Virus

Weitere Hausdurchsuchungen und Befragungen vorgenommen. Das Landeskriminalamt (LKA) Niedersachsen gab bekannt, dass am 11. Mai 2004 LKA-Beamte fünf weitere Wohnungen im Raum Rotenburg/Wümme durchsucht haben. Zwei der fünf Beschuldigten erklärten, sie hätten den Netsky-Quellcode vom Sasser-Autor erhalten; einer der Tatverdächtigen gab zu, den Wurm Netsky verbreitet zu haben.

21-jähriger Arbeitsloser soll Phatbot zusammen mit anderen entwickelt haben. In Lörrach wurde am 8. Mai 2004 ein 21-jähriger Arbeitsloser festgenommen, der den Wurm "Phatbot" alias "Agobot" programmiert und in Umlauf gebracht haben soll, teilte das Landeskriminalamt Baden-Württemberg mit.

Bereits drei Varianten von Sasser im Umlauf; starke Verbreitung der Würmer. Die Hersteller von Antiviren-Software warnen vor dem Internet-Wurm Sasser, der eine im April 2004 bekannt gewordene Sicherheitslücke in Windows 2000, XP und Server 2003 für eine sehr starke Verbreitung ausnutzt. Wurde dieses Sicherheitsleck nicht geschlossen und wird auch keine Firewall verwendet, befällt der Wurm automatisch fremde Systeme, um sich von diesen weiter zu verbreiten. Kurz nachdem Sasser.A auftauchte, erschienen bereits zwei weitere Ableger des Unholds.

Bagle.AA attackiert deutschsprachige Webseiten. Seit Anfang des Jahres 2004 tobt der Wurm-Krieg zwischen Bagle und NetSky und sorgt seitdem dafür, dass im Abstand weniger Tage immer wieder neue Varianten der Schädlinge auftauchten und sich zumeist sehr schnell verbreitet haben. Dies sorgte dafür, dass den Antiviren-Labors die 26 Buchstaben aus dem englischen Alphabet bereits ausgegangen sind und die ersten Bagle- und NetSky-Würmer mit einer Doppelkennung (AA) entdeckt wurden.

"Werbung bitte willkürlich in der Nachbarschaft verteilen. Danke!". An ständige Angebote zur Vergrößerung diverser Körperteile, für dubiose Medikamente - ebenfalls zur Vergrößerung diverser Körperteile - oder auch gänzlich undefinierbare, weil durch Sonderzeichen verstümmelte Offerten hat man sich mittlerweile gewöhnt. Auch gegen eingehende Viren und Würmer im Sekundentakt kann man gezielt vorgehen. Doch es gibt Schlimmeres als diesen ordinären Spam!

EarthLink und Webroot testen Rechner auf Spyware. Der US-Internet-Provider EarthLink hat zusammen mit dem Software-Hersteller Webroot Software die Verbreitung von Spyware untersucht. Dabei wurden zwischen dem 1. Januar 2004 und 31. März 2004 rund eine Million Systeme überprüft und im Schnitt knapp 28 Spyware-Instanzen pro Rechner gefunden.

NetSky.V nutzt Sicherheitsleck im Internet Explorer zum Nachladen des Wurm-Codes. Die Hersteller von Antiviren-Lösungen berichten, dass mit NetSky.V eine Variante des Wurms aufgetaucht ist, die ohne Mail-Anhang versendet wird und eine Sicherheitslücke im Internet Explorer nutzt, um den Wurm-Code auf fremde Systeme zu laden. Mitte März 2004 erschien bereits ein Bagle-Ableger, der das gleiche Sicherheitsleck für die Einschleusung des Wurm-Codes nutzte. Nach den Erkenntnissen aus den Viren-Labors hat sich NetSky.V bislang nicht stark verbreitet.

