Rückblick und Analyse der Bedrohungen im Monat Juli - vermehrt schwer zu identifizierende Trojaner mit aktivem Algorithmus
Hanau/Moskau, 6. August 2008
- Gefährlich - Permanent arbeitender Algorithmus beim Virtumod-Trojaner
- Änderung der DNS-Server-Adressen sorgte für 'Verwirrung'
- Noch auf Platz eins – das Auf und Ab der 'Autorunner'
Die Zeiten spektakulärer Computerviren-Epidemien sind eher in der Vergangenheit zu finden. Heutzutage spielen sich maligne Aktivitäten weniger unter öffentlicher Beachtung ab und bleiben in den meisten Fällen eher unentdeckt, zumindest von weniger erfahrenen Computer-Benutzern.
Im gerade vergangenen Juli fand diese Tendenz in der Analyse des russischen Sicherheits-Unternehmens Doctor Web wieder seine Bestätigung.
Gefährlich - Permanent arbeitender Algorithmus beim Virtumod-Trojaner
Aus technischer Betrachtungsweise, das heißt, wie Trojaner entdeckt und ein entsprechender Algorithmus für die individuelle Bekämpfung erstellt werden, ist die Trojaner-Familie Virtumod die augenblicklich interessanteste Spezies. Einige Antivirus-Hersteller bezeichnen sie auch als Virtumonde, Vundo oder Monder. Bis jetzt haben es diese malignen Programme noch nicht geschafft in die Top 10 der am häufigsten aufgetretenen Malware aufgenommen zu werden, sind aber dennoch schon weit verbreitet und treiben ihr Unwesen.
Lediglich einige Antivirus-Unternehmen können augenblicklich solche Trojaner erkennen und nur wenige erfolgreich eliminieren. Grund für diese Komplexität ist ein ständig arbeitender Algorithmus, den die Viren-Schreiber sehr konsequent in einer Drei- oder sogar Vierwege-Entwicklung ihrer polymorphen Packer einsetzen. In den vergangenen Monaten konnten über 10 Modifikationen an mehreren tausenden von Beispielen für jede Art des Packers beobachtet werden. Die Zahlen basieren übereinstimmend auf Daten des Doctor Web Online-Viren-Scanners online.drweb.com mit weiteren Herstellern von Antivirus-Software.
Virtumod ist nicht das einzige aktive Beispiel für Offline-Polymorphismus. Es wird klar, dass ohne die zentrale Entwicklung entsprechender Maßnahmen gegen diesen neuen Trend und ohne umfangreiche Technologien zur raschen Umsetzung der Identifizierung polymorpher Packer im Kernel der Antivirus-Engines die Antivirus-Industrie bald vor größeren Schwierigkeiten stehen kann.
Änderung der DNS-Server-Adressen sorgte für 'Verwirrung'
Trojan.Clb ist ein weiterer bösartiger Trojaner der sich relativ schnell verbreitet. Er enthält ein Rootkit und benutzt die Splicing-Technologie um Dateien auf Festplatten und Bereiche der Registry zu verstecken. Der Trojaner Trojan.DnsChange.967 ersetzt DNS-Server IP-Adressen auf Routern, die eine Konfiguration über ein Web-Interface unterstützen. Dies stellt besonders für Benutzer drahtloser Netzwerke eine größere Gefahr dar, welche das Web-Interface in der Regel dazu verwenden, um den Router zu konfigurieren. Benutzer, die ihre Verbindung zum Internet über einen Wi-Fi Access Point herstellen, können so zum Opfer dieser willkürlichen IP-Adress-Änderung werden. Ihre persönlichen Daten könnten dadurch, statt an die eigentliche IP-Adresse, an die eines unbekannten Empfängers weitergeleitet werden.
Erfolg nur bei sehr umsichtigem Eliminieren des Schad-Codes
Ist der PC mit Trojan.Okuks infiziert kann er zwar durch die meisten Antivirus-Systeme identifiziert werden, aber inzwischen müssen solche 'Säuberungsaktionen' auch drastisch den neuen Vorgehensweisen der Viren-Programmierer angepasst werden. Häufig kommt es vor, dass durch ein oberflächliches Cleanen einer infizierten System-Datei oder der Löschung einer malignen Datei, ohne die korrekte Wiederherstellung der entsprechenden Registry-Einträge, der Windows-Benutzer nach jedem Neustart permanent Bluescreens bekommt.
