Neue Viren-Top 20 Für März

(10.04.2006) Kaspersky Lab präsentierte unlängst zwei Ratings zur Schadprogramm-Aktivität im März. Nach den erheblichen Veränderungen der Top 20 im Februar, als gleich fünf Würmer ins Rating zurück-kehrten und ein neuer hinzukam, war der März 2006 ein vergleichsweise ruhiger Monat. Die Kaspersky-Lab-Analytiker registrierten keine nennenswerten Epidemien oder Vorkommnisse, und Bagle.fj, der im Februar von 0 auf 6 zurückkehrte, verließ die Statistik im März erneut.

Das führende Dreigespann aber veränderte sich. Zwar hält Mytob.c weiterhin den ersten Platz, doch auf Platz 2 erschien NetSky.t, was die bislang höchste Platzierung in seiner Geschichte ist. Im Februar kletterte er um 15 Positionen und nahm vor einem Monat noch Platz 4 ein - das war der absolute Aufstiegsrekord der letzten Monate.

Nach dieser ohrenbetäubenden Verbesserung warteten die Analytiker von Kaspersky gespannt auf die März-Ergebnisse, um die Antwort auf die Frage zu erhalten, ob es sich hierbei um eine einmalige Sternstunde oder doch um eine längerfristige Tendenz handelt. Der zweite Platz beweist letzteres. Versucht man zu prognostizieren, wie sich die NetSky.t-Epidemie weiterhin entwickelt, kommt man jedoch zum Schluss, dass er wahrscheinlich an den Grenzen seiner Verbreitungs-kapazität angelangt ist und nun allmählich absteigen wird.

Zafi.d, im Februar-Rating noch auf Platz 3, stürzte um neun Positionen nach unten und belegt nun die 12. Seinen vorherigen Platz nimmt LovGate.w ein, der zuvor auf Platz 2 war. Die gesamte Zafi-Familie, die mit der Modifikation .b schon über ein Jahr lang im Rating vertreten ist, ist logisch und statistisch gesehen eine recht unerklärliche Sippe. Entweder sie okkupieren die oberen Rating-Plätze, oder aber sie sind kurz davor, aus dem Rating zu verschwinden. Innerhalb von nur zwei Monaten veränderten sich ihre Kennziffern ziemlich stark - so führte der zurückgefallene Zafi.d im Januar die Top 20 sogar noch an! Dafür jedoch kletterte Zafi.b sechs Plätze nach oben und belegt nun den 6. Platz.

Insgesamt befanden sich acht der zehn Schadprogramme im oberen Bereich des Ratings in einem erhöhten Aktivitätszustand. Außer Zafi.b kehrte LovGate.ae , der erst vor einem Monat aus dem Nichts in die Top 20 zurückkehrte, unter die ersten zehn zurück.

Die LovGate-Vertreter sind weiterhin die rätselhaftesten E-Mail-Würmer. So waren sie niemals Ursache großer Epidemien und sind auch in den Medien kaum vertreten. Trotzdem hält die März-Top-20 gleich vier Repräsentanten dieser Familie bereit - zwei davon sind Neueinsteiger. Die Familie LovGate ist damit durch den Alteingesessenen LovGate.w vertreten, der schon lange Zeit zur Führungsspitze gehört, durch den in der Top 20 mal erscheinenden und mal verschwindenden LovGate.ae sowie die Neulinge LovGate.ad und LovGate.ah.

Interessant ist, dass die LovGate-Familie asiatischer Herkunft ist und sich besonders in China uns Südkorea stark verbreitet hat. Für die europäischen und amerikanischen Anwender jedoch stellen sie keine große Gefahr dar.

Nun zur Wurmfamilie, der es gelang, die Hälfte der Top 20 zu belegen - die Mytobs. Im Januar kletterte Mytob.a sieben Plätze nach oben, im Februar verlor er einen und im März festigte er seinen 11. Platz. Mytob.x wandert mal nach oben mal nach unten, im Januar legte er fünf Plätze zu, im Februar verlor er fünf, im März konnte er erneut zwei Plätze gutmachen. Diesen Wurm kann man nicht gerade als stabil bezeichnen und Kaspersky Lab geht davon aus, dass er die Top 20 schon im April verlassen wird.

Im März ist darüber hinaus aufgefallen, dass die bereits im Februar beobachtete "Rückkehrer-Tendenz" anhält. Dazu gehören auch Mytob.w und .h.