Starke Verbreitung des Sober-Neulings im deutschsprachigen Internet. Wie mehrere Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich mit Sober.F ein weiterer Ableger des Wurms derzeit besonders stark im deutschsprachigen Internet. Im Unterschied zu den weiterhin stark in Umlauf befindlichen Würmern Bagle und Netsky versendet sich der aktuelle Sober-Wurm - wie auch seine Vorgänger - mit deutschsprachigen E-Mail-Texten. Wie bei aktuellen Würmern üblich, fälscht auch dieser die Absenderadresse und verschleiert somit seine Herkunft.

Symantec-Bericht: Jede Woche mehr als eine weitere Sicherheitslücke im Internet. In dem halbjährlich erscheinenden Internet Security Threat Report von Symantec, einem Anbieter von Sicherheitslösungen für den IT-Bereich, wird berichtet, dass sich im zweiten Halbjahr 2003 der Zeitabstand zwischen Bekanntwerden einer Sicherheitslücke und Erscheinen eines Exploits deutlich verringert hat. Als großes Sicherheitsrisiko wird der Internet Explorer angesehen, da im Durchschnitt pro Woche mehr als ein Sicherheitsleck in Microsofts Browser entdeckt wurde.

Kennwörter für verschlüsselte Archive werden als Grafik an Wurm-Mail angefügt. Seit der erste Bagle-Wurm aufgetaucht ist, sind bereits zahlreiche Abarten des Wurms erschienen. Seit dem Wochenende treibt eine neue Variante des Unholds im Internet ihr Unwesen, indem Virenscannern eine Erkennung einer Wurm-E-Mail erschwert wird. Die Kennwörter von verschlüsselten Archiven werden nicht mehr als Text in der E-Mail abgelegt, sondern als Grafikdatei an die E-Mail gehangen. Der Wurm besitzt zudem eine Viren-Schadroutine, die EXE-Dateien infiziert.

Wurm Sober.D besitzt gefälschte Microsoft-Adresse als Absender. Wie Antivirenhersteller berichten, verbreitet sich seit der Nacht auf Montag, den 8. März 2004, ein weiterer Ableger des Sober-Wurms im Internet, der einen deutschsprachigen Mail-Text enthält. Sowohl mit dem Mail-Text als auch einer gefälschten E-Mail-Adresse will der Unhold vortäuschen, es handele sich um einen von Microsoft versendeten Sicherheits-Patch gegen dem MyDoom-Wurm.

Bagle-Würmer mit kennwortgeschützten ZIP-Archiven aufgetaucht. Das Jahr 2004 begann mit einer Flut an E-Mail- und Internet-Würmern, deren Ende im Moment kaum absehbar ist, denn seither schafft es wöchentlich mindestens ein Wurm, sich sehr stark im Internet zu verbreiten. Allein in den vergangenen Tagen tauchten immer wieder neue Ableger der Würmer Bagle und Netsky auf. Zu den jüngsten Entdeckungen gehören neue Varianten des Bagle-Wurms, bei dem sich der Wurm-Code in einer kennwortgeschützten ZIP-Datei verbirgt, so dass viele Unternehmens-Virenscanner derartige Schädlinge nicht erkennen.

Sehr starke Verbreitung von zwei neuen Varianten des Wurms. Wie Anbieter von Antiviren-Software übereinstimmend berichten, verbreiten sich seit kurzem gleich mehrere Varianten des Bagle-Wurms, der erstmals Mitte Januar 2004 auftauchte und einen Monat später seinen ersten Nachfolger erlebte. Derzeit zählen die Virenlabore fünf neue Ableger (C bis G) vom Bagle-Wurm, welche sich in den Funktionen kaum unterscheiden, sich allerdings bislang unterschiedlich stark verbreiten.

Bizex-Wurm kann sich nicht mehr über ICQ-Netzwerk verbreiten. Der jüngst aufgetauchte ICQ-Wurm Bizex wurde mittlerweile von AOL blockiert, so dass sich der Unhold nicht weiter verbreiten kann. AOL betreibt das ICQ-Netzwerk und reagierte so auf die starke Verbreitung des Wurms, der eine Sicherheitslücke im Internet Explorer für die Verbreitung nutzt.

