computerwoche.de

Archiv

E-Mail-Wurm Bagle erlebt den dritten Frühling

04.04.2007
Von 
Diego Wyllie hat Wirtschaftsinformatik an der TU München studiert und verbringt als Softwareentwickler und Fachautor viel Zeit mit Schreiben – entweder Programmcode für Web- und Mobile-Anwendungen oder Fachartikel rund um Softwarethemen.
Alle Posts des Autors Email:
Drei Jahre nach seinem ersten Erscheinen bleibt „Bagle“ einer der aktivsten Computerschädlinge. Laut G Data Security Labs greifen die Bagle-Entwickler täglich PC-Nutzer rund um den Globus mit bis zu tausend neuen Variationen ihres Schadprogramms an.

Aus dem zunächst recht unscheinbaren E-Mail-Wurm ist mittlerweile ein komplexer Schädling geworden, der immer wieder mit neuen Techniken aufwartet. Seine Verbreitung erfolgt nicht mehr unkoordiniert, sondern wohl dosiert via Spam-Mails aus Bot-Netzen und E-Mail-Adresslisten. Etliche Bagle-Varianten benötigen hierfür keine eigenständigen Verbreitungsroutinen. Die Anzahl der abgerufenen E-Mail-Adressen ist bei diesem Verfahren so hoch, dass sie die Erkennung erschwert. Innerhalb von knapp sechs Wochen konnten bereits mehr als 30.000 unterschiedliche Varianten des Schädlings identifiziert werden - täglich somit durchschnittlich 625. Damit liegt Bagle voll im Trend, denn andere Malware sorgt ebenfalls mit ständig neuen Varianten für einen Anstieg des Bedrohungspotenzials im ersten Quartal 2007. Ein Beispiel dabei ist „Nurech“, der sich in angeblichen Mails von GEZ, 1&1, Amazon, Ebay, TMS Logistik und Single.de verbreitet und Anwender mit vorgetäuschten Bestellungen zum Öffnen der Dateianhänge verleitet.

Diese Flut an neuen Varianten soll die Erkennung durch Signaturen und heuristische Verfahren unterlaufen. Verstärkt wird dieser Effekt dadurch, dass die einzelnen Versionen nur in sehr geringem Ausmaß verbreitet werden. Die heutigen Signaturen der Schutzsysteme sind eigentlich so flexibel, dass sie einen Schädling wie Bagle auch bei kleineren Änderungen erkennen. Dennoch führt der Variantenreichtum dazu, dass immer mehr neue Signaturen erstellt werden müssen. So hat sich die Anzahl der Virensignaturen für Bagle im Vergleich zum Vorjahr ungefähr verdoppelt.

Ein entscheidender Baustein für die erfolgreiche Abwehr von Schädlingen ist die zügige Bereitstellung neuer Virensignaturen. G Data braucht laut eigenen Angaben eine Stunde bis seine Kunden eine neue Virensignatur erhalten. Trotzdem entsteht ein kritisches Zeitfenster, das die Malware-Industrie ausnutzt. Bereits mit einem mittelgroßen Bot-Netz sind Cyberkriminelle in der Lage, innerhalb von zwei Stunden zirka 160 Millionen verseuchte E-Mails zu versenden. An diesem Punkt setzt G Data mit der „OutbreakShield“-Technik an. Malware verseuchte Spam-Mails werden in weniger als zwei Minuten erkannt und automatisch geblockt.