Drei der Yellow Alerts im Monat Juli mussten aufgrund von Varianten des BAGLE-Wurms ausgelöst werden. Für diese erneute Häufung könnte nach Expertenmeinung unter anderem die Verhaftung des NETSKY-Programmierers verantwortlich sein, denn verschiedene NETSKY-Varianten versuchten, die Ausbreitung der BAGLE-Würmer zu verhindern. Darüber hinaus machte WORM_BAGLE.AD seinen Source Code offen zugänglich, sodass Anwender mit Programmierkenntnissen jetzt ganz einfach eigene BAGLE-Varianten erstellen können. Dies erklärt auch das Auftreten von WORM_BAGLE.AF und WORM_BAGLE.AG. Alle neueren Varianten setzen weiterhin auf Social Engineering, einem Verfahren zur Täuschung von Computeranwendern, das beim Anwender den Eindruck zu erweckt, die infizierte Email stamme von einer vertrauenswürdigen Quelle. Durch diese Täuschung sollen Computernutzer dazu verleitet werden, den Dateianhang zu öffnen. Einige BAGLE-Varianten schützen dabei den infizierten Anhang durch ein Passwort, das im Nachrichtentext enthalten ist. Um den Dateianhang zu öffnen, müssen Anwender also explizit kooperieren und das Passwort eingeben. Dieses Verfahren funktionierte so gut, dass TREND MICRO einen Yellow Alert auslösen musste. Als weiteren Verbreitungsweg nutzen die BAGLE-Varianten außerdem die Peer-to-Peer (P2P)-Netzwerke. Die Malware legt dabei eine Kopie von sich in öffentlichen Dateiordnern ab. Besonders attraktive oder neugierig machende Namen sollen Anwender zum Download der infizierten Datei bewegen.
Die Varianten von WORM_BAGLE vermeiden es zudem, sich an die Mail-Adressen bekannter Hersteller von AntiViren-Lösungen zu versenden. Mit dieser Vorsichtsmaßnahme soll die Erkennung verzögert werden. TREND MICRO und andere Hersteller verlassen sich bei der Identifikation von Bedrohungen aber nicht nur auf den eigenen Posteingang, sondern suchen weltweit aktiv nach ersten Anzeichen neuer Malware. Das Ziel, das Antivirenhersteller so nur verspätet aktuelle Pattern-Files zur Verfügung stellen, erreicht WORM_BAGLE daher nicht.
Wie ihre Vorgänger versuchen auch die neuen BAGLE-Varianten, installierte AntiViren- und andere Sicherheitslösungen auf den infizierten Systemen zu deaktivieren. Damit wird der Weg für zukünftige Angriffe geebnet. Außerdem suchen die BAGLE-Varianten auch nach NETSKY-Würmern, um diese zu entfernen.
Grundlegende Maßnahmen schützen vor BAGLE-Varianten
Durch einige grundlegende Sicherheitsrichtlinien können Unternehmen die Verbreitung von BAGLE-Varianten verhindern. Die meisten Endungen des Email-Anhangs weisen auf Datentypen hin, die für Anwender im Netzwerk nicht relevant sind und somit einfach blockiert werden können. Kunden von TREND MICRO haben diese Vorgehensweise getestet und als sehr wirkungsvoll bestätigt. Nach dem selben Prinzip können sich Unternehmen auch vor WORM_MYDOOM.M schützen.
MYDOOM.M setzt Suchmaschinen ein
Am 26. Juli löste TREND MICRO einen globalen Yellow Alert aus, um Anwender vor WORM_MYDOOM.M zu warnen. Wie frühere MYDOOM-Varianten verbreitete sich auch diese Malware über infizierte Dateianhänge von Emails und setzte Social Engineering zur Täuschung ein. In den meisten Fällen trat MYDOOM.M dabei als System-Benachrichtigung über unzustellbare Emails auf. Desweiteren wurde die Absender-Adresse gefälscht, um den Eindruck zu erwecken, die Email stamme von einem Freund oder Kollegen.
Bei der Generierung von Email-Adressen für die weitere Verbreitung verwendet MYDOOM.M eine neue Taktik: Der Wurm sammelt zunächst auf dem infizierten System die Adressen der Windows Address Book Datei. Daraufhin überprüft MYDOOM.M die gefundenen Adressen mittels Suchmaschinen (Google, Yahoo, Altavista und Lycos), um weitere Angriffsziele in der entsprechenden Mail-Domain zu erhalten. Dieser Einsatz von Suchmaschinen durch eine Malware ist neu und stellt aufgrund der großen Zahl von Anfragen eine erhebliche Gefahr für die Verfügbarkeit der Sites dar.
WORM_MYDOOM.M hinterlässt auf befallenen Systemen zudem eine Backdoor (Hintertür), über die zu einem späteren Zeitpunkt auf den Computer zugegriffen werden kann. Hacker nutzen Backdoors, um das System ohne Wissen des Eigentümers für weitere Angriffe zu missbrauchen und ihren eigenen Aufenthaltsort zu verschleiern. Häufig werden zudem spezielle Software-Werkzeuge installiert, mit denen sensible Informationen, wie z.B. Passwörter, Kreditkartendaten etc. entwendet werden können. Zusätzlich verbreitet sich auch Malware über bereits installierte Backdoors, wie zum Beispiel WORM_ZINDOS.A. Dieser Wurm versucht, eine möglichst große Anzahl von Computern zu infizieren und eine Denial-of-Service-Attacke gegen www.microsoft.com zu starten. Rund 60 Prozent der von TREND MICRO neu entdeckten Malware weist heute eine Form von Backdoor-Funktionalität auf.
WINCE_DUTS.A bedroht Pocket PCs mit Windows CE
Nach EPOC_CABIR.A entdeckte TREND MICRO im Juli einen weiteren Proof-of-Concept-Virus für mobile Geräte: WINCE_DUTS.A wurde für die Windows CE Plattform entwickelt, die auf Pocket PCs zum Einsatz kommt. Auch in diesem Fall wird Social Engineering verwendet, um den Anwender zum Start der Malware zu bewegen. Der Programmierer von WINCE_DUTS.A gab an, dass mit dem Virus die grundsätzliche Möglichkeit demonstriert werden sollte, Dateien in der Pocket PC Umgebung zu infizieren.
Die TrendLabs EMEA überwachen kontinuierlich alle verdächtigen Virenaktivitäten, um ein Höchstmaß an Sicherheit und Service für die Kunden von TREND MICRO zu gewährleisten.