Der Computerwurm Korgo, der sich derzeit eher im Schneckentempo durchs Netz bewegt, sorgt für Aufregung - allerdings weniger bei versierten Antivirenspezialisten, als vielmehr in den Medien. Die Anwender sind verunsichert. Dabei steht fest: Korgo ist nicht Sasser. Die Gefahren, die der neue Wurm potenziell mit sich bringt, sind zwar keineswegs zu unterschätzen. Doch besteht derzeit überhaupt kein Grund zur Panik.
Korgo ähnelt Sasser
Computerwurm Korgo wurde Anfang des Monats in Umlauf gebracht. Urheber ist vermutlich eine Gruppe von Programmierern, die sich Russian Hangup Team Virus Group nennt. Ihr Wurm ähnelt in Aufbau und Verbreitungsart dem Sasser-Wurm, der kürzlich weltweit zu erheblichen Schäden führte. Korgos Programmierer haben derzeit offenbar keine anderen Hobbys, als ihre Kreatur in immer neuen Versionen auf die User loszulassen. Korgo gibt es nämlich bereits in sechs Varianten, die sich aber – soweit ersichtlich - nur minimal voneinander unterscheiden.
Potenzielle Gefahren
Korgo verbreitet sich nicht per Email, sondern nutzt dieselbe Windows-Sicherheitslücke, von der auch Sasser profitierte. Um sich diesen Wurm in den PC zu holen, reicht also eine aktive Internetverbindung aus. Gefährdet sind aber nur ungepatchte Windows-PCs mit deaktivierter Firewall. Wer den kostenlosen Sicherheitsflicken eingespielt und installiert hat, den Microsoft bereits seit April anbietet, kann zur Tagesordnung übergehen. Auf ungeschützten PCs könnte Kargo theoretisch allerdings erhebliche Schäden anrichten. Das Schadprogramm öffnet nämlich auf befallenen Systemen eine Hintertür und versucht, mit bestimmten Chat-Server-Kanälen Kontakt aufzunehmen, von denen er Befehle erwartet. Theoretisch könnten die Korgo-Programmierer auf diese Weise die volle Kontrolle über den befallenen PC übernehmen. Derzeit ist aber offenbar noch nichts dergleichen geschehen.
Kann Korgo Passwörter klauen?
Für erhebliche Verunsicherung sorgten Presseberichte, nach denen Korgo in der Lage sei, Passworte und weitere persönliche Informationen wie Kreditkarten- oder Kontonummern auszuspionieren und an seine Urheber zurückzuschicken. Die Antivirenfirmen, die den Wurm genau unter die Lupe genommen haben, bestätigen solche Schadfunktionen nicht. Korgo komme ohne Spionagefunktionen ins Haus. Der Wurm sei allerdings in der Lage, Programme aus dem Netz nachzuladen und könne deshalb grundsätzlich auch mit Keyloggern, die alle Benutzereingaben aufzeichnen, nachgefüttert werden. Ob und inwieweit die Korgo-Autoren oder Trittbrettfahrer diese Funktion nutzen und Keylogger nachinstallieren, ist nicht mit Sicherheit bekannt. Antivirenfirmen wie Trendmicro und F-Secure gehen allerdings davon aus, dass die Russian Hangup Team Virus Group zurzeit dabei ist, den Keylogger Padodoor auf einigen Systemen nachzuinstallieren.
Entwarnung von Microsoft und vom BSI
Neben Microsoft sieht auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) „keine große Gefahr“ durch den Internetwurm Korgo. Entgegen anders lautenden Meldungen sei der Wurm in Deutschland nicht sehr weit verbreitet. Nach derzeitigem Kenntnisstand seien auch noch keine zusätzlichen Schadprogramme nachinstalliert worden. Trotzdem sollte sich natürlich jeder Windows-User vor Korgo und vor seinesgleichen schützen. Zunächst sollte die Windows-eigene Firewall aktiviert werden. Dann sollte, falls noch nicht geschehen, der Windows-Flicken MS04-11 zum Absichern der LSASS-Lücke, über die sich Korgo verbreitet, eingespielt und installiert werden. Für Systeme, die bereits mit Korgo infiziert wurden, bieten die meisten Antivirenfirmen kostenlose Removal-Tools an, die den Wurm rückstandslos beseitigen.
Zurück zur News-Übersicht
