info@aca-gmbh.de

+49 7121 50 93 82

Security ist in aller Munde

Doch gegen wen will man sich eigentlich schützen ? Wie arbeitet die Gegenseite und welche Methoden stehen ihr zur Verfügung ? Wie funktioniert "Hacking" ? Und wie kann man sich effektiv vor Eindringlingen schützen?

Viren, Würmer und Trojaner

Die Grenze zwischen den verschiedenen Schädlingen ist gar nicht so leicht zu ziehen, manche Schadprogramme sind zugleich Virus, Wurm und Trojaner.

"Virus" ist sowohl Oberbegriff für alle Arten von schädlicher Software als auch die Bezeichnung für ein schädliches Programm mit spezifischen Eigenschaften.

Der Unterschied zwischen Virus und Wurm liegt in der Verbreitungsstrategie:

Viren verbreiten sich innerhalb von PCs, Würmer nutzen die Infrastruktur eines Netzwerkes, um sich zu verbreiten.

Trojaner sind die Tarnkappenbomber unter den Viren. Sie tarnen sich meistens als nützliche Programme, um im Verborgenen ihre Schadensfunktion auszuüben.

Der klassische Virus ist ein Schadprogramm, das sich von Datei zu Datei auf einem Computer ausbreitet. Der Virus repliziert sich selbst, zum Beispiel wenn der Benutzer ein bestimmtes Programm ausführt oder den Computer hochfährt (siehe dazu auch "Wissenswertes über Viren"). Damit der Virus sich auf dem PC ausbreiten kann, muss er aktiviert werden, und dazu ist menschliche Hilfe nötig, auch wenn der PC-Benutzer natürlich nicht weiß, dass er mit dem Öffnen einer Datei oder dem Starten des Computers seinen Rechner infiziert.

Strategie des Virus: den Wirt beherrschen

Die "Absicht" vieler Viren ist es, so viele Dateien wie möglich innerhalb eines Computers zu infizieren oder vitale Funktionen zu blockieren. Viren können nur dann von einem auf den anderen Computer übergreifen, wenn sie zum Beispiel per Diskette übertragen werden. Natürlich können sie auch per E-Mail mit infiziertem Anhang verschickt werden.

Das bedeutet aber auch, dass der klassische Virus sich nur so schnell verbreitet, wie Menschen sich untereinander auf digitalem Wege austauschen, den Virus in ihrem Schlepptau. Es kann mitunter Tage oder Wochen dauern, bis eine Virusinfektion von einem auf den anderen PC gelangt.

Wurm: Der Autonome

Ein Wurm ist ein Schadprogramm, dass sich von Computer zu Computer via Netzwerk selbsttätig weiter verbreitet. Die "Absicht" der Würmer ist es, so viele Computer wie möglich innerhalb eines Netzwerks zu befallen. Würmer brauchen, sind sie erst einmal auf den Weg gebracht, kein menschliches Zutun, um sich rasend schnell innerhalb eines Firmennetzwerks oder über das Internet zu verbreiten. Sie benutzen beispielsweise die E-Mail-Funktionen eines Rechners, um sich an beliebige Internetadressen zu versenden. Neben ihrer Fähigkeit zur schnellen autonomen Verbreitung haben Würmer eine Ladung, das eigentliche Schadprogramm, das sich wie ein herkömmlicher Virus innerhalb des befallenen PCs austobt.


Strategie des Wurms: die Menge macht‘s

Während der "Internet Wurm" im Jahr 1988 es gerade mal auf 6.000 infizierte Systeme brachte, konnte Melissa innerhalb von nur drei Tagen 100.000 Systeme lahm legen. Die Schäden sind dadurch natürlich ungleich höher als noch vor über 10 Jahren. Sind also die heutigen Würmer moderner und leistungsfähiger als ihre Vorfahren? Im Grunde genommen nicht: Explore Zip hat 1999 eine ähnliche Strategie verwendet wie der "Internet Wurm" 11 Jahre zuvor.

Der große Erfolg von Würmern heutzutage ist auf ihre verbesserten "Lebensbedingungen" zurückzuführen.


Würmer gedeihen heute aus vier Gründen so richtig gut:

Standardschädling fürs Standardsystem

Die homogene Softwarelandschaft trägt dazu bei, dass sich Würmer so weit verbreiten können. Microsoft Windows ist allgegenwärtig. Während vor gut 12 Jahren große Unternehmen ihre spezifischen Betriebssysteme mit eigenen Anwendungen hatten, ist man heute längst dazu übergegangen, standardisierte Software zu verwenden. Die Angriffsfläche für Würmer ist somit ernorm gewachsen.


Millionen PC-Benutzer mit Internetzugang: Ins Netz gegangen

Je höher die Kommunikationsdichte, umso schneller können sich Würmer verbreiten. Anders ausgedrückt: Die Geschwindigkeit von Würmern wächst proportional zur Internetgeschwindigkeit.


Fehlende Anonymität: Das "Ich war hier"-Syndrom

Immer mehr Internetbenutzer lassen sich in Internetverzeichnissen, Mailboxseiten oder Chatrooms als Besucher eintragen und geben so ihre E-Mail-Adresse jedermann preis. Würmer zapfen jedoch nicht nur private E-Mail-Verzeichnisse an, sondern auch öffentliche, um sich automatisch an alle diese Adressen zu versenden.


Fröhliches Heimwerken: So basteln wie uns einen Wurm

Die Programmierbarkeit von Computern hat stark zugenommen. Kaum ein fortschrittliches Office-Programm verzichtet noch auf Makros, die der Laie bequem nach Handbuch mit VBS (Visual Basic Script) anfertigen kann. Auch Würmer lassen sich mit dieser einfachen Programmiermethode rasch herstellen. Für den Loveletter dürften das Microsoft-Handbuch, ein Nachmittag und eine ordentliche Portion kriminelle Energie genügt haben, um einen Schaden von geschätzten 2,5 Milliarden Dollar weltweit anzurichten.

Trojaner: Der Heimliche

Aus jedem simplen Virus oder Wurm kann mit entsprechenden Zusatzprogrammen ein Trojanisches Pferd oder kurz: Trojaner werden. Das sind Programme, die sich als nützliche Anwendungen tarnen, im Hintergrund aber ohne das Wissen des Anwenders eine Schadensroutine ausführen. Nach dem Start des Tarn-Programms wird auch die schädliche Ladung auf dem PC aktiviert.


Strategie des Trojaners: sensible Daten aushorchen

Die "Absicht" vieler Trojaner ist es, unbemerkt so viele sensible Benutzerdaten wie möglich auszuspähen. Wenn der Internetbesucher persönliche Daten wie zum Beispiel Passwörter für das Onlinebanking oder für Mailaccounts, Kreditkartennummern und Ähnliches übermittelt, schreibt der Trojaner mit. Die Leistungsfähigsten unter ihnen sind in der Lage, die wirklich interessanten Informationen herauszufiltern, und übermitteln diese dann per E-Mail an den Hacker, sprich den Absender des Trojaners.


Attacke durchs Hintertürchen

Eine besonders aggressive Form des Trojanischen Pferdes sind so genannte Backdoor-Trojaner. Diese richten auf dem Wirtssystem offene Ports (Backdoors) ein, durch die der Hacker einfallen kann. Mit Hilfe von Backdoor-Trojanern kann der Hacker auf fremde Rechner zugreifen und hat dann die Fernkontrolle über praktisch alle Funktionen.

Hoax – Viren

1994, als E-Mail noch hauptsächlich via ASCII – Text funktioniert hat und Mail-Clients noch keinerlei Code ausführen konnten, hat sich Good Times breit gemacht -

Dieser Kettenbrief warnte davor, dass Mails mit dem Betreff "Good Times'' auf gar keinen Fall angeschaut werden dürfen, da ansonsten ein Virus heruntergeladen würde, der die eigene Platte vollständig löschen würde.


Melissa - W97M.Mailissa.A (W97M.Melissa.A)

Welweit Millionen E-Mails versandt.


Ein "Makro-Virus". Ein Programm oder Code-Segment welches in der Makro-Sprache einer Applikation geschrieben ist. Manche Makro-Viren replizieren sich, andere infizieren andere Dokumente.

W97M.Melissa.A ist ein Word 97 Makro-Virus, welcher als Nutzlast sich selbst versendet, indem er MS Outlook benutzt. Der Betreff der E-Mail ist "Wichtige Nachricht von USERNAME".

Wenn der Benutzer ein infiziertes Dokument öffnet, versucht der Virus eine Kopie des Dokuments an bis zu 50 andere User zu versenden, über MS Outlook.

Melissa infiziert MS Word 97 und MS Word 2000 Dokumente indem er ein neues VBA5 Makro Modul names Melissa einfügt.

Interessanterweise hat Melissa in der Registry von Windows eingetragen, ob von dem infizierten Rechner bereits E-Mails versandt wurden. Wenn ja, wurden die E-Mails kein zweites Mal versendet!

Melissa war ein Vorbild für die zahllosen Würmer und Viren, die sich wie der ILOVEYOU-Virus noch schneller durch die Verführung der naiven Nutzer ausbreiteten.

