Im Jahr 2003 passierten zwei globale Internet-Attacken, die als die größten in der Geschichte des Internet bezeichnet werden können. Der Internet-Wurm Slammer legte den Grundstein für die Angriffe. Er nutzte eine Sicherheitslücke im Microsoft SQL-Server zur Verbreitung aus. Slammer war der erste klassische, dateilose Wurm, der die Möglichkeiten von Flash-Würmern voll demonstrierte – Möglichkeiten, die schon Jahre vorher vorausgesehen wurden.
Am 25. Januar infizierte der Wurm innerhalb weniger Minuten weltweit Hunderttausende Computer und steigerte den Netzwerkverkehr so stark, dass einzelne nationale Teile des Internet zusammenbrachen. Experten schätzen, dass der Datenverkehr in manchen Netzwerken um 40 bis 80 Prozent anstieg. Der Wurm griff Computer über die Ports 1433 und 1434 an. Er kopierte sich auf infizierten Maschinen nicht auf Laufwerke, sondern blieb einfach im Computerspeicher. Bei der Analyse der Epidemie, konnten wir feststellten, dass der Wurm seinen Ursprung in Fernost hatte.
Die zweite wichtige Epidemie wurde durch den Lovesan-Wurm ausgelöst, der im August auftauchte. Er zeigte, wie angreifbar Windows ist. Genau wie Slammer nutzte Lovesan eine Sicherheitslücke in Windows aus, um sich zu verbreiten. Im Gegensatz zu Slammer handelte es sich aber um eine Lücke im RPC-DCOM-Service unter Windows 2000/XP. Das führte dazu, dass fast jeder Internetnutzer von dem Wurm attackiert wurde.
Im Bereich der Virenattacken auf neue Plattformen und Programme war das Jahr dagegen überraschend ruhig. Nur die Entdeckung des Virus MBP.Kynel durch Kaspersky Lab machte Schlagzeilen. Er infizierte MapInfo-Dokumente und war in MapBasic programmiert. MBP.Kynel kam zweifelsfrei von einem russischen Programmierer.
2003 war das Jahr der pausenlosen Epidemien durch E-Mail-Würmer. Ganda und Avron waren die ersten, die im Januar entdeckt wurden. Ganda kam aus Schweden und ist in Skandinavien nach wie vor einer der meist verbreiteten E-Mail-Würmer, und das obwohl die schwedische Polizei den Autor bereits Ende März 2003 festgenommen hat.
Avron war der erste Wurm, der in der ehemaligen UdSSR entwickelt wurde und eine ernste, weltweite Epidemie auslöste. Der Quellcode des Wurms wurde im Internet veröffentlicht, was zu einer ganzen Reihe weniger effektiver Versionen führte.
Ebenfalls im Januar tauchte der Sobig-Wurm auf. Alle Exemplare dieser Familie verursachten ernste Epidemien, wobei Version f alle Rekorde brach und zum meistverbreiteten Wurm im Netzwerkverkehr wurde. Auf dem Höhepunkt der Epidemie war Sobig.f, der im August entdeckt wurde, in jeder 20. E-Mail zu finden. Die Autoren hinter der Sobig-Familie wollten ein Netzwerk infizierter Computer aufbauen, um DoS-Attacken auf willkürlich ausgewählte Seiten durchzuführen und Spam-Mails zu verschicken.
Der E-Mail-Wurm Tanatos.b muss ebenfalls erwähnt werden: Die erste Tanatos-Version wurde Mitte 2002 geschrieben, doch Version b tauchte erst ein Jahr später auf. Der Wurm nutzte die altbekannte IFRAME-Sicherheitslücke in Outlook aus, um sich selbst automatisch von infizierten Nachrichten aus zu starten. Tanatos verursachte gleich nach Sobig.f die zweitgrößte Epidemie des Jahres 2003, der wahrscheinlich den Rekord der meisten von einem E-Mail-Wurm infizierten Computer hält.
