TREND MICRO, einer der weltweit führenden Hersteller von Web-basierter Antiviren- und eSecurity-Software, entdeckte im November rund 189 neue Malicious Codes, darunter Viren, Würmer, Adware, Trojaner und andere Malware. Bei genauerer Betrachtung stellte sich der November dabei als „Monat der Varianten“ heraus: Rund 72 Prozent der von TREND MICRO identifizierten Malware entfielen auf neue Varianten bekannter Bedrohungen. 28 Prozent der Malware zeigte Merkmale eines Wurms, 22 Prozent waren Trojaner und weitere 22 Prozent Backdoors (Hintertüren). Die verbleibenden 28 Prozent setzten sich aus verschiedenen Kategorien zusammen, unter anderem Javascript-, Word-, Excel-, Visual Script-, PE-Viren. Die Spitzenposition der „Virus Top 10“ belegt weiterhin WORM_SWEN.A, der seit dem 18. September 2003 weltweit rund 291.000 Systeme infiziert hat (Stand: 24. November 2003). Nähere Angaben zur Viren-Aktivitäten bietet die TREND MICRO Virus Map, die unter
http://de.trendmicro-europe.com/enterprise/security_info/virus_map.php bereitsteht.

Im November entdeckten die TrendLabs 16 neue Varianten von WORM_AGOBOT sowie 13 neue BKDR_SDBOT- und 12 neue WORM_MIMAIL-Versionen.

WORM_SWEN.A unterstreicht die Anfälligkeit von Netzwerk-Anwendern für Social Engineering. Der Wurm tarnt sich als Email von Microsoft und täuscht so den Anwender. Dabei wird nicht nur die Email-Adresse des Absenders gefälscht, sondern auch das gesamte Erscheinungsbild der Nachricht (durch Verwendung der grafischen Gestaltungsrichtlinien von Microsoft). Die Email erweckt damit erfolgreich den Eindruck, tatsächlich von Microsoft versandt worden zu sein. WORM_SWEN.A demonstriert, dass der Faktor Mensch eine wichtige Rolle bei der Einrichtung wirksamer Sicherheitsmaßnahmen spielen muss. Ebenso entscheidend ist es, Anwender kontinuierlich über Viren-Aktivitäten zu informieren.

WORM_KLEZ.H hält sich bereits seit 19 Monaten in den Virus Top 10 und verdeutlicht damit die Gefährlichkeit von Retro-Viren. Diese versuchen gezielt, AntiViren-Lösungen zu deaktivieren. Obwohl bereits seit geraumer Zeit von verschiedenen Herstellern Gegenmittel bereitgestellt werden, ist der Wurm immer noch eine Bedrohung für Computersysteme.

WORM_SDBOT kombiniert die Eigenschaften von Würmern und Backdoors. Die Malware verwendet normale und grundsätzlich legitime Werkzeuge, um sich in Remote-Systemen mit schwachem Passwortschutz zu verbreiten. Aus diesem Grund rät TREND MICRO nachdrücklich allen Netzwerk-Administratoren dazu, leistungsfähige Passwortsysteme für Anwender und Netzbereiche einzusetzen. Darüber hinaus sollten Nutzer nicht über Administratorrechte auf ihrem Computer verfügen.

Die neue Variante von WORM_MIMAIL verbreitet sich wie das Original über Email und eine eigene SMTP-Engine. Um den Endanwender zu täuschen wird aber der Nachrichtentext und der Name des Dateianhangs modifiziert.

Die Mehrheit der neuen Varianten von WORM_AGOBOT verwendet Retro-Viren-Techniken. Genau wie die älteren Varianten versucht der Wurm, bestimmte Schwachstellen des Windows-Betriebssystems für seine Verbreitung auszunutzen. Dazu gehören:

- Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) Vulnerability
- IIS5/WEBDAV Buffer Overflow Vulnerability
- RPC Locator Vulnerability
Bereits zum wiederholten Male setzen Viren gezielt bestimmte Schwachstellen im Betriebssystem ein, um Computer zu infizieren. Dies beweist, dass weltweit noch immer zu viele Systeme ohne aktuelle Sicherheitsupdates betrieben werden.

Zu guter Letzt möchte TREND MICRO alle Computer-Nutzer noch einmal darauf hinweisen, dass elektronische „Grußkarten“ oftmals gefährliche Malware enthalten können. Besonders aufgrund der bevorstehenden Weihnachtszeit ist deshalb erhöhte Vorsicht geboten.