Trend Micro (Nasdaq: TMIC, TSE: 4704) analysiert die Virentrends des vergangenen Jahres und prognostiziert kommende Entwicklungen. Der Überblick zu den Viren-Aktivitäten des Jahres 2005 und die Voraussagen für das kommende Jahr basieren auf den umfassenden Datenanalysen der TrendLabs, dem weltweiten Netzwerk von Trend Micro AntiViren-Spezialisten.
Vor zwölf Monaten prognostizierte Trend Micro, dass Malicious Codes mit kombinierten Angriffsmethoden (Blended Threats) auch 2005 zu den größten Bedrohungen gehören würden. Diese Vorhersage wurde im Januar durch die AGOBOT-Familie, seit Februar durch die unzähligen Varianten der MYTOB-Familie und im März durch WORM_BAGLE.BE vollauf bestätigt. Im Dezember tauchte zudem eine spezialisierte Angriffsform (Exploit) auf, die sich gezielt gegen Windows Meta Files (WMF) Dateien richtet. In der Prognose für 2005 hatte Trend Micro bereits davor gewarnt, dass die Malware-Szene nicht standardisierte Dateitypen ins Fadenkreuz nehmen würde. Zu den herausragenden Malware-Trends 2005 gehörte erwartungsgemäß die wachsende Bedrohung von Unternehmen und Privatanwendern durch Spam-basierte Phishing-Angriffe.
Malware Top 15 für 2005
Mehr als 11 Millionen Infektionen verursachten die Malicious Codes, die Trend Micro in seinen Malware Top 15 zusammengefasst hat. Rund 65 Prozent dieser Schädlinge enthielten zudem die eine oder andere Form von Spyware, Adware, Backdoor, Rootkit oder Bot-Funktionalität. Angeführt wird die Liste von WORM_NETSKY.P und JAVA_BYTEVER.A, die gemeinsam 2.269.517 von Trend Micro erfasste Computer infizierten. Obwohl die erste NETSKY-Variante bereits im März 2004 identifiziert wurde, sind demnach immer noch nicht alle Systeme ausreichend geschützt. An dritter Stelle steht darüber hinaus mit PE_PARITE.A ein exemplarisches User-Mode-Rootkit, das sich in die Windows-Explorer-EXE einfügt und erstmals im Januar 2001 aufgetaucht ist.
Virenrückblick 2005
- Die 2005 identifizierten Malicious Codes verteilen sich auf folgende Kategorien: 10 Prozent Bots, 11 Prozent Sypware-Trojaner, 18 Prozent Adware, 0,6 Prozent Office-Makros, 3 Prozent Skripte, 25 Prozent Viren oder Würmer und 27 Prozent Trojaner (inklusive Rootkits).
- Ingesamt musste Trend Micro in 18 Fällen einen globalen Yellow Alert auslösen, um vor der Verbreitung von Malicious Codes zu warnen.
- 26 Prozent aller Yellow Alerts wurden von MYTOB-Varianten ausgelöst, 16 Prozent von SOBER-Varianten und 11 Prozent von BAGLE-Varianten.
Prognosen für 2006
Viele Trends und Bedrohungszenarien, die sich bereits in den vergangenen Jahren abzeichneten, werden sich auch 2006 weiter verschärfen.
- Spy-Phishing wird weiter zunehmen, da den Angreifern ein wachsendes Arsenal von flexiblen Codes zur Verfügung steht, die immer wieder angepasst werden können.
Als Spy-Phishing bezeichnet Trend Micro eine besondere Form von Spyware-Angriffen. Dabei wird in dem befallenen System heimlich ein Trojaner installiert, dessen Zweck es ist, Informationen, wie beispielsweise Login-Daten und Passwörter, über eine bestimmte Webseite zu stehlen. Der Trojaner hält sich dabei solange unbemerkt im Hintergrund bis eine bestimmte Webseite aufgerufen wird. Sobald der Trojaner dadurch aktiviert wird, sendet er die gesammelten Informationen an den Angreifer.
- Neben Spy-Phishing treten weitere Phishing-Techniken auf, die raffiniertes Social Engineering verwenden und eine breite Anwenderbasis bedrohen. Darüber hinaus rechnet Trend Micro mit einer Welle von kleineren und gleichzeitig zielgerichteteren Attacken, dies es Angreifern ermöglichen, länger unentdeckt zu bleiben und direkte Informationen zu erhalten.
- Der Funktionsumfang von Bots wird durch die Verwendung von Rootkits erweitert. Zudem verkürzt sich der Zeitraum zwischen der Veröffentlichung einer Schwachstelle und dem Start angepasster Angriffe noch weiter.
- In zunehmenden Maße werden Packer zur Verschlüsselung und Komprimierung von Malware benutzt, um so Antiviren-Scanner zu unterwandern.
- Messaging-Protokolle (z.B. IRC, IM und P2P) werden auch weiterhin zur Umgehung von Firewalls missbraucht.
- Finanzielle Interessen der Malware-Szene führen zu einer wachsenden Verbreitung von Bots und Botnets. Alte und bisher unbemerkte Bots werden auf infizierten Systemen durch neue oder konkurrierende Varianten ersetzt.
