Bereits mehrere Monate infolge kämpfen NetSky.q und Mytob.c um die Führungsposition in den Top 20. Es handelt sich hierbei um vollkommen verschiedene Würmer, die unterschiedliche Sicherheitslücken nutzen und die darüber hinaus mit einer zeitlichen Differenz von einem Jahr das Licht der "Virenwelt" erblickten. NetSky.q führte den Kampf gegen die Wurmfamilien Mydoom und Bagle und geht, wie es scheint, aus diesem Kampf als Sieger hervor. Mytob, auf dessen Grundlage die Quell-Codes des ersten Mydoom entstanden sind, zeigt sich als ein würdiger Nachfolger seines Urahnen. Zweifelsohne zählen die Kämpfe zwischen den Wurmfamilien Mytob und NetSky zu den bestimmenden Elementen unserer monatlichen Virenberichte.
13 von 20 Positionen belegen Mytob-Varianten, vier von 20 Plätzen werden von NetSky vereinnahmt. Wenn man jedoch auf die ersten Zehn schaut, so scheint hier nahezu ein Gleichgewicht vorhanden - vier Mytob- und drei NetSky-Varianten.
Erstaunlich ist zudem, dass sich unter den Neuen unerwartet der erste Mytob in der Variante A befand, der aufgrund der Erfolge seiner Klone noch nie in unser Blickfeld geraten war. Möglicherweise verbreitete er sich nicht mittels Spam, sondern infizierte zunächst nur eine geringe Zahl von Computern. Ähnliche Beispiele gab es schon früher. Den 8. Platz belegt in der August-Statistik ein Vertreter, der genau diese Art Viren-Verbreitung verwendete - LovGate.w.
Neuzugang Mytob.h
Mit Mytob.h zeigt sich ein ein weiterer, eigenartiger Neuling. Erstmalig wurde er am 25. März dieses Jahres entdeckt. Genau wie Mytob.a war seine Präsenz im Internet nicht zu bemerken. Und dann gleich Platz 13! Für den Fall gibt es eine Erklärung: Ursprünglich wurde Mytob.h mittels Morphine und MEW komprimiert. Im August erfolgte die Komprimierung der Originaldatei jedoch unter Zuhilfenahme von Upack, UPX und FGS, infolgedessen drei neue Varianten zum Vorschein kamen. Natürlich werden sie alle mit der alten Prozedur und unter ein und demselben Namen für ihre Erkennung detektiert.
Zu erwähnen ist auch die Geschichte rund um den Wurm "Zotob". Mit Absicht steht dieser Name in Anführungszeichen, da es in den Antivirus-Datenbanken von Kaspersky Lab keine Bezeichnung für ein derartiges Schadprogramm gibt. Andere Antivirus-Unternehmen verwenden diesen Namen für sehr unterschiedliche Würmer, die oftmals nichts gemein haben.
Es ist offensichtlich, dass die Namen Zotob.a, Zotob.b und Zotob.c auf Würmer der Familie Mytob (laut Klassifikation bei Kaspersky Lab) zurückgehen. So entspricht Zotob.a dem Mytob.cg, Zotob.b dem Mytob.cf und Zotob.c ist mit Mytob.ch identisch. Die Charakteristik, sich via E-Mail zu versenden, besitzen nur Mytob.ch und Mytob.cg. Die Variante Mytob.cf kann nur über die Sicherheitslücke im Betriebssystem Microsoft Windows MS05-039 (tecCHANNEL berichtete) in den Computer eindringen.
Am 26. August wurden in Marokko der mutmaßliche Autor der Würmer verhaftet, der hatte diese zusammen mit einem Virenschreiber aus der Türkei geschrieben hat (tecCHANNEL berichtete). Die Funktionen innerhalb dieser kriminellen Gruppe waren sehr genau zugeteilt - einer war mit dem Schreiben des Virus beschäftigt, der andere mit seiner Verbreitung im Internet. Während eine Vielzahl von Medienvertretern berichtete, dass genau diese Würmer für die Virenepidemie in den amerikanischen Telekommunikationsunternehmen ABC und CNN zuständig gewesen seien, handelte es sich unseren Annahmen zufolge jedoch um einen Wurm der Familie Bozori, der dieselbe Sicherheitslücke - MS05-039 - nutzt. (mja)
|
Links zum Thema IT-Sicherheit |
Angebot |
|---|---|
|
Bookshop |
|
|
eBooks (50 % Preisvorteil) |
|
|
Software-Shop |