Nach einem Jahr hatte Melissa bereits geschätzte 100.000 Computersysteme weltweit infiziert und es gab 43 verschiedene Varianten. Allein in den USA hatte der Melissa-Virus geschätzte Kosten in Höhe von 400 Millionen Mark verursacht (Quelle: ICSA). In einer weltweiten Fahndungsaktion konnte das FBI den Virusautor David L. Smith nach drei Tagen verhaften.


Love-Letter-Virus

Loveletter ist ein Wurm, der den Empfänger glauben lässt, einen Liebesbrief zu erhalten. E-Mails sind mit dem Attachment LOVE-LETTER-FOR-YOU.TXT.VBS versehen, einem Visual Basic Script. Weiterhin hat sich Love-Letter über IRC verbreitet, indem er automatisch Nachrichten verschickt hat mit Hinweis auf LOVE-LETTER-FOR-YOU.HTM. Loveletter hat sich automatisch an alle Einträge im Outlook Adressbuch versendet.

Dieser Wurm hat Dateien gelöscht (Überschrieb Dateien mit seinem eigenen Quellcode - VBS, VBE, JS,JSE,CSS,WSH,SCT, HTA, JPG,JPEG,MP3 and MP2) und ausserdem Informationen über den Computer an den Virus Autor versendet.Love-Letter Versuchte außerdem, einen Trojaner von einer Website zu laden, um Passwörter auszuspionieren.Schaden im Wert von 8,8 Milliarden US-Dollar angerichtet.(Schätzwert von Mi2g - England) "I love you" und seine Folgen


Der Mai ist der Wonnemonat – die richtige Zeit, um sich zu verlieben. Anfang Mai 2000 freuten sich daher Millionen von Menschen über Liebespost in ihrer E-Mailbox. Unter Betreff war "I love you" eingetragen. "Wer schreibt mir denn da?" wollten treuherzige PC-Benutzer wissen und öffneten den Anhang – ein schwerer Fehler. Was dann passierte, legte innerhalb von drei Tagen weltweit mehr als eine halbe Million Systeme lahm und verursachte Schäden, die nur schwer zu beziffern sind. Schätzungen schwanken zwischen einer und 2,6 Milliarden US-Dollar. Innerhalb einer Woche nach dem Ausbruch stieg die Zahl der infizierten Systeme auf mehrere Millionen. Der Wurm ließ sogar die E-Mail-Server des Pentagon, des Britischen Parlaments und der NASA zusammenbrechen. Der Liebesgruß, über den sich viele gefreut hatten, entpuppte sich als aggressiver Wurm, der sich rasend schnell ausbreitete.

Der Massenmailer Melissa hatte es ein gutes Jahr zuvor vorgemacht: Auch er nutzte die gespeicherten Adressen des PC-Benutzers aus dem E-mail-Programm Microsoft Outlook, um sich als E-Mail-Attachment zu verteilen.

Der "I love you"-Wurm heißt eigentlich "VBS Love Letter" und ist ein in Visual Basic Script geschriebener Wurm, also ein netzwerkfähiger Virus.

Neben seiner so einfachen wie wirkungsvollen Verbreitungsmethode weist er folgende Schadensroutine auf: Er kopiert sich zunächst selbst in das Windows\System-Verzeichnis und sorgt dafür, dass er beim Start von Windows ausgeführt wird. Sodann öffnet er eine "Hintertür" für den Trojaner "WIN-BUGSFIX.exe", indem er den Internet Explorer veranlasst, diesen aus dem Internet herunterzuladen. Dieses Programm späht Passwörter aus und sammelt Informationen über das System. Schließlich macht sich der Wurm auf die Suche nach Dateien mit den Endungen vbs, vbe, js, jse, css, wsh, sct, hta, mp3, mp2, jpg, jpeg und überschreibt oder "versteckt" sie.

Was lehrt uns "I love you"?

Würmer wühlen sich durch jedes Netzwerk, wenn man ihnen die Möglichkeit dazu gibt: E-Mail-Anhänge - auch von Bekannten - nicht ohne weiteres öffnen.

Erfolg macht sexy: das große Medieninteresse an "I love you" hat 29 Trittbrettfahrer animiert, eine Variante des Wurms in Umlauf zu bringen.

Würmer sind schneller als Menschen. Zumindest die digitalen. Schnelle und automatisierte Virenschutzsysteme bieten die einzige Chance, der Ausbreitung eines netzwerkfähigen Virus wie "I love you" entgegen zu treten.

Viren und Würmer profitieren vom "Social Engineering": aus Neugierde, Spieltrieb oder Vertrauensseligkeit klicken viele E-Mail-Benutzer einfach die Nachricht eines Bekannten mit der "tollen Animation" an, während im Hintergrund der Virus sein zerstörerisches Werk vollbringen kann.

