Zombie-Armeen für Attacken rekrutiert
Die neueste, multiple Wurmepidemie, die das Sicherheitsloch der Plug-and-Play-Schnittstelle [PnP] von Windows ausnützt, ist mit den spektakulären Wurmausbrüchen der Vergangenheit, die auf einen Schlag riesige Netzwerke in die Knie zwangen, nicht zu vergleichen.
Die neuesten 15 Schädlinge - davon alleine sechs "Zotob"-Varianten - dienen einem ganz anderen Zweck. Alle 15 haben eines gemeinsam: Nach Ausnützen eines so genannten Buffer-Overflow an der erwähnten PnP-Schnittstelle "sichern" sie den befallenen Rechner erst einmal gegen das Eindringen eines weiteren Wurms.
Von den "Zotob"-Varianten A-F [14. bis 15.August] über "W32.Randex.EUS" bis zum neuen "Esbot.B" [17.August] öffnen dann alle Würmer, die über PnP einfallen, auf den verschiedensten Ports eine oder mehrerere Hintertüren. Die dienen nichts anderem, als der Fernsteuerung des befallenen Rechners. Ansonsten sind die Würmer um Unauffälligkeit bemüht, die meisten deaktivieren alle auf der befallenen Maschine vorhandenen Virenscanner.
Dass "Zotob"-Varianten ausgerechnet bei Medienhäusern wie CNN und ABC interne Server befallen haben und so viel Wirbel auslösten, dass CNN sein Programm unterbrach, war jedenfalls nicht direkt im Sinne der unbekannten Virenschreiber. Wie F-Secure berichtet, sollen die Würmer zum Teil auf Notebooks, also an den bereits gesicherten Firewalls, vorbei ins Netz gekommen sein.
Zotob unterbrach CNNUm Unauffälligkeit bemüht
Die Würmer werden zwar auch über XP und andere Varianten des Betriebssystems verbreitet, befallen aber nur Windows 2000.
Es geht um den guten alten "Win2k-Fileserver für Backups in der Büro-Ecke" bzw. um die vielen, unzureichend gewarteten Maschinen in kleineren Unternehmen mit ebenso kleinen IT-Budgets rund um die Welt, noch weniger gewartete Rechner an privaten Breitband-Verbindungen etc.
Nicht nur das Bauprinzip, sondern auch die IRC-Server [Internet Relay Chat], mit denen die genannten Würmer nach Infekt Verbindung aufnehmen, ergeben eine ziemlich deutliche Momentaufnehme dessen, was an verbotenen "Sportarten" gerade hinter den Kulissen des WWW abläuft.
Offenbar macht sich ein kleiner, notorisch verantwortungsloser Teil des Coder-Nachwuchses samt dem dazugehörigen Gefolge von relativ unbedarften Nachahmern [alias "Script-Kiddies"] einen Sport daraus, weltweit Zombie-Armeen aus befallenen Rechnern aufzustellen.
Im Juli führten zum selben zweck verbreitete "Trojaner" die Hitlisten an.Die meisten spielen, ein paar sind kriminell
Damit kann man sowohl anderen Script-Kiddies zeigen, wo die Macht wohnt, indem man ihre IP-Adressen mit einem Anfrage-Bombardement [DDOS-Attacke] von ein paar hundert Zombies lahmlegt.
Abgesehen davon, dass man hinter einer Kaskade von Zombies jeden nur erdenklichen Unsinn im Netz aufführen kann, genügen ein paar tausend infizierte Rechner auch für DDOS-Attacken der professionell- krimininellen Art.
Die Rede ist hier von Spammern, aber auch von der steigenden Zahl der Schutzgelderpressungen, denn an den Rändern der Virenschreiber-Szenen haben sich längst Kriminelle des wirklichen Lebens eingenistet.
Die Hitliste von SymantecSchon wieder "Houseofdabus"
Diese "Chronologie des Wurmkriegs" von F-Secure zeigt, wie kurz die Zeitspannen zwischen Patch und Erscheinen eines so genannten Exploits geworden sind.
Dienstag, 9. August 2005: Microsoft veröffentlicht die monatlichen Sicherheitspatches für Windows. Dazu gehörten auch einige Patches, die kritische Lücken wie die Schwachstelle in Microsofts Plug-and-Play-Service [MS05-039] schlossen.
Mittwoch, 10. August 2005: Ein Russe mit dem Pseudonym "Houseofdabus" veröffentlicht einen funktionierenden Code, der die Plug-and-Play-Sicherheitslücke ausnutzt und ermöglicht, Rechner mit dem Betriebssystem Windows 2000 zu übernehmen.
Sonntag, 14. August 2005: Der Wurm Zotob.A taucht erstmals auf. Ein Unbekannter hatte den schädlichen "Houseofdabus"-Code in einen Wurm integriert, der sich automatisch im Internet verbreitete.
Die Entwicklung zeigt Analogien zum Fall "Sasser", als der Virenschreiber Sven Jaschan den LSASS Exploit von "Houseofdabus" in seinen berüchtigten Wurm integrierte.
Bewährungsjugendstrafe für Virenautor