Der Virusmonitoringdienst von Dr.Web hat die Analyse der Virussituation für November 2007 durchgeführt.

Von Oktober bis November ist die Verbreitung der Spam-Meldungen Storm Worm mit dem attraktiven Titel « Dancing Skeleton » beobachtet worden. Diese Meldungen, die dem Halloween-Fest gewidmet waren, enthielten den Vorschlag, auf das Bild des tanzenden Skeletons zu klicken. Nachdem der Benutzer im Internet Explorer dem zugeschickten Link folgte, wurde ein Ladeskript ausgeführt, der in die Webseite integriert wurde. Dieser Skript startet die Installation des Wurms. Seine Funktionsweise hat dabei keine Veränderungen im Vergleich zu den vorigen Versionen erfahren: ins infizierte System wurde der Treiber installiert, der Computer wurde zu einem Glied des P2P-Netzwerks und begann, Spam zu versenden.

Erinnern wir uns, dass die originale Version des Wurms Storm Worm im Januar dieses Jahres erschien und in den Meldungen verbreitet wurde, die dem Hurrikan in Europa gewidmet waren. Als der Benutzer die angehängte ausführbare Datei startete, um – laut der Versprechung im Text der Meldung – den Zugriff auf Zusatzmaterial zu erlangen, drang der Trojaner ins System ein, der eine sogenannte Backdoor(Hintertür) öffnete. In den ausführbaren Dateien dieser Schadsoftware wurden polymorphe Packer verwendet, deshalb werden für ihre Entdeckung in Dr.Web die Einträge des Typs Trojan.Packed benutzt (zum Beispiel, Trojan.Packed .142, Trojan.Packed.200, Trojan.Packed.230).

Aber kehren wir zum Anfang der Übersicht zurück. Nach einiger Zeit wurde der Versand der «tanzenden Skeletonen» unterbrochen; es wurden auch keine sonstigen Meldungen innerhalb des restlichen Novembers beobachtet. Trotzdem beabsichtigte die allgemeine Virusaktivität offenkündig nicht unter den Tisch zu fallen, als ob sie dem bekannten Prinzip gefolgt wäre, dass die Natur keine Leere duldet.

Nachdem der Virus Storm Worm aufgehört hat, sich aktiv zu verbreiten, haben sich die Verfasser des Wurms Win32.HLLM.Limar wieder aktiviert. Da sich im vorigen Monat seine Verbreitung nicht so akut war, sind im November einige gefährlichen Versender registriert worden: per E-Mail, in den ICQ-Meldungen und per Skype. Das Starten von Dateien, die zum Herunterladen vorgeschlagen waren, führten zum Infizieren des Systems, zum deaktivieren von einigen Antivirenprogrammen und zum Versand von Spammeldungen.

Aber das ist halt nicht das Ende. Während des ganzen Monats hat sich noch eine Spamwelle gezeigt: die Verfasser zogen die Leser mit den Versprechungen heran, wie man schnell reich werden kann und wie man seine Gesundheit verbessern kann. Beim Folgen der in der Meldung angebotenen Link, startete der ausführbare Skript mit der nachfolgenden Installation der Schadsoftware, die von Dr.Web als Win32.HLLM.Graz bestimmt wurde.

Da die Infizierung beim Folgen den in Meldungen angebotenen Links ausgeführt wird, schlägt Dr.Web den Benutzern vor, den kostenlosen Service der Linküberprüfung anzuwenden – eine Erweiterungen(Plugin) für den Browser, mit deren Hilfe man eine beliebige Webseite auf Viren vor deren Öffnung, sowie jede Datei vor dem Herunterladen auf den Computer überprüfen kann. Nach der installation erscheint beim Rechtsklick auf einen link/Datei ein Kontextmenu mit "Scan link by Dr.Web". Bei der Überprüfung von der Seite werden auch die darin enthaltenen Links auf Skripte und Frames überprüft. Details über dieses Service kann man hier erfahren: http://www.freedrweb.com/browser/

Ergebnisse der Spam-Aktivität im November 2007

Ausser den traditionellen kommerziellen Versands, ist der Zuwachs von Spam-Meldungen mit den Vorschlägen zu verzeichnen, verschiedene Kulturveranstaltungen zu besuchen:
die Erstaufführungen mit der Teilname von führenden Schauspielern, die Ausstellungen usw.

Im November 2007 war die Dr.Web-Virusdatenbank mit 13403 Einträgen gesättigt.

Die Kurztabelle von Ergebnissen der monatlichen Online-Überprüfung:

Wir schlagen Ihnen auch vor, sich mit der Gesamttabelle von Viren bekanntzumachen, die im November 2007 auf den Mailservern am häufigsten entdeckt worden waren: