Defend what you create

Mehr

Schließen

Meine Bibliothek
Meine Bibliothek

+ Zur Bibliothek hinzufügen

Support

Schreiben Sie uns

Ihre Anfragen

Rufen Sie uns an

+7 (495) 789-45-86

Profil

Zurück zur Übersicht

Übersicht der Virensituation für November 2007

1. Dezember 2007

Der Virusmonitoringdienst von Dr.Web hat die Analyse der Virussituation für November 2007 durchgeführt.

Von Oktober bis November ist die Verbreitung der Spam-Meldungen Storm Worm mit dem attraktiven Titel « Dancing Skeleton » beobachtet worden. Diese Meldungen, die dem Halloween-Fest gewidmet waren, enthielten den Vorschlag, auf das Bild des tanzenden Skeletons zu klicken. Nachdem der Benutzer im Internet Explorer dem zugeschickten Link folgte, wurde ein Ladeskript ausgeführt, der in die Webseite integriert wurde. Dieser Skript startet die Installation des Wurms. Seine Funktionsweise hat dabei keine Veränderungen im Vergleich zu den vorigen Versionen erfahren: ins infizierte System wurde der Treiber installiert, der Computer wurde zu einem Glied des P2P-Netzwerks und begann, Spam zu versenden.

Erinnern wir uns, dass die originale Version des Wurms Storm Worm im Januar dieses Jahres erschien und in den Meldungen verbreitet wurde, die dem Hurrikan in Europa gewidmet waren. Als der Benutzer die angehängte ausführbare Datei startete, um – laut der Versprechung im Text der Meldung – den Zugriff auf Zusatzmaterial zu erlangen, drang der Trojaner ins System ein, der eine sogenannte Backdoor(Hintertür) öffnete. In den ausführbaren Dateien dieser Schadsoftware wurden polymorphe Packer verwendet, deshalb werden für ihre Entdeckung in Dr.Web die Einträge des Typs Trojan.Packed benutzt (zum Beispiel, Trojan.Packed .142, Trojan.Packed.200, Trojan.Packed.230).

Aber kehren wir zum Anfang der Übersicht zurück. Nach einiger Zeit wurde der Versand der «tanzenden Skeletonen» unterbrochen; es wurden auch keine sonstigen Meldungen innerhalb des restlichen Novembers beobachtet. Trotzdem beabsichtigte die allgemeine Virusaktivität offenkündig nicht unter den Tisch zu fallen, als ob sie dem bekannten Prinzip gefolgt wäre, dass die Natur keine Leere duldet.

Nachdem der Virus Storm Worm aufgehört hat, sich aktiv zu verbreiten, haben sich die Verfasser des Wurms Win32.HLLM.Limar wieder aktiviert. Da sich im vorigen Monat seine Verbreitung nicht so akut war, sind im November einige gefährlichen Versender registriert worden: per E-Mail, in den ICQ-Meldungen und per Skype. Das Starten von Dateien, die zum Herunterladen vorgeschlagen waren, führten zum Infizieren des Systems, zum deaktivieren von einigen Antivirenprogrammen und zum Versand von Spammeldungen.

Aber das ist halt nicht das Ende. Während des ganzen Monats hat sich noch eine Spamwelle gezeigt: die Verfasser zogen die Leser mit den Versprechungen heran, wie man schnell reich werden kann und wie man seine Gesundheit verbessern kann. Beim Folgen der in der Meldung angebotenen Link, startete der ausführbare Skript mit der nachfolgenden Installation der Schadsoftware, die von Dr.Web als Win32.HLLM.Graz bestimmt wurde.

Da die Infizierung beim Folgen den in Meldungen angebotenen Links ausgeführt wird, schlägt Dr.Web den Benutzern vor, den kostenlosen Service der Linküberprüfung anzuwenden – eine Erweiterungen(Plugin) für den Browser, mit deren Hilfe man eine beliebige Webseite auf Viren vor deren Öffnung, sowie jede Datei vor dem Herunterladen auf den Computer überprüfen kann. Nach der installation erscheint beim Rechtsklick auf einen link/Datei ein Kontextmenu mit "Scan link by Dr.Web". Bei der Überprüfung von der Seite werden auch die darin enthaltenen Links auf Skripte und Frames überprüft. Details über dieses Service kann man hier erfahren: http://www.freedrweb.com/browser/

Ergebnisse der Spam-Aktivität im November 2007

Ausser den traditionellen kommerziellen Versands, ist der Zuwachs von Spam-Meldungen mit den Vorschlägen zu verzeichnen, verschiedene Kulturveranstaltungen zu besuchen:
die Erstaufführungen mit der Teilname von führenden Schauspielern, die Ausstellungen usw.

Im November 2007 war die Dr.Web-Virusdatenbank mit 13403 Einträgen gesättigt.

Die Kurztabelle von Ergebnissen der monatlichen Online-Überprüfung:

Bezeichnung vom Virus Anzahl
VBS.Psyme.239 1 181
Trojan.Peflog.148 464
Worm.Sifiliz 309
Trojan.DownLoader.8132 295
Trojan.Peflog.168 264
Trojan.Peflog.155 241
Trojan.SCKeyLog 139
VBS.Psyme.377 85
BackDoor.Bulknet 71
Trojan.Spambot 55

Wir schlagen Ihnen auch vor, sich mit der Gesamttabelle von Viren bekanntzumachen, die im November 2007 auf den Mailservern am häufigsten entdeckt worden waren:

Bezeichnung vom Virus % von der Gesamtzahl von Viren
Win32.HLLM.Netsky.35328 28.18
Win32.HLLM.Netsky 9.70
Win32.HLLM.Netsky.based 6.78
Win32.HLLM.Limar.based 5.47
Win32.HLLM.Beagle 5.41
Win32.HLLM.Limar.2228 4.19
Win32.HLLM.MyDoom.based 4.12
Win32.HLLP.Sector 3.92
Win32.HLLM.Perf 3.63
Win32.HLLM.Limar 2.95
Exploit.MS05-053 2.62
Win32.HLLM.Oder 2.18
Trojan.DownLoader.36219 1.77
Win32.HLLM.MyDoom.33808 1.65
Win32.HLLW.Autoruner.437 1.61
BackDoor.Bulknet 1.32
Win32.HLLM.Netsky.24064 1.16
Win32.HLLM.MyDoom.49 1.10
Win32.HLLM.Graz 1.08
Win32.HLLM.Netsky.41985 0.99
Sonstige Schadsoftware 10.17

Ihre Meinung ist wichtig für uns!

Für jeden Kommentar bekommen Sie 1 Dr.Web Punkt gutgeschrieben. Um dem Administrator der Webseite eine Frage zu stellen, geben Sie in Ihrem Post zunächst @admin ein. Wenn Ihre Frage an den Autor eines Kommentars adressiert ist, schreiben Sie @ und den Namen des Autors im Anschluß.


Andere Kommentare

Führender russischer Hersteller von Virenschutzsoftware

Entwickelt seit 1992

Dr.Web wird in mehr als 200 Ländern genutzt

Antivirus im SaaS-Modell seit 2007

Technischer Support rund um die Uhr

© Doctor Web
2003 — 2019

Doctor Web ist ein russischer Entwickler von IT-Sicherheitslösungen unter dem Markennamen Dr.Web. Dr.Web Produkte werden seit 1992 entwickelt.

Doctor Web Deutschland GmbH. Quettigstr. 12, 76530 Baden-Baden