Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Übersicht der Virussituation für April 2008 vom Unternehmen «Doctor Web»

12. Mai 2008

Der Virusmonitoringdienst des Unternehmens «Doctor Web» hat die Analyse der Virussituation für April 2008 durchgeführt.

Zum Hauptereignis Ende März – Anfang April wurde die Entdeckung der neuen Modifizierung von der Malware, die nach der Dr.Web-Klassifizierung als BackDoor.MaosBoot bezeichnet wurde. Diese Malware gehört zur neuen Virusklasse, indem sie die Kombination von einem bootfähigen Virus und einem Rootkit darstellt. BackDoor.MaosBoot ist im Grunde genommen auf das Eindringen in die Benutzercomputer gerichtet, mit dem Zweck der Entnahme von der vertraulichen Finanzinformation. Der Virus verfügt über eine grosse Softwareliste von der Klasse "Bank-Client". Die vervollkommnete Virusversion entwendet leicht von den verseuchten Computern nach dieser Liste die vertrauliche Finanzinformation.

Mitte April war vom Virusmonitoringdienst von «Doctor Web» der Ausbruch der Spamwelle mit der bootfähigen Datei von der schon fast vergessenen Malware Win32.HLLM.Limar registriert. Und, obwohl dieser Ausbruch von keinem Epidämiecharakter war, trotzdem hat er zu verstehen gegeben, dass es uns in der Zukunft möglicherweise eine massivere Verbreiterung von dieser Malware erwartet.

Zu einem echt relevanten Ereignis wurde dennoch die Bloßstellung vom Virusmonitoringdienst des Mythos über die Nichtexistenz von der Variante der Malware, die als Rustock.C bekannt ist. Diese Malware hat die Bezeichnung Win32.Ntldrbot nach der Dr.Web-Klassifizierung erhalten. Die Hauptbestimmung von Win32.Ntldrbot – PC’s zu verseuchen, indem diese zu den Boten werden, von denen nachher die Spamverstreuung möglich ist, und aus solchen verseuchten PC’s Botnetze machen – riesengroße Netzwerke zur Spamming. Aber nicht nur zu verseuchen, sondern auch absolut unsichtbar zu bleiben. Was dieser Rootkit mit Erfolg machte – vermutlich vom Oktober 2007! Nach Bewertung des Unternehmens Secure Works steht das Bot-Netzwerk, dass vom Rustock gebildet worden ist, auf dem dritten Platz von den grössten Bot-Netzwerken und ist fähig, täglich bis zu 30 Milliarden Spammeldungen zu verstreuen. Der Hauptbereich der «Spezialisierung» von diesem Netzwerk sind Wertpapiere und Pharmazeutik.

Einige technischen Merkmale von Win32.Ntldrbot

  • Der Rootkit besitzt den kräftigen polymorphen Protektor, der die Analyse und die Entpackung des Rootkits erschwert.
  • Er ist als Treiber des Engine-Niveaus realisiert und funktioniert auf dem niedrigsten Niveau.
  • Er hat die Selbstschutzfunktion und verhindert die Modifizierung der Ausführungszeit.
  • Er verhindert aktiv die Entstörung - kontrolliert die Installation der Hardware-Stoppunkte (DR-Register); stört die Funktion der Debugger des Engine-Niveaus: Syser, SoftIce. Der Debugger WinDbg beim aktiven Rootkit funktioniert gar nicht.
  • Er fängt die Systemfunktionen mit einer nicht klassischen Methode ab.
  • Er funktioniert wie ein Dateivirus, indem er die Systemtreiber verseucht.
  • Das konkrete Exemplar des Rootkits wird an die Hardware des verseuchten Computers gebunden. So wird auf dem anderen Computer derselbe Rootkit mit einer grossen Warscheinlichkeit nicht funktionieren.
  • Er hat die Neuverseuchungsfunktion, die nach einer Zeit anspricht. Die alte verseuchte Datei wird wiederhergestellt. So «wandert» der Rootkit durch die Systemtreiber, indem er nur irgendeinen als verseucht lässt.
  • Er filtert die Ansprechungen der verseuchten Datei, indem er die FSD-Prozeduren des Treibers des Dateisystems abfängt und die Originaldatei statt der verseuchten untersetzt.
  • Er hat den Antirootkitschutz.
  • Er hat eine Bibliothek, die in einen Systemvorgang implementiert wird. Diese Bibliothek befasst sich mit der Spamverstreuung.
  • Zur Verbindung des Treibers mit der DLL wird ein Sondermechanismus der Befehlsübergabe verwendet.

Wichtig ist der Umstand, dass Dr.Web der einzige Antivirus von heute ist, der nicht nur den Win32.Ntldrbot im aktiven Zustand entdecken, sondern auch das von ihm infizierte System wiederherstellen kann.

Virusstatistik für April 2008

Tabelle 1. Top-20 der am häufigsten auf den Mailserver getroffenen Viren

 01.04.2008 00:00 - 13.05.2008 23:00 
1Win32.HLLM.Netsky.35328270654 (29.51%)
2Win32.HLLM.Netsky.based95383 (10.40%)
3Win32.HLLW.Autoruner.43773490 (8.01%)
4Win32.HLLM.MyDoom.based57639 (6.28%)
5Win32.HLLM.Beagle38671 (4.22%)
6Win32.HLLM.Netsky30887 (3.37%)
7Win32.HLLP.Sector30885 (3.37%)
8Exploit.MS05-05328784 (3.14%)
9VBS.Igidak26239 (2.86%)
10Win32.HLLM.Oder22487 (2.45%)
11Win32.Virut20823 (2.27%)
12Win32.HLLM.Perf17012 (1.85%)
13Win32.HLLM.Netsky.2406416739 (1.83%)
14Win32.HLLM.MyDoom.3380811208 (1.22%)
15Win32.HLLM.Netsky.280089592 (1.05%)
16Trojan.DownLoader.495869305 (1.01%)
17Win32.LazyAdmin.327688791 (0.96%)
18Win32.HLLM.Netsky.286728689 (0.95%)
19Trojan.Regger8657 (0.94%)
20Exploit.IframeBO8093 (0.88%)

Tabelle 2. Top-20 der am häufigsten auf den Benutzercomputern getroffenen Viren

 01.04.2008 00:00 - 13.05.2008 23:00 
1Trojan.Okuks.302184293 (33.03%)
2Trojan.Spambot.30991286403 (19.45%)
3Trojan.Click.17013501156 (7.58%)
4Trojan.Okuks.24172393 (2.61%)
5Win32.HLLM.Generic.440158366 (2.39%)
6JS.Nimda156129 (2.36%)
7Win32.Alman131706 (1.99%)
8Win32.HLLW.Autoruner.437107772 (1.63%)
9VBS.Generic.548104092 (1.57%)
10Adware.SaveNow.12891458 (1.38%)
11Win32.HLLP.PissOff.3686488904 (1.34%)
12Trojan.Recycle82489 (1.25%)
13Trojan.DownLoader.4958677948 (1.18%)
14Win32.HLLP.Jeefo.3635275027 (1.13%)
15BackDoor.Generic.113862350 (0.94%)
16VBS.Igidak49603 (0.75%)
17Win32.HLLP.Neshta48690 (0.74%)
18Win32.HLLM.Lovgate.247851 (0.72%)
19Trojan.NtRootKit.42546560 (0.70%)
20Win32.HLLW.Autoruner33661 (0.51%)

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden