4. August 2008

Die Zeiten der eklatanten Virenepidemien sind längst vergangen. Heute wird an der „stillen“ Front gekämpft, ganz unauffällig für nicht eingeweihte Anwender. Der Juli bestätigte diese Regel und die vorliegende Übersicht sollte man besser als „Übersicht der Trojaneraktivität“ bezeichnen, da eine zentrale Rolle hier gerade Trojaner verschiedener Couleurs spielen.

Über Trojaner

Unter Trojaner-Programmen, die aus der Perspektive der Analyse und Behandlungsweise besonders interessant erscheinen, sind Trojaner von der Virtumod-Familie (Virtumonde/Vundo/Monder nach der Klassifikation der anderen Antivirenanbieter). Man kann sie zwar unter Top 10 der meist verbreiteten Schadprogramme noch nicht sehen, sie sind aber schon in der „wilden Natur“ anzutreffen. Gerade nicht alle Antiviren können diese Trojaner detektieren, um so mehr diese zu behandeln. Der Grund ist die Funktionsweise der Trojaner-Familie, die ein Virenautor verwendet. Der Virenschreiber entwickelt 3-4 Richtungen für die Entfaltung eines polymorphen Packers, dabei sind in den letzten Monaten mehr als 10 Modifikationen erschienen und jede Richtung umfasst Tausende von Mustern. Diese Daten werden nicht nur durch die Datenbank von Dr.Web bestätigt, sondern auch durch die Datenbanken anderer Antivirenhersteller, sowie durch die ständig eingehenden Muster vom Server der Online-Überprüfung auf Viren.

Virtumod – ist nicht der einzige Vertreter des Polymorphismus offline. Man kann auch mit Sicherheit sagen, dass ohne zielgerichtete technologische Gegenwirkung und ohne universale Antivirentechnologien, die eine Detektion polymorpher Packer in den Antivirenkern mit aufnehmen würden, die Lage sich noch verschärfen kann.

In letzter Zeit verbreitet sich aktiv noch ein Trojaner Trojan.Clb. Er enthält einen Rootkit und verdeckt durch Splicing Dateien auf Platten sowie bestimmte Zweige des Verzeichnisses. Man kann auch Trojan.DnsChange.967 hervorheben, der einen präparierten DNS-Server auf Routern, die verschiedene Konfigurationsmöglichkteiten durch das Webinterface bieten, unterschiebt. Dies ist besonders gefährlich für WiFi-Nutzer, deren Router oft durchs Interface konfiguriert werden. Die Nutzer eines solchen kabellosen Services können leicht zum Opfer der Unterschiebung fallen, so können ihre vertraulichen Daten in eine für sie unbekannte Richtung fließen.

Eine unangenehme Überraschung auf dem PC kann der Vertreter der Familie Trojan.Okuks bieten. Seine Detektion ist für die meisten Antiviren kein Problem, aber nicht seine Behandlung. Wenn das verwendete Antivirenprogramm das vom Trojaner infizierte System unkorrekt behandelt (d.h. es löscht die Datei und behandelt nicht das Verzeichnis), muss sich dann der Anwender ewig mit BSOD leben.

Nun über Tabellenführer

Genauer gesagt über einen „Tabellenführer“, der mit abwechselndem Erfolg unter den ersten Top 10 im Netz liegt und nicht aufgeben will. Es geht um Würmer Autoruner, die in reichem Maße zum Online-Scannen an Doctor Web gesendet werden.

Diese Würmer verbreiten sich über gewöhnliche USB-Flash-Speicher. Die Speicher sind schon gang und gäbe, Firmenmitarbeiter nehmen sie auf Geschäftsreisen mit und arbeiten mit diesen zu Hause.

Außer Komfort und erhöhter Leistungsfähigkeit bringen sie auch hohe Gefahr mit, denn Viren attackieren immer öfter durch diese Medien. Interessant dabei ist es, dass Objekte der Attacken nicht nur übliche Memory Sticks, sondern auch andere beliebige USB-Geräte mit dem PC-Anschluss sein können – Fotoapparate, Videokameras, Handys, digitale Fotorahmen. Auf dem Statistikserver des Unternehmens, der eine globale Virenaktivität auf den durch Antiviren Dr.Web geschützten Servern widerspiegelt, ist der Wurm der Autoruner-Familie im Juli ein Tabellenführer.

Statistiken für die Detektion von Schaddateien in Mails

? 01.07.2008 00:00 - 31.07.2008 23:00 ? 1Win32.HLLW.Autoruner.437 239451 (18.39%) 2Win32.Dref 109607 (8.42%) 3Win32.HLLM.Netsky.35328 89795 (6.90%) 4Win32.HLLM.Netsky.based 45561 (3.50%) 5Win32.HLLM.Beagle 42279 (3.25%) 6Win32.HLLM.MyDoom.based 28334 (2.18%) 7Win32.HLLM.Generic.440 26898 (2.07%) 8Adware.Cydoor 26143 (2.01%) 9Win32.HLLP.Jeefo.36352 24710 (1.90%) 10 Win32.Virut 22588 (1.73%) 11 Trojan.MulDrop.16727 22380 (1.72%) 12 Trojan.Starter.544 21632 (1.66%) 13 Win32.Sector.20480 21616 (1.66%) 14 Win32.Alman 21354 (1.64%) 15 VBS.Igidak 19669 (1.51%) 16 Danish.based 18572 (1.43%) 17 Trojan.MulDrop.6474 18481 (1.42%) 18 Win32.HLLW.Gavir.ini 17191 (1.32%) 19 Win32.HLLW.Autoruner.1831 15596 (1.20%) 20 Trojan.Packed.511 13550 (1.04%)

Statistiken für die Detektion von Schaddateien auf Arbeitsstationen

? 01.07.2008 00:00 - 31.07.2008 23:00 ? 1Trojan.Starter.516 202341 (18.09%) 2Win32.HLLW.Gavir.ini 106435 (9.51%) 3Win32.HLLW.Autoruner.274 91205 (8.15%) 4Trojan.Recycle 90006 (8.05%) 5Win32.HLLW.Autoruner.437 76710 (6.86%) 6Trojan.Starter.544 72730 (6.50%) 7JS.Nimda 40157 (3.59%) 8VBS.Redlof 38242 (3.42%) 9Win32.HLLM.Generic.440 37992 (3.40%) 10 Win32.HLLP.Whboy 24129 (2.16%) 11 Win32.HLLW.Autoruner.2272 21893 (1.96%) 12 Adware.SaveNow.128 17982 (1.61%) 13 Program.RemoteAdmin 17230 (1.54%) 14 BackDoor.IRC.Sdbot.55 15902 (1.42%) 15 Win32.HLLP.PissOff.36864 15670 (1.40%) 16 Win32.HLLP.Jeefo.36352 13282 (1.19%) 17 Trojan.Packed.511 11425 (1.02%) 18 VBS.Generic.548 8984 (0.80%) 19 Win32.HLLP.Sector 8273 (0.74%) 20 Exploit.IFrame.41 8101 (0.72%)