Kaspersky Labs, ein international führender Experte im Bereich IT-Sicherheit, präsentiert den Jahresüberblick für Malware. Dieses Material gibt Auskunft über die gravierendsten Viren-Epidemien 2003 und enthält Prognosen der Experten von Kaspersky Labs für die Entwicklung und Verbreitung von Viren in naher Zukunft.
Allgemeines
Im Jahr 2003 wurden neun große Epidemien registiert und 26 von geringerer Bedeutung mit vorwiegend lokalem Charakter. Diese Zahlen liegen hinter den Ergebnissen des Vorjahres (12 bzw. 34), wobei dem zahlenmäßigen Rückgang der Epidemien ein gleichzeitig starker Anstieg in den Ausmaßen und Nebenwirkungen (Payloads) gegenüber steht. Dies wirkt sich zunehmend auf die Funktionsfähigkeit des gesamten Internet aus.
Die größten Viren-Epidemien
2003 haben die beiden größten globalen Epidemien in der Geschichte des Internet gewütet. Sie wurden nicht von klassischen eMail-Würmern hervorgerufen, sondern von ihren Modifikationen im Internet, d.h. von Würmern, die sich als Daten-Pakete direkt übers Internet verbreiten.
Den Anfang machte am 25. Januar der Internet-Wurm Slammer (Helkern), der für seine Verbreitung eine Schwachstelle im Administrationssystem der Datenbanken des Microsoft SQL-Servers benutzte. Slammer wurde zum ersten dateilosen Internet-Wurm, der in vollem Ausmaß die 2001 beschriebene Technologie der Flash-Würmer umsetzen konnte. Innerhalb weniger Minuten infizierte er am 25. Januar 2003 hunderttausende von Computern weltweit und schaffte es, den Internet-Verkehr so zu vergrößern (nach Angaben aus Fachkreisen um 40 80 Prozent in verschiedenen Segmenten des Internet), dass er den Ausfall einiger regionaler Segmente verursachte. Der Wurm attackierte die Rechner über die Ports 1433 sowie 1434 und erstellte keine Dateien von sich auf der Festplatte, sondern blieb nur im Arbeitsspeicher. Eine Analyse des Epidemieverlaufs ließ auf eine ostasiatische Herkunft schließen.
Die zweite, nicht weniger verheerende Epidemie, wurde vom Lovesan- (alias Blaster-) Wurm verursacht. Dieser tauchte am 12. August auf und führte der ganzen Welt vor Augen, wie verwundbar das populäre Betriebssystem Windows ist. Wie Slammer benutzte auch Lovesan eine Lücke im Sicherheitssystem der Microsoft-Software für seine Verbreitung. Der Unterschied bestand darin, dass Lovesan eine Schwachstelle im RPC DCOM-Dienst nutzte, welcher auf jedem Rechner war, der unter Windows 2000/XP läuft. Das führte dazu, dass praktisch jeder Anwender, der in den Tagen der Epidemie online ging, der Attacke durch den Wurm ausgesetzt war.
Wenige Tage nach dem ersten Erscheinen von Lovesan wurden drei Modifikationen des Wurms entdeckt. Und bald schon verursachte der Wurm Welchia eine Epidemie im Internet. Er benutzte dieselbe Schwachstelle im Sicherheitssystem von Windows. Doch im Gegensatz zum Original entfernte der Wurm Kopien von Lovesan und versuchte, den Patch für den RPC DCOM-Dienst zu installieren.
Das Jahr 2003 verlief unter dem Zeichen pausenloser Epidemien verschiedener eMail-Würmer. Im Januar wurden die Würmer Ganda und Avron entdeckt. Ersterer wurde in Schweden geschrieben und ist bis jetzt in Skandinavien einer der meist verbreiteten eMail-Würmer. Der Wurm-Autor ist Ende März von der schwedischen Polizei festgenommen worden. Der Wurm Avron wurde zum ersten auf dem Gebiet der ehemaligen UdSSR geschriebenen Wurm, der eine bedeutende Epidemie globalen Ausmaßes auslösen konnte. Die Ausgangstexte für den Wurm wurden auf den Web-Seiten von Viren-Autoren veröffentlicht, was zum Erscheinen weiterer, weniger erfolgreicher Varianten führte.
