iWorm - Ein Schädling, über den man das wichtigste nicht weiß. Oder ein Marketinggag?
Werbung ist wichtig, auch Angriffe, Schwachstellen und allgemein Gefahren brauchen Marketing, damit sie bekannt werden. Das kann man gut machen, wie im Fall von BadUSB (mehr dazu am Donnerstag). Oder schlecht, wie im Fall eines Mac-Botnets rund um "iWorm". Oder auch pfiffig, wie in diesem Fall:
Lesen Sie eigentlich das ganze Kleingedruckte, das einem die Websites, öffentlichen WLAN und was es sonst noch so gibt anzeigen? Die AGB, Nutzungsbedingungen, "Terms of Service", ...? Nicht? Na, hoffentlich haben Sie dann nicht schon irgend jemanden ihr erstgeborenes Kind versprochen!
Marketing und ein Botnet aus 17.000 Macs. Oder 18.000?
Ein Botnet mit 17.000 Rechnern ist nichts besonderes. Das fällt eher in die Kategorie "klein und niedlich". Jedenfalls wenn die Bots Windows-Rechner sind. Da bauen die Cyberkriminellen so ein Botnet mal eben auf während der Kaffee durch die Maschine läuft. Aber ein Botnet aus 17.000 Macs ist schon beachtlich. Verantwortlich ist dafür ein "Mac.BackDoor.iWorm" genannter Schädling. Entdeckt wurden Botnet und Schädling vom Antiviren-Hersteller Dr.Web, wo man sich große Mühe gib, die Funktionen des Schädlings, der mindestens 17.658 Rechner infiziert hat, zu beschreiben. Zum Beispiel, dass er in C++ und Lua geschrieben wurde und auf reddit.com nach den Adressen von Command&Control-Servern sucht.
Bei Dr.Web ist man so begeistert von den Funktionen des neuen Schädlings, das man völlig vergessen hat zu schreiben, wie er denn auf die infizierten Rechner kommt. Die Beschreibung gibt es leider nur auf russisch, und damit kommt Google Translate nicht gut zurecht. Es gibt noch eine Seite mit dem Titel "The Mac.BackDoor.iWorm threat in detail", dort ist von 18.519 infizierten Rechnern die Rede. Vielleicht solle man sich erst mal einig werden, wie viele es denn nun sind? Und wie die infiziert wurden, wird wieder nicht verraten. In einer Google-Translate-Übersetzung der russischen Version dieser Seite ist von einem Trojaner die Rede, aber: Nix genaues weiß man nicht. Wenn es ein Trojaner ist, warum heißt der dann iWorm?
Ich vermute mal, da waren echte Profis am Werk - Marketingprofis.
Auch bei Intego kennt man den Wurm. Aus den Berichten von Dr. Web, und der eigene Virenscanner kennt auch seine Signaturen. Nur wie der Schädling auf den Rechner gelangt, weiß man wohl auch nicht. Vielleicht, weil man selbst noch gar keinen iWorm gesehen hat? Oder ist das ein Geheimnis und wird nicht verraten?
Fazit der AV-Hersteller: Es gibt einen Schädling, und vor den kann sie
nur der Virenscannner des jeweiligen Herstellers schützen!
Mein Fazit: Da treibt mal wieder ein AV-Hersteller eine Marketing-Sau
durchs Dorf und nennt sie Wurm, sogar iWorm, weil das so unheimlich
gefährlich klingt.
Dabei ist das "nur" ein schädliches Programm, und so wie es aussieht, sogar ein ziemlich harmloses, denn von Verbreitungsfunktionen ist nirgends die Rede. Von allein kommt das also gar nirgends hin. Eine Backdoor ist an sich natürlich gefährlich. Aber erst, wenn sie auf einem Rechner installiert ist. Diese hier braucht dazu ganz eindeutig Hilfe, und diese Hilfe wäre der wirklich interessante und gefährliche Teil des Schädlings.
Also, wenn die AV-Hersteller ernst genommen werden wollen, sollten sie erst mal verraten, wie dieser "Wurm" denn nun auf die Rechner kommt. Darf ich mal raten? Als ganz normaler Trojaner, verbreitet über manipulierte Raubkopien, so wie bisher fast immer? Sorry, wer sich so was einfängt, hat es nicht besser verdient!
Nachtrag 14.10.:
Inzwischen wurde bestätigt, dass der "Wurm" über Raubkopien verbreitet
wird. In der
Beschreibung
von F-Secure (Danke an Gerd für den Tipp im Kommentar!) steht
"Backdoor:OSX/Iworm is reportedly spread via pirated software
downloads.". Das beruht zwar auch nur auf Hörensagen, aber
auf "The Safe Mac" gibt es eine
Beschreibung
der präparierten Raubkopien. Also: Glück gehabt, es gibt immer
noch keine echten Drive-by-Infektionen für den Mac, und einen Wurm
schon gar nicht.
Deutlich interessanter finde ich aber einen anderen Hinweis in der
Beschreibung
von F-Secure: "At the time of writing, there have been no reports of
the IWorm botnet being used for malicious activities.". Das Botnet
macht also zumindest noch gar nichts. Das muss natürlich nicht so
bleiben, auch das von
Conficker
aufgebaute Riesen-Botnet blieb die ersten Monate inaktiv und wurde nur immer
größer, bevor es für andere Zwecke als seine Verbreitung
genutzt wurde. Trotzdem ist diese Information wichtig, denn sie gibt den
Betroffenen etwas Zeit, um den "Wurm" los zu werden bevor er echten
Schaden anrichtet.
Ende des Nachtrags vom 14.10.
Also, liebe AV-Hersteller: Wir wissen ja alle, das ein Wurm sehr gefährlich ist. Ein sich selbst neue Opfer suchender Schädling ist wohl das schlimmste was es gibt. Aber nur, weil man einen Schädling Wurm nennt, wird er noch lange nicht zu einem. Ihr wisst ja: Wer ständig Alarm schreit, wenn gar nichts los ist, dem glaubt man irgendwann nicht mehr. Auch dann nicht, wenn es wirklich einen Grund gibt. Euch kann ich zum größten Teil schon lange nicht mehr ernst nehmen.
Ach, eins noch: Apple mag es gar nicht, wenn man seine Produkte "iIrgendwas" nennt. Ob man bei Dr.Web daran gedacht hat?
Trackbacks