Malware: Starke Virenausbrüche in den letzten 24 Stunden

Das eleven Research-Team verzeichnete in den letzten 24 Stunden einen starken Anstieg der Verbreitung von Malware. Mehrere Varianten des Wurms MyDoom werden in Einzelwellen verbreitet. Neu aufgetreten ist eine Variante des Trojaners Offend.KD.

Verlauf der Wurm- bzw. Trojanerausbrüche

Die Malware-Familie MyDoom kann bereits auf eine lange Geschichte zurückblicken: Die erste Variante wurde 2004 registriert und installierte in Windows-Systemen eine sogenannte Backdoor. Es handelt sich dabei um einen Zugang zum System, über den es möglich ist, unbemerkt einzudringen, um danach alle Funktionen zu kontrollieren. Spam-Versand oder das Mitlesen von Tastatureingaben sind nur zwei Möglichkeiten von vielen. Die Virenversender nutzen den Wurm seitdem immer leicht abgewandelt. Zum einen werden die Schadroutinen leicht geändert oder an Sicherheitsprogramme angepasst. Zum anderen werden aber auch willkürliche Änderungen vorgenommen, um einfache Virenscanner zu täuschen. Diese arbeiten mit Checksummen, eine kleine Veränderung im Programmcode ändert dann auch diese Checksumme und die Virenscanner sind für einige Zeit umgangen.

Neuer Trojaner nutzt alten DHL-Trick

Der neue Trojaner Offend.KD wird seit heute gegen 13 Uhr versendet. Zunächst wurde er bei eleven durch die Virenfrüherkennung als Outbreak registriert. Obwohl er erst über einen so kurzen Zeitraum versendet wird, hat er bereits einen Anteil von rund 27% am Virenaufkommen der letzten 24 Stunden, in der Kategorie Outbreak sind es sogar über 57%. Der Text der Betreffzeile ist in englischer Sprache verfasst und meldet eine angebliche DHL-Lieferung: „DHL Express International“ mit der – natürlich gefälschten -Absenderadresse no-reply@dhl.com.

Gefälschte DHL-E-Mail mit Trojaner Offend.KD im Anhang

Die Spammer und Virenversender prüfen genau, mit welchen Betreffzeilen und welchem Text sie die höchste Öffnungsrate erzielen. Paketbenachrichtigungen oder verpasste Zustellungen sind zurzeit das am häufigsten genutzte Thema. Im vergangenen Jahr experimentierten die Spammer mit Stadtplänen (Citymaps) für besondere „Sexabenteuer“. Diese erwiesen sich aber nicht als besonders erfolgreich und waren schnell wieder verschwunden. Der zuerst genannte Wurm (und seine Varianten) setzen auf gefälschte Bounce-Mitteilungen, also Nachrichten über die missglückte Zustellung von E-Mails. Allen gemeinsam ist jedoch, dass sie versuchen, den Empfänger zum Öffnen des Anhangs zu bewegen.

Trojaner zunehmend aus europäischen Ländern

Eine weitere Besonderheit im Falle des Offend.KD sind die Herkunftsländer. In der Ausbruchsphase waren häufige IP-Adressen in Europa die Quelle. So kamen zum Beispiel rund 15% der E-Mails aus Italien und 6,5% aus Frankreich. Während der weiteren Verbreitung wurden sogar Trojaner-E-Mails aus Schweden registriert, ein Land aus dem normalerweise kein relevanter Spam- oder Virenversand erfolgt. Dies ist ein Trend, den das eleven Research-Team in den letzten Monaten immer häufiger beobachtete. Zunehmend kommt Spam und Schadsoftware wieder von westeuropäischen und amerikanischen IP-Adressen. Über die Schadroutine kann wie so oft keine genaue Angabe gemacht werden. Weitere Informationen zu Offend.KD finden sich im Portal virustotal.com.