Viren - geänderte Distributionswege?

Internet Internet Sicherheit
1

Seit dem Aufkommen von MyDoom Ende Januar gibt es m. E. erhebliche qualitative Änderungen in der Verbreitung von Viren. Obwohl die Anwender während des letzten halben Jahres kaum dümmer geworden sein dürften, die Anzahl der Neulinge kaum exponentiell gestiegen ist und die Verbreitungsmethoden und die Tricks der Viren, sich den Anwendern aufzudrängen, sich nicht geändert haben (mit Ausnahme der neuen Idee, Viren in gezippten Dateien zu verstecken), stelle ich zwei wesentliche Unterschiede im Virenaufkommen fest:

- Massierte Attacken. Auch früher kam es schon vor, dass ein Absender dutzende Viren an den gleichen Empfänger gesendet hat. Das hat sich dann aber über mehrere Wochen hingezogen, die Mails kamen in mehr oder weniger regelmässigen Abständen. Heute komment die Viren dutzendweise innert zweier Minuten, jedes Mal von der gleichen IP-Adresse. Dann ist Ruhe. Das sieht für mich so aus, als solle der Anwender/Virenscanner 14 Mails wegschmeissen um dann bei der 15. zu versagen und sie versehentlich durchzulassen/zu öffnen.

- Hohe Initialverbreitung. Wenn früher ein neuer Virus angekündigt wurde, musste ich oft tagelang warten, bis ich mal ein Exemplar zu Gesicht bekam. Heute habe ich jeden zweiten Morgen Viren im Quarantäneverzeichnis, die der Scanner mit den am Vorabend aktualisierten Signaturen nicht gefunden hat. War die Infektionskurve früher eher sinusförmig, erreicht sie heute oft schon am ersten Verbreitungstag ihren Höhepunkt, um dann langsam wieder abzuflachen.

Besonders der zweite Punkt lässt in mir den Verdacht aufkommen, dass spätestens seit Netsky/Bagle ganz gezielt und massiv gecrackte PC verwendet werden, um die Viren zu verbreiten. Die typische Virenmail von früher, von einem durch Anwenderfehler infizierten PC aus versendet, gibt es zwar auch noch, aber nicht häufiger als früher. Alleine heute habe ich aber so viele Vireneingänge wie im gesamten Jahr 2003. Im Gegenzug hat das Spamaufkommen (bei mir) seit Januar deutlich nachgelassen.

Auf der Suche nach hard facts für meinen Verdacht bin ich aber bislang nicht fündig geworden. Insbesondere sind mir weder Presseberichte noch durch AV-Hersteller veröffentlichte Analysen bekannt geworden, die diese These stützen.

Daher hätte ich gerne von euch gewusst, ob ihr meine Ansicht teilt, ob ihr evtl. diese These sogar belegen könnt, oder ob ich möglicherweise völlig nebst der Kapp liege und tiefes Schwarz sehe, wo doch nur ein kleines Schäfchenwölkchen über den Himmel zieht?

Und vor allem (wenn ich richtig liege) würde ich gerne wissen, welche Folgerungen daraus für die Zukunft zu ziehen sind. Wird hier evtl. sogar (Achtung, jetzt wird’s arg spekulativ) ein DDOS auf das Internet an sich vorbereitet?

Gruss,
Schorsch

2

Hallo,

die aktuellen Viren kommen wirklich häufiger. Meine etwas laienhafteren Theorien zur massiven Verbreitung sind:

  1. teilweise deutsche und auch zusammenhängende Texte in den Virenmails (Beispiel die letzten Viren mit den Texten „sie tauschen illegal Dateien“ und „ich hab mal nen Portscan gemacht“, „hier ihre Internetbanking-Daten von der Sparkasse sowieso“). Das erklärt für mich die stärkere Verbreitung in Deutschland. Früher waren das ja meist englische oder kryptische, sinnlose Texte.

  2. die Fähigkeit, email-Adressen zum Zuspammen nicht nur aus den Adressbüchern auszulesen, sondern auch aus allen möglichen anderen Dateien auf dem infizierten Rechner, vor allem aus dem Browsercache. Ich habe vielleicht 100 Adressen im Adressbuch, aber 1000e auf dem Rechner

  3. die Tatsache, dass die aktuellen Viren teilweise ihre eigene SMTP-Engine mitbringen und sich nicht über Outlook etc. verschicken müssen

Gruß,

Myriam

3

Hallo Schorsch,

Scheinbar gibt es 2-3 Gruppen von Hackern, welche sich im Moment zu bekämpfen scheinen.
Einer der Hintergründe soll sein, dass sie damit möglichst viele Adressen sammeln wollen, was sich dann in klingende Münze umwandeln lässt.

