Modifikation des Dateivirus Win32.Sector.5 schlägt im Juni erst richtig zu

Der gefährliche Dateivirus Win32.Sector.5, nach Klassifizierung einiger Antivirus-Unternehmen auch Sality genannt, fand im Juni eine schnell wachsende Verbreitung. "Die Zahl der System-Administratoren, die mit diesem Virus zu tun hatten und sich daher im Juni an unseren technischen Support gewandt hatten, lässt uns ganz klar von einer Epidemie sprechen", kommentiert Boris Sharov, CEO von Doctor Web Ltd. aus dem Moskauer Headquarter des Security-Unternehmens. Laut Aussagen der Betroffenen hatten die Probleme mit der Modifikation der Sector-Familie bereits im Februar 2008 angefangen. Im Juni hat sich die Epidemie katastrophal verbreitet. Unter den Betroffenen befinden sich unter anderem Banken, Wirtschaftsprüfer, Handelsnetze oder Softwarenentwickler, Unternehmen aus dem Ingenieurbereich sowie Forschungsinstitute und staatliche Kulturinstitutionen sowie natürlich auch private Anwender.

Bereits Anfang 2003 sind die ersten Exemplare der Sector-Familie erschienen. Innerhalb von fünf Jahren hat sich das Virus entwickelt indem er seine schädigenden Eigenschaften behalten und einige neue hinzugefügt hat. Von Version zu Version blieb das Virus immer mehr im Hintergrund und plante auch nicht, die Opfer über sein Dasein zu informieren. Die Spezialisten des Antivirenlabors Doctor Web sind davon überzeugt, dass diese Virus-Mutation dazu benutzt wird, weitere maligne Programme zu decken, die zwar weniger komplex aber dennoch sehr gefährlich und für den Diebstahl von vertraulichen Informationen sowie Spam-Angriffen entwickelt worden.

Nachdem Win32.Sector.5 in ein Computer-System eingedrungen ist infiziert es alle aktiven Speicher-Prozesse und entfernt mehrere Registry-Einträge, so dass ein Booten im abgesicherten Modus unmöglich wird. Anschließend verseucht es Dateien mit der Erweiterung .exe und .scr auf allen zur Verfügung stehenden Partitionen und Netzwerk-Ressourcen. Zur schnelleren Verbreitung infiziert es zusätzlich Dateien die automatisch beim Windows-Start ausgeführt werden, sowie weitere häufig benutzte Dateien des Systems.

Dateien vieler bekannter Antivirenprogramme werden von Win32.Sector.5 beseitigt und zugleich die zugehörigen Prozesse gestoppt. Der Zugang zu den Websites der Antiviren-Unternehmen wird zudem blockiert was Updates verhindert. Im Vergleich zu einigen anderen Antivirenprogrammen, die entweder den Zugang zu der verseuchten Datei blockieren oder sie vernichten, desinfiziert Antivirus Dr.Web Dateien die von Win32.Sector.5 infiziert wurden. Selbst wenn auf dem PC bereits eine Antivirus-Lösung installiert ist, man aber glaubt, dass der Computer von Win32.Sector.5 infiziert wurde, kann das System nach Download des kostenlosen 'Dr.Web CureIt!' (www.freedrweb.com) geprüft und gegebenenfalls sogar desinfiziert werden. Dazu braucht eine bereits bestehende Antivirus-Lösung nicht deinstalliert werden.

Alte Masche, neue Hemmnisse - Trojaner versucht wieder zu verkaufen

Anfang Juni wurde die Internet-Community durch Informationen über das Auftreten einer Modifikation des Trojaners Trojan.Encoder.18, nach der Klassifikation von Doctor Web, auch Gpcode genannt, auf den Kopf gestellt. Der Trojaner aus der Familie 'Encoder' sucht nach dem Eindringen ins System Dateien mit bestimmten Erweiterungen. Recht häufig werden dabei Microsoft Office-Dokumente herangezogen, die er verschlüsselt und somit unbrauchbar macht. Danach verlangt er von ihrem Besitzer Geld für die Dekodierung. In diesem Fall ist es sehr schwer die Daten wiederherzustellen, da der Virusprogrammierer einen Kodierungsschlüssel mit einer 1024 Bit-Länge benutzt.

Eine derartige Entwicklung war bereits im vergangenen Jahr absehbar, als der Autor von Trojan.Encoder noch recht kurze Kodierungsschlüssel benutzte. Einige Security-Unternehmen nutzten die weniger geschickte Arbeit des Virenautors aus um ihre Fähigkeit beim Entschlüsseln zu demonstrieren. So konnte das Rennen allerdings nicht gewonnen werden, denn früher oder später musste ein Schlüssel erscheinen der lang genug ist um eine Dekodierung unmöglich zu machen. Die Security-Spezialisten von Doctor Web sahen ihre Aufgabe in präventiver Entdeckung des potentiell gefährlichen Programms um seine destruktive Funktion zu verhindern. Die Erfahrung hat es gezeigt, dass es sich im Vergleich zur Dekodierung des Kilobit-RSA-Schlüssels als wirksamer erwies.

'Dr.Web Origins Tracing' entdeckte Encoder bereits ohne Signatur-Abgleich

Die Benutzer von Antivirus Dr.Web wurden vor Trojan.Encoder.18 sicher geschützt, denn noch vor der Entdeckung des Modifikationsmusters vom hauseigenen Monitoring wurde dieses Virus als Trojan.Sespy.origin identifiziert. Dies wurde durch eine besondere Technologie ermöglicht, die maligne Objekte ohne einen Signatur-Abgleich identifiziert, das 'Dr.Web Origins Tracing™'.

Deutliche Tendenz beim Spam zu kleiner und kürzer

Eindeutig kleiner und kürzer sind die verhassten Spam-Nachrichten im Monat Juni geworden. Zehn größere Spamwellen konnten identifiziert werden. Diese waren alle nach dem Muster gestrickt, dass zunächst die Betreff-Zeile die Aufmerksamkeit des Lesers auf sich ziehen sollte und der Body der Mail dann einen Link zu einer Website mit kurzem Kommentar enthielt. Direkte Links auf Websites werden zu einem immer häufiger genutzten Weg , der zum Umgehen von Spamfiltern missbraucht wird.

Diese neue Art des Spams birgt eine weitere Gefahr in sich. Die Links können auf eine verseuchte Website führen, bei deren Besuch sich ein Trojaner auf dem PC einnisten kann.