PresseBox
Pressemitteilung BoxID: 230705 (Doctor Web Deutschland GmbH)
  • Doctor Web Deutschland GmbH
  • Platz der Einheit 1
  • 60327 Frankfurt
  • http://www.drweb-av.de
  • Ansprechpartner
  • Jürgen Häkel
  • +49 (89) 800771126-0

Erscheinen komplexerer polymorpher Packer und neuer Verschleierungstechniken für 2009 vorhergesagt

Erscheinen komplexerer polymorpher Packer und neuer Verschleierungstechniken für 2009 vorhergesagt

(PresseBox) (Hanau/Moskau , ) Im Jahresrückblick zeigt das russische IT-Security-Unternehmen Doctor Web, dass sich zwar die Zahl der gescannten Malware im Laufe des letzten Jahres verdoppelt hat, sich jedoch die Zahl bösartiger E-Mail im gesamten Mail-Verkehr wesentlich verringerte. Viren wurden vorrangig per E-Mail sowie durch infizierte Websites und Wechseldatenträger verbreitet. 2008 haben zudem Phishing- und SMS-Betrug zugenommen.

Malware-Statistik 2008

Anfang 2008 hat Malware in der Gesamtzahl beobachteter Dateien stark zugenommen und ist im April 2008 um das Vierfache angewachsen. Die hohe Zahl infizierter Dateien blieb bis Juli konstant, ging aber zum August drastisch zurück und blieb bei 0,01 Prozent an der Gesamtzahl überprüfter Dateien bis zum Jahresende stehen. Heute erweist sich nur eine von 10.000 gescannten Dateien als infiziert. Die Malware-Quote im gesamten E-Mail-Verkehr lag nach Aussagen des Sicherheits-Unternehmens im Jahr 2008 zwischen 0,2 und 0,25 Prozent. Zum Jahresende ging der Anteil auf 0,02 Prozent zurück.

Tabellenführer

Im vergangenen Jahr führten Viren wie BackDoor.MaosBoot, Win32.Ntldrbot (Rustock.C) sowie verschiedene Modifikationen von Trojan.Encoder die Tabelle der meist verbreiteten Viren an. BackDoor.MaosBoot fügte den Benutzern den größten Schaden zu, weil es sich in den Bootsektor der Festplatte einschleuste und sich im infizierten System durch Rootkit-Technologien tarnte. Vom Januar bis zum März 2008 wurden einige Modifikationen dieses Schädlings identifiziert.

Win32.Ntldrbot nutzte gleichzeitig mehrere Techniken zur Tarnung seiner Anwesenheit im System. So konnte sich der Schädling einige Monate unerkannt sozusagen verstecken. Einige Antivirenexperten hatten ihn sogar für nicht existent gehalten.

Win32.Ntldrbot ist ein hochresistentes polymorphes Virus, das über eine eigene Selbstschutz-Komponente verfügt. Es funktioniert auch als Datei-Virus, filtert alle Aufrufe der jeweils infizierten Datei und schleust sich in Systemvorgänge ein, um anschließend einen Spam-Versand zu starten.

Trojan.Encoder hat im vorigen Jahr auch wesentlich an Bekanntheit gewonnen. Dieser Trojaner verschlüsselte Dateien des Anwenders und forderte für die Entschlüsselung eine entsprechende Gebühr. Im Laufe des Jahres gab es weitere Modifikationen dieses Trojaners. Doctor Web stellt dazu auf seiner Website ein kostenloses Tool zur Desinfizierung zur Verfügung.

Bösartige Massen-Mails locken mit Pornos oder Internet-Sperre

Verschiedene Modifikationen von Trojan.DownLoad.4419 und Trojan.PWS.GoldSpy führten die Riege der Viren in den Massen-Mails letztes Jahr an. Für die Verbreitung von Trojan.DownLoad.4419 wurden E-Mails mit Links zu vermeintlichen Pornospots versendet. Bei jedem Versand haben die Virenautoren die bösartige ausführbare Datei modifiziert und unterschiedliche Packprogramme zur Tarnung des Schädlings verwendet.

