Regelrecht überschwemmt wurden Unternehmen und Privatanwender im Laufe des zweiten Quartals von der MYTOB-Familie. Insgesamt viermal musste Trend Micro mit einem globalen Yellow Alert vor einer der rund 200 Varianten warnen. Den Anfang machte Anfang Mai WORM_MYTOB.ED, dem, nur wenige Stunden später, WORM_MYTOB.EG folgte.
Beide Varianten setzen auf Social Engineering und tarnen sich als Benachrichtigungen von eMail-Systemen. Außerdem bestehen große Ähnlichkeiten mit den Mass-Mailing-Techniken von MYDOOM sowie den Netzwerkverbreitungsroutinen und Hintertürfunktionen von Bot-Würmern - daher auch der Name "MYTOB".
Ende Mai tauchten dann WORM_MYTOB.AR und WORM_MYTOB.BI auf, erneut mit nur einem Tag Abstand voneinander. Diese Malicious Codes nutzen dieselben Social- Engineering-Techniken wie ihre Vorgänger, versuchen aber darüber hinaus, die Spyware TSPY_AGENT.H herunterzuladen und zu installieren. Laut David Perry, Global Director of Education bei Trend Micro, kann davon ausgegangen werden, dass es sich bei dem Programmierer der MYTOB-Familie um einen Profi handelt, der für Erstellung und Versand dieser Würmer Geld erhält.
WURMARK installiert Spyware
Eine der bemerkenswertesten Eigenschaften von WORM_WURMARK.J, der Mitte Mai einen globalen Alarm auslöste, stellt die Kombination mit der Applikation TSPY_AGENT.C dar. Legitimierte Spyware muss den Anwender beispielsweise mit einem End-User Licence Agreement (EULA) über die bevorstehende Installation informieren. TSPY_AGENT.C unterlässt dies und ist daher als Malicious Code zu bewerten. Die WURMARK-Variante versendet sich zudem nicht nur über eMail, sondern wird auch von TROJ_DLOADER.MI heruntergeladen. Damit verbindet WURMARK.J die Tarnung eines Trojaners mit der Verbreitungsgeschwindigkeit eines Wurms und der Gefährlichkeit von Spyware. Obwohl diese spezielle WURMARK-Variante das volle Potenzial der kombinierten Technologien noch nicht entfalten konnte, repräsentiert sie dennoch einen der wichtigsten Malware-Trends.
BOBAX löst Teufelskreis aus
Während Anfang Juni alle Augen auf die MYTOB-Familie gerichtet waren, verbreitete sich WORM_BOBAX.P über eine zweistufige Infektionsroutine und löste so den ersten Virenalarm des Monats aus. Der Wurm versendet via Mass-Mailings den Malicious Code TROJ_SMALL.AHE, der wiederum den Wurm herunterlädt. Dieser "Teufelskreis der Malware-Verbreitung" wird immer populärer unter Mass-Mailing-Würmern und wurde in ähnlicher Weise schon letztes Jahr von BAGLE-Varianten eingesetzt.
SOBER kehrt zurück
Bereits seit Ende 2003 verbreiten sich die verschiedenen Varianten des SOBER-Wurms über das Internet, geschickt getarnt und je nach Empfänger in deutscher oder englischer Sprache. Nachdem es in letzter Zeit etwas ruhiger um den Malicious Code geworden war, meldete sich WORM_SOBER.S Anfang Mai mit einem Paukenschlag und globalem Yellow Alert zurück: Der Wurm tarnte sich als Benachrichtigung der Fußballorganisation FIFA und versprach Tickets für die Weltmeisterschaft 2006. Mit diesem cleveren Social Engineering Trick konnte sich SOBER.S in die vorderen Ränge der "Virus Top Ten" für das 2. Quartal 2005 katapultieren.
Den ausführlichen Virenreport finden Sie auf Englisch im Internet unter
http://de.trendmicro-europe.com/...