Sobig-F ist Wurm des Jahres

Die Schädlings-Bilanz 2003

Trends & News | News

Das Jahr 2003 hat - wenig überrraschend - erneut mehr Schädlinge hervorgebracht als das Vorjahr. Einsamer Spitzenreiter ist der Mail-Wurm Sobig.F, aber der Hauptschaden ging von anderen Schädlingen aus.

Geht es nur um die Verbreitung, so sticht die F-Variante des Sobig-Wurms alle anderen Schädlinge in diesem Jahr aus: Zu seinen Spitzenzeiten versandte der Mail-Wurm mehr als eine Million infizierte E-Mails an einem Tag, geben die Experten von MessageLabs, einem Unternehmen zur Analyse und Auswertung von Viren, bekannt. Damit trug eine von 17 Mails den Schädling; mit insgesamt über 32 Millionen abgefangenen Exemplaren führt Sobig.F die Hitliste der Viren 2003 bei MessageLabs unangefochten an. Bemerkenswert an den Varianten dieses Schädlings sind die stets eingebauten Verfallsdaten: Jede der sechs Sobig-Varianten verbreitete sich jeweils nur bis zu einem bestimmten Stichtag. Auf den Plätzen zwei und drei in der Statistik von MessageLabs folgen die Mail-Würmer Swen und Klez mit jeweils gut vier Millionen abgefangenen Exemplaren.

Was die Auswirkungen betrifft, sind allerdings andere Schädlinge zuerst zu nennen: Im Januar schlug SQLSlammer ein, ein Schädling, der sich nicht wie üblich über E-Mail, sondern direkt über eine Sicherheitslücke in Microsofts SQL-Komponenten verbreitete. Der Schädling hatte gerade mal 376 Byte Programmcode und legte dennoch zehntausende von Geldautomaten in den USA lahm, Fluglinien hatten Verzögerungen und Süd-Korea war aufgrund der überhöhten Netzlast fast einen ganzen Tag vom Internet abgeschnitten. Insgesamt verbreitete sich SQLSlammer zwar nicht so reichhaltig, dafür aber so schnell wie kein anderer Schädling, da er sich über UDP- statt TCP-Pakete versandte: UDP ist ein verbindungsloses Protokoll, das heißt der sendende Server braucht nicht auf Bestätigung zu warten, sondern jagt die Pakete quasi blind hinaus.

Ähnlich erging es der Internet-Gemeinde Mitte des Jahres mit dem Lovsan-Wurm. Auch dieser verbreitete sich direkt über Sicherheitslücken in Windows, diesmal eine Schwachstelle im RPC/DCOM-Dienst. Zur Zeit des Ausbruchs standen zwar seit vier Wochen Patches gegen diese Lücken zur Verfügung, aber sie waren nur auf wenigen Rechnern eingespielt: Lovsan infizierte hunderttausende von Windows-2000- und XP-Systemen binnen weniger Tage.

Dabei braucht es offenbar gar keine gefährlichen Sicherheitslücken, damit sich ein Schädling besonders stark verbreitet: Im September tauchte der Mail-Wurm Swen/Gibe auf, der Systeme nur infiziert, wenn Anwender das Mail-Attachment explizit ausführen. Die Mail tarnte sich als Microsoft-Update mit einem gut gefälschtem Mail-Body als HTML - offenbar glaubten dadurch viele Nutzer, es handelte sich tatsächlich um ein wichtiges Update und führten das Attachment aus. Swen/Gibe liegt bei nahezu allen Antivirus-Herstellern in den Top 10 der meist verbreiteten Schädlinge 2003.

Ein Trend, der sich in diesem Jahr deutlich verstärkt habe, ist die Vermischung von Spam und Viren. MessageLabs führt zwei Drittel des Spam-Aufkommens auf „Computer Hijacking“ zurück. Spammer benutzen immer häufiger Hintertüren, um fremde Rechner zu übernehmen. Diese werden dann als Spam-Versender missbraucht. Sobig.F und Mimail sind die prominentesten Schädlinge dieser Art. „Die Konvergenz von Spam und Viren führt zu einer ungleich komplexeren Bedrohungslage, deren Ausmaß viele Unternehmen noch nicht einmal erahnen“, sagt Mark Sunner, CTO von MessageLabs.

