Im Laufe des März musste TREND MICRO insgesamt sechsmal Yellow Alert auslösen - ein Beweis für die wachsende Bedrohung von Unternehmensnetzwerken durch Computerwürmer. Gewarnt wurde vor WORM_NETSKY.Q, WORM_BAGLE.U, WORM_NETSKY.P, PE_BAGLE.Q, PE_BAGLE.P und WORM_NETSKY.D. Zwei dieser Malicious Codes gehören zu den "Virus Top Five" des März.
Alle genannten Würmer verwenden dieselbe Verbreitungsmethode und greifen Computer durch infizierte Emails an. Dies unterstreicht die Bedeutung wirkungsvoller Antiviren-Lösungen auf dem Internet-Gateway und Mail-Server. Um die Chance einer schnellen Verbreitung zu erhöhen, vermeiden es die Würmer der NETSKY- und BAGLE-Familien, infizierte Emails an bekannte Hersteller von Sicherheitslösungen zu versenden.
Zu den eingesetzten Techniken gehört darüber hinaus das gezielte Ausnutzen von Sicherheitsschwachstellen sowie Social Engineering. Arglose Anwender werden hierbei über die wahre Natur der Emails und Dateianhänge getäuscht. So tarnen die Würmer zum Beispiel ihre infizierten Dateianhänge durch unverdächtige Symbole von regulären und vertrauenswürdigen Applikationen. Ein weiterer Trick basiert auf doppelten Endungen: Dateien mit der Endung ".txt.exe" werden als harmlose Textdateien dargestellt, obwohl es sich in Wirklichkeit um ausführbaren Malicious Code handelt. Durch gezielte Verwendung von Social Engineering bei der Gestaltung der gesamten Email (Von, An, Betreff und Nachrichtentext) werden Anwender darüber hinaus dazu verleitet, den infizierten Dateianhang auszuführen.
Einige Malware-Varianten, vor allem aus der BAGLE-Familie, versenden den infizierten Dateianhang als geschützte Archivdatei. Das benötigte Passwort befindet sich als Text oder Bild in der Nachricht. Um den Malicious Code zu starten, müssen Anwender also ganz explizit die Archivdatei öffnen, das Passwort eingeben, den Dateianhang dekomprimieren und ausführen. Dieser aufwändige Prozess erfordert ein hohes Maß an Kooperation durch den Anwender im Unternehmensnetzwerk. Daß sich Würmer überhaupt auf diese Weise verbreiten können, unterstreicht die Notwendigkeit von unternehmensweiten Sicherheitsrichtlinien und Schulungen zur Sensibilisierung der Mitarbeiter.
Gezielter Angriff auf Schwachstellen Viren-Programmierer haben erkannt, dass viele Computer-Anwender heute nichtsdestotrotz über ein gesteigertes Gefahrenbewusstsein verfügen. Um die Verbreitungschancen der Malware zu steigern, greifen immer mehr Wurm-Varianten gezielt die Schwachstellen des Internet Explorers an. Ziel ist es, den infizierten Dateianhang automatisch zu starten, wenn der Anwender die Email öffnet oder im Vorschaufenster betrachtet. Es muss also noch nicht einmal mehr auf den Anhang geklickt werden. Eine steigende Zahl von Malicious Codes versucht, die Sicherheitslücken in Betriebssystemen und Applikationen auszunutzen. Daher gewinnt die zeitnahe Installation von Security-Patches höchste Priorität.
Installation von Hintertüren und Verbreitung über P2P Nach der Infektion des Systems verfügen viele BAGLE-Varianten über die Möglichkeit, Antiviren-Lösungen und andere Sicherheitsprodukte auf dem Desktop zu deaktivieren. Dies ebnet den Weg für zukünftige Angriffe, zumal die meisten BAGLE- und NETSKY-Varianten zusätzlich noch Hintertüren (Backdoors) auf dem infizierten Rechner installieren. Darüber hinaus nutzen Malicious Codes der BAGLE- und NETSKY-Familien auch Peer-to-Peer-Netzwerke (Kazaa, eMule etc.) und öffentliche Ordner (shared folders) zur Verbreitung. Wieder einmal kommt hier Social Engineering zum Einsatz: Der Virus legt Kopien von sich selbst in den öffentlichen Ordnern der P2P-Applikation ab. Dabei werden besonders attraktive Namen gewählt, wie Matrix 3 Revolution English Subtitles.exe, WinAmp 6 New!.exe, Arnold Schwarzenegger.jpg.exe , Harry Potter game.exe oder Windows XP crack.exe.
Fehde zwischen BAGLE- und NETSKY-Programmierern In jüngster Vergangenheit wurde vielfach die Möglichkeit diskutiert, dass die Programmierer der NETSKY- und BAGLE-Viren eine Fehde gegeneinander führen. Einige Beobachtungen untermauern dieses Szenario:
* Die große Anzahl neuer NETSKY- und BAGLE-Varianten in einem kurzen Zeitraum.
* Auf die Verbreitung einer neuen NETSKY-Variante folgt kurz darauf ein BAGLE-Wurm.
* Die meisten BAGLE-Varianten deaktivieren vorhergehende NETSKY-Varianten. Würmer der NETSKY-Familie deaktivieren ihrerseits andere Malicious Codes, darunter MyDoom, Nachi sowie ältere BAGLE- und NETSKY-Varianten.
* Im Viren-Code sind oftmals harsch formulierte Nachrichten an die gegnerische Seite enthalten.
Ganzheitliche Lösungsstrategien Die Wurmangriffe im März verdeutlichen, dass Unternehmen ganzheitliche Sicherheitsstrategien benötigen und eine einfache Antiviren-Policy nicht mehr ausreicht. Durch die Kombination verschiedener Maßnahmen lassen sich Netzwerke wirkungsvoll vor Malicious Codes schützen. Zu den notwendigen Aktionen gehören:
* Blockieren von Dateianhängen in Emails
* Sicherheitsbewusstsein der Anwender fördern
* Installation der neuesten Patches für Betriebssysteme und Applikationen
* Aktualisierung der Prozesse für mehr Sicherheit
* Aktualisierung der AntiViren-Software und -Hardware, um verbleibende Bedrohungen zu blockieren
Die TrendLabs EMEA überwachen kontinuierlich alle verdächtigen Virenaktivitäten, um ein Höchstmaß an Sicherheit und Service für die Kunden von TREND MICRO zu gewährleisten.