Live Counter von Mein-Counter.de   Sie sind hier: --> Vireninformation

 

Letzte Änderung:

Aktuelle Vireninformation

ZDNet Deutschland IT-Manager (www.zdnet.de/itmanager)

Gefahren 2004: Gemeine Tricks und Würmer
Experten rechnen mit einer anhaltenden Bedrohung durch Viren, Würmer und Massen-E-Mails in Kombination mit Social Engineering. Die Folge sind zusammenbrechende Internet-Verbindungen, verwüstete Firmennetze und DDoS-Attacken sowie unaufhaltsamer Spam.

Von Dietmar Müller, ZDNet, 29. Dezember 2003, 14:02 Uhr

Die Virenschützer erwarten für das kommende Jahr nichts Neues - außer Viren. Allgemein rechnen die Experten damit, dass sich die Trends der vergangenen Monate - Massen-E-Mails in Kombination mit Social Engineering – auch in 2004 fortsetzen werden. (Mit Social Engineering ist die perfide, pseudo-persönliche Ansprache eines Internet-Nutzers gemeint. Man könnte auch von gemeinen Tricks sprechen. Bekanntestes und in seiner Machart wohl einfachstes Beispiel war der "I love you"-Wurm aus dem Jahre 2000.) Das sollte Grund genug zur Besorgnis sein.

Unternehmen müssen beispielsweise laut Trend Micro zukünftig damit rechnen, dass Viren-Programmierer noch gezielter als bisher die Schwachstellen der IT-Infrastruktur angreifen. Darüber hinaus hievt der Experte auch 2004 E-Mail-Würmer wieder an oberster Stelle in der Rangfolge der Bedrohungen: Hat sich in der Vergangenheit Malware (Computer schädigende Software, Red.) über das Kopieren infizierter Dateien und den Austausch von Disketten verteilt, nutzten Viren-Programmierer heute die voranschreitende Vernetzung globaler Computersysteme, um ihre Malicious Codes (schädlichen Codes) in kürzester Zeit zu verbreiten. Fast 100 Prozent aller großen Virenausbrüche von 2001 bis 2003 zeigten dementsprechend Merkmale eines Internet-Wurms.

Obwohl immer mehr Unternehmen Dateianhänge filtern würden, bleibe der Massenversand in Kombination mit Social Engineering die effektivste Verbreitungsmethode für Malicious Codes.

Viren-Programmierer richten laut Trend Micro ihre Angriffe darüber hinaus gezielt gegen Schwachstellen in weit verbreiteten Applikationen und Betriebssystemen, wie zum Beispiel dem Microsoft Internet Information Server (IIS), Apache und dem Microsoft SQL Server. Zu den Trends des Jahres 2003 gehörte darüber hinaus die Verwendung von Internet Relay Chat (IRC) als Verbreitungsweg für Malware. Diese Entwicklung habe sich bereits 2002 angekündigt und werde sich auch zukünftig weiter fortsetzen.

2003 brachte die bislang größten globalen Viren-Epidemien

Laut Kaspersky Lab sind 2003 neun große Epidemien registriert worden, zudem 26 von geringerer Bedeutung mit vorwiegend lokalem Charakter. Diese Zahlen liegen erfreulicherweise hinter den Ergebnissen des Vorjahres (zwölf beziehungsweise 34) zurück. Allerdings stehe dem zahlenmäßigen Rückgang der Epidemien ein gleichzeitig starker Anstieg in den Ausmaßen und 'Nebenwirkungen' (Payloads) gegenüber. Dies wirke sich zunehmend auf die Funktionsfähigkeit des gesamten Internet aus. 2003 haben die beiden größten globalen Epidemien in der Geschichte des Internet gewütet. Sie wurden nicht von klassischen E-Mail-Würmern hervorgerufen, sondern von ihren Modifikationen im Internet, das heißt von Würmern, die sich als Daten-Pakete direkt übers Internet verbreiten.

Den Anfang machte am 25. Januar der Internet-Wurm Slammer beziehungsweise Helkern, der für seine Verbreitung eine Schwachstelle im Administrationssystem der Datenbanken des Microsoft SQL-Servers benutzte. Slammer wurde zum ersten dateilosen Internet-Wurm, der in vollem Ausmaß die 2001 beschriebene Technologie der Flash-Würmer umsetzen konnte. Innerhalb weniger Minuten infizierte er am 25. Januar 2003 hunderttausende von Computern weltweit und schaffte es, den Internet-Verkehr so zu vergrößern, dass er den Ausfall einiger regionaler Segmente verursachte. Kaspersky beruft sich auf Angaben aus Fachkreisen und geht von einer Zunahme des Internet-Verkehrs durch Slammer von 40 bis 80 Prozent in verschiedenen Segmenten des Internet aus. Der Wurm attackierte die Rechner über die Ports 1433 sowie 1434 und erstellte keine Dateien von sich auf der Festplatte, sondern blieb nur im Arbeitsspeicher. Eine Analyse des Epidemieverlaufs ließ auf eine ostasiatische Herkunft schließen.