Würmer sind in Mode, weil sie Netzwerke zu ihrer Verbreitung ausnutzen können. 9 von 10 Viren, die dem Symantec Security Response – Center zugeschickt werden, sindnetzwerkfähig.

Die homogenen Computer-Infrastrukturen (weltweit verwendete Standardsoftware, hohe Zahl von vernetzten PCs) und die Vernachlässigung des Virenschutzes bilden den perfekten Nährboden für effiziente, hochgefährliche Virenarten.


Nimda

W32.Nimda.A@mm ist ein Massenmailer-Wurm der versch. Methoden benutzt, um sichzu verbreiten. Nimda steht übrigens für "Admin”, nur falsch herum geschrieben.Dieser Wurm versendet sich selbst per E-Mail, sucht nach Netzwerkfreigaben und versucht sich selbst an ungepatchte oder verwundbare MS IIS Webserver zu kopieren. Der Virus infiziert lokale und Netzwerkdateien. Der Wurm hat gleich mehrere Fortpflanzungsmethoden:

1) Von Client zu Client per Email oder über freigegebene Verzeichnisse


Nimda war einer der ersten Würmer, der mit einem eigenen SMTP-Server daherkam, das heißt, Nimda war nicht mehr auf einen öffentliche Mail-Server angewießen, um sich selbstständig verbreiten zu können.

Durch eine bekannte Schwachstelle in Microsofts Internet Explorer, die eingebettete MIME-Types automatisch ausführt, infiziert diese E-Mail Windows-Systeme, auf denen ein ungepatchter IE zum Anzeigen von HTML-Mails verwendet wird (unabhängig vom verwendeten Mailprogramm!) durch einfaches Öffnen dieser Mail.

Nach der Infektion versucht der Wurm nach bekanntem Muster, sich selbst an alle Adressen zu versenden, die als Absender in der Inbox des Nutzers, oder in .htm oder .html - Dateien im Verzeichnis Temporary Internet Files gefunden wurden.

Darüberhinaus versucht Nimda, sich auf alle verfüg- und beschreibbaren freigegebenen Verzeichnisse im Windows-Netzwerk zu kopieren. Im Erfolgsfall muss jedoch für eine Infizierung des Zielsystems der Wurm dort von Hand gestartet werden.

Unter anderem kopiert sich der Wurm als "riched20.dll" in jedes Verzeichnis (lokal oder Netzwerk), welches eine .doc oder .eml - Datei enthält. MS Word, MS Wordpad oder MS Outlook werden beim Öffnen dieser Dateien die falsche "riched20.dll" ausführen.

2) Verbreitung Client to Webserver

Außerdem beginnt Nimda damit, durch verschiedene Schwachstellen verwundbare Internet Information Server im Netz zu suchen. Dazu scannt das Programm verschiedene IP-Adreßbereiche, die es nach dem folgenden Prinzip auswählt:

In 50% der Fälle wird eine Adresse gewählt, die in den ersten beiden Octets mit der Adresse des eigenen Systems übereinstimmt.
In 25% der Fälle stimmt die gewählte Adresse im ersten Octet überein.
In 25% der Fälle wählt Nimda eine zufällige IP-Adresse aus.

Der Wurm sucht nach folgenden Schwachstellen:

Backdoors verursacht durch CodeRed2-Befall und durch den "sadmind/IIS" Wurm.

Direktes Ausnutzen einer IIS-Schwachstelle "IIS Directory Traversal vulnerability".

Im Erfolgsfall infiziert Nimda den gefundenen IIS, transferiert via TFTP eine Kopie von sich selbst auf den Server und startet sie. (Trivial File Transfer Protocol - bietet nur ein Minimum an Kommandos und unterstützt keine aufwendigen Sicherheitsmechanismen. Minimaler Umfang an Code) Auf dem neu infizierten System durchläuft Nimda rekursiv alle lokalen oder per Windows-Netzwerk verbundenen Verzeichnisse und legt wiederum eine Kopie von sich unter dem namen "readme.eml" ab.

Enthält eines dieser Verzeichnisse Web-Inhalte (HTML- und ASP-Dateien), so wird jeder dieser Dateien folgender Javascript-Code hinzugefügt, der der Weiterverbreitung per WWW dienen soll:

<script language="JavaScript">
 window.open("readme.eml", null, "resizable=no,top=6000,left=6000")
</script>

3) Von Webserver zu Client durch Browsen kompromitierter Webseiten

Ruft ein Benutzer mit einem Javascript-fähigen Browser eine der in oben genannter Weise modifizierten Webseiten auf, so wird eine Kopie der Datei readme.eml auf das Client-System heruntergeladen. Je nach Browserart und Konfiguration startet der Browser die Datei und infiziert dadurch den Client.

