Ein Blick zurück: Vor sechs Jahren war MSBLAST

Original Artikel von Trendlab Malware Blog Trend Micro

TrendLabs Experten werden regelmäßig gefragt, was ihrer Meinung nach die gefährlichste Malware aller Zeiten ist. Auch wenn die Frage ihrerseits weitere Fragen aufwirft, wiederholen sich die Antworten der TrendLabs Experten. Sie bewerten auf höchster Ebene, wie wirksam eine Malware das Online-Erlebnis von Benutzern gefährden kann, und setzen dies in Bezug zu den Technologien, die zum Zeitpunkt der stärksten Verbreitung der Malware verfügbar waren. Zum 6. Geburtstag des Internet-Störenfrieds MSBLAST veröffentlichen wir eine Liste der schlimmsten Malware, die uns bisher untergekommen ist, zusammen mit den Nächstplatzierten, zu denen auch MSBLAST zählt.

  1. DOWNAD: Vielfache Verbreitung, vielfacher Schaden: Diese massive Bedrohung wurde im November 2008 gefunden und hat sich die Schwachstelle MS08-067 zu Nutze gemacht. Sie brachte eine Reihe anderer Varianten hervor, von denen jede neue eine Verbesserung der vorherigen war. Sie beeinträchtigte den Datenverkehr im LAN zahlreicher Unternehmen.
    Kennzeichnend am Angriff war auch, dass er bis zu 50.000 Domains erzeugte und sich mit 500 von ihnen verband, dadurch strategisch einer effizienten Domain-Sperrung (oder auch nur der Überwachung potenziell bösartiger Sites) entging und von der preisgünstigen Registrierung von Domain-Namen profitierte.
  2. KOOBFACE: Die Plage in Kontaktnetzwerken: KOOBFACE wurde zuerst im August 2008 gefunden. Der Wurm nutzt die Konnektivität, die Kontaktnetzwerke wie Facebook und MySpace zur Verfügung stellen. Er infiziert Benutzerprofile, so dass Cyber-Kriminelle sich in den Kreis der Vertrauten des Benutzers einschleichen können, und erhöht dadurch seine Verbreitungschancen (Kontakte des infizierten Benutzers halten veröffentlichte Beiträge für harmlos, da sie dem Profileigentümer vertrauen).
    KOOBFACE kann sich dynamisch aktualisieren, so dass er sich auf andere Kontaktnetzwerke verbreiten und noch mehr bösartige Routinen ausführen kann.
  3. ZBOT: Organisierter Datenmissbrauch: Die Trojaner-Spyware ZBOT ist auch bekannt als Variante der Zeus-Malware. Sie wird normalerweise über das Internet – per E-Mail oder durch Sicherheitslücken – heruntergeladen. Nachforschungen im Bereich Schattenwirtschaft und dokumentierte Fälle decken auf, dass es sich um ein blühendes Geschäft handelt, bei dem infizierte Computer persönliche Informationen (Kreditkartendaten) ihrer Eigentümer an externe Server oder Cyber-Kriminelle weitergeben.

    ZBOT-Varianten sind wegen ihrer oft unterschätzten (das ist nichts Neues) und sich ständig ändernden Social-Engineering-Techniken besonders schädlich.

  4. SQL Slammer: Selbständige Internet-Sabotage: Am frühen Morgen des 5. Januar 2003 (UTC) verlangsamte dieser berüchtigte Angriff drastisch den allgemeinen Internet-Verkehr. Bemerkenswert ist die Tatsache, dass dies gelang, obwohl es sich nur um einen Wurm in einem einsamen Paket handelte, der ohne eine Dateisystemkomponente angriff und eine bereits gepatchte Pufferüberlauf-Schwachstelle im MS SQL Server und der Desktop-Engine (MS02-039) ausnutzte.
    Noch beachtenswerter ist allerdings, dass diese Bedrohung noch heute – wenn auch in sehr geringem Ausmaß – im Internet zu finden ist.
  5. VBS_LOVELETTER: Liebestolles Internet: Dieser Angriff schlug mit einer erstaunlich simplen, aber wirkungsvollen Social-Engineering-Methode (mit der Betreffzeile: „ILOVEYOU“), die die Empfänger neugierig machte, erstmalig am 4. Mai 2000 zu. Er infizierte den E-Mail-Posteingang von weltweit 10 % aller Computer, und auf jedem von ihnen waren durchschnittlich 600 infizierte Dateien gespeichert.

Es folgen weitere, beachtenswerte Angriffe, die zwar nicht so schwerwiegend wie die oben genannten sind, aber dennoch Benutzer rund um den Globus mit ihren bemerkenswerten Routinen trafen.

  • Der Virus Melissa: Der erste Massen-Mailer (gestartet im März 1999) brachte ganze Internet-Mail-Systeme zum Erliegen, da sie durch infizierte E-Mails überlastet wurden.
  • MSBLAST: Ein recht einprägsamer Netzwerkwurm, der sich Systemschwachstellen zu Nutze machte. Er wurde zu etwa dieser Zeit im Jahr 2003 erstmalig ausgelöst.
  • SDBOT/AGOBOT: Der – noch heute aktive – Pionier unter den modularen, IRC-basierten Bot-Netzen. Aktuelle IRC-Bots verwenden auch heute noch seine Code-Basis.
  • Web-Toolkits: Sammelbegriff für kommerziell verfügbare Software, die kriminelle Aktivitäten im Internet unterstützt; nachweislich an Internet-Betrügereien, die große Beachtung in den Medien finden, beteiligt, wie z. B. dem „Italian Job“.
  • ILOMO: Trojaner, die über eine webbasierte Sicherheitslücke heruntergeladen werden und im Speicher aktiv bleiben, auch wenn der Binärcode aus dem System gelöscht wurde. Dadurch kommt es zu mehrfachen, sich wiederholenden Neuinfektionen (trat erstmalig im März 2009 auf).

Jede der oben genannten Bedrohung war zu ihrer Zeit und in ihrem jeweiligen Bereich die gefährlichste. Beachtenswert ist, dass es sich bei allen um Angriffe handelt, die durch das Internet an Intensität gewannen.

Die gefährlichste Malware ist wahrscheinlich noch immer die, an der die Malware-Schattenwirtschaft gerade tüftelt. In den meisten Fällen kann es nur bessere Versionen von bereits entdeckten Varianten geben. Daher sollten Benutzer sich vorrangig darauf konzentrieren, ihre persönlichen Daten vor Missbrauch zu schützen. Unternehmen sollten ebenfalls ihre Firmendaten und -werte mit der gleichen Wachsamkeit schützen wie ein Land, das sich im Kriegszustand befindet.

Heutzutage ist es am wahrscheinlichsten, dass eine Bedrohung über das Internet eingeschleust wird. Daher halten wir das Kontrollieren/Überprüfen des vom Browser oder einer Anwendung aufgerufenen Links für die naheliegendste und wirksamste Methode, um Bedrohungen zu stoppen. Für Ihre Sicherheit hoffen wir, dass Sie den Web-Reputation-Service Ihres Trend Micro Produkts bereits aktiviert haben. Wenn Sie sich noch nicht sicher sind, können Sie den Service kostenfrei mit Hilfe der TrendProtect Toolbar in Ihrem Internet Explorer testen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*