Ebenfalls im Januar erschien der erste Wurm der Sobig-Familie auf der Bildfläche, die danach regelmäßig Viren-Epidemien hervorrief. Die Modifikation Sobig.f schlug sämtliche Rekorde und wurde zum meist verbreiteten eMail-Wurm im Internet-Verkehr in der Geschichte des Internet. Auf dem Höhepunkt der Sobig.f-Epidemie, die im August anfing, enthielt jede 20. eMail eine Wurm-Kopie. Es sei darauf hingewiesen, dass in dieser Malware eine überaus gefährliche Technologie benutzt wurde. Eines der Ziele der Sobig-Autoren war die Errichtung eines ganzen Netzwerks von infizierten Rechnern zur Durchführung von DoS-Attacken auf beliebige Web-Seiten sowie (als Server) zum Verschicken von Spam-Mails.
Große Beachtung in der Computer-Virenforschung fand der eMail-Wurm Tanatos.b. Die erste Version von Tanatos (alias Bugbear) war bereits Mitte 2002 geschrieben worden und erst nach fast einem Jahr tauchte dann die zweite auf. Der Wurm benutzte die bereits traditionelle und längst bekannte Schwachstelle im Sicherheitssystem von Microsoft Outlook (IFRAME) zum automatischen Starten seines Bodys aus infizierten Mails.
Es tauchten weiterhin neue Würmer der Lentin-Familie (alias Yaha) auf. Angaben lassen darauf schließen, dass sie in Indien von einer der lokalen Hacker-Gruppen in einem virtuellen Krieg zwischen indischen und pakistanischen Viren-Autoren geschrieben wurden. Die größte Verbreitung erlangten die Versionen M sowie O, in denen sich der Virus als ZIP-Archiv im Anhang von infizierten eMails verbreitete.
Auch die russischen Viren-Autoren blieben nicht hinter ihren Kollegen zurück. Der zweite Wurm aus der ehemaligen UdSSR, welcher eine globale Epidemie hervorrief, war Mimail. Der Wurm benutzte zu seiner Aktivierung eine Schwachstelle im Internet-Explorer, die dann den Namen Mimail-based erhielt. Sie ermöglichte es, einen binären Code aus einer HTML-Datei zu entnehmen und ihn zur Ausführung zu starten. Zum ersten Mal wurde sie im Mai 2003 in Russland benutzt (Trojan.Win32.StartPage.L). Danach wurde diese Schwachstelle in der Mimail-Familie verwendet sowie in einigen Trojanern. Der Autor des Wurms Mimail veröffentlichte die Ausgangstexte im Internet, was im November 2003 einige neue Varianten verursachte, die von anderen Autoren geschrieben wurden, u.a. US-amerikanischen und französischen.
Der September 2003 verlief im Zeichen des Internet-Wurms Swen, der sich als Update von Microsoft ausgab. Auf diese Weise infizierte er hunderttausende Rechner weltweit und ist bis jetzt einer der meist verbreiteten eMail-Würmer geblieben. Den Viren-Autoren gelang es, die Lage zum Zeitpunkt seines Erscheinens auszunutzen, als die Anwender von den Lovesan- und Sobig.f-Epidemien aufgeschreckt bemüht waren, rechtzeitig neue Patches für ihre Betriebssysteme zu installieren.
