen, um den Trend zur DSL-Anbindung besser ausnutzen zu können. Über Backdoors gelangen Angreifer an sensible Daten auf den infizierten System, wie zum Beispiel Passwörter für den externen Zugriff auf ein Unternehmensnetz.


Immenses Schadenspotenzial

Backdoors ermöglichen es den Angreifern darüber hinaus, detaillierte Informationen zu den befallenen Systemen zu sammeln. Zu den größten Gefahren gehört in diesem Zusammenhang die Zweckentfremdung infizierter Computer für zukünftige, koordinierte Attacken. Angreifer könnten diese Malicious Networks nutzen, um sich hinter fremden Systemen zu verstecken. So entsteht der Eindruck, dass eine Attacke von einem Heimanwender gestartet wurde - der davon aber nichts weiß und in keinerlei Beziehung zum Angreifer steht. Daraus ergibt sich zudem eine Reihe rechtlicher Fragen, so zum Beispiel nach der Haftung des Anwenders für die Aktivitäten seiner infizierten Systeme.

Auch die Verbreitung von Malicious Codes über Backdoors ist eine reale Gefahr, wie WORM_MYDOOM und WORM_DOOMJUICE in jüngster Vergangenheit gezeigt haben. Virenprogrammierer starten zunächst einen Angriff mit einer Malware, die auf Systemen eine Backdoor installiert. Über diese Backdoor erfolgt dann die eigentliche Infektion durch einen anderen Malicious Code. Auf diese Art können herkömmliche Antiviren-Lösungen umgangen werden, da der Angriff nicht über die bekannten Protokolle (HTTP, SMTP oder FTP) sondern ausschließlich über TCP/IP erfolgt. Ohne wirksame Sicherheitsmaßnahmen und -richtlinien wird die Attacke daher auch in Unternehmen erfolgreich sein.


Datendiebstahl über Backdoors

Ein weiterer Grund für die steigende Verbreitung von Backdoors ist der finanzielle Wert der Daten auf den infizierten Systemen. Viele wenig seriöse Organisationen sind an diesen Anwenderdaten interessiert und durchaus bereit, dafür zu bezahlen. Mittels einer Backdoor können so genannte Key Logger installiert werden, um zum Beispiel an Kreditkartendaten zu gelangen. Dies ermöglicht es Angreifern, Datenbanken voller gültiger Kreditkartennummern zu erstellen und zu verkaufen. Auf demselben Weg lässt sich auch aus dem Verkauf von gesammelten Email-Adressen an professionelle Spam-Versender ein wirtschaftlicher Vorteil ziehen. Dies würde auch den starken Anstieg unerwünschter Massen-Mailings erklären.

Die oben erwähnten Faktoren sind verantwortlich dafür, dass die meisten Würmer heute Backdoor-Funktionalitäten enthalten. Aber Computerwürmer sind nicht die einzige Methode zur Installation von Backdoors. DSL-Verbindungen ermöglichen den schnellen und einfachen Austausch von Videos oder Musik-Dateien über populäre Peer-to-Peer (P2P)-Netzwerke wie Kazaa, eMule oder eDonkey. In diesen Tauschnetzen platzieren Virenprogrammierer ihre Malicious Codes und tarnen sie mit vertrauenswürdigen oder besonders attraktiven Dateinamen. Getäuschte Anwender laden den Malicious Codes herunter, führen ihn aus und infizieren so ihr System. Für Unternehmen sind daher die gezielte Aufklärung der Mitarbeiter zur Steigerung des Gefahrenbewusstseins sowie wirksame Sicherheitsrichtlinien von größter Bedeutung.


Rivalität zwischen BAGLE- und NETSKY-Programmierern hält an

Allein im April identifizierte TREND MICRO dreizehn neue NETSKY- und acht neue BAGLE-Varianten. Die rivalisierenden Virenprogrammierer fügen ihren jeweiligen Malicious Codes dabei immer wieder neue Elemente hinzu. So zeichnete sich zum Beispiel WORM_NETSKY.X durch Mehrsprachigkeit aus: Die Betreffzeilen und Namen der Email-Anhänge wurden in der Sprache des eingesetzten Betriebssystems dargestellt. Dabei handelt es sich um einen Social-Engineering-Trick. Viele Anwender haben sich daran gewöhnt, dass die meisten Viren-Emails in englischer Sprache abgefasst sind. Durch die Verwendung einer anderen Sprache wird also das Misstrauen gegenüber dem Dateianhang gesenkt.

WORM_BAGLE.Z leitete dagegen infizierte Computer zu bekannten deutschen Web-Sites um, darunter www.spiegel.de, www.heise.de, www.deutsches-museum.de und www.deutschland.de. Auffällig ist, dass einige dieser deutschen Web-Sites auf russische Inhalte und Texte verlinken. Die Motive für diese Aktion sind nicht ganz klar. Möglicherweise versuchten die Programmierer dieses Wurms, eine Denial-of-Service-Attacke gegen bestimmte Web-Sites zu starten. Unter Umständen handelte es sich auch bei einer der fraglichen URLs um einen Zähler realer Infektionen. Die anderen Web-Sites auf der Liste könnten dann dazu dienen, den Infektionsherd zu tarnen. Diese Methode könnte aber auch dazu genutzt werden, den Virenprogrammierer mittels spezieller Skripte über die infizierten Systeme zu informieren. Bei den Links zu russischen Web-Sites handelt es sich möglicherweise um eine Form der Nachrichtenübertragung an Gruppen von Hackern oder Virenprogrammierern.


Fazit

Angesichts der steigenden Zahl von Malicious Codes ist Wachsamkeit das oberste Gebot. Jeder unzureichend gesicherte Netzwerkzugang kann ausgenutzt werden. Darüber hinaus sind gerade in Unternehmen umfassende Sicherheitsrichtlinien und Aufklärungskampagnen für Mitarbeiter notwendig, um den Tricks und Taktiken des Social Engineering begegnen zu können.

Die TrendLabs EMEA überwachen kontinuierlich alle verdächtigen Virenaktivitäten, um ein Höchstmaß an Sicherheit und Service für die Kunden von TREND MICRO zu gewährleisten.
Diese Pressemitteilung posten:

Weitere Pressemitteilungen dieses Herausgebers

Disclaimer