Die zweite, nicht weniger verheerende Epidemie, wurde vom Lovesan- beziehungsweise Blaster-Wurm verursacht. Dieser tauchte am 12. August auf und führte der ganzen Welt vor Augen, wie verwundbar das populäre Betriebssystem Windows ist. Wie Slammer benutzte auch Lovesan eine Lücke im Sicherheitssystem der Microsoft-Software für seine Verbreitung. Der Unterschied bestand darin, dass Lovesan eine Schwachstelle im RPC DCOM-Dienst nutzte, welcher auf jedem Rechner war, der unter Windows 2000/XP läuft. Das führte dazu, dass praktisch jeder Anwender, der in den Tagen der Epidemie online ging, der Attacke durch den Wurm ausgesetzt war. Wenige Tage nach dem ersten Erscheinen von Lovesan wurden drei Modifikationen des Wurms entdeckt. Kurz darauf verursachte ein Gegen-Wurm eine weitere Epidemie im Internet: Er benutzte dieselbe Schwachstelle im Sicherheitssystem von Windows. Doch im Gegensatz zum 'Original' entfernte der Wurm Kopien von Lovesan und versuchte, den Patch für den RPC DCOM-Dienst zu installieren.

Pausenlose Bedrohung durch E-Mail-Würmer: Die Folge: DDoS-Gefahr und Spam

Das Jahr 2003 verlief laut Kaspersky zudem unter dem Zeichen pausenloser Epidemien durch E-Mail-Würmer. Im Januar wurden die Würmer Ganda und Avron entdeckt. Ersterer wurde in Schweden geschrieben und ist bis jetzt in Skandinavien einer der meist verbreiteten Würmer. Der Wurm-Autor ist Ende März von der schwedischen Polizei festgenommen worden. Der Wurm Avron wurde zum ersten auf dem Gebiet der ehemaligen UdSSR geschriebenen Wurm, der eine bedeutende Epidemie globalen Ausmaßes auslösen konnte. Die Ausgangstexte für den Wurm wurden auf den Web-Seiten von Viren-Autoren veröffentlicht, was zum Erscheinen weiterer, weniger erfolgreicher Varianten führte.
Ebenfalls im Januar erschien der erste Wurm der Sobig-Family auf der Bildfläche, die danach regelmäßig Viren-Epidemien hervorrief. Die Modifikation Sobig.f schlug sämtliche Rekorde und wurde zum meist verbreiteten Wurm im Internet-Verkehr in der Geschichte des Internet. Auf dem Höhepunkt der Sobig.f-Epidemie, die im August anfing, enthielt jede 20ste Mail eine Kopie des Wurms. Eines der Ziele der Sobig-Autoren war die Errichtung eines ganzen Netzwerks von infizierten Rechnern zur Durchführung von DoS-Attacken auf beliebige Web-Seiten sowie in Funktion als Server zum Verschicken von Spam-Mails.

Große Beachtung in der Computer-Virenforschung fand der Mail-Wurm Tanatos.b alias Bugbear. Die erste Version von Bugbear war bereits Mitte 2002 geschrieben worden. Erst nach fast einem Jahr tauchte dann die zweite Variante auf. Der Wurm benutzte die bereits 'traditionelle' und längst bekannte Schwachstelle im Sicherheitssystem von Microsoft Outlook (IFRAME) zum automatischen Starten seines Bodys aus infizierten Mails.

Es tauchten weiterhin neue Würmer der Lentin-Familie (alias Yaha) auf. Angaben lassen darauf schließen, dass sie in Indien von einer der lokalen Hacker-Gruppen in einem 'virtuellen Krieg' zwischen indischen und pakistanischen Viren-Autoren geschrieben wurden. Die größte Verbreitung erlangten die Versionen M sowie O, in denen sich der Virus als ZIP-Archiv im Anhang von infizierten Mails verbreitete.

