Trend Micro: Virenbericht Februar 2004

Trend Micro, einer der weltweit führenden Hersteller von Web-basierter Antiviren- und eSecurity-Software, entdeckte im Februar 925 neue Malicious Codes. Zu den häufigsten Schädlingen gehörten dabei Trojaner, Backdoors und Würmer. Rund 70 Prozent der Malicious Codes in den "Virus Top Ten" zeigten Merkmale eines Computerwurms. Damit stellen Würmer weiterhin die Hauptbedrohung für Unternehmensnetzwerke dar.

Der erstmals Ende Januar aufgetretene WORM_MYDOOM.A ist eine Paradebeispiel für die Vorgehensweise und Technologie eines Wurms, der sich über das Internet ausbreitet. Auf der von Trend Micro ermittelten Liste der häufigsten Malicious Codes belegt MYDOOM.A die Spitzenposition. Als Berechnungsgrundlage dient die Gesamtzahl verdächtiger Dateien, die über den kostenlosen Online-Scanner Housecall an Trend Micro übermittelt werden. MYDOOM.A verursachte im Internet sowie in Unternehmensnetzen einen stark erhöhten Datenverkehr, insbesondere auf der Ebene der Mail-Server. Der Wurm verbreitete sich zudem schneller als WORM_SOBIG.F, der im Sommer 2003 zu großen Schäden geführt hatte.

WORM_BAGLE.B
Am 17. Februar löste TREND MICRO einen globalen Yellow Alert aus, um alle Computernutzer vor WORM_BAGLE.B zu warnen. BAGLE.B setzt zur Weiterverbreitung ausschließlich auf Techniken des Social Engineering. Der Wurm versendet sich als ausführbare Datei (EXE) im Anhang einer Email. Schon die Erstellung einer simplen Regel, mit der EXE-Dateien blockiert werden, reicht dementsprechend zum Schutz vor BAGLE.B aus.

WORM_NETSKY.B
Bereits am 18. Februar musste Trend Micro einen weiteren globalen Yellow Alert auslösen, da sich WORM_NETSKY.B im Internet verbreitete. Auch dieser Schädling verwendete Social Engineering, um den Anwender zum Öffnen des infizierten Dateianhangs zu bewegen. Immer mehr Unternehmen beschränken oder verbieten die Verwendung populärer Instant-Messaging-Applikationen, daher nutzen viele Mitarbeiter verstärkt das Email, um in "T-Time" zu kommunizieren. Durch sehr kurze Betreffzeilen und Nachrichtentexte versucht NETSKY.B, diesen Trend zu imitieren und Anwender zu täuschen. Darüber hinaus fälscht auch dieser Wurm die Absender-Adresse der infizierten Email.

WORM_NETSKY.C
Nur eine Woche nach Auftreten von WORM_NETSKY.B tauchte die nächste Variante dieses Malicious Codes auf. Am 25. Februar löste Trend Micro erneut einen Alarm aus, um die Ausbreitung von WORM_NETSKY.C zu stoppen.Wie die vorhergehenden Versionen setzte auch NETSKY.C auf trickreiches Social Engineering, um den Anwender zu täuschen. NETSKY.C verfügt über die selben grundlegenden Merkmale wie seine Vorgänger, ist aber in der Lage, eine größere Anzahl von Emails zu generieren. Basis hierfür sind integrierte ("hard coded") Listen der möglichen Betreffzeilen, Nachrichtentexte und Namen von Dateianhängen. Ein weiterer technischer Unterschied besteht im Kompressionsformat: NETSKY.B verwendete UPX, NETSKY.C hingegen Petite.

Social Engineering ist weiterhin die am häufigsten eingesetzte Methode, um Anwender zum Ausführen eines infizierten Dateianhangs zu bewegen. Daraus ergibt sich die Schlussfolgerung, dass Anwender immer noch nicht ausreichend für Sicherheitsbedrohungen aus dem Internet sensibilisiert sind. Unternehmen können das Risiko einer Infektion mit Computerviren erheblich senken, indem sie ihre Mitarbeiter aufklären. Gleichzeitig ist die Implementierung wirkungsvoller Sicherheitsregelwerke erforderlich, zu dem grundlegende Maßnahmen wie die Blockade von Dateianhängen auf Basis von True File Types oder Erweiterungen gehören.