Und zu guter Letzt aktiviert Nimda eine Hintertür in Windows NT/2000-Rechnern, indem er einen Gast-Account mit Administrator-Rechten anlegt.


Code Red (tauchte bereits kurz vor Nimda auf)

Der "Code Red" getaufte Schädling infizierte Rechner, die eine bekannte Sicherheitslücke im Microsoft Indexing Service aufwiesen. Betroffen waren alle Windows-NT- und 2000-Systeme mit dem Microsoft Internet Information Server (IIS) 4.0 oder 5.0Infizierte Rechner wiesen eine veränderte Website mit der Zeile "HELLO!" im title- und "Hacked by Chinese!" im body-Bereich auf. Code Red befiel die betroffenen Rechner über eine direkte TCP/IP-Verbindung auf Port 80, dabei schreibt er sich zu keiner Zeit in irgendeiner Form auf die Festplatte – der Schädling residiert lediglich im Speicher der infizierten Computer. Diese Eigenart hebelte zwar herkömmliche Virenscanner aus, allerdings ließ sich der Wurm dadurch auf einfache Weise manuell entfernen:Administratoren mussten dazu einfach einen Patch einspielen und anschließend den Computer rebooten.Code Red 2


Kürzlich wurde ein Nachfolger des Code Red-Wurms, der die Seiten des Weißen Hauses lahmlegen wollte, im Internet entdeckt.

Code Red 2 hat jedoch nicht solch politische Ziele, sondern richtet auf jedem infizierten Webserver eine Backdoor ein, so dass praktisch jeder kompletten Zugriff auf einem infizierten System erlangen kann. Dabei wird die "Explorer.exe" recht einfallsreich durch einen Trojaner ersetzt und zwar ohne die Funktionalität des Systems zu beinträchtigen.

24 Stunden (bei Systemen mit chinesischer Einstellung sind es 48 Stunden) nachdem der Wurm einen Rechner befallen hat, fängt er an, mit einer hohen Geschwindigkeit nach anderen Microsoft IIS Webservern zu suchen und versucht diese durch einebekannte, Bufferoverflow in der ISAPI-Extension des IIS zu übernehmen.


SQL-Slammer

Der Wurm "SQL Slammer" nutzt eine Sicherheitslücke bei Microsofts SQL Server und greift von infizierten Systemen aus per Zufall andere Systeme im Internet an. Dabei verursacht der Wurm einen enormen Traffic. Internet Security Systems berichtete beim ersten Auftauchen von mehreren Milliarden Angriffen durch Slammer in nur zwölf Stunden. Enthält zwar keine direkte Schadroutine, verursacht aber einen extrem hohen Traffic, der bei einigen großen ISPs zu erheblichen Problemen geführt hat.Slammer nutzt eine Sicherheitslücke von Microsofts SQL 2000 Server, für den bereits seit Oktober 2002 ein Patch bereitsteht, und generiert einen enormen Datenverkehr über UDP Port 1434, wodurch die Betreiber der Server mit nicht unerheblichen zusätzlichen Kosten rechnen müssen. Der Wurm sucht und infiziert weitere SQL Server und dehnt sich dadurch sehr schnell aus. Slammer verbreitet sich dabei schneller als "Code Red" und belastet durch die von ihm generierte Datenlast die Performance des Internet. Der Wurm verursacht einen Buffer Overflow und gewinnt damit die Kontrolle über den Server, der jeweils Ziel des Angriffs ist. Microsoft SQL Server 2000, die bereits mit dem Service Pack 3 ausgestattet sind, sind von Slammer nicht betroffen. Selbst ist Slammer nur 376 Bytes groß. Ähnlich wie der CodeRed.A-Wurm aus dem Jahre 2001 hinterlässt Slammer keine Spuren auf der Festplatte und ist nur im Speicher aktivFür Virenscanner ist es daher unmöglich, auf Dateiebene nach dem digitalen Schädling zu suchen und damit den Wurm zu erkennen. (SQL-Slammer beeinträchtigte US-Kraftwerksteuerung

Bereits im Januar hat es eine mehrere Stunden andauernde Störung des primären Steuersystems von US-Stromkraftwerken durch eine Wurm-Attacke gegeben. (Heise)


Bugbear

Besitzt besonders kritische Schadroutinen: Er versucht gezielt, Antiviren-Software auszuhebeln, spioniert persönliche und geheime Daten des Anwenders aus und enthält eine Hintertür."Bugbear" verbreitet sich als E-Mail über einen eigenen SMTP-Client; die Betreffszeilen und Namen der Attachments (50.688 Byte groß) variieren dabei. Dabei versucht er zusätzlich, eine Sicherheitslücke in Microsoft Outlook respektive Outlook Express auszunutzen, durch die sich das Attachment automatisch starten lässt, sofern die E-Mail in der HTML-Ansicht gerendert wird. Hat der Wurm den Rechner befallen, öffnet er den TCP-Port 36794, um nach aktiven Firewalls und Antiviren-Programmen zu suchen und diese auszuhebeln.

