Der Virusmonitoringdienst des Unternehmens «Doctor Web» hat die Analyse der Virussituation für April 2008 durchgeführt.

Zum Hauptereignis Ende März – Anfang April wurde die Entdeckung der neuen Modifizierung von der Malware, die nach der Dr.Web-Klassifizierung als BackDoor.MaosBoot bezeichnet wurde. Diese Malware gehört zur neuen Virusklasse, indem sie die Kombination von einem bootfähigen Virus und einem Rootkit darstellt. BackDoor.MaosBoot ist im Grunde genommen auf das Eindringen in die Benutzercomputer gerichtet, mit dem Zweck der Entnahme von der vertraulichen Finanzinformation. Der Virus verfügt über eine grosse Softwareliste von der Klasse "Bank-Client". Die vervollkommnete Virusversion entwendet leicht von den verseuchten Computern nach dieser Liste die vertrauliche Finanzinformation.

Mitte April war vom Virusmonitoringdienst von «Doctor Web» der Ausbruch der Spamwelle mit der bootfähigen Datei von der schon fast vergessenen Malware Win32.HLLM.Limar registriert. Und, obwohl dieser Ausbruch von keinem Epidämiecharakter war, trotzdem hat er zu verstehen gegeben, dass es uns in der Zukunft möglicherweise eine massivere Verbreiterung von dieser Malware erwartet.

Zu einem echt relevanten Ereignis wurde dennoch die Bloßstellung vom Virusmonitoringdienst des Mythos über die Nichtexistenz von der Variante der Malware, die als Rustock.C bekannt ist. Diese Malware hat die Bezeichnung Win32.Ntldrbot nach der Dr.Web-Klassifizierung erhalten. Die Hauptbestimmung von Win32.Ntldrbot – PC’s zu verseuchen, indem diese zu den Boten werden, von denen nachher die Spamverstreuung möglich ist, und aus solchen verseuchten PC’s Botnetze machen – riesengroße Netzwerke zur Spamming. Aber nicht nur zu verseuchen, sondern auch absolut unsichtbar zu bleiben. Was dieser Rootkit mit Erfolg machte – vermutlich vom Oktober 2007! Nach Bewertung des Unternehmens Secure Works steht das Bot-Netzwerk, dass vom Rustock gebildet worden ist, auf dem dritten Platz von den grössten Bot-Netzwerken und ist fähig, täglich bis zu 30 Milliarden Spammeldungen zu verstreuen. Der Hauptbereich der «Spezialisierung» von diesem Netzwerk sind Wertpapiere und Pharmazeutik.

Einige technischen Merkmale von Win32.Ntldrbot

• Der Rootkit besitzt den kräftigen polymorphen Protektor, der die Analyse und die Entpackung des Rootkits erschwert.
• Er ist als Treiber des Engine-Niveaus realisiert und funktioniert auf dem niedrigsten Niveau.
• Er hat die Selbstschutzfunktion und verhindert die Modifizierung der Ausführungszeit.
• Er verhindert aktiv die Entstörung - kontrolliert die Installation der Hardware-Stoppunkte (DR-Register); stört die Funktion der Debugger des Engine-Niveaus: Syser, SoftIce. Der Debugger WinDbg beim aktiven Rootkit funktioniert gar nicht.
• Er fängt die Systemfunktionen mit einer nicht klassischen Methode ab.
• Er funktioniert wie ein Dateivirus, indem er die Systemtreiber verseucht.
• Das konkrete Exemplar des Rootkits wird an die Hardware des verseuchten Computers gebunden. So wird auf dem anderen Computer derselbe Rootkit mit einer grossen Warscheinlichkeit nicht funktionieren.
• Er hat die Neuverseuchungsfunktion, die nach einer Zeit anspricht. Die alte verseuchte Datei wird wiederhergestellt. So «wandert» der Rootkit durch die Systemtreiber, indem er nur irgendeinen als verseucht lässt.
• Er filtert die Ansprechungen der verseuchten Datei, indem er die FSD-Prozeduren des Treibers des Dateisystems abfängt und die Originaldatei statt der verseuchten untersetzt.
• Er hat den Antirootkitschutz.
• Er hat eine Bibliothek, die in einen Systemvorgang implementiert wird. Diese Bibliothek befasst sich mit der Spamverstreuung.
• Zur Verbindung des Treibers mit der DLL wird ein Sondermechanismus der Befehlsübergabe verwendet.

Wichtig ist der Umstand, dass Dr.Web der einzige Antivirus von heute ist, der nicht nur den Win32.Ntldrbot im aktiven Zustand entdecken, sondern auch das von ihm infizierte System wiederherstellen kann.

Virusstatistik für April 2008

Tabelle 1. Top-20 der am häufigsten auf den Mailserver getroffenen Viren

Tabelle 2. Top-20 der am häufigsten auf den Benutzercomputern getroffenen Viren