Auch die russischen Viren-Autoren blieben nicht hinter ihren 'Kollegen' zurück. Der zweite Wurm aus der ehemaligen UdSSR, welcher eine globale Epidemie hervorrief, war Mimail. Der Wurm benutzte zu seiner Aktivierung eine Schwachstelle im Internet-Explorer, die dann den Namen 'Mimail-based' erhielt. Sie ermöglichte es, einen binären Code aus einer HTML-Datei zu entnehmen und ihn zur Ausführung zu starten. Zum ersten Mal wurde sie im Mai 2003 in Russland benutzt (Trojan.Win32.StartPage.L). Danach wurde diese Schwachstelle in der Mimail-Familie verwendet sowie in einigen Trojanern. Der Autor des Wurms Mimail veröffentlichte die Ausgangstexte im Internet, was im November 2003 einige neue Varianten verursachte, die von anderen Autoren geschrieben wurden, unter anderem US-amerikanischen und französischen.

Der September 2003 verlief im Zeichen des Internet-Wurms Swen. Swen, der sich als Update von Microsoft ausgab, infizierte hunderttausende Rechner weltweit und ist bis jetzt einer der meist verbreiteten Würmer geblieben. Den Viren-Autoren gelang es, die Lage zum Zeitpunkt seines Erscheinens auszunutzen, als die Anwender von den Lovesan- und Sobig.f-Epidemien aufgeschreckt bemüht waren, rechtzeitig neue Patches für ihre Betriebssysteme zu installieren.

Unbedingt Erwähnung finden sollten auch noch zwei weitere Epidemien. Zum einen durch Sober, einem nicht sehr komplexen Wurm, der von einem deutschen Viren-Autor in Anlehnung an die Nr. 1 des Jahres, Sobig.f , geschrieben wurde. Zum anderen der Backdoor-Trojaner Arcore. Dieser fand trotz seiner vergleichsweise geringen Verbreitung Beachtung wegen seiner interessanten Technologie zur Tarnung seiner Anwesenheit im System: Arcore stellt seinen Code in die Zusatzprotokolle (Alternate Data Streams) des Dateisystems NTFS. Noch interessanter ist, dass er die zusätzlichen Ströme nicht von Dateien, sondern Verzeichnissen nutzt.

EU dringt auf eine Front gegen Spam

Spam kann mittlerweile als direkte Folge der Penetration des Internet durch Würmer betrachtet werden. Entsprechend den Erregern nimmt auch die Menge an verschickten Werbe-Mails zu. Neben Initiativen von Internet-Anbietern ist auch die EU aktiv geworden: Die Union hat laut Sophos Anfang Dezember bei neun Mitgliedsnationen angefragt, die noch keine Antispam-Gesetze national umgesetzt haben, was sie zu tun beabsichtigen, um die entsprechenden Vorgaben zu erfüllen. Frankreich, Deutschland, Belgien, Finnland, Griechenland, Luxemburg, die Niederlande, Portugal und Schweden müssen sich möglicherweise vor Gericht verantworten, es sei denn, sie können innerhalb zwei Monate eine Erklärung dazu abgeben.

Die EU hofft, auf diese Weise unerwünschte Spam-E-Mails auszurotten, überlässt es aber den Mitgliedsnationen zu entscheiden, wie Spam gestoppt und wie Spammer bestraft werden sollen. Österreich, Dänemark, Irland, Italien, Spanien und Großbritannien haben bereits Schritte unternommen, um das EU-Gesetz umzusetzen. Die britische Version trat am 11. Dezember in Kraft.

"Spammer können ihre Identität verbergen und von überall auf der Welt operieren. Da die meisten Spam-E-Mails aus den USA stammen, argumentieren viele, dass europäische Gesetze gegen Spam keinen Sinn machten", berichtete Gernot Hacker, Senior Technical Consultant bei Sophos. "Es sollten aber alle Länder sorgfältig prüfen, mit welchen Maßnahmen sie Spam verbieten können. Durch enge Zusammenarbeit und strenge Antispam-Gesetze können wir Spammern das Leben ein bisschen schwerer machen."

Copyright © 1997 - 2003 CNET Networks Deutschland GmbH bzw. CNET Networks Inc. Alle Rechte vorbehalten. Vervielfältigung im Ganzen oder in Teilen ist ohne ausdrückliche Genehmigung von CNET in jeglicher Form auf jedem Medium verboten. ZDNet und das ZDNet-Logo sind Warenzeichen der CNET Networks, Inc. ZDNet ist nicht verantwortlich für die Inhalte externer Websites.

27.12.2003: Vorsicht mit DSDS-eMail!!! Es gibt derzeit ständig Virenattacken. Heute kam eine mit dem Virus "WORM.SOBER.C" verseuchte eMail angeblich von "Deutschland sucht den Superstar" (DSDS). Der Inhalt besagt, daß man angeblich aus 85000 eMail-Adressen ausgewählt worden sei, bei der Zuschauerjury mitzumachen. Durch Klick auf den Anhang soll man sich anmelden. Löschen Sie die eMail sofort und klicken Sie keinesfalls auf den Anhang. Laut Systemadministrator von RTL stammt die eMail nicht von RTL.

