Seit nunmehr drei Monaten kämpfen Mytob.c und Nyxem.e um den ersten Platz. Es war schwer zu sagen, wie lange dieser Kampf noch andauern würde. Doch im Oktober änderte sich die seit Wochen bekannte Konstellation buchstäblich binnen einer Stunde. Wurm Warezov brach ein und stellte die gesamte Statistik derart auf den Kopf, dass lediglich noch fünf Schadprogramme aus den September-Top 20 vertreten waren.
Warezov sorgte bei Antivirus-Unternehmen weltweit den gesamten Oktober hinweg für Kopfzerbrechen. Höchste Aktivität zeigte er Ende des Monats, als täglich bis zu 20 neue Modifikationen erschienen. Dies war der Anlass, die statistische Datensammlung wesentlich zu modernisieren, was sich auch an der daraus resultierenden Umverteilung der Plätze in der Oktober-Top 20 ablesen lässt.
Der "Warezov-Wahnsinn" führte dazu, dass einzelne Modifikationen dieser Familie gleich sieben Plätze im Rating belegen. Ein ähnliches Debut gelang in der gesamten Historie nur Mytob. Insgesamt macht die Summe aller dieser Warezov-Modifikationen über 27 Prozent aus. Würde man die Verbreitung nicht pro Modifikation, sondern nach Wurm-Familien zählen, dann wäre er im Oktober absoluter Spitzenreiter.
So belegt Warezov.dn Platz zwei und liegt damit absolut gesehen nur um zwei Prozentpunkte hinter dem Spitzenreiter von 2004, NetSky.q. Dieser führt die Hitparade erneut an, doch es lässt sich noch nicht erkennen, ob es sich hierbei tatsächlich um eine Tendenz oder aber lediglich um eine Einmalerscheinung handelt. Beispiele hierfür sind aus den vergangenen Jahren reichlich bekannt.
Warezov: Nachfolger von Bagle und Mydoom?
Die Merkmale von Warezov weisen starke Parallelitäten zu dem hinreichend bekannten Wurm Bagle auf. Obwohl Wurm Warezov die Quellcodes von Mydoom.a zugrunde liegen, Bagle hingegen auf die Entwicklung einer unbekannten Gruppe von Virenschreibern zurückgeht, können die Würmer als "Verwandte" betrachtet werden.
Die Verbreitungsmethoden ähneln einander sehr stark - es werden zeitnah massenhaft verschiedene Modifikationen in Umlauf gebracht. Ein Unterschied besteht dabei in der Differenzierung nach geografischer Lage - so wurden in Russland andere Modifikationen als in Europa verbreitet. Auch die Funktionen sind ähnlich: sie installieren auf dem PC beliebige andere Module von Trojaner-Webseiten und sammeln E-Mail-Adressen. Bagle war der erste Wurm, der diese Viren-Technologie nutzte. Warezov agiert auf vergleichbare Weise.
Das Erscheinen von Warezov und das vorläufige Ende neuer Bagle-Modifikationen fällt zeitlich zusammen. Aller Wahrscheinlichkeit nach sind beide Würmer Kreationen ein und derselben Gruppierung. Bagle beeinflusste die Antiviren-Industrie maßgeblich, indem er diese veranlasste, eine Vielzahl neuer Schutzmethoden zu entwickeln. Warezov stellt diesen Industriezweig schon jetzt vor eine komplizierte Aufgabe, da die Virenschreiber mittels einer neuen Art der Code-Modifizierung (Obfuscator) versuchen, die Schutzmechanismen von Antiviren-Programmen auszuhebeln.
Im Übrigen ist Bagle noch längst nicht verschwunden. Es erscheinen zwar keine neuen Modifikationen, bekannte existieren jedoch nach wie vor und verbreiten sich aktiv. Anschauliches Beispiel dafür ist der dritte, sechste und achtzehnte Platz in den Oktober-Top-20.
Die komplette Statistik stellt Kaspersky auf dieser Seite online zur Verfügung. (tecchannel/cm)