MfG Peter(TOO)

4

Hallo Schorsch,

Das sieht für mich so aus, als solle der Anwender/Virenscanner
14 Mails wegschmeissen um dann bei der 15. zu versagen und sie
versehentlich durchzulassen/zu öffnen.

Ja, und funktioniert! :wink:
Bei einem Eingang von über 50 Netsky auf einmal hat serverprotect (Trend-Micro) einen durchgelassen! Genau zur Skretärin und die Tarnung hat funktioniert, wurde geöffnet! Dummerweise (für den Wurm) bin ich Sekunden später dazu gekommen … :wink:

- Hohe Initialverbreitung. Wenn früher ein neuer Virus
angekündigt wurde, musste ich oft tagelang warten, bis ich mal
ein Exemplar zu Gesicht bekam. Heute habe ich jeden zweiten
Morgen Viren im Quarantäneverzeichnis, die der Scanner mit den
am Vorabend aktualisierten Signaturen nicht gefunden hat. War
die Infektionskurve früher eher sinusförmig, erreicht sie
heute oft schon am ersten Verbreitungstag ihren Höhepunkt, um
dann langsam wieder abzuflachen.

Ja, deckt sich mit meiner Beobachtung. Wenn der Wurm (Viren gibt’s ja kaum noch) ein ziel hat, ist das auch in seinem Sinne richtig so. (Angriff auf SCO)

Besonders der zweite Punkt lässt in mir den Verdacht
aufkommen, dass spätestens seit Netsky/Bagle ganz gezielt und
massiv gecrackte PC verwendet werden, um die Viren zu
verbreiten. Die typische Virenmail von früher, von einem durch
Anwenderfehler infizierten PC aus versendet, gibt es zwar auch
noch, aber nicht häufiger als früher. Alleine heute habe ich
aber so viele Vireneingänge wie im gesamten Jahr 2003. Im
Gegenzug hat das Spamaufkommen (bei mir) seit Januar deutlich
nachgelassen.

Ist bei mir umgekehrt. Viren und Würmer werden weniger, aber Spam nimmt immer mehr zu. Ich habe sowohl privat als auch auf dem Mailserver der Firma über 90% Spam. Bei manueller Selektion (Firma) ird da schon mal 'ne wichtige Mail versehentlich mit gelöscht.
Die Viren und Würmer werden erkannt und gekillt. Spam richtet wirklich Schaden an!

Daher hätte ich gerne von euch gewusst, ob ihr meine Ansicht
teilt, ob ihr evtl. diese These sogar belegen könnt, oder ob
ich möglicherweise völlig nebst der Kapp liege und tiefes
Schwarz sehe, wo doch nur ein kleines Schäfchenwölkchen über
den Himmel zieht?

Sorry, Du hast leider Recht. Künftig werden uns die Viren/Würmer morgens erreichen und die Patternfiles erst am Abend, wenn alles zu spät ist.

Und vor allem (wenn ich richtig liege) würde ich gerne wissen,
welche Folgerungen daraus für die Zukunft zu ziehen sind. Wird
hier evtl. sogar (Achtung, jetzt wird’s arg spekulativ) ein
DDOS auf das Internet an sich vorbereitet?

Nicht absichtlich, faktisch aber schon.
Wenn Du meinst, der Terror verlagert sich und die Selbstmordattentäter wechseln die Waffen, dann denke ich, nein, ist nicht so.
Technikfeindlichkeit und solche Aktionen schließen sich aus. Wer sich in der Umgebung als kompetent outet, so einen Anschlag zu verüben, ächtet sich selbst. Von dieser Seite erwarte ich keine Angriffe.

Was da vor sich geht, hat nach meiner persönlichen Meinung zwei Hintergründe.

1.) Spielerei. Mal sehen, ob es klappt und wie die ‚anderen‘ damit fertig werden.
2.) Habe ich schon öfter die Meinung gehört, daß gefaßte Viren-Programmierer schnell frei kommen und einen hoch dotierten Job angeboten bekommen. Solche Gerüchte fördern den Drang, es auch einmal zu versuchen.

cu Rainer

5

Hallo Myriam,

  1. teilweise deutsche und auch zusammenhängende Texte in den

Das weckt Vertrauen, was man nicht lesen kann (kryptisch oder englisch…) fliegt gleich in den Müll. Aber deutsche Emails, noch dazu mit ansprechendem Text werden gelesen. Eben wie die Klatsch-Presse, B-Zeitung oder im Fernsehen die ganzen Nachmittagsshows. Zugeben tuts niemand, aber es tun viele.

