3. FlashBack
Foto: Ronald Wiltscheck
Mitte des Monats Juli 2009 war durch die Aktivität von Varianten der Win32.HLLM.MyDoom-Familie gekennzeichnet. Eine solche Situation war zuletzt 2004 zu beobachten. Gegenwärtig werden sie bei massenhaften DDoS-Angriffen gegen südkoreanische und amerikanische Websites verwendet. Auf dem Bild daneben sind Daten aus der Konfigurationsdatei für eine Virus-Komponente angeführt, die unmittelbar eine DDoS-Attacke durchführt (detektiert als DDoS.Config).
Derzeit beteiligen sich Zehntausende infizierte Computer an Angriffen gegen Websites von Behörden in den USA und Südkorea. Als Beispiel lassen sich whitehouse.gov, nsa.gov, president.go.kr und viele andere anführen. Neue Modifikationen werden hauptsächlich per Anhang in Spam-Mails verbreitet. So kann der in Vergessenheit geratene Schädling massenhafte Angriffe durchführen.
4. Mobiles Botnetz
Foto: Ronald Wiltscheck
Im Juli 2009 ist ferner ein neuer Wurm für mobile Endgeräte unter Symbian Series 60 3rd Edition aufgetaucht. Der Wurm verbreitet sich als gutartige Software. Infizierte mobile Endgeräte verschicken SMS-Spam im Namen des Besitzers an die im Adressbuch eingetragenen Personen. In einer solchen SMS-Nachricht wird dazu aufgefordert, auf einen Link zu klicken, der auf eine Malware-Website umleitet.
Mit diesem Schädling entstand die ganze Symbian.Worm-Familie, die als Symbian.Worm.1 detektiert wird. Besonders interessant ist dabei die Tatsache, dass der bösartige Download über eine digitale Signatur von Symbian Signed verfügt. Dieses Zertifikat wurde durch Symbian bereits zurückgenommen. Die entsprechende Pressemeldung findet sich auch im Blog des Unternehmens.
Symbian.Worm.1 stiehlt persönliche Teilnehmer-Daten und versendet diese an entfernte Server. Die SMS-Templates zum böswilligen Versand können bei der Internetverbindung aktualisiert werden. Es entsteht im Endeffekt ein "mobiles Botnetz", das von Cyber-Kriminellen betrieben wird und für diese persönliche Daten infizierter Anwender kapert.