Würmer der Lentin-Familie tauchten weiterhin auf. All diese Würmer wurden von einer Hacker-Gruppe in Indien geschrieben, die am „virtuellen Krieg“ zwischen Indien und Pakistan beteiligt war. Bei den am weitesten verbreiteten Versionen m und o replizierte sich der Virus in Form einer ZIP-Datei, die als Anhang infizierter Mails versendet wurde.
Russische Virenautoren waren ebenfalls sehr aktiv. Der zweite Wurm aus der ehemaligen Sowjetunion, der eine globale Epidemie auslöste, war Mimail. Er nutzte eine aktuelle Sicherheitslücke im Internet Explorer aus, um sich selbst zu aktivieren. Die Sicherheitslücke erlaubte es, Binärcode aus HTML-Dateien zu extrahieren und auszuführen. Sie wurde zum ersten Mal im Mai in Russland missbraucht (Trojan.Win32.StartPage.l), anschließend nutzten die Mimail-Familie und andere Trojaner die Sicherheitslücke. Die Autoren des Mimail-Wurms veröffentlichten auch den Quellcode, was im November zu einer Vielzahl neuer Varianten des Wurms führte, die von anderen Virenschreibern veröffentlicht wurden.
Der September gehörte Swen. I-Worm.Swen, der sich als Microsoft-Patch tarnte, schaffte es, mehrere Hunderttausend Computer weltweit zu infizieren und ist bis heute einer der weitverbreitetsten E-Mail-Würmer. Der Autor des Virus nutzte verängstige Anwender aus, die noch von den aktuellen Lovesan- und Sobig.f-Epidemien nervös waren.
Eine weitere ernste Epidemie wurde von Sober ausgelöst, einem relativ einfachen E-Mail-Wurm, der von einem Deutschen programmiert worden war. Der Wurm war eine Imitation von Sobig.f.
Im Jahr 2002 ging der Trend langsam in Richtung Backdoors und Spionage-Trojaner, und das setzte sich im Jahr 2003 fort. In dieser Kategorie waren Backdoor.Agobot und Afcore die bemerkenswertesten. Von Agobot existieren über 40 Varianten, da der Autor des Originals ein Netzwerk aus Webseiten und IRC-Kanälen aufbaute, über die jeder für eine Gebühr ab 150 Dollar zum Besitzer einer „exklusiven“ Version des Schädlings werden konnte, die nach den Wünschen des Kunden angefertigt wurde.
Afcore ist etwas weniger weit verbreitet. Doch um seine Präsenz im System zu verbergen, nutzt der Schädling eine ungewöhnliche Methode: Er platziert sich in zusätzlichen Dateisystemen des NTFS-Systems, das heißt im Katalog-Stream, nicht in den Datei-Streams.
Ein neuer und potenziell gefährlicher Trend kam Ende des Jahres mit einer neuen Art von Trojaner, dem TrojanProxy, auf. Das war das erste und klarste Zeichen dafür, dass sich Virenschreiber und Spammer zusammentun. Spammer begannen, Computer mit solchen Trojanern zu infizieren, um massenhaft Spam-Attacken durchzuführen. Klar ist auch, dass die Spammer an einer Reihe von Epidemien beteiligt waren, da Spamming-Technologien auch über Schadprogramme verbreitet wurden.
Internet-Würmer waren die zweitaktivste Virenklasse des Jahres, vor allem Internet-Würmer, die sich durch den Diebstahl von Passwörtern zu Remote-Netzwerk-Ressourcen fortpflanzten. Generell basierten solche Würmer auf IRC-Clients und durchsuchten die Adressen der IRC-Nutzer. Dann versuchten sie, die Computer über das NetBIOS-Protokoll und den Port 445 zu infizieren. Einer der bekanntesten Schädlinge dieser Klasse war die Wurmfamilie Randon.
Das ganze Jahr über blieben Internet-Würmer die dominierende Art schädlicher Software.
Viren (vor allem Macro-Viren wie Macro.Word97.Saver) landeten auf dem zweiten Platz. Allerdings überholten Trojaner die Viren im Herbst – ein Trend, der heute noch anhält.