Noch auf Platz eins – das Auf und Ab der 'Autorunner'
Eigentlich kann man im vergangenen Monat nur von einem die Hitliste anzuführenden Wurm sprechen, der die Top 10 mal hinauf und mal wieder hinunter wandert und nun scheinbar zögerlich zum Rücktritt 'aufgefordert' wurde. Es ist die Rede von Würmern die zur Familie der 'Autorunner' gehören. Flash-Laufwerke sind zum primären Träger für diese Würmer geworden. Praktisch jedermann besitzt einen solchen Flash-Speicher in Form eines USB-Sticks mit dem er Daten von zuhause zum Büro oder auf die Geschäftsreise mitnimmt. Durch die zunehmende Verbreitung dieses komfortablen Speichers wird es mehr und mehr zu einem interessanten Medium für die Verbreitung. Allerdings wird sich die Verbreitung nicht nur auf USB-Stick-Infizierte Computer beschränkten sondern ebenfalls vermehrt auf digitale Kameras, Videogeräte und Mobiltelefone übergehen.
Dr.Web AV-Desk Top 20 der Viren im Juli
Top 20 der Viren die auf Mail-Servern gefunden wurden:
| 01.07.2008 - 31.07.2008 | ||
| 1 | Win32.HLLW.Autoruner.437 | 239451 (18.39%) |
| 2 | Win32.Dref | 109607 (8.42%) |
| 3 | Win32.HLLM.Netsky.35328 | 89795 (6.90%) |
| 4 | Win32.HLLM.Netsky.based | 45561 (3.50%) |
| 5 | Win32.HLLM.Beagle | 42279 (3.25%) |
| 6 | Win32.HLLM.MyDoom.based | 28334 (2.18%) |
| 7 | Win32.HLLM.Generic.440 | 26898 (2.07%) |
| 8 | Adware.Cydoor | 26143 (2.01%) |
| 9 | Win32.HLLP.Jeefo.36352 | 24710 (1.90%) |
| 10 | Win32.Virut | 22588 (1.73%) |
| 11 | Trojan.MulDrop.16727 | 22380 (1.72%) |
| 12 | Trojan.Starter.544 | 21632 (1.66%) |
| 13 | Win32.Sector.20480 | 21616 (1.66%) |
| 14 | Win32.Alman | 21354 (1.64%) |
| 15 | VBS.Igidak | 19669 (1.51%) |
| 16 | Danish.based | 18572 (1.43%) |
| 17 | Trojan.MulDrop.6474 | 18481 (1.42%) |
| 18 | Win32.HLLW.Gavir.ini | 17191 (1.32%) |
| 19 | Win32.HLLW.Autoruner.1831 | 15596 (1.20%) |
| 20 | Trojan.Packed.511 | 13550 (1.04%) |
Top 20 der Viren die auf PCs gefunden wurden:
| 01.07.2008 00:00 - 31.07.2008 23:00 | ||
| 1 | Trojan.Starter.516 | 202341 (18.09%) |
| 2 | Win32.HLLW.Gavir.ini | 106435 (9.51%) |
| 3 | Win32.HLLW.Autoruner.274 | 91205 (8.15%) |
| 4 | Trojan.Recycle | 90006 (8.05%) |
| 5 | Win32.HLLW.Autoruner.437 | 76710 (6.86%) |
| 6 | Trojan.Starter.544 | 72730 (6.50%) |
| 7 | JS.Nimda | 40157 (3.59%) |
| 8 | VBS.Redlof | 38242 (3.42%) |
| 9 | Win32.HLLM.Generic.440 | 37992 (3.40%) |
| 10 | Win32.HLLP.Whboy | 24129 (2.16%) |
| 11 | Win32.HLLW.Autoruner.2272 | 21893 (1.96%) |
| 12 | Adware.SaveNow.128 | 17982 (1.61%) |
| 13 | Program.RemoteAdmin | 17230 (1.54%) |
| 14 | BackDoor.IRC.Sdbot.55 | 15902 (1.42%) |
| 15 | Win32.HLLP.PissOff.36864 | 15670 (1.40%) |
| 16 | Win32.HLLP.Jeefo.36352 | 13282 (1.19%) |
| 17 | Trojan.Packed.511 | 11425 (1.02%) |
| 18 | VBS.Generic.548 | 8984 (0.80%) |
| 19 | Win32.HLLP.Sector | 8273 (0.74%) |
| 20 | Exploit.IFrame.41 | 8101 (0.72%) |
Erkennen und säubern mit dem kostenlosen Dr.Web-Tool
Windows-Benutzern stellt das Sicherheitsunternehmen kostenlos die Software Dr.Web CureIt! zur Verfügung, die Malware im aufgetretenen Notfall erkennt und befallene Dateien nicht nur löschen sondern auch desinfizieren kann. Dazu muss eine bestehende Antivirus-Lösung auf dem jeweiligen Computer nicht deinstalliert werden. Das Programm steht im Internet unter www.freedrweb.com zum Download bereit.
Weitere Informationen und druckfähiges Bildmaterial zu
Dr.Web Antivirus finden Sie hier
|
|
|
zur Prolog Communications Homepage |
