Angriff der "Storm Worm"-Zombies
Unbekannte haben eines der größten bisher bekannten Zombie-Netzwerke aufgezogen. Mittlerweile 1,7 Millionen über den "Storm Worm" kontrollierte Rechner weltweit reichen, um auch große Netze erfolgreich zu attackieren. Die Frage ist, wer wann angegriffen wird.
Seit etwa einem halben Jahr verbreitet sich der "Storm Worm", ein kombiniertes Schadprogramm, in jeweils auffallend starken Schüben im Internet.
Laut internationalen Antivirus-Experten ist diese Schadsoftware - erst Mail-Anhänge, dann eine Kombination aus Spam-Mails mit Links auf infektiöse Websites - inzwischen zehnfach stärker verbreitet, als irgendeine andere Spamwelle der letzten beiden Jahre.
Wurm als Viruswarnung
Der Wurm, der sich unter anderem als Viruswarnung ausgibt - "ihr System ist infiziert, klicken sie auf diesen Link" - verbreitet sich seit Mitte Juli erneut massiv.
Mit 415 Millionen Spam-Mails alleine in den letzten beiden Juliwochen versuchten die unbekannten Virenschreiber weitere Gutgläubige auf präparierte Websites zu locken, wo sie sich dann ein so genanntes Rootkit einfingen.
Zombie-Rechner
Derartige Schadsoftware nistet sich nicht wie der gemeine Virus oder Trojaner unter den Programmen ein, sondern versteckt sich tief im Betriebssystem. Dementsprechend gut sind daher die Möglichkeiten für Rootkits generell, sich vor Viren-Scannern als Teil des Betriebssystems zu tarnen und damit ungeschoren zu bleiben.
Der befallene Rechner kann über das Rootkit von den unbekannten Dritten jederzeit ferngesteuert werden - deshalb spricht man von "Zombies" oder "Bots" - um Spam zu versenden, Pseudo-Websites aufzusetzen usw.
Flug unter dem Antivirus-Radar
Die massive Verbreitung dieses Schädlings über einen so langen Zeitraum gibt jedoch Rätsel auf, denn in den Trend der letzten beiden Jahre passt das nicht.
Die Virenschreiber versuchten bis dato vielmehr, durch "kleine Auflagen" von Trojanern, vielen Variationen und ganz unterschiedlichen Verbreitungsweisen gleichsam unter dem Radar der Antiviren-Firmen durchzufliegen.
Wettanbieter, Erpressung, Phishing
Ziel war es in den meisten Fällen, eine Armee von ein paar zehntausend Zombies zu "rekrutieren" und diese dann an Spammer und Phishing-Betrüger zu vermieten, oder selber eine Erpressung zu riskieren.
Vor allem Internet-Wettanbieter aller Art wurden und werden mit Forderungen über die immer gleichen 50.000 Dollar konfrontiert, die dazu dienen würden, eine so genannte DDoS-Attacke abzuwenden.
DDoS-Attacken
Diese im Fachrotwelsch "Distributed Denial of Service" genannte Angriffsweise geht so: Ein Server oder Router wird mit einem Sperrfeuer an ganz gewöhnlichen Abfragen so eingedeckt, dass er mit den Antworten immer weniger nachkommt und schließlich ins Software-Delirium fällt.
Bis dato nur Geplänkel
Die vom Storm Worm befallenen Rechner sind allerdings bisher wenig in Erscheinung getreten, ein kleiner Teil der Zombies wurde benutzt, um das Rootkit per Spam weiterzuverbreiten.
Mit einem anderen kleinen Teil griff man zwischendurch Anti-Spam-Websites an - nicht mehr als ein Spähtruppunternehmen, wenn man es mit der gesamten, verfügbaren "Armee" vergleicht.
1,7 Millionen Zombies
Das Zombie-Netz wurde seit Anfang 2007 zur wahrscheinlich größten bisher bekannten Armee untoter Windows-Maschinen unter gleicher Flagge ausgebaut.
Rund um den Globus in Firmen- und Behördennetzen, zumeist aber an Breitband-Anschlüssen privater Netzbenutzer warten 1,7 Millionen Rechner darauf, eine noch unbekannte Mission zu erfüllen, die ihnen irgendwann zugleich mitgeteilt werden wird.
Nach Ansicht der Antivirus-Experten kann es nur ein Ziel geben: eine DDoS-Attacke in ganz großem Stil, die jene, die halb Estland im Mai 2007 vom Netz holte, noch übertreffen wird.
Bis heute ist nicht klar, wer hinter den verteilten Angriffen auf die estnische Computerinfrastruktur im April und Mai steckte. Parallel dazu gab es einen politischen Konflikt um die Verlegung eines Kriegerdenkmals aus der Sowjetzeit in der estnischen Hauptstadt Tallinn.
(futurezone | AP | Information Week)