Weiterhin ist es Angreifern möglich, über den offenen Port in das System einzudringen und beliebigen Code auszuführen. Außerdem klinkt sich eine Bibliothek (PWS-Hooker.dll) in das Windows-System ein, die sensitive Daten wie Kreditkarteninformationen, Passwörter und PINs ausspioniert.


Blaster (LoveSan)

12.08.2003 - W32.Blaster befällt Hunderttausende von PCs:

Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan

Nutzt einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP.

Auf befallenenen Systemen (A) startet der Wurm einen TFTP-Server und greift weitere Windows-Systeme (B) auf Port 135 an. War ein Angriff erfolgreich, wird der eingeschleuste Code ausgeführt, der auf System B eine Shell auf Port 4444 öffnet. System A veranlasst System B mittels TFTP (tftp get msblast.exe) die Datei msblast.exe in das Verzeichnis %WinDir%\System32 nachzuladen und zu starten. Anschließend installiert sich der Wurm auf System B, schließt Port 4444, startet einen TFTP-Server und greift weitere Systeme an.

Der Wurm versucht nach Angaben von Symantec eine Denial-of-Service-Attacke gegen windowsupdate.com durchzuführen. Als Zeitraum dafür ist der 16. August bis 31. Dezember definiert. Auf befallenen Systemen werden folgende Registry Einträge erzeugt:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run "windows auto update" = msblast.exe I just want to say LOVE YOU SAN!! bill

Erkennbar ist ein Befall auch am offenen UDP-Port 69, auf dem der TFTP-Server auf ankommende Verbindungen wartet. Darüberhinaus öffnet ein infiziertes System 20 TCP-Ports im Bereich 2500 bis 2522 und versucht Verbindungen mit weiteren Systemen aufzunehmen. Der genaue Zweck dieser Verbindungen ist noch unklar, Symantec gibt an, dass sie zu Angriffszwecken geöffnet werden. NAI weist hingegen darauf hin, dass die Ports im LISTEN-Mode geöffnet werden, also auf eingehende Verbindungen warten.

W32.Blaster verbreitete sich allerdings doch nicht so dramatisch wie zunächst angenommen. Die Angaben über die Zahl der bisher von W32.Blaster weltweit befallenen Systeme schwanken zwischen 120.000 (Symantec) und 1.4 Millionen (CERT/CC). Der Grund für die Diskrepanz liegt in der unterschiedlichen Zählweise von IP-Adressen, von denen Verbindungen ausgehen, die auf einen Wurmbefall schließen lassen. Die Zahl wird aber eher gegen das untere Ende der Skala tendieren, da der Wurm im Vergleich zu bisherigen Schädlingen wie Code Red oder SQL-Slammer eine wesentlich langsamere Verbreitungsgeschwindigkeit hat und schlampig programmiert wurde.