Unbedingt Erwähnung finden sollten auch noch zwei weitere Epidemien. Zum einen durch Sober, einem nicht sehr komplexen eMail-Wurm, der von einem deutschen Viren-Autor in Anlehnung an die Nr. 1 des Jahres, Sobig.f , geschrieben wurde. Zum anderen der Backdoor-Trojaner Arcore. Dieser fand trotz seiner vergleichsweise geringen Verbreitung Beachtung wegen seiner interessanten Technologie zur Tarnung seiner Anwesenheit im System: Arcore stellt seinen Code in die Zusatzprotokolle (Alternate Data Streams) des Dateisystems NTFS. Noch interessanter ist, dass er die zusätzlichen Ströme nicht von Dateien, sondern Verzeichnissen nutzt.
Top-10 der verbreitetsten Malware 2003
Position Malware Verbreitung in %
1 I-Worm.Sobig 18,25
2 I-Worm.Klez 16,84
3 I-Worm.Swen 11,01
4 I-Worm.Lentin 8,46
5 I-Worm.Tanatos 2,72
6 I-Worm.Avron 2,14
7 Macro.Word97.Thus 2,02
8 I-Worm.Mimail 1,45
9 I-Worm.Hybris 1,12
10 I-Worm.Roron 1,01
Malware-Arten
Während des ganzen Jahres blieben die Internet-Würmer die dominierende Malware-Art. Auf Platz 2 folgten die Viren (unter ihnen hatten die Makro-Viren Macro.Word97.Thus sowie Macro.Word.Saver den Löwenanteil). Allerdings übertrafen im Herbst die Trojaner anteilmäßig die Viren. Diese Tendenz ist bis jetzt gleichbleibend.
Tendenzen
Die wichtigste Tendenz 2003 war die unumstrittene Führung der Würmer als dominierende Malware-Art. Innerhalb dieser Gattung wiederum ist eine besorgniserregende Zunahme am Anteil der Internet-Würmer gegenüber den klassischen eMail-Würmern zu beobachten. Kaspersky Labs sieht diese Tendenz für die Zukunft konstant, wobei diese Gattung sich eher zur dominierenden entwickeln wird. Daher wird die Installation nicht nur von Anti-Viren-Programmen, sondern auch von Firewalls auf jedem Rechner und in allen Unternehmensnetzwerken bald zu einem absoluten Muss.
Sehr viel Anlass zu Besorgnis gibt die Lage bezüglich neuer Schwachstellen bei der Sicherheit von Betriebssystemen und Anwendungen. Während in den vergangenen Jahren die Schädlinge über längst bekannte Lücken eindrangen, für die es schon lange Patches gab, hat sich 2003 der zeitliche Abstand (zwischen Entdeckung und Entwicklung eines Patches) bis auf wenige Woche verkürzt. Der Computer-Unterground hat entdeckt, dass Attacken von Schwachstellen das effizienteste Mittel zur Infizierung von Rechnern ist und nutzt dieses Konzept aktiv. So erhalten die Viren-Autoren nun rasch Informationen über neue Schwachstellen und entwickeln schnell Musterviren. Am 20. Mai 2003 wurde der Trojaner StartPage entdeckt, der über die Lücke Exploit.SelfExecHtml in die Rechner eindrang. Für letztere gab es zu diesem Zeitpunkt noch keinen Patch. Es ist nicht auszuschließen, dass wir bereits in nächster Zukunft über Sicherheitslücken durch Virenberichte erfahren und nicht durch die Software-Anbieter, die neue Patches zur Verfügung stellen.
Im Jahr 2003 brach der Vormarsch von Malware auf neue Plattformen und Anwendungen ab. Zur Erinnerung: 2002 fielen Flash-Technologien, NET- und SQL-Server sowie P2P-Netzwerke (KaZaA) Viren zum Opfer. In diesem Jahr beschränkte sich der Appetit der Viren-Autoren hier auf das kartographische System MapInfo. Der Virus russischer Herkunft MBA.Kynel, geschrieben in MapBasic, infizierte Dokumente dieses Formats und wurde von den Viren-Analytikern von Kaspersky Labs in freier Wildbahn entdeckt.
