Am 18. Januar 2004 wurde der E-Mail-Wurm Bagle entdeckt. Er startete eine ganze, neue Familie von Computerwürmern, die extra für illegale Zwecke entwickelt wurden. Bagle installierte trojanische Proxy-Server auf den Opfercomputern, die dann zum massenhaften Spam-Versand verwendet wurden.

In der Nacht vom 26. auf den 27. Januar brach eine weitere Epidemie aus, verursacht durch die erste Version des E-Mail-Wurms Mydoom. Die Epidemie erreichte sofort ihr höchstes Ausmaß, was darauf hindeutete, dass dies durch den massenhaften Versand infizierter Nachrichten über Zombie-Netzwerke ausgelöst wurde. Die Zahl der automatisch generierten E-Mails war so groß, dass viele Mail-Server in Firmen ausfielen oder ihre Leistung dramatisch eingeschränkt wurde, da sie den überwältigenden Datenverkehr nicht verarbeiten konnten. Mydoom hatte auch eine ganz klar kriminelle Grundlage: Genau wie Balge, installierte er trojanische Proxy-Server auf den Opfercomputern, um massenhaft Spam-Mails zu verschicken. Gleichzeitig wurde ein Backdoor-Trojaner installiert, der den Tätern vollen Remote-Zugriff auf die infizierten Computer ermöglichte. Der Höhepunkt der Epidemie war am 1. Februar erreicht, als der Wurm eine DDoS-Attacke auf die Webseite des UNIX-System-Herstellers SCO
(www.sco.com) startete. In der Folge war die Seite nicht mehr erreichbar und das Unternehmen musste für einige Zeit eine alternative Seite(www.thescogroup.com) verwenden.

Am 9. Februar brach eine Epidemie des Netzwerk-Wurms Doomjuice aus. Dieser Wurm verbreitete sich über Computer, die mit Mydoom infiziert waren, und drang über einen Netzwerk-Port ein, der von seinem Vorgänger geöffnet worden war, und der es erlaubte, Remote-Kommandos an die infizierten Computer zu schicken. Wenn ein infizierter Computer auf die Anfrage des Wurms antwortete, baute Doomjuice eine Verbindung dazu auf und kopierte sich selbst auf den antwortenden PC. Der Trojaner, der vorher von Mydoom installiert worden war, empfing diese Datei und startete sie. So suchte sich Doomjuice seine Opfer unter den Computern, die vorher von Mydoom infiziert worden waren.

Am 15. Februar begann die erste Epidemie durch den NetSky-Wurm, der bekannte Versionen von Mydoom von den Opfercomputern löschte und dann auch Bagle von den infizierten Computern entfernte. Im März 2003 begann der offene Krieg zwischen den beiden Gruppen – mit den NetSky-Unterstützern auf der einen, und den Mydoom- und Bagle-Unterstützern auf der anderen Seite. Am 3. März 2004 erschienen innerhalb von drei Stunden fünf neue Varianten dieses Wurms. Im März und April 2004 erzeugten die erfolgreichsten Versionen dieser Würmer 80 bis 90 Prozent des gesamten schädlichen Internetverkehrs. Mit späteren Versionen des Wurms zielten die rivalisierenden Gruppen auf die gegnerischen Schadprogramme ab und zerstörten diese, während sie gleichzeitig abwertende Botschaften für die Gegner hinterließen:

NetSky.c:

we are the skynet – you can’t hide yourself! – we kill malware writers (they have no chance!) – [LaMeRz->]MyDoom.F is a thief of our idea! – — ->->

NetSky.f:

Skynet AntiVirus – Bagle – you are a looser!!!!
Both sides were as vociferous as each other…

Mydoom.f:

to netsky’s creator(s): imho, skynet is a decentralized peer-to-peer neural network. we have seen P2P in Slapper in Sinit only. they may be called skynets, but not your shi**y app.

Bagle.i:

Hey, NetSky, f**k off you b**ch, don’t ruine our bussiness, wanna start a war?
Am 30. April brach eine große Epidemie mit dem Netzwerk-Wurm Sasser aus. Er drang über eine Sicherheitslücke im LSASS-Service von Windows in die Computer ein und brachte die infizierten Computer bisweilen dazu, neu zu starten. Sasser verbreitete sich rasant und brachte Millionen von Computer weltweit zum Stillstand. Tausende Firmen, Universitäten und Behörden konnten nicht mehr arbeiten. Manche Fluglinien, etwa British Airways und Delta Airlines, mussten Flüge verschieben oder streichen, mehrere Banken (unter anderem Goldman Sachs und Westpac Bank) blieben geschlossen, und die finnische Bank Samp schloss als Vorsichtsmaßnahme alle 130 Filialen. In Taiwan störte die Epidemie die Technologiemesse Computex und brachte ein Drittel der Postämter zum Stillstand. In Hongkong fielen die Computer in staatlichen Krankenhäusern aus und in Australien blieben die Züge der Austrailian Railways stehen.

