Virentrends 2004: Warten auf den Superwurm. Viren werden aktiver und selbstständiger: So lassen sich die Voraussagen der großen Antivirus-Hersteller zusammenfassen. Für 2004 erwarten sie zudem noch mehr Spam, eine zunehmende Bedrohung für Privatanwender und den »Superwurm«.

Virentrends 2004: Warten auf den Superwurm

Auch für dieses Jahr müssen sich Antivirenspezialisten keine Sorgen um ihren Job machen. Sobig, Mimail, Mydoom und Konsorten halten den Markt mit immer neuen Finessen in Atem.

Die Experten von Symantec stellen für 2003 fest, dass die Viren der neuen Generation zwar kaum noch sichtbaren Schaden am befallenen Rechner anrichten, sich dafür aber stillere Gemeinheiten mehr und mehr durchsetzen: Erstens brechen durch den Massenversand von E-Mails regelmäßig die Unternehmensnetzwerke zusammen. Zweitens hinterlassen die Eindringlinge immer öfter Trojaner, also Hintertüren für Hacker, oder exportieren gleich die Passwortdateien. Dafür nutzen die Virenschreiber Schwachstellen in gängigen Applikationen aus ? und das mit zunehmender Geschwindigkeit. Der Symantec-Report berichtet von einer Cisco-Schwachstelle, für die innerhalb von zwei Tagen ein Exploit im Umlauf war. Am liebsten schreiben Virenautoren für weit verbreitete Systeme, und damit bleiben Microsoft-Produkte voraussichtlich auch 2004 das beliebteste Ziel von Virenangriffen. Laut Gernot Hacker, Sophos, rücken aber auch Unix und seine Derivate langsam ins Visier der Virenschreiber: »Durch Linux wird die Popularität derartiger Systeme immer größer«, erklärt er.

Der gefährliche Code wird schon länger nicht mehr nur von Experten verfasst: »Während die technische Raffinesse komplexer Bedrohungen zunimmt, nimmt das eigentliche Hintergrundwissen der Urheber ab, stellt Symantec fest.« Durch Hackertools und die zunehmende Vernetzung ist es auch Laien möglich, ausgeklügelte Schädlinge zu erzeugen.

Viren werden selbständig

Schon 2001 brachte »Sircam« seine eigene SMTP-Engine mit und konnte sich auf diese Weise weiterverschicken, auch wenn auf dem befallenen Rechner kein Mail Client lief. Diese Idee des autonomen, selbständigen Virus hat sich durchgesetzt. Hacker versenden zunehmend einen Code, der sich selbst installiert und die dazu nötigen Komponenten von Internet-Seiten herunterlädt. Zudem versuchen Viren aktiv, Personal Firewalls oder Antiviren-Software zu deaktiviren. Auf ein besonderes Problem weist der Viren-Report von Trend Micro hin: »Öffentliche und unmoderierte Nachrichtenkanäle wie IRC und P2P werden vermehrt genutzt, da die E-Mail-Flut sich negativ auf die Kommunikationsgeschwindigkeit im Unternehmen auswirkt.« Hier lauern die nächsten Gefahren. Symantec hat zudem das Intranet und »unbekannte«, also vom Admin vergessene Rechner in irgendwelchen Besenkammern, die aber ans interne Netz angeschlossen sind, als zusätzliche Gefahren für Angriffe von innen ausgemacht.

Spam wird weiterhin eine lästige Plage bleiben. Die Spammer nutzen Proxy-Server, um unerkannt zu bleiben. Obwohl eines von zwei infizierten Systemen entdeckt wird, sind jährliche Wachstumsraten bis zu sieben Prozent zu erwarten. Es ist nicht zu beweisen, dass Spammer und Virenautoren identisch sind, Sophos geht aber davon aus, dass die beiden Gruppen kooperieren: »Etwa 30 Prozent der Spam-Attacken gehen zum Beispiel von durch Trojanern und auf andere Art und Weise missbrauchten Rechnern aus«, weiß Hacker. Sophos erwartet, dass die Branche 2004 noch mehr E-Mail Windows-Viren wie z.B. Sobig-F, Bugbear-B oder etwa Gibe-F sehen wird. Dies wird vermutlich ergänzt durch einen Anstieg von Trojanern, die RATs (Remote Access Tools) den Weg ebnen und damit Spammern den Weg freiräumen. Auch beim russischen Antivirenspezialisten Kaspersky hegt der Chef große Befürchtungen vor der Zusammenarbeit von Spammern und Virenautoren: »Konvergenz bereits bestehender Bedrohungen wie Viren, Hackerattacken und Spam ? aber alle aus einer einzigen kriminellen Quelle«, meint Eugene Kaspersky, »kann eine Art E-Mafia heraufbeschwören, die dann sehr großen Schaden anrichtet.«

Weltverschwörung der Virenschreiber

»Alles deutet darauf hin, dass wir im Jahr 2004 den Superwurm sehen werden«, ist Pete Simpson, Manager der Threatlabs Services von Clearswift sicher. Beflügelt durch die Machenschaften des Trojaners »Sinit« fürchtet der Content-Security-Anbieter ein geheimes Peer-to-Peer-Netz der Virenautoren. Bereits »Hunderttausende« von PCs seien infiziert und dienten unerkannt als Virenschleuse, über die innerhalb weniger Minuten das gesamte Internet mit Viren verseucht werden könne.

Aber nicht nur die Verbreitung, auch die Art der Viren ändert sich laut Clearswift im Jahr 2004 schlagartig: Der Wurm »Serotonin« sei zwar noch nicht im Umlauf, aber hochgefährlich. Sein Code könne sich durch »genetische Programmierung einer natürlichen Auslese unterwerfen« und präge damit das Aussehen der nächsten Wurm-Generation.

___________________________________________

Kasten

Kommentar

Das Antivirengeschäft bleibt einträglich ? für den Channel allerdings in erster Linie dadurch, dass er es als Zusatzleistung zu kompletten Sicherheitskonzepten verkauft. Durch den starken Verdrängungswettbewerb im Markt werden die Lizenzumsätze auf Dauer wohl weiter sinken. Und gleichzeitig brauchen die Kunden Hilfe gegen die immer komplexeren Bedrohungen: Service ist und bleibt auch hier das Zauberwort. Wer allerdings hofft, dass Mobile Devices der neue Antivirenmarkt werden, wird sich wohl noch ein bisschen gedulden müssen. Und sich damit trösten können, dass auch auf dem Desktop noch genug zu tun ist.

_________________________________________

INFO

Clearswift GmbH
Amsinckstraße 67, D-20097 Hamburg
Tel. 040 23999-0, Fax 040 23999-100
www.clearswift.com

Kaspersky Labs
Spretistraße 7, D-85057 Ingolstadt
Tel. 0700 55010000, Fax 0700 55010001
www.kaspersky.de

Sophos GmbH
IT-Park, Am Hannenbusch, D-55268 Nieder-Olm
Tel. 06136 91193, Fax 06136 911940
www.sophos.de

Symantec Deutschland GmbH
Lise-Meitner-Straße 9, D-85737 Ismaning
Tel. 089 945830-00, Fax 089 945830-40
www.symantec.de

Trend Micro Deutschland GmbH
Lise-Meitner-Straße 4, D-85716 Unterschleißheim
Tel. 089 37479-736, Fax 089 37479-799
www.trendmicro-europe.de