Würmer und Zombies
Ein Wurm mit Vergangenheit
Die russische Antivirenfirma Kaspersky Labs stuft den Mytob-Wurm als besonders gefährliches Schadprogramm ein. Der neueste Spross der Wurmfamilie macht da keine Ausnahme. Mytob.AR verbreitet sich sowohl via Email als auch direkt übers Internet von PC zu PC. Er nutzt dabei exakt jene Schwachstelle im lokalen Windows-Sicherheitsdienst LSASS aus, die übrigens auch der Programmierer des deutschen Sasser-Wurms zur Verbreitung nutzte. Das Wurmprogramm selbst ist eine Modifikation des berühmt berüchtigten Email-Wurms MyDoom, der am 26. Januar 2004 erstmalig gesichtet wurde. Besondere „Berühmtheit“ erlangte er, weil er nach Einschätzung von Spezialisten der britischen Sicherheitsfirma Messagelabs eine neue Schadprogramm-Ära einleitete. MyDoom gehörte zu den ersten Schadprogrammen, die wirkungsvoll Viren- und Spamverbreitungstechnologien miteinander verbanden. Zudem zählen die MyDoom-Würmer zu jener Sorte von Schädlingen, die gezielt von Cyberkriminellen ins Netz gesetzt werden.
Urheber im kriminellen Milieu
Die hohe Zahl der Varianten, die mittlerweile von MyDoom bzw. Mytob existieren kommt nicht von ungefähr. Den kriminellen Urhebern geht es nämlich nicht mehr darum, ihren Kreaturen eine möglichst lange Lebensdauer einzuhauchen. Vielmehr setzen sie auf den Überraschungseffekt, auf den blitzartigen Angriff auf die Windows-Computer dieser Welt. Sie nutzen dabei gezielt jenes Zeitfenster, das zwangsläufig zwischen dem Start des Schadprogramms und der Entwicklung von Schutzprogrammen bzw. von aktuellen Virensignaturen entsteht. Bis sich User vor einer neuen Variante schützen können, ist der Schaden schon angerichtet: Genügend PCs sind infiziert. Auf Grund der vielen Varianten wird insgesamt ein hoher „Durchseuchungsgrad“ erzeugt.
Bagle.AR lädt Schadprogramme nach
Über die allerneuesten Eigenschaften und Schadfunktionen der gerade aufgetauchten Variante Bagle.AR gibt es derzeit noch keine gesicherten Erkenntnisse. Auch bei diesem Schadprogramm fallen die vielen Varianten auf, die in kurzen Zeitabständen im Netz der Netze auftauchen. Diese Vielzahl an Modifizierungen deutet darauf hin, dass auch die Bagle-Programmierer das Zeitfenster zwischen Aussetzen ihrer Würmer und Aktualisierung der Virensignaturen für ihre Zwecke nutzen wollen. Wie seine Vorgänger ist auch Bagle.AR in der Lage, aus dem Netz weitere Schadprogramme nachzuladen. Damit er ungestört arbeiten kann, schaltet er zudem etliche Antivirenprogramme ab.
Wo die Zombies sind
Beide Schadprogramme sind in der Lage, infizierte Rechner in fernsteuerbare Zombie-PCs umzufunktionieren. Die US-Internetsicherheitsfirma CipherTrust verbreitet auf ihren Webseiten seit kurzem eine regelmäßig aktualisierte Übersicht darüber, wie viele PCs nach den Berechnungen der Firma täglich neu zu Zombie-Rechnern umgemodelt werden. Die Firma analysiert zu diesem Zweck die Herkunft der Spammails, die von den CipherTrust-Emailfilter- und Sicherheitsprogrammen abgefangen werden. Auch wenn die Zahlen möglicherweise nur als Anhaltspunkte für die wirkliche weltweite Verbreitung von Zombie-PCs gewertet werden können, so liefern sie doch interessante Hinweise auf die Größenordnungen und die regionale Verteilung. CipherTrust zählte in den ersten drei Maiwochen dieses Jahres täglich im Durchschnitt 172.000 neue Zombie-PCs. Zwanzig Prozent befanden sich in den USA, fünfzehn Prozent in China und zehn Prozent in Südkorea. In der Europäischen Union stehen rund 26 Prozent der jeweils täglich neu infizierten Rechner, sechs Prozent davon befinden sich in Deutschland.
Zurück zur News-Übersicht