Die Tendenz von 2002 der deutlichen Zunahme von Backdoor-Programmen (Utilities zur unautorisierten entfernten Verwaltung) und Spy-Ware blieb erhalten. Die bemerkbarsten Vertreter dieser Unterarten waren Backdoor.Agobot sowie Afcore. Den ersteren gibt es nun schon in vierzig verschiedenen Varianten, da es dem Autor gelang, ein Netzwerk aus mehreren Web-Seiten und IRC-Kanälen aufzubauen, wo jedem Interessenten angeboten wird, gegen eine bestimmte Summe (ab 150 $) Inhaber einer eigenen exklusiven Version des Backdoors zu werden, die auf Wunsch des Kunden entsprechend ausgestattet wird.
Eine neue Tendenz für 2003 war die Erscheinung einer neuen Unterart von Trojanern, TrojanProxy (Trojaner zum Eindringen in die Rechner von Proxy-Servern) Ende Sommer. Das war das erste und deutlichste Anzeichen für eine neue Verbindung zwischen Viren und Spam. Die von solchen Trojanern infizierten Rechner wurden dann von Spammern für ihren Versand benutzt, wobei der Inhaber eines infizierten Rechners meist völlig ahnungslos war. Spammer waren natürlich ebenfalls an einigen großen Epidemien mitbeteiligt, wo die Malware über Spam-Technologie verbreitet wurde (z.B. Sobig).
Eine weitere Unterart, die sich zunehmend aktiv verbreitet, sind Internet-Würmer, die sich über Passwörter zu entfernten Netzwerkressourcen verbreiten. Solche Würmer basieren gewöhnlich auf dem IRC-Client (Internet Relay Chat), welcher nach Adressen der Benutzer von IRC-Kanälen sucht und dazu das Protokoll NetBIOS sowie den Port 445 benutzt. Ein sehr gutes Beispiel für diese Unterart ist die Randon-Familie.
Abschließend möchten wir noch auf eine fortschreitende Verbreitung der Retroviren-Technologie in Schädlingen hinweisen. Damit sind eingebaute Schutzfunktionen vor Anti-Viren-Programmen und Firewalls gemeint. Diese werden aus dem Speicher des Rechners entfernt. Über solche Funktionen verfügten u.a. die weiter oben erwähnten Schädlinge Swen, Lentin und Tanatos.
Das Unternehmen
Kaspersky Labs ist ein Unternehmen im Bereich IT-Sicherheit, das innovative Produkte zum Schutz gegen Viren, Hacker und Spam anbietet für Home-User sowie für Netzwerke in kleinen, mittelständischen und großen Unternehmen. Kaspersky Labs wurde 1997 gegründet und beschäftigt in der Zentrale in Moskau, sowie in Niederlassungen in Deutschland, Frankreich, Großbritannien, und den USA zurzeit 250 Mitarbeiter. Das Forschungsteam des Unternehmens führt bereits seit 14 Jahren unermüdlich seinen Kampf gegen Computer-Viren. Die dabei erworbenen Erkenntnisse und Erfahrungen machen Kaspersky Labs zu einem international anerkannten Experten für Antiviren-Schutz.
Detailliertere Informationen finden Sie unter www.kaspersky.com. Deutsche Pressemitteilungen sowie Bildmaterial sind zudem abrufbar unter www.commcreativ.de
Weitere Informationen
Kaspersky Labs
Denis Zenkin
10, Geroyev Panfilovtsev St
RUS-125363 Moskau
Tel: +7 / 095 / 948 56 50
Fax: +7 / 095 / 948 43 31
E-Mail: denis.zenkin@kaspersky.com
Kaspersky Labs
Andreas Lamm
Spretistraße 7
85057 Ingolstadt
Tel.: +49 / 700 / 55 0 10 000
Fax: +49 / 700 / 55 0 10 001
E-Mail: Andreas.Lamm@kaspersky.de
COMMcreativ
Public Communications oHG
Schießstättstr. 30
80339 München
Tel.: +49 / 89 / 51 99 67-0
Fax: +49 / 89 / 51 99 67-19
E-Mail: info@commcreativ.de
X