Wurm nutzt Sicherheitsleck im Internet Explorer und protokolliert Tasteneingaben. Wie Anbieter von Antiviren-Software berichten, verbreitet sich im Internet ein Wurm namens Bizex per ICQ und nutzt dazu eine Sicherheitslücke im Internet Explorer, die Microsoft bereits längere Zeit bekannt ist, bislang aber nicht geschlossen wurde. Auf befallenen Windows-Systemen protokolliert der Wurm eine Reihe von Tasteneingaben, um darüber an Bankdaten sowie Kennwörter zu gelangen und versendet sich an alle in ICQ gespeicherten Kontakte.

Spammer erhalten gegen Bezahlung verseuchte Systeme zum Versand von Werbe-Mails. Das Computer-Magazin c't berichtet in der aktuellen Ausgabe 5/04 darüber, dass Virenautoren durch Trojanische Pferde befallene Rechner Spammern gegen Bezahlung zur Verfügung stellen. So können Spammer unbemerkt von den eigentlichen Computer-Besitzern von diesen Systemen ihre Werbeflut versenden, um damit Anti-Spam-Tools zu umgehen.

Wurm nutzt Neugierde der Anwender. Nachdem der Wurm Bagle.B sich seit dem 18. Februar 2004 massiv per E-Mail verbreitet, bekommt er nur einen Tag später Gesellschaft von dem Unhold Netsky.B. Auch dieser Wurm hat sich bereits wenige Stunden nach Erscheinen massiv im Internet vermehrt. Offenbar scheinen die Anwender aus den jüngsten Erfahrungen wenig gelernt zu haben, da sich Netsky.B ohne die Neugierde der Anwender und aktuell installierte Virenscanner nicht verbreiten könnte.

Bagle-Wurm öffnet Hintertür auf befallenen Systemen. Wie die Hersteller von Antiviren-Software berichten, verbreitet sich seit wenigen Stunden ein Nachfolger des Wurms Bagle besonders schnell im Internet, der ebenfalls eine Hintertür auf befallenen Systemen öffnet. Der Wurm-Code steckt dabei in einer exe-Datei, die in vielen E-Mail-Clients als Audio-Datei angezeigt wird, was offenbar viele Anwender dazu verleitet, den betreffenden Wurm-Anhang zu öffnen.

Automatische Verbreitung über MyDoom-Hintertüren. Die Hersteller von Antviren-Software entdeckten mit Doomjuice alias MyDoom.C einen Wurm, der sich die von den ersten beiden MyDoom-Würmern geöffneten Hintertüren zu Nutze macht und sich darüber selbsttätig verbreitet. Während MyDoom.A eine DoS-Attacke gegen SCOs Webseite ausführte, war Microsoft zusätzlich das Ziel von MyDoom.B, während Doomjuice nur noch Microsofts Webseiten angreift.

Aktueller Wurm nutzt Hintertür von MyDoom. Die Hersteller von Antiviren-Software haben eine interessante Entdeckung gemacht, denn ein aktuell in Umlauf befindlicher Wurm bekämpft vor allem den MyDoom-Wurm in den beiden Varianten A und B. Der unter der Bezeichnung Vesser oder Deadhat agierende Wurm schleust sich über die von MyDoom geöffneten Hintertüren in befallene Systeme ein.

Angriff auf www.sco.com hat begonnen. Eine DDoS-Attacke (Distributed Denial of Service), die durch den Wurm MyDoom ausgelöst wurde, hat wie erwartet die Website der SCO Group am Sonntag, den 1. Februar 2004, außer Gefecht gesetzt.

250.000 US-Dollar für Ergreifung des Wurm-Autors; MyDoom verbreitet sich weiter. Nach dem Erscheinen des ersten MyDoom-Wurms hat SCO eine Belohnung in Höhe von 250.000 US-Dollar zur Ergreifung des Autors des MyDoom-Wurms bereitgestellt, dem nun auch Microsoft folgt. Nachdem der erste Ableger von MyDoom nicht nur eine DoS-Attacke gegen SCO, sondern auch einen Angriff gegen Microsoft ausführen soll, vergibt auch Microsoft eine Belohnung von 250.000 US-Dollar für die Ergreifung des MyDoom.B-Schöpfers.