Nach Angaben der Sicherheitsfachleute von eEye ist ein Wurm, der Programmteile nachladen muss, ineffizient und fehleranfällig. Der bisher zu verzeichnende Schaden beschränkt sich auf eine erhöhte Netzlast, teils durch den Wurm verursacht, teils durch Heimanwender, die versuchen, sich den Patch zum Beseitigen des Sicherheitslochs von Microsofts Website zu besorgen. In der Mehrzahl sind Privatanwender befallen worden, die über keine Schutzfunktionen wie zum Beispiel Router oder Personal Firewall verfügten. Unternehmensnetzwerke sind bisher weitestgehend verschont geblieben, nicht zuletzt durch leistungsfähige Firewalls und Intrusion Detection Systeme (IDS), die verdächtige Aktivitäten sofort melden und Gegenmaßnahmen einleiten. Die Signaturen, um Angriffe auf das RPC/DCOM-Sicherheitsloch zu erkennen, waren für das Open-Source-IDS Snort bereits mit dem Auftauchen der ersten Exploits ("dcom.c") verfügbar. Der Wurm W32.Blaster verbreitet sich über einen Fehler im RPC-Dienst auf Port 135. Zwei Schritte helfen, um einen Angriff des Wurms abzuwehren: Patch einspielen oder Port 135 blockieren -- im Zweifelsfall sollte man beides machen. Zusätzlich sollten die UDP- und TCP-Ports 137 bis 139, 445 und 593 blockiert werden. Ein Abschalten des RPC-Dienstes wird nicht empfohlen, da viele andere Dienste RPC benötigen W32.Blaster zeigt beim Angriff auf Systeme störende Nebeneffekte: Eine Fehlermeldung erscheint bei einigen Systemen in einem Pop-up-Window, mit dem Hinweis, dass der PC neu gestartet werden muss. Anschließend wird der PC automatisch heruntergefahren. Dieser Effekt beruht auf fehlender Kenntnis des Wurms über die Plattform des angegriffenen Systems. Der Wurm basiert auf dem seit zwei Wochen kursierenden Exploit "dcom.c". Die bisherige Version enthielt Offsets für 48 Zielplattformen zum erfolgreichen Anspringen des Shell-Codes auf dem Stack. Der Wurm verwendet nun zwei universelle Offsets für Windows XP und 2000. Zum Angriff muss der Wurm einen Offset auswählen: In 80 Prozent der Fälle wählt er den Offset für Windows XP. Ist das angegriffene System dann Windows 2000, führt das zum Absturz der "svchost.exe" und einem erzwungenen Reboot. Darüber hinaus gibt es auch noch einen Fehler im Wurm-Code selbst, der nach einer Infizierung ebenfalls die "svchost.exe" zum Absturz bringen kann Mittlerweile mehren sich die Meldungen, dass doch mehr Unternehmensnetzwerke als angenommen befallen sind. Offenbar wurde der Wurm über infizierte Laptops in die Netze geschleppt oder über falsch konfigurierte Firewalls. Der Stern berichtet über den Zusammenbruch des Verkehrsamtes im US-Bundesstaat Maryland, in Intels Netzwerken soll der Wurm auch kurz aufgetaucht sein, eine Zweigstelle der amerikanischen Notenbank in Atlanta hat es ebenfalls erwischt und BMW hat den Schädling inzwischen unter Kontrolle.


Sobig (W32.Sobig.F@mm) Wurm

19.08.03
Während Blaster immer noch wütet und sogar in versch. Varianten versucht sich selbst zu vernichten, tauchte am 19.08.03 dann schon Sobig.F auf, eine Variante der bekannten Sobig-Würmer. (Sobig.A tauchte im Januar auf)

Name: W32.Sobig.F@mm alias Sobig.F [F-Secure] W32/Sobig.F@MM [McAfee] WORM_SOBIG.F [TrendMicro] Größe des Anhangs: 72.000 (mit TELock gepackt) Betriebssystem: Microsoft Windows Art der Verbreitung: Massenmailing Schadensfunktion: Massenmailing (Absender gefälscht!) Trojanisches Pferd, das Rechner als SPAM-Relay-Server nutzt

W32.Sobig.F@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen SMTP-Maschine an alle Adressen sendet, die er in Dateien mit der Endung .wab, .dbx , .htm, .html, .eml, .txt, .hlp, .mht, findet.

Der Wurm lädt aus dem Internet Dateien, die beim Ausführen dafür genutzt werden, den infizierten Rechner in einen SPAM-Relay-Server umzuwandeln.

W32.Sobig.F@mm verbreitet sich nur bis zum 09.09.2003. Nach diesem Zeitpunkt deaktiviert er sich von selbst. Eine Verbreitung nach diesem Zeitpunkt ist möglich, wenn auf dem infizierten Rechner die Systemzeit falsch eingestellt ist! (Fast alle Sobig-Varianten haben ein Ablaufdatum)

Sobig.F verbreitet sich wie seine Vorgänger über E-Mail (mit eigener SMTP-Engine) und Netzwerkfreigaben unter Windows. Im Unterschied zu den jüngsten RPC-Würmern können sich Rechner jedoch nicht automatisch infizieren, sondern es muss explizit das Attachment ausgeführt werden.

Die Namen der Attachments und Betreffszeilen variieren dabei und auch an der Größe des Dateianhangs kann man den Schädling nicht erkennen, da er teilweise Müll-Daten hinten anfügt, um seine wahre Größe zu verbergen.

Tückisch an dem Wurm ist auch, dass er wie schon bei vorherigen Varianten sowohl Absender- also auch Empfängeradressen fälscht. Besonders E-Mails mit Attachments, die von vermeintlich bekannten Adressen kommen, sind also mit Vorsicht zu genießen.


W32.Sasser.Worm ist ein Internetwurm, der sich über eine nicht geschlossene Sicherheitslücke im Betriebssystem Windows XP, Windows 2000 verbreitet.

Es sind mehrere Varianten bekannt, die sich in ihrer Funktion nicht wesentlich unterscheiden.

Es handelt sich dabei um eine Schwachstelle im sog. Local Security Authority Subsystem Service (LSASS). Diese Schwachstelle ist seit dem 13. April 2004 bekannt.