Noch dazu nicht die mindeste Vorstellung was denn ein Worm oder Virus etc. überhaupt ist. Buchstaben am Bildschirm, weit weg von Programmierung, eben Büroalltag.

  1. die Tatsache, dass die aktuellen Viren teilweise ihre
    eigene SMTP-Engine mitbringen und sich nicht über Outlook etc.
    verschicken müssen

Das ist eben nicht neu, aber wird zunehmend aktuell. Gerade die nicht bemerkte Weitergabe von Adressen, begünstigt durch immer schnelleren Datenverkehr und Daueronline (DSL) macht es den Plagegeistern leicht.

Über Sicherheitslücken in Betriebssystemen wird nicht mehr groß disskutiert. Die sind da und lassen sich nicht vermeiden. Microsoft mit Marktbeherrschung läßt grüßen. Gerade dadurch (es gibt in kleineren Betrieben fast nur Microsoft, da in den Rechnern vorprogrammiert und im Kaufpreis mit drin…, keinen der sich um Datensicherheit bemüht, fehlende Ausbildung, na ja, nicht nur dort) macht sich ein vereinheitlichter Datenverkehr besonders gut zum Spammen/Verseuchen.

Meine eigene Statistik sagt allerdings, das hier Spam und Virus/Worm vielfach kombiniert werden. Menge ist erträglich, aber stetig zunehmend.

Gruß
André

6

Hallo Myriam,

  1. teilweise deutsche und auch zusammenhängende Texte in den
    Virenmails (Beispiel die letzten Viren mit den Texten „sie
    tauschen illegal Dateien“ und „ich hab mal nen Portscan
    gemacht“, „hier ihre Internetbanking-Daten von der Sparkasse
    sowieso“). Das erklärt für mich die stärkere Verbreitung in
    Deutschland. Früher waren das ja meist englische oder
    kryptische, sinnlose Texte.

das wäre eine einleuchtende und vernünftig klingende Erklärung. Im meiner täglichen Praxis aber (bei anderen mag das anders aussehen) spielt der Sober-Wurm, auf den du hier anspielst, keine Rolle. Den im Dezember hochgerühmten Sober.C habe ich mir aus anderen Quellen besorgen müssen um meine Sammlung zu vervollständigen, von den Nachfolgern habe ich nicht mehr als einen Eingang zu verzeichnen.

  1. die Fähigkeit, email-Adressen zum Zuspammen nicht nur aus
    den Adressbüchern auszulesen, sondern auch aus allen möglichen
    anderen Dateien auf dem infizierten Rechner, vor allem aus dem
    Browsercache. Ich habe vielleicht 100 Adressen im Adressbuch,
    aber 1000e auf dem Rechner

  2. die Tatsache, dass die aktuellen Viren teilweise ihre
    eigene SMTP-Engine mitbringen und sich nicht über Outlook etc.
    verschicken müssen

Das ist beides nichts neues, Viren mit eigener SMTP-Engine gibt’s seit 2001, die Fähigkeit, beliebige Dateien nach Adressen zu durchsuchen ist ebenfalls keine Erfindung aus 2004. Seit heute morgen 9:00 habe ich 30 Vireneingänge, soviel wie im vergangenen Jahr in den fünf Monaten August bis Dezember. Nein, ich denke da ist noch etwas anderes im Spiel, was mit Muttersprachlichkeit oder geänderten Fähigkeiten der Viren nicht zu erklären ist.

Gruss,
Schorsch

7

Scheinbar gibt es 2-3 Gruppen von Hackern, welche sich im
Moment zu bekämpfen scheinen.

Die bekämpfen sich gegenseitig, indem sie mir Viren zusenden? Komische Strategie.

Einer der Hintergründe soll sein, dass sie damit möglichst
viele Adressen sammeln wollen, was sich dann in klingende
Münze umwandeln lässt.

Dieser These kann ich nicht so rechten Glauben schenken. Ich verwalte ein knappes Dutzend Domains unter .de und .com, private und Firmendomains. Auffällig ist, dass die privaten Domains vom Virensegen der letzten Monate fast völlig verschont geblieben sind, keine Änderungen im Virenverhalten im Vergleich zu den letzten Jahren. Massiv abgeladen wurde die Last hingegen auf den Firmendomains.