- Immer mehr Malicious Codes verwenden Tarnverfahren, wie Rootkits oder andere Technologien. Sobald Microsoft sein neues Windows Betriebssystem veröffentlicht, müssen die bestehenden Rootkits zunächst angepasst werden. Dadurch ändert sich die Bedrohungslage für die heute populären Windows-Versionen allerdings nicht.
Vor zwölf Monaten prognostizierte Trend Micro, dass Malicious Codes mit kombinierten Angriffsmethoden (Blended Threats) auch 2005 zu den größten Bedrohungen gehören würden. Diese Vorhersage wurde im Januar durch die AGOBOT-Familie, seit Februar durch die unzähligen Varianten der MYTOB-Familie und im März durch WORM_BAGLE.BE vollauf bestätigt. Im Dezember tauchte zudem eine spezialisierte Angriffsform (Exploit) auf, die sich gezielt gegen Windows Meta Files (WMF) Dateien richtet. In der Prognose für 2005 hatte Trend Micro bereits davor gewarnt, dass die Malware-Szene nicht standardisierte Dateitypen ins Fadenkreuz nehmen würde. Zu den herausragenden Malware-Trends 2005 gehörte erwartungsgemäß die wachsende Bedrohung von Unternehmen und Privatanwendern durch Spam-basierte Phishing-Angriffe.
Malware Top 15 für 2005
Mehr als 11 Millionen Infektionen verursachten die Malicious Codes, die Trend Micro in seinen Malware Top 15 zusammengefasst hat. Rund 65 Prozent dieser Schädlinge enthielten zudem die eine oder andere Form von Spyware, Adware, Backdoor, Rootkit oder Bot-Funktionalität. Angeführt wird die Liste von WORM_NETSKY.P und JAVA_BYTEVER.A, die gemeinsam 2.269.517 von Trend Micro erfasste Computer infizierten. Obwohl die erste NETSKY-Variante bereits im März 2004 identifiziert wurde, sind demnach immer noch nicht alle Systeme ausreichend geschützt. An dritter Stelle steht darüber hinaus mit PE_PARITE.A ein exemplarisches User-Mode-Rootkit, das sich in die Windows-Explorer-EXE einfügt und erstmals im Januar 2001 aufgetaucht ist.
Virenrückblick 2005
- Die 2005 identifizierten Malicious Codes verteilen sich auf folgende Kategorien: 10 Prozent Bots, 11 Prozent Sypware-Trojaner, 18 Prozent Adware, 0,6 Prozent Office-Makros, 3 Prozent Skripte, 25 Prozent Viren oder Würmer und 27 Prozent Trojaner (inklusive Rootkits).
- Ingesamt musste Trend Micro in 18 Fällen einen globalen Yellow Alert auslösen, um vor der Verbreitung von Malicious Codes zu warnen.
- 26 Prozent aller Yellow Alerts wurden von MYTOB-Varianten ausgelöst, 16 Prozent von SOBER-Varianten und 11 Prozent von BAGLE-Varianten.
Prognosen für 2006
Viele Trends und Bedrohungszenarien, die sich bereits in den vergangenen Jahren abzeichneten, werden sich auch 2006 weiter verschärfen.
- Spy-Phishing wird weiter zunehmen, da den Angreifern ein wachsendes Arsenal von flexiblen Codes zur Verfügung steht, die immer wieder angepasst werden können.
Als Spy-Phishing bezeichnet Trend Micro eine besondere Form von Spyware-Angriffen. Dabei wird in dem befallenen System heimlich ein Trojaner installiert, dessen Zweck es ist, Informationen, wie beispielsweise Login-Daten und Passwörter, über eine bestimmte Webseite zu stehlen. Der Trojaner hält sich dabei solange unbemerkt im Hintergrund bis eine bestimmte Webseite aufgerufen wird. Sobald der Trojaner dadurch aktiviert wird, sendet er die gesammelten Informationen an den Angreifer.
- Neben Spy-Phishing treten weitere Phishing-Techniken auf, die raffiniertes Social Engineering verwenden und eine breite Anwenderbasis bedrohen. Darüber hinaus rechnet Trend Micro mit einer Welle von kleineren und gleichzeitig zielgerichteteren Attacken, dies es Angreifern ermöglichen, länger unentdeckt zu bleiben und direkte Informationen zu erhalten.
- Der Funktionsumfang von Bots wird durch die Verwendung von Rootkits erweitert. Zudem verkürzt sich der Zeitraum zwischen der Veröffentlichung einer Schwachstelle und dem Start angepasster Angriffe noch weiter.
- In zunehmenden Maße werden Packer zur Verschlüsselung und Komprimierung von Malware benutzt, um so Antiviren-Scanner zu unterwandern.
- Messaging-Protokolle (z.B. IRC, IM und P2P) werden auch weiterhin zur Umgehung von Firewalls missbraucht.
- Finanzielle Interessen der Malware-Szene führen zu einer wachsenden Verbreitung von Bots und Botnets. Alte und bisher unbemerkte Bots werden auf infizierten Systemen durch neue oder konkurrierende Varianten ersetzt.
- Immer mehr Malicious Codes verwenden Tarnverfahren, wie Rootkits oder andere Technologien. Sobald Microsoft sein neues Windows Betriebssystem veröffentlicht, müssen die bestehenden Rootkits zunächst angepasst werden. Dadurch ändert sich die Bedrohungslage für die heute populären Windows-Versionen allerdings nicht.