Ebenfalls im Kommen sind Schädlinge, die gezielt sicherheitskritische Daten der Anwender ausspionieren. Der Schädling PayLap beispielsweise fordert Anwender dazu auf, seine Kundendaten beim Online-Bezahldienst Paypal zu aktualisieren. Kommt der Anwender der Aufforderung nach, werden die Daten natürlich nicht an Paypal, sondern an Unbekannte weiterversandt.

Für das nächste Jahr sind weitere Schädlinge zu erwarten, die gezielt Schwachstellen ausnutzen, um Systeme zu infizieren. Auch so genannte Hybrid-Schädlinge, die mehrere Verbreitungswege nutzen (wie Sobig über Dateianhänge und Windows-Freigaben) oder verschiedene Schadfunktionen mitbringen (wie Slammer, der einen Angriff auf die Webseite des Weißen Hauses versuchte) sind im kommenden Jahr verstärkt zu erwarten. (pab)

[#anfang Seitenanfang]


Eine Schwachstelle im Internet Explorer ermöglicht Angreifern mit speziell präparierten Links, Surfer auf falsche Webseiten zu locken. Nutzer des Internet Explorer sind am stärksten betroffen, da solche manipulierten Links nach dem Anklicken auch in die Adressleiste übertragen werden - der Anwender bekommt gar nicht mit, dass er sich nicht auf der „echten“ Webseite befindet.

Konstrukte in einem Link wie http://www.microsoft.com%00%01@www.heisec.de gaukeln Anwendern vor, dass sie sich auf der Seite www.microsoft.com befinden, obwohl eigentlich die Seite www.heisec.de angezeigt wird - die Adresszeile des Internet Explorer unterschlägt den Teil hinter dem ersten „%“-Zeichen. Anwender von Mozilla und Firebird erkennen solche Links zwar in der Adresszeile, nachdem sie aufgerufen wurden, allerdings zeigt die Statusleiste unten den Link vor dem Aufruf falsch an, wenn man mit dem Mauszeiger über dem Link schwebt.

Bis Redaktionsschluss lagen keine Patches zur Behebung des Problems vor. Microsoft gibt in in einem Knowledge-Base-Artikel die geradezu lächerliche Empfehlung, alle zu besuchenden Links vorher über das Kontext-Menü zu kopieren und in einem Editor einzufügen - auf diese Weise werden manipulierte Links sichtbar. Mozilla-Nutzer sollten lediglich nach Besuchen eines Links darauf achten, dass in der Adressleiste die richtige URL steht. (pab)

[#anfang Seitenanfang]


Trend Micro bietet ab sofort eine neue Version der Sicherheitslösung PC-cillin an. Auffälligste Änderung ist die Lokalisierung, deutsche Nutzer können nun auch ohne Englischkenntnisse die Sicherheitslösung problemlos bedienen. Zudem enthält das Paket jetzt eine Personal Firewall, die vor unbekannten trojanischen Pferden, Hintertüren sowie Angriffen von außen schützen soll.

Die Sicherheitslösung richtet sich an Privatanwender, aber auch an kleinere Unternehmen: Über die Network Virus Emergency Center Konsole kann der Administrator Frühwarnungen an Nutzer versenden und aktuelle Viren-Pattern-Files automatisch verteilen. PC-cillin Internet Security ist ab sofort zu einem Preis von 59 Euro als Einzellizenz zu beziehen, das enthält ein Anrecht auf Updates für ein Jahr. (pab)

[#anfang Seitenanfang]


Ein Sicherheitsloch in Cisco-Geräten mit ACNS (Application and Content Networking Software) ermöglicht Angreifern das Ausführen von beliebigem Code. Der Fehler betrifft ACNS in Versionen älter als 4.2.11 beziehungsweise 5.0.5, registrierte Kunden erhalten Software-Updates über die Cisco-Webseite.

Anzeige
Anzeige