Sophos Viren-Top-Ten im Dezember

Im Dezember verbreitete sich der Wurm Sober-Z weltweit wie eine Epidemie. Mit einem Anteil von fast 80 Prozent am gesamten Schädlingsaufkommen lässt er andere Gefahren vergleichsweise blass aussehen. Sober-Z baut seinen Spitzenplatz in den monatlichen Viren-Charts weiter massiv aus, ein Rückgang ist noch nicht abzusehen.

Dies geht aus den aktuellen Untersuchungen der SophosLabs, der weltweiten Forschungszentren des Computersicherheits-Spezialisten Sophos, hervor. Im Dezember war jede 16. E-Mail, die weltweit verschickt wurde, mit einem infizierten Anhang versehen.

In den Top Ten finden sich im Dezember 2005 folgende Viren, Würmer und Trojaner:

1. Sober-Z 78,9%
2. Zafi-B 3,3%
3. Netsky-P 2,3%
4. Mytob-EX 1,4%
5. Mytob-FO 1,2% (neu)
6. Mytob-BE 0,7%
7. Zafi-D 0,6%
8. Mytob-GH 0,6%
9. Mytob-C 0,5%
10. Mytob-FM 0,5% (neu)

Sonstige 9,5%

Der hoch produktive Wurm Sober-Z versendet sich selbst als E-Mail-Anhang und versucht, die Sicherheits-Software auf den Rechnern der Anwender auszuschalten. Sobald ein User den Dateianhang startet, durchsucht der Wurm die Festplatte des Anwenders nach E-Mail-Adressen, um sich selbständig zu versenden. Die Sober-Z-E-Mails tarnen sich unter anderem als vermeintliche Meldungen des Bundeskriminalamts (BKA) über den angeblichen Besitz von Raubkopien und versuchen so, verunsicherte Empfänger dazu zu bringen, den infizierten Anhang zu öffnen. Der bisher unbekannte Virenautor ist bereits seit zwei Jahren aktiv. Die jüngste Sober-Variante ist bislang der meist verbreitete Schädling des Cyber-Kriminellen.

Was die Sober-Würmer von anderen Schadprogrammen unterscheidet, ist ihre ausgeprägte Fähigkeit, Anwender erfolgreich zu täuschen. Die E-Mails versprechen Tickets für die Fußball WM, tarnen sich als Nachricht des FBI oder als Warnungen des deutschen Bundeskriminalamts (BKA) und beschuldigen die Empfänger, Raubkopien zu besitzen. Die Sober-Familie verbreitet sich sowohl auf Deutsch als auch auf Englisch und kennt keine Grenzen, wenn es darum geht, Anwender dazu zu verleiten, den infizierten Anhang zu starten. Sober-Z war bereits im November für gut 40 Prozent aller von Sophos registrierten Virenreports verantwortlich und hielt seine Spitzenposition über den gesamten Dezember. Sollte der Sober-Autor nun tatsächlich soweit gehen und -- wie erwartet – auf bestimmte Websites weitere Schadprogramme ablegen, die mit Sober-Z infizierte Computer dann herunterladen und starten, könnte der Wurm noch größere Schäden in Unternehmen anrichten.

Christoph Hardy, Security Consultant bei Sophos

Ironischerweise führte Sober-Z im Dezember indirekt zur Verhaftung eines zwanzigjährigen Deutschen. Der Mann glaubte einer infizierten E-Mail, die ihm vorgaukelte, das BKA ermittle gegen ihn wegen des Besuchs illegaler Webseiten mit Kinderpornografie und erstattete Selbstanzeige.

Dass ein Virus der Gesellschaft auch einmal dienlich sein könnte, hätte wohl niemand vermutet. Der zufällige Erfolg der Polizei kann aber nicht davon ablenken, dass der Sober-Autor seit Jahren für ein riesiges Chaos auf vielen Computern auf der ganzen Welt verantwortlich ist. Die wirklich gute Nachricht ist dagegen, dass der Wurm einfach unschädlich zu machen ist, wenn Anwender in Unternehmen und zu Hause stets effektiven, aktuellen Viren- und Spam-Schutz einsetzen sowie Grundsätze zum sicheren Umgang mit dem Computer einhalten.

Christoph Hardy

Ansonsten gab es wenig Veränderung in den Viren-Top-Ten im Dezember. Zafi-B ist der einzige Wurm dessen Platzierung sich nach vorne verschoben hat, von der siebten auf die zweite Position. Durch die Dominanz von Sober-Z ist der Wurm aber nur für 3,3 Prozent der Schädlinge verantwortlich, die Sophos im letzten Monat des Jahres gemeldet wurden. Netzsky-P ist auf Platz drei zurückgefallen und einige Mytob-Varianten plagen Unternehmen und Anwender weiterhin, darunter auch die beiden Neueinsteiger, Mytob-FO und Mytob-FM.

Die Untersuchungen der SophosLabs ergeben, dass im Dezember weltweit 6,1 Prozent aller verbreiteten E-Mails mit einem Schadprogramm infiziert waren, dies entspricht einer von 16 Mails. Im Vormonat lag der Anteil noch bei 2,7 Prozent, damit war jede 38. E-Mail infiziert. Die Gesamtzahl der Viren, vor denen die Lösungen des Computersicherheits-Spezialisten schützen, liegt aktuell bei 115.748. Das ist ein Zuwachs von 1.666 im Vergleich zum Vormonat.

Um die Risiken durch Viren-Angriffe zu minimieren, empfiehlt Sophos allen Unternehmen, eine Richtlinie am E-Mail-Gateway einzurichten, die verhindert, dass unerwünschte ausführbare Dateien von außen in das Unternehmensnetzwerk eindringen. Außerdem sollten Firmen ihre Anti-Viren-Software und Firewalls regelmäßig aktualisieren und stets die neuesten Sicherheits-Patches installieren.

Folgende zehn E-Mail-Falschmeldungen und -Kettenbriefe waren im Dezember besonders stark verbreitet:

1. Hotmail hoax 20,4% (im 18. Monat auf Platz 1)
2. A virtual card for you 10,1%
3. Meninas da Playboy 8,4%
4. Bonsai kitten 8,4%
5. Elf Bowling 6,1% (Wiedereinstieg)
6. Budweiser frogs screensaver 4,1%
7. Applebees Gift Certificate 3,1% (Wiedereinstieg)
8. Bill Gates fortune 2,9%
9. Jamie Bulger 2,4%
10. Mobile phone hoax 2,2%

Sonstige 31,9%

Es gibt zwei Hoaxes, die in diesem Monat wieder in die Top Ten eingestiegen sind. Der Elf Bowling Hoax, der wieder starken Aufwind erfährt, warnt Anwender, dass das kostenlose Spiel Elf Bowling mit einem Virus infiziert sei und sofort gelöscht werden solle. Die Falschmeldung ist an sich harmlos, erinnert aber daran, dass Unternehmen ihre Mitarbeiter über die Risiken ausführbarer Dateien aufklären sollten. Das Cyber-Spiel ist zwar keine bösartige Bedrohung, kann aber natürlich Mitarbeiter von ihren eigentlichen Tätigkeiten abhalten.

Christop Hardy

Sophos stellt Unternehmen einen kostenlosen und laufend aktualisierten Informationsdienst zur Verfügung, den sie auf ihren Intranet- und Internetseiten verwenden können. Computeranwender haben hier die Möglichkeit, stets die neuesten Informationen über Viren und Hoaxes abzurufen.