Durch einen Pufferüberlauf ist es einem Angreifer möglich, Programmcode auszuführen und somit volle Kontrolle über den angegriffenen Computer zu erlangen.

Der Wurm verbreitet sich nicht über E-Mail-Nachrichten. Computer mit der genannten Sicherheitslücke werden infiziert, wenn Sie Verbindung zum Internet haben. Sasser benötigt keine Aktion des Anwenders!

Bei der Infektion (oder dem Infektionsversuch) eines Systems kann es zu einer der folgenden Fehlermeldungen mit anschließendem automatischen Neustart des Systems kommen.

Bei einem erfolgreichen Angriff lädt Sasser von dem angreifenden Computer eine Datei per FTP in das Verzeichnis c:\windows\system32. Anschließend wird diese Datei ausgeführt und damit der angegriffene Computer infiziert.

Der Wurm startet vom neu infizierten Computer sofort 128 gleichzeitige Angriffsversuche ins Internet, beziehungsweise ins lokale Netzwerk.

Der Wurm kopiert sich im infizierten System unter %Windir%\avserve.exe. Diese Datei ist 15.872 Bytes groß.


Phatbot

Superwurm mit öffentlichem Quelltext

·Er kann Rechner übernehmen und für quasi beliebige Zwecke missbrauchen.
·Phatbot kann in fremde Rechner über bekannte Sicherheitslücken wie die Windows RPC-Lücke eindringen, um Systeme ohne Zutun des Anwenders zu infizieren, sofern keine entsprechenden Sicherheitspatches installiert sind.
·Besonders problematisch: Der Quellcode wurde über ein Web-Forum veröffentlicht und steht zum Download zur Verfügung.
·Kombiniert alle typischen Funktionen aus vergangenen Schädlingen: Er verbreitet sich nicht nur über herkömmliche Verbreitungswege wie Netzwerkfreigaben, sondern vermag ebenso nach Hintertüren von den Mail-Würmern MyDoom und Bagle sowie dem Trojaner-Toolkit Optix Pro zu suchen, um anfällige Rechner darüber zu infizieren.
·Über einen umfangreichen Befehlssatz können durch den Bot infizierte Systeme ferngesteuert werden.
·Benutzt ein dynamisch erweiterbares Modell, um Befehle zu registrieren. Sollten neue Exploits auftauchen, können die Bot-Instanzen diese automatisch nachladen und installieren.
Die Liste der Features von Phatbot ist nahezu unüberschaubar!
·Phatbot bringt dabei Rootkit-Funktionen für Windows mit (Process Hide), um seine Existenz zu verbergen.
·Zudem läuft der Schädling auch unter Linux!
·Quellcode ist frei verfügbar, jeder Script Kiddy kann bauen!
·Es gibt bereits tausende Varianten im Internet

Die aufgezeigten Viren und Würmer waren und sind zwar allesamt besonders lästig für Privatpersonen und kleine Firmen. Es zeigt sich aber trotzdem, dass die Vielfalt und Komplexität der Schadprogramme zunimmt. Generell zeigt sich aber auch, wenn man die Foren und Berichte der Antivirensoftwarehersteller ließt, dass das Angreiferprofil im Wandel ist. Folgende Tendenzen zeigen sich dabei:


Angreiferprofil im Wandel

Die Angreiferprofile ändern sich. Viele der in jüngster Zeit ausgeführten Angriffe wurden von Amateuren ohne bestimmtest Ziel oder Motiv geführt. (Script-Kiddies)

Da mittlerweile aber immer mehr geschäftskritische Unternehmensfunktionen online ausgeführt werden, ist eine Entwicklung hin zu professionelleren Angreifern mit konkreten Zielen und spezifischen Beweggründen zu erwarten. Die Angreifer verfügen über immer bessere Resourcen, gehen zielgerichteter vor und können Schwachstellen schneller entdecken und ausnutzen


Weniger Zeit zur Reaktion

Eine zweite Tendenz zeichnet sich bei der Reaktionszeit ab. Würmer und Hacker nutzen oft bekannte Software-Schwachstellen aus.

Üblicherweise treten Würmer und Hacker einige Zeit nach der Entdeckung der Schwachstellen auf. Diese Zeit wird allgemein als "Angriffsfenster" bezeichnet.

Diese Angriffsfenster werden immer kürzer. Beispielsweise hatten Nimda und Slammer Angriffsfenster von bis zu mehreren Monaten, die Hersteller hatten genügend Zeit zu reagieren und Patches bereitzustellen.

Bei Blaster dauerte das Angriffsfenster nur 26 Tage!

Im Internet konnte praktisch von Tag zu Tag zugeschaut werden, wie sich die Exploits immer weiter bis zur fast fertigen Wurm-Version entwickelten.