MyDoom.B verbreitet sich über MyDoom-Backdoor; attackiert Microsoft und SCO. Noch wütet der MyDoom-Wurm im Internet und stellt täglich neue Verbreitungsrekorde auf, da schickt sich bereits ein Nachfolger an, in die Fußstapfen von MyDoom zu treten. So nutzt MyDoom.B die von MyDoom geöffnete Backdoor, um sich ohne Zutun des Opfers auf andere Rechner zu übertragen und zu aktivieren. Während der erste MyDoom-Wurm nur eine DDoS-Attacke gegen SCO ausführen wird, attackiert der Neuling auch Microsofts Webseite. Ferner blockiert MyDoom.B den Besuch von Web-Servern von Antiviren-Software-Herstellern und öffnet eine weitere Backdoor auf befallenen Systemen.

MyDoom-Wurm verbreitet sich deutlich stärker als bisheriger Spitzenreiter. Der in der Nacht vom 26. auf den 27. Januar 2004 entdeckte Wurm MyDoom alias Novarg oder Mimail.R scheint sich in der Geschichte der Computer-Würmer einen Spitzenplatz bei der Verbreitung zu ergattern. Bereits in den ersten Stunden verzeichneten die Labors der Antivirenhersteller eine besonders starke Verbreitung, die weiter explosionsartig ansteigt.

Open-Source-Vertreter lehnen Angriffe auf SCO ab. Seit der Nacht vom 26. auf den 27. Januar 2004 verbreitet sich der Wurm MyDoom explosionsartig im Netz. Am 1. Februar 2004 soll er einen Denial-of-Service-Angriff auf die Server von SCO starten. Doch bereits jetzt will SCO erste Auswirkungen zu spüren bekommen haben und setzt ein Kopfgeld von 250.000 US-Dollar auf den Wurm-Autor von MyDoom alias Novarg aus.

Wurm führt DDoS-Attacke gegen sco.com am 1. Februar 2004 aus. Die Hersteller von Antiviren-Software entdeckten in der Nacht vom 26. auf den 27. Januar 2004 einen neuen Wurm, der sich in kürzester Zeit extrem stark verbreitet hat, weswegen die Virenlabors den Schädling mit den zum Teil höchsten Gefahrenstufen versehen haben. Der MyDoom-Wurm verbreitet sich per E-Mail sowie über das P2P-Netzwerk KaZaA und öffnet eine Hintertür am entsprechenden System, worüber ein Angreifer Kontrolle über einen befallenen PC erlangen kann.

Starke Verbreitung, obwohl Wurm in einer als exe-Datei erkennbaren Datei steckt. Bereits am 18. Januar 2004 tauchte der Bagle-Wurm erstmals auf, verbreitete sich zunächst aber nur wenig. Nun schlagen die Labors der Antivirenhersteller Alarm, dass sich der Unhold mittlerweile stark verbreitet habe. Dabei wendet der Wurm keine besonderen Tricks oder Kniffe an. Mit dem Wurm infiziert sich nur, wer vorher eine als solche erkennbare, per E-Mail empfangene exe-Datei gestartet hat.

Geschickte gewählte Betreffzeilen sorgen für schnelle Verbreitung. Nach Sober.B treibt nun mit Sober.C eine dritte Variante des Sober-Wurms ihr Unwesen: Der Wurm nutzt auch deutschsprachige E-Mails mit drohenden Texten und geht dabei recht geschickt vor, so dass er bereits in kurzer Zeit einen hohen Verbreitungsgrad gefunden hat.

Neuer Wurm setzt auf aktuelle deutschsprachige Betreffzeilen. Anti-Viren-Hersteller warnen vor einer neuen Variante des Sober-Wurms, den sie "Worm/Sober.B" oder "W32/Sober.b@MM" getauft haben. Sober.B verbreitet sich per E-Mail, wobei die Dateigröße des Attachments zwischen 54 und 60 KByte variiert. Auch die Betreffzeilen sind unterschiedlich und recht aktuell.