Trojan.PWS.GoldSpy wurde durch eCards und vermeintliche Drohbriefe verbreitet. Dabei wurde dem Anwender die Trennung vom Internet aufgrund einer vermeintlichen Copyright-Verletzung angedroht, scheinbar augenblicklich ein hervorragendes Mittel, um Empfänger sicherheitsrelevante Vorsätze vergessen zu lassen.

Schadcode-Versand über ICQ

Auf Spam-Nachrichten, die via ICQ versandt wurden, entfiel 2008 ein weitaus höherer Anteil als im Vorjahr. Für die Verbreitung von Links, die statt auf sichere Websites, auf verschiedene Malware-Websites umleiten, wurden sowohl dafür angelegte ICQ- als auch bestehende vertrauenswürdige Konten benutzt. Der ICQ-Client versandte nach einer Infektion des Rechners E-Mails an alle Mail-Adressen aus der Kontaktliste des jeweiligen Computers.

Verbreitung über Wechseldatenträger weiter auf dem Vormarsch

Wechseldatenträger werden heute fast überall eingesetzt und werden so automatisch zu Malware-Multiplikatoren. Solche Schädlinge sind in der Doctor Web-Virendatenbank als Win32.HLLW.Autoruner identifiziert, weil der Autostart-Mechanismus für den Start schädigender Dateien benutzt wird. Bei vielen Unternehmen wird deshalb eine offensive Sicherheitspolitik betrieben, indem neben dem Einsatz von Antivirus-Lösungen der Einsatz von Wechseldatenträgern generell verhindert wird.

SMS-Betrug unter dem Deckmantel renommierter Unternehmen

Nicht selten erweitern Internet-Kriminelle die Malware-Verbreitung zu einem anderen einträglichen Geschäftsmodell. E-Mails werden mit der Aufforderung versandt, eine gebührenpflichtige SMS abzusenden. Dabei setzen die Betrüger verschiedene Tricks ein und umwerben das Opfer mit vermeintlichen Werbe-Aktionen renommierter Unternehmen. Entsprechende Links werden via ICQ, per E-Mail und über ein im Browser installiertes Plug-in versendet.

Phishing-Aufkommen gegen Ende des Jahres angestiegen

Eine neue Welle von Phishing-Mails erreichte Anwender in den vergangenen Monaten in allen Kontinenten. Per Spam-Mails wurden Internet-Nutzer aufgefordert, Kreditkartennummern mit Angaben zur Karten-Laufzeit und Prüfnummer auf vermeintlichen Webseiten von Banken wie JPMorgan Chase Bank oder RBC Royal Bank sowie Benutzername und Passwörter bei Google AdWords, PayPal oder eBay einzugeben. Hierdurch sollte beispielsweise ein eventuell gefährdetes Online-Konto verifiziert werden.

Ausblick auf 2009

Nach Einschätzung der Spezialisten bei Doctor Web ist 2009 ein Malware-Zuwachs über alternative Distributionswege wie Instant Messaging-Systeme und Wechseldatenträger zu erwarten. Die Virenautoren werden in nächster Zukunft an ihren ausgeklügelten Techniken weiter feilen. Deshalb ist das Erscheinen komplexerer polymorpher Packer und neuer Verschleierungstechniken höchstwahrscheinlich. Wie zuvor werden Cyber-Kriminelle die Betriebssysteme und weitere gängige Software auf Schwachstellen abklopfen. Für das kommende Jahr 2009 wird von Doctor Web ein stufenweises Zunehmen von Malware sowie Spam-E-Mails prognostiziert. Da Antivirenunternehmen ihre Erkennungs- und Desinfektions-Techniken weiter entwickeln, müssen die Kriminellen nicht selten ihr Geschäftsfeld wechseln.