Microsoft schrieb eine Belohnung von 250.000 Dollar für Informationen aus, die zur Ergreifung der Täter hinter Mydoom und Sasser führten. Im Mai 2004 schließlich wurde der 18-jährige, deutsche Student Sven Jaschan verhaftet und für die Programmierung und Verbreitung von Netsky und Sasser angeklagt. Wer hinter Mydoom steckte ist bis heute nicht geklärt.

Ebenfalls im Jahr 2004 tauchten hintereinander mehrere Konzeptviren auf. Solche Viren enthalten keine schädliche Ladung und generieren auch keinen illegalen Profit für ihre Programmierer. Sie werden ausschließlich geschaffen, um neue Verbreitungstechnologien für Schadprogramme vorzuführen. All die im Jahr 2004 aufgetauchten Konzeptviren wurden von Mitgliedern der Gruppe 29A geschrieben und direkt an verschiedene Antivirus-Firmen gesandt.

Am 27. Mai tauchte Rugrat auf, der erste Virus, der ausführbare Dateien unter der 64-Bit-Version von Windows befiel.

Am 14. Juni kam Cabir, der erste Wurm für Smartphones mit dem Betriebssystem Symbian. Cabir verbreitete sich per Bluetooth: Er suchte nach Smartphones mit offener Bluetooth-Verbindung und schickte seinen Code dorthin. Nach einiger Zeit kamen aus verschiedenen Ländern Berichte über Infizierungen.

Am 17. Juli tauchte Duts, der erste Virus für Windows Mobile, eine der beliebtesten Plattformen für mobile Geräte wie PDAs und Smartphones, auf.

Mit Brador wurde am 5. August der erste Backdoor-Trojaner für Pocket-PCs unter Windows CE sowie neueren Versionen von Windows Mobile entdeckt. Brador war auch das erste Schadprogramm für mobile Geräte, das dazu entwickelt worden war, illegalen Profit zu machen.

Gegen Ende 2004 tauchte eine Version von Gpcode auf, einem Trojaner, der die Nutzerdaten verschlüsselte und von den Opfern für die Entschlüsselung ein Lösegeld forderte.

Ab 2004 wurde der Großteil der Würmer und Trojaner entwickelt, um illegal Geld zu machen. Die Zahl der „nervigen“ Schadprogramme fiel in die Bedeutungslosigkeit, verglichen mit der Menge der Crimeware, die digitale Identitäten und vertrauliche Daten stahl, DDoS-Attacken durchführte und Spam versandte. So genannte Bankangriffe haben sich in dieser Zeit ebenfalls weiterentwickelt, verursacht durch Trojaner, die Zugangsdaten zu Bankkonten abgriffen. Die Zahl der Phishing-Angriffe, die für den Diebstahl von Geld entwickelt wurden, stieg ebenfalls sehr stark an.

2004 war auch das Jahr, in dem die Zahl der polizeilichen Ermittlungen zunahm, die oft zu Verhaftungen führten. Insgesamt wurden etwa hundert Täter in verschiedenen Ländern gefasst, denen unterschiedliche digitale Verbrechen angelastet wurden.

Wenn man die Lage der Schadprogramm-Epidemien im Jahr 2004 betrachtet, kann diese in zwei klare Perioden eingeteilt werden: Während der erste Jahreshälfte gab es zahlreiche Epidemien durch E-Mail-Würmer. Der Wendepunkt kam im Sommer, als deren Zahl und Verbreitung dramatisch reduziert wurden. Den Grund dafür kann man nur ahnen – wir gehen davon aus, dass folgende Faktoren involviert waren:
Die Antivirus-Hersteller lernten, schneller auf Schadprogramm-Ausbrüche zu reagieren und entsprechende Updates zu veröffentlichen, während die Internet-Anbieter lernten, überall Sicherheitssoftware zu installieren und dass Antivirus-Programme mit speziellen Filtern ergänzt werden müssen. Diesen Maßnahmen konnten die Entwicklung und das Ausmaß von E-Mail-Wurm-Epidemien eindämmen.

Nachrichten zur Festnahme mehrerer Schadprogramm-Autoren gingen durch alle Massenmedien und es wurden hohe Belohnungen für Informationen, die zur Ergreifung wichtiger Cyberkrimineller führten, ausgeschrieben. All diese Aktivitäten entmutigten viele Underground-Programmierer, weiterhin schädliche Software zu entwickeln.

Für die Ziele Cyberkrimineller sind große Epidemien mit Millionen infizierter Computer weniger nützlich als sich langsam verbreitende, kontrollierbare Infizierungen in kleinem Maßstab mit nur wenigen Zehntausenden infizierten Computern, aber einer größeren Menge verschiedener Trojaner.