BSI-Studie: "Man weiß nicht, dass man nichts weiß". Eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Auftrag gegebene Studie bescheinigt Jugendlichen zwar, dass Viren, Dialer und Spam für diese keine Fremdwörter sind, trotzdem herrsche beim Thema Sicherheit im Internet Sorglosigkeit und Ignoranz. Ebenfalls ein kritisches Thema bei der Internet-Nutzung sei die Verletzung des Urheberrechts durch illegale Downloads und Kopien.

Client-PCs ohne ausreichend Schutz erhalten keinen Zugang zum Netzwerk. Mit dem Network Admission Control Programm will Cisco seinen Kunden ermöglichen, Client-PCs oder Server ohne installierte Virenscanner von entsprechenden Routern fernzuhalten, um so eine Wurm-Epidemie im Vorfeld zu verhindern. Dabei arbeitete Cisco mit Anti-Viren-Herstellern wie Network Associates, Symantec und TrendMicro zusammen.

Kreditkartendaten werden über fingiertes PayPal-Fenster gesammelt. Nur wenige Tage nach Auftauchen des Wurms Paylap oder auch Mimail.I warnen Anbieter von Anti-Viren-Produkten vor einer weiteren Variante des Wurms, der nun einheitlich als Mimail.J bezeichnet wird. Der neue Wurm macht sich die gleichen Techniken wie sein Vorgänger zu Nutze, weist lediglich in den Merkmalen kleine Änderungen auf.

Fingiertes PayPal-Fenster bringt Opfer zur Eingabe von Kreditkartendaten. Mehrere Anbieter von Anti-Viren-Produkten berichten, dass sich im Internet zunehmend ein neuer Wurm verbreitet, der versucht, auf ziemlich perfide Weise Kreditkartendaten zu sammeln. Dazu öffnet sich nach Öffnen des Wurmanhangs ein vermeintliches PayPal-Fenster und fordert zur Eingabe der Kreditkartendaten auf. Der Wurm wird je nach Hersteller als Paylap oder Mimail.I bezeichnet.

Belohnungen zur Ergreifung der Verantwortlichen für Blaster- und Sobig-Wurm. Microsoft gründete ein so genanntes "Anti-Virus-Reward-Program", um weltweit die Jagd auf Verantwortliche für die Verbreitung von Würmern und Viren zu unterstützen. Bei der Gründung erhielt die Initiative ein Startkapital von 5 Millionen US-Dollar, wovon bereits ein Teil der Summe für die Ergreifung und Verurteilung aktueller Wurm-Verbreiter zur Belohnung ausgesetzt wurde. Damit will Microsoft die zuständigen Ermittlungsbehörden bei der Fahndung nach den Verursachern unterstützen.

Schwedischer Provider verstärkt Maßnahmen gegen Spam, Viren und Würmer. Telia, einer der größten ISPs in Schweden, blockiert seit gestern den Internetverkehr von und zu Computern, die Spam versenden. Telia will so einen Beitrag leisten, um das wachsende Volumen von Spam-E-Mails einzudämmen. Dabei geht es Telia vor allem um diejenigen, die gar nicht wissen, dass ihre Computer zum Versand von Massen-E-Mails missbraucht werden.

Mimail-Wurm fälscht E-Mail-Adresse und führt Denial-of-Service-Attacken aus. Wie Hersteller von Antiviren-Software übereinstimmend berichten, verbreiten sich drei Varianten des Mimail-Wurms stark im Internet. Im Unterschied zum Original-Wurm verbreitet sich der Wurm, ohne dass eine Sicherheitslücke in Outlook Express ausgenutzt wird. Der Wurm führt eine Denial-of-Service-Attacke aus, während Mimail.C sensitive Informationen des infizierten Systems stiehlt.