Für diesen Unterschied gibt es eine ganze Reihe, im wesentlichem harmloser Erklärungsansätze. Und dennoch werde ich den Verdacht nicht los, dass hier gezielt Angriffe gegen Unternehmen gefahren werden. Aber um signifikante Aussagen treffen zu können, ist meine Datenbasis einfach zu klein.

Nur: wenn meine These zutrifft, werden wir in Zukunft mit weitaus schlimmeren zu rechnen haben. Wenn die geballte Bandbreite, die diesen ‚Hacker‘-Gruppen zur Verfügung zu stehen scheint, nicht mehr für dümmliche Viren-oder Spamschleuderei verschwendet wird, sondern für automatisierte Netzwerkattacken [*1] oder für DOS bzw. DDOS-Angriffe, kann das, zumindest für einzelne Unternehmen, verheerende Folgen haben.

Anfang Februar habe ich einen ganz primitiven, aber sehr wirkungsvollen DOS auf einen smtp-Server erlebt, der diesen für zweieinhalb Std. lahmgelegt hat. Nur die geringe für diesen Server zur Verfügung stehende Bandbreite hat ernsthafte Schäden vermieden, der Angreifer hatte sich innerhalb weniger Minuten selbst blockiert. Ich denke, dass dies ein Einzelfall ohne unmittelbaren Zusammenhang mit der derzeitigen Virenepidemie war. Noch.

Gruss,
Schorsch

[1] Amichai Shulman, Web Applikation Worms: Myth or Reality http://www.imperva.com/docs/Application_Worms.pdf

8

Hallo Rainer,

Ist bei mir umgekehrt. Viren und Würmer werden weniger, aber
Spam nimmt immer mehr zu. Ich habe sowohl privat als auch auf
dem Mailserver der Firma über 90% Spam. Bei manueller
Selektion (Firma) ird da schon mal 'ne wichtige Mail
versehentlich mit gelöscht.
Die Viren und Würmer werden erkannt und gekillt. Spam richtet
wirklich Schaden an!

die Mechanismen, warum der eine von Spam weitgehend verschont bleibt, der andere aber die volle Breitseite abbekommt, sind mir nach wie vor schleierhaft. Ich hatte in meiner Behauptung, dass das Spamvolumen bei mir seit Januar merkbar nachgelassen hat, allerdings übersehen, dass dies natürlich auch auf meine Gegenmassnahmen, z. B. Rückzug diverser verbrannter Accounts, zurückzuführen ist. Dennoch: Spamaufkommen lt. Spamassassin heute bislang 9 Eingänge, 24,7 kb. Erkannte Viren 46, 1,26 mb.

Nicht absichtlich, faktisch aber schon.
Wenn Du meinst, der Terror verlagert sich und die
Selbstmordattentäter wechseln die Waffen, dann denke ich,
nein, ist nicht so.
Technikfeindlichkeit und solche Aktionen schließen sich aus.
Wer sich in der Umgebung als kompetent outet, so einen
Anschlag zu verüben, ächtet sich selbst. Von dieser Seite
erwarte ich keine Angriffe.

An Terror hatte ich da weniger gedacht, vielmehr an kriminelle Aktionen wie Schutzgelderpressung und Schädigung der Konkurrenz. Und daran, dass Unternehmensnetzwerke mit Flächenvirenbombardements sturmreif geschossen werden, um später deren Daten auszuspähen. Und, als Nebeneffekt, deren Kapazitäten nutzen zu können.

Was da vor sich geht, hat nach meiner persönlichen Meinung
zwei Hintergründe.

1.) Spielerei. Mal sehen, ob es klappt und wie die ‚anderen‘
damit fertig werden.

Halte ich inzwischen für vernachlässigbar. Ich denke, dass die bislang schon angerichteten Schäden eine hohe kriminelle Energie voraussetzen.

2.) Habe ich schon öfter die Meinung gehört, daß gefaßte
Viren-Programmierer schnell frei kommen und einen hoch
dotierten Job angeboten bekommen. Solche Gerüchte fördern den
Drang, es auch einmal zu versuchen.

Ob jemand, der solche Gerüchte für bare Münze und Basis für seine Karriereplanung nimmt, die intellektuellen Fähigkeiten besitzt, erfolgreich ins Virenbusiness einzusteigen…

Gruss,
Schorsch