23.12.2003: Der Virus W32.Dumaru.A wurde durch eMail über ein GMX-Postfach zugesandt. (Auf Grund ausreichender Sicherungsmaßnahmen selbstverständlich ohne die beabsichtigte Wirkung. Er landete bei GMX breits im Ordner "SPAM-Verdacht".) Angeblich wäre die eMail von "Microsoft" (eMail-Adresse security@microsoft.com). Der Anhang würde einen Patch zur Korrektur eines Fehlers im Internet-Explorer enthalten. (Text der eMail: "Dear friend, use this Internet Explorer patch now! There are dangerous virus in the Internet now! More than 500.000 already infected!") Norton Antivirus und die Virenprüfungen von WEB.de meinten dazu: "Die Anlage patch.exe Ihrer E-Mail war mit dem Virus W32.Dumaru.A infiziert." (Durch Klick auf den Namen erhalten Sie von Symantec Informationen zu dem Virus.) Beachten Sie bitte: Öffnen Sie niemals solche Post! Microsoft versendet prinzipiell keine Patches per eMail. Es handelt sich bei derartigen eMails mit Sicherheit immer um Viren. Hier können Sie sich Infos zu dem Trojaner (Programm, das die unbefugte Fernsteuerung des Computers ermöglicht) vom 30.11.2003, mit dem Namen Sysbug-A holen.

24.9.2003: Vor einigen Tagen wurde vor einem neuen Virus gewrnt, der derzeit im Umlauf ist. Hier in Eichigt kamen am Abend erstmals infizierte eMails an (nicht beim Webmaster).  
Der Wurm "Swen" tarnt sich als Microsoft-Patch. Kaspersky rechnete kurz nach dem Auftauchen bereits mit "zehntausenden Infektionen".

Der digitale Übeltäter verbreitet sich per eMail, Peer-to-Peer-Netzwerk Kazaa und IRC-Channels. Vom Virus ausgegebene Meldungen geben als Absender verschiedene Microsoft-Dienste wie MS Technical Assistance oder Microsoft Internet Security Solution an.
Im Text Text der eMail wird dem Anwender empfohlen, zur Sicherung des eigenen Rechners den als Anhang beigefügten "speziellen Patch" von Microsoft zu installieren. Beim Öffnen des Anhangs installiert sich Swen. Einmal auf einem ungeschützten Rechner aktiviert, verbreitet  er sich von selbst weiter. Der Wurm aktiviert sich jedoch nicht nur, wenn die infizierte Datei ausgeführt wird, sondern auch, wenn das E-Mail-Programm die Schwachstelle IFrame.FileDownload besitzt. Swen installiert sich dann selbständig in das System und vervielfältigt sich. Sobald er aktiv wird, erscheint ein Fenster auf dem Bildschirm, das sich Microsoft Internet Update Pack nennt und die Installation eines Patches vortäuscht. Gleichzeitig blockiert der bösartige Code sämtliche Firewall- und Anti-Virus-Software. Danach scannt Swen das Datei­system des infizierten Computers und sucht sich sämtliche vorhandenen
E-Mail-Adressen. An diese verschicke er sich dann selbst über eine direkte Verbind­ung zu einem SMTP-Server.

Bei Symantec gibt es umfangreiche Informationen zu diesem Wurm und auch ein Programm zur Entfernung. Dieses Programm können sich interssierte (einschließlich Beschreibung) beim Webmaster von www.Eichigt.de (kostenlos) abholen (bitte vorher anrufen, damit ich auch da bin). Es paßt auf eine (mitzubringende) Diskette. Dieses Programm überprüft nach der Installation alle Dateien des Rechner auf das Vorliegen einer Infektion und beseitigt sie. Diese Prüfung kann auch einfach so auf Verdacht erfolgen. Das Programm teilt dann mit, ob eine Infektion vorlag oder nicht.

Die Beschreibung zur Entfernung des Wurms ist auch erreichbar über den folgenden Link Beschreibung. Hier kann der Download des Programms zur Entfernung des Wurms erfolgen.


Home | Aktuelles | Bekanntmachungen | Sport | Telekom | Informationen | Wissenswertes Bekanntmachungssatzung | Polizeiverordnung | Entsorgungskalender | Impressum | ZWAV Interessante Links | Allgemeines | Archiv