Sober-Wurm fälscht häufig Absenderadresse und verschleiert so die Herkunft. Im Internet kursiert derzeit ein E-Mail-Wurm namens Sober, der sich als Besonderheit mit deutschem Nachrichtentext samt deutschsprachiger Betreffzeile versendet und zudem häufig eine gefälschte Absenderadresse verwendet. Bislang registrierten die Hersteller von Antiviren-Software keine starke Verbreitung, jedoch deutet sich eine starke Ausweitung im deutschen Sprachraum an: Der seit Freitagabend aktive Wurm erreichte die Redaktion von Golem.de bereits unzählige Male, was auf eine recht hohe Verbreitung hindeutet.

Allein im ersten Halbjahr 2003 knapp 1.000 neue Würmer und Viren. Wie der halbjährlich von Symantec erscheinende Internet Security Threat Report berichtet, wurden im ersten Halbjahr 2003 mehr als doppelt so viele Windows-Würmer und -Viren entdeckt wie noch im Zeitraum vor einem Jahr. Insgesamt existieren etwa 4.000 unterschiedliche Viren und Würmer, welche das Windows-32-API verwenden. Anwendern wird geraten, bereitgestellte Patches und Sicherheits-Updates für Software-Produkte unverzüglich einzuspielen.

Wurm nutzt altes Sicherheitsleck im Internet Explorer zur Verbreitung. Wie mehrere Anbieter von Antiviren-Lösungen berichten, wurde mit Swen ein neuer Wurm entdeckt, der sich unter anderem stark per E-Mail als vermeintlicher Patch verbreitet. Für eine effektive Verbreitung nutzt der Wurm eine über zwei Jahre alte Sicherheitslücke im Internet Explorer, so dass der Dateianhang automatisch ausgeführt wird. Wie auch manch früherer Wurm terminiert Swen laufende Virenscanner und Firewalls. Neben dem Verbreitungsweg via E-Mail pflanzt sich der Wurm über Newsgroups, KaZaA, IRC und Netzlaufwerke fort.

Automatisierte Warnungen von Viren-Schutzprogrammen verunsichern Anwender. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fordert Administratoren auf, keine automatisierten Benachrichtigungen über Würmer in ihren E-Mails an die Absender zu versenden. Vor dem Hintergrund aktueller Würmer wie Sobig.F, die gefälschte Absenderadressen verwenden, führen diese Warnungen meist nur zur Verunsicherung der Anwender.

Sobig.F überträgt Trojaner auf infiziertes System und sammelt vertrauliche Daten. Mit Sobig.F verbreitet sich seit wenigen Stunden ein vierter Ableger des Sobig-Wurms mit rasanter Geschwindigkeit im Internet, wie etliche Hersteller von Antiviren-Software berichten. Dabei weist der Unhold Routinen auf, um einen Trojaner auf das infizierte System zu übertragen, welcher das Sammeln von vertraulichen Daten des Angegriffenen ermöglicht.

Vermeintlicher Microsoft-Patch in einer E-Mail. Über den altbekannten E-Mail-Weg verbreitet sich seit kurzer Zeit der Wurm Dumaru stark, der eine Trojaner-Komponente in ein befallenes System einschleust, worüber ein Übeltäter via IRC-Verbindung das befallene System belauschen kann. Der Wurm gaukelt dem Anwender vor, dass die verseuchte E-Mail von Microsoft stamme, um den Anwender dazu zu bringen, die angehängte Patch-Datei zu starten und somit den Wurm zu aktivieren.

Nachi-Wurm nutzt RPC-Sicherheitsleck zur Bekämpfung des ersten Blaster-Wurms. Wie etliche Hersteller von Antivirenlösungen übereinstimmend berichten, verbreitet sich ein weiterer Wurm explosionsartig seit Montagnacht, welcher die gleiche Sicherheitslücke wie Blaster respektive Lovsan nutzt. Als besonderer Clou bekämpft dieser Wurm den originalen Blaster-Wurm, indem er diesen vom befallenen System entfernt und den Patch von Microsofts Website lädt, um die RPC-Sicherheitslücke zu schließen. Trotz dieses "gutmütigen" Verhaltens bewerten alle Antivirenhersteller den Wurm als Schädling, da er ohne Befugnis das System verändert und für entsprechenden Netzwerkverkehr sorgt.