2007 – Würmer im Sturm und in Facebook
Bei der Reise durch die Welt der Computerwürmer nähern wir uns nun der
Gegenwart. Während die bisher beschriebenen Würmer, mal
mehr,
mal
weniger
als “ausgestorben” gelten können, geht es nun um solche, die immer noch
ihr Unwesen treiben. So wie z.B. der bereits 2007 entdeckte
Storm – ein nach einem Sturm benannter stürmischer Wurm
Der Storm-Wurm hat viele verschiedene Namen, bei F-Secure heißt er z.B.
offiziell
Small.DAM.
Es handelt sich um einen typischen E-Mail-Wurm, der erst aktiv wird, wenn
ein Benutzer das an die E-Mail angehängte Programm startet. Der Name
Storm
wurde von F-Secure zuerst im eigenen Blog verwendet, da der Wurm u.a.
das Subjects "230 dead as storm batters Europe." verwendete
und zum Zeitpunkt seines Auftauchens der Orkan
Kyrill
über Europa hinwegzog. Inzwischen ist der Name “Storm Worm” allgemein
üblich.
Nach seine Entdeckung am 17. Januar 2007 breitete Storm sich sehr schnell
aus, außerdem wurden schon nach wenigen Tagen Varianten gesichtet, die u.a.
Rootkit-Techniken
zur Tarnung einsetzten
(Video
von F-Secure).
Die Schadfunktion bestand anfangs im Nachladen weiteren Schadcodes, über
den dann ein
Botnet
zum Spamversand aufgebaut und der Wurm weiter
verbreitet wurde. Das von Storm aufgebaute Botnet wurde im August 2007 von
Peter Gutmann mit einem
Supercomputer
verglichen. Im Laufe der Zeit wurde das Botnet u.a. zum
Spam-Versand
und für
Phishing-Angriffe
genutzt, dafür konnte es auch
in Teilen
von anderen Cyberkriminellen
angemietet
werden.
Sowohl der Schadcode als auch das Botnet selbst waren von Anfang an sehr
geschickt vor Gegenmaßnahmen geschützt. Der Schadcode wurde z.B. regelmäßig neu
kