Seit nunmehr drei Monaten kämpfen Mytob.c und Nyxem.e um den ersten Platz. Es war schwer zu sagen, wie lange dieser Kampf noch andauern würde. Nur eine globale Epidemie hätte diese Situation ändern können. Im Jahre 2006 haben wir jedoch derartige "Attacken" auf das Internet durch E-Mail-Würmer beinahe vergessen. Viel größere Aktivität zeigten gewöhnliche Trojaner oder Internet-Würmer, die für ihre Verbreitung Sicherheitslücken in Windows verwenden, einschließlich der kürzlich entdeckten MS06-040.
Doch im Oktober änderte sich die seit Wochen bekannte Konstellation buchstäblich binnen einer Stunde. Wurm Warezov brach ein und stellte die gesamte Statistik derart auf den Kopf, dass lediglich noch fünf Schadprogramme aus den September-Top 20 vertreten waren. Warezov sorgte bei Antivirus-Unternehmen weltweit den gesamten Oktober hinweg für Kopfzerbrechen. Höchste Aktivität zeigte er Ende des Monats, als täglich bis zu 20 neue Modifikationen erschienen. Dies war der Anlass, die statistische Datensammlung wesentlich zu modernisieren, was sich auch an der daraus resultierenden Umverteilung der Plätze in der Oktober-Top 20 ablesen lässt.
Der "Warezov-Wahnsinn" führte dazu, dass einzelne Modifikationen dieser Familie gleich sieben Plätze im Rating belegen. Ein ähnliches Debut gelang in der gesamten Historie nur Mytob. Insgesamt macht die Summe aller dieser Warezov-Modifikationen über 27 Prozent aus. Würde man die Verbreitung nicht pro Modifikation, sondern nach Wurm-Familien zählen, dann wäre er im Oktober absoluter Spitzenreiter. So belegt Warezov.dn Platz zwei und liegt damit absolut gesehen nur um zwei Prozentpunkte hinter dem Spitzenreiter von 2004, NetSky.q. Dieser führt die Hitparade erneut an, doch es lässt sich noch nicht erkennen, ob es sich hierbei tatsächlich um eine Tendenz oder aber lediglich um eine Einmalerscheinung handelt. Beispiele hierfür sind aus den vergangenen Jahren reichlich bekannt.
Die Merkmale von Warezov weisen starke Parallelitäten zu dem hinreichend bekannten Wurm Bagle auf. Obwohl Wurm Warezov die Quellcodes von Mydoom.a zugrunde liegen, Bagle hingegen auf die Entwicklung einer unbekannten Gruppe von Virenschreibern zurückgeht, sind wir geneigt, diese Würmer als "Verwandte" zu betrachten. Erstens: die Verbreitungsmethoden ähneln einander sehr stark - es werden zeitnah massenhaft verschiedene Modifikationen in Umlauf gebracht. Ein Unterschied besteht dabei in der Differenzierung nach geografischer Lage - so wurden in Russland andere Modifikationen als in Europa verbreitet. Zweitens: ihre Funktionen sind ähnlich: sie installieren auf dem PC beliebige andere Module von Trojaner-Webseiten und sammeln E-Mail-Adressen. Bagle war der erste Wurm, der diese Viren-Technologie nutzte. Warezov agiert auf vergleichbare Weise. Drittens: das Erscheinen von Warezov und das vorläufige Ende neuer Bagle-Modifikationen fallen zeitlich zusammen. Aller Wahrscheinlichkeit nach sind beide Würmer Kreationen ein und derselben Gruppierung. Viertens: Bagle beeinflusste die Antiviren-Industrie maßgeblich, indem er diese veranlasste, eine Vielzahl neuer Schutzmethoden zu entwickeln. Warezov stellt diesen Industriezweig schon jetzt vor eine komplizierte Aufgabe, da die Virenschreiber mittels einer neuen Art der Code-Modifizierung (Obfuscator) versuchen, die Schutzmechanismen von Antiviren-Programmen auszuhebeln.
Im Übrigen ist Bagle noch längst nicht verschwunden. Es erscheinen zwar keine neuen Modifikationen, bekannte existieren jedoch nach wie vor und verbreiten sich aktiv. Anschauliches Beispiel dafür ist der dritte, sechste und achtzehnte Platz in den Oktober-Top-20.
Ein weiterer Wurm, der seinerzeit versuchte, Antivirus-Programme durch Code-Modifizierung zu umgehen, ist Scano. Der polymorphe Script-Kern dieses Wurms wurde von Kaspersky-Analytikern vor einigen Monaten erfolgreich geknackt. Dennoch weist Scano nach wie vor einen hohen Verbreitungsgrad auf. Bemerkenswert ist zudem, dass Scano.gen trotz der grundlegenden Veränderung der Statistik seinen 4. Platz aus dem September-Rating beibehielt.
Die kyrillische Herkunft von Warezov, Bagle und Scano deutet darauf hin, dass diese entweder in Russland oder in einem anderen Land der ehemaligen Sowjetunion erstellt wurden.
In der Kategorie "Phishing-Attacken" führt nach wie vor Bankfraud.od. Im September verlor Bankfraud.od lediglich einen Platz, im Oktober ging es zwei Plätze nach unten. Aufgrund der stetigen Zunahme von Phishing-Attacken im E-Mail-Verkehr plant Kaspersky Lab, zukünftig eine separate Phishing-Statistik zu veröffentlichen.
Die Kategorie "sonstige Schadprogramme" bildet mit 19,1 Prozent gemessen an der Gesamtzahl der abgefangenen Schadprogramme einen nicht zu vernachlässigenden Anteil. Die Top 20 der Online-Malware im September steht unter http://www.kaspersky.com/... zum Download bereit.
Zusammenfassung:
* Neu: Warezov.dn, Warezov,ev, Warezov.do, Warezov.dc, Warezov.eu, Warezov.gen, Warezov.dh
* Abgestiegen: NetSky.b, Mytob.c, Bankfraud.od, Scano.aq
* Unverändert: Email-Worm.Win32.Scano.gen
* Wiedereintritt: NetSky.q, Bagle.gen, Bagle.mail, Mydoom.l, Mydoom.m, Scano.e, NetSky.aa, Bagle.dx
1 Wiedereintritt Email-Worm.Win32.NetSky.q 13,14
2 Neu Email-Worm.Win32.Warezov.dn 11
3 Wiedereintritt Email-Worm.Win32.Bagle.gen 10,43
4 - Email-Worm.Win32.Scano.gen 7,97
5 Neu Email-Worm.Win32.Warezov.ev 6,32
6 Wiedereintritt Email-Worm.Win32.Bagle.mail 4,04
7 Neu Email-Worm.Win32.Warezov.dc 3,65
8 Wiedereintritt Email-Worm.Win32.Mydoom.l 2,89
9 Wiedereintritt Email-Worm.Win32.Mydoom.m 2,74
10 Wiedereintritt Email-Worm.Win32.Scano.e 2,46
11 Neu Email-Worm.Win32.Warezov.do 2,41
12 Wiedereintritt Email-Worm.Win32.NetSky.aa 2,08
13 -8 Email-Worm.Win32.NetSky.b 2,04
14 -13 Net-Worm.Win32.Mytob.c 2,01
15 -2 Trojan-Spy.HTML.Bankfraud.od 1,84
16 Neu Email-Worm.Win32.Warezov.eu 1,83
17 Neu Email-Worm.Win32.Warezov.gen 1,26
18 Wiedereintritt Email-Worm.Win32.Bagle.dx 1,24
19 Neu Email-Worm.Win32.Warezov.dh 0,84
20 -12 Email-Worm.Win32.Scano.aq 0,8
Sonstige Schadprogramme 19,01
Warezov-Modifikationen 27,31
Doch im Oktober änderte sich die seit Wochen bekannte Konstellation buchstäblich binnen einer Stunde. Wurm Warezov brach ein und stellte die gesamte Statistik derart auf den Kopf, dass lediglich noch fünf Schadprogramme aus den September-Top 20 vertreten waren. Warezov sorgte bei Antivirus-Unternehmen weltweit den gesamten Oktober hinweg für Kopfzerbrechen. Höchste Aktivität zeigte er Ende des Monats, als täglich bis zu 20 neue Modifikationen erschienen. Dies war der Anlass, die statistische Datensammlung wesentlich zu modernisieren, was sich auch an der daraus resultierenden Umverteilung der Plätze in der Oktober-Top 20 ablesen lässt.
Der "Warezov-Wahnsinn" führte dazu, dass einzelne Modifikationen dieser Familie gleich sieben Plätze im Rating belegen. Ein ähnliches Debut gelang in der gesamten Historie nur Mytob. Insgesamt macht die Summe aller dieser Warezov-Modifikationen über 27 Prozent aus. Würde man die Verbreitung nicht pro Modifikation, sondern nach Wurm-Familien zählen, dann wäre er im Oktober absoluter Spitzenreiter. So belegt Warezov.dn Platz zwei und liegt damit absolut gesehen nur um zwei Prozentpunkte hinter dem Spitzenreiter von 2004, NetSky.q. Dieser führt die Hitparade erneut an, doch es lässt sich noch nicht erkennen, ob es sich hierbei tatsächlich um eine Tendenz oder aber lediglich um eine Einmalerscheinung handelt. Beispiele hierfür sind aus den vergangenen Jahren reichlich bekannt.
Die Merkmale von Warezov weisen starke Parallelitäten zu dem hinreichend bekannten Wurm Bagle auf. Obwohl Wurm Warezov die Quellcodes von Mydoom.a zugrunde liegen, Bagle hingegen auf die Entwicklung einer unbekannten Gruppe von Virenschreibern zurückgeht, sind wir geneigt, diese Würmer als "Verwandte" zu betrachten. Erstens: die Verbreitungsmethoden ähneln einander sehr stark - es werden zeitnah massenhaft verschiedene Modifikationen in Umlauf gebracht. Ein Unterschied besteht dabei in der Differenzierung nach geografischer Lage - so wurden in Russland andere Modifikationen als in Europa verbreitet. Zweitens: ihre Funktionen sind ähnlich: sie installieren auf dem PC beliebige andere Module von Trojaner-Webseiten und sammeln E-Mail-Adressen. Bagle war der erste Wurm, der diese Viren-Technologie nutzte. Warezov agiert auf vergleichbare Weise. Drittens: das Erscheinen von Warezov und das vorläufige Ende neuer Bagle-Modifikationen fallen zeitlich zusammen. Aller Wahrscheinlichkeit nach sind beide Würmer Kreationen ein und derselben Gruppierung. Viertens: Bagle beeinflusste die Antiviren-Industrie maßgeblich, indem er diese veranlasste, eine Vielzahl neuer Schutzmethoden zu entwickeln. Warezov stellt diesen Industriezweig schon jetzt vor eine komplizierte Aufgabe, da die Virenschreiber mittels einer neuen Art der Code-Modifizierung (Obfuscator) versuchen, die Schutzmechanismen von Antiviren-Programmen auszuhebeln.
Im Übrigen ist Bagle noch längst nicht verschwunden. Es erscheinen zwar keine neuen Modifikationen, bekannte existieren jedoch nach wie vor und verbreiten sich aktiv. Anschauliches Beispiel dafür ist der dritte, sechste und achtzehnte Platz in den Oktober-Top-20.
Ein weiterer Wurm, der seinerzeit versuchte, Antivirus-Programme durch Code-Modifizierung zu umgehen, ist Scano. Der polymorphe Script-Kern dieses Wurms wurde von Kaspersky-Analytikern vor einigen Monaten erfolgreich geknackt. Dennoch weist Scano nach wie vor einen hohen Verbreitungsgrad auf. Bemerkenswert ist zudem, dass Scano.gen trotz der grundlegenden Veränderung der Statistik seinen 4. Platz aus dem September-Rating beibehielt.
Die kyrillische Herkunft von Warezov, Bagle und Scano deutet darauf hin, dass diese entweder in Russland oder in einem anderen Land der ehemaligen Sowjetunion erstellt wurden.
In der Kategorie "Phishing-Attacken" führt nach wie vor Bankfraud.od. Im September verlor Bankfraud.od lediglich einen Platz, im Oktober ging es zwei Plätze nach unten. Aufgrund der stetigen Zunahme von Phishing-Attacken im E-Mail-Verkehr plant Kaspersky Lab, zukünftig eine separate Phishing-Statistik zu veröffentlichen.
Die Kategorie "sonstige Schadprogramme" bildet mit 19,1 Prozent gemessen an der Gesamtzahl der abgefangenen Schadprogramme einen nicht zu vernachlässigenden Anteil. Die Top 20 der Online-Malware im September steht unter http://www.kaspersky.com/... zum Download bereit.
Zusammenfassung:
* Neu: Warezov.dn, Warezov,ev, Warezov.do, Warezov.dc, Warezov.eu, Warezov.gen, Warezov.dh
* Abgestiegen: NetSky.b, Mytob.c, Bankfraud.od, Scano.aq
* Unverändert: Email-Worm.Win32.Scano.gen
* Wiedereintritt: NetSky.q, Bagle.gen, Bagle.mail, Mydoom.l, Mydoom.m, Scano.e, NetSky.aa, Bagle.dx
1 Wiedereintritt Email-Worm.Win32.NetSky.q 13,14
2 Neu Email-Worm.Win32.Warezov.dn 11
3 Wiedereintritt Email-Worm.Win32.Bagle.gen 10,43
4 - Email-Worm.Win32.Scano.gen 7,97
5 Neu Email-Worm.Win32.Warezov.ev 6,32
6 Wiedereintritt Email-Worm.Win32.Bagle.mail 4,04
7 Neu Email-Worm.Win32.Warezov.dc 3,65
8 Wiedereintritt Email-Worm.Win32.Mydoom.l 2,89
9 Wiedereintritt Email-Worm.Win32.Mydoom.m 2,74
10 Wiedereintritt Email-Worm.Win32.Scano.e 2,46
11 Neu Email-Worm.Win32.Warezov.do 2,41
12 Wiedereintritt Email-Worm.Win32.NetSky.aa 2,08
13 -8 Email-Worm.Win32.NetSky.b 2,04
14 -13 Net-Worm.Win32.Mytob.c 2,01
15 -2 Trojan-Spy.HTML.Bankfraud.od 1,84
16 Neu Email-Worm.Win32.Warezov.eu 1,83
17 Neu Email-Worm.Win32.Warezov.gen 1,26
18 Wiedereintritt Email-Worm.Win32.Bagle.dx 1,24
19 Neu Email-Worm.Win32.Warezov.dh 0,84
20 -12 Email-Worm.Win32.Scano.aq 0,8
Sonstige Schadprogramme 19,01
Warezov-Modifikationen 27,31