Die Kategorie "Sonstige Schadprogramme" verbucht mit 13,03 Prozent gemessen an der Gesamt-zahl der abgefangenen Schadprogramme erneut einen beträchtlichen Prozentsatz. Dies zeugt von einer recht hohen Anzahl sonstiger Würmer und Trojaner, die anderen Familien zuzuordnen sind.

Top 20 Online - März 2006

Ein erster Blick auf die Daten der März-Statistik unseres Online-Scanners lässt erkennen, dass sich die Zusammensetzung der Top 20 Online von Monat zu Monat stark verändert. Im Februar verzeichneten wir zwölf neue Schadprogramme, im März ebenfalls. "Richtige" Viren, wie sie in der Januar-Statistik vorkamen, blieben bislang Einzelfälle.

Vor diesem Hintergrund ist der Führungswechsel kein außergewöhnliches Ereignis. Jedoch zeigen die neuen Spitzenreiter ein solch hohes Aufkommen, dass sie ihre Vorgänger auf Anhieb in den Schatten stellen. Der Trojaner LdPinch.air, der Passwörter ausspioniert, war Mitte März Verur-sacher einer spürbaren Epidemie im Runet (russisches Web). Dabei erfolgte der Massen-Versand des Trojaners in mehreren Etappen, im Laufe derer außerdem ein Trojan-Downloader verschickt wurde, der LdPinch.air auf das infizierte System herunterlädt. Eben dieser Trojan-Downloader.Win32.Delf.ajd belegt mit sehr hoher Verbreitung (über zehn Prozent) Platz 2 in der Statistik. Zweifelsohne ist das Auftauchen von LdPinch das bedeutendste Ereignis im März.

Ein weiterer Trojaner, Banker.ark, hält sich bereits den zweiten Monat. Im Unterschied zu LdPinch, der Passwörter ausspioniert, zieht es diesen Spion zu Bankkonten von Online-Banking-Nutzern.

Die Würmer aber gaben ihre Spitzenpositionen ab. Im Januar führte der Wurm Feebs.gen noch, im März jedoch rutscht er auf Platz 18 ab. Der Februar-Spitzenreiter Bagle.fj verlässt das Rating und gleichzeitig auch die klassischen Top 20 für März.

Im Gegensatz zu den eben genannten Würmern glänzt der wenig bekannte Wukill durch Stabilität. Er bewegt sich bereits den dritten Monat infolge im Bereich der Plätze 7 bis10. Was ist die Ursache für dieses sichere Auftreten? Es fehlen doch die geringsten Anzeichen einer Epidemie durch diesen Wurm. Wir wissen es noch nicht.

Wie bereits vor einem Monat bilden den Hauptteil des Ratings Trojaner, und zwar die am meisten verbreiteten und gefährlichsten Klassen Trojan-Spy und Trojan-Downloader. Neben Banker.ark nehmen Banker.anv (Platz 6) und Bancos.ha (Platz 7) an der Jagd nach Bankkonten teil. Auch Trojaner LdPinch ist auf Platz 13 durch die Modifikation .ais aus seiner sehr umfangreichen Familie (mehrere Hunderte Modifikationen sind bekannt) vertreten.

Wichtigster Infektionsweg dieser Trojaner sind nach wie vor Trojan-Downloader. Sieben Vertreter dieser Art in den Top 20 Online - das ist eine sehr hohe Kennziffer, die den derzeitigen Entwick-lungsstand dieser Gefahr widerspiegelt. Im Februar waren es nur vier, was die steigende Tendenz bestätigt.

Der Wurm Nyxem.e, der im Januar dieses Jahres großes Aufsehen erregte, fiel aus den Top 20 Online heraus und wird wohl niemals wieder in einer Statistik erscheinen.

Der klassische Dateivirus Parite.b hingegen konnte seine Kennziffern erheblich verbessern. Im Februar positionierte er sich noch bescheiden auf dem letzten Platz, im März jedoch findet er sich bereits auf dem 12. wieder und kletterte damit satte acht Positionen nach oben.

Interesse rief das Auftauchen von CodeBaseExec, einem alten Exploit einer Windows-Sicher-heitslücke, im Rating hervor. Ein solches wurde vor einigen Jahren von mehreren E-Mail-Würmern benutzt. Anscheinend erfolgt derzeit eine gewisse Reinkarnation alter Technologien, obwohl die Mehrheit der Anwender wohl schon längst über einen Schutz vor dieser Sicherheitslücke verfügen.

Weitere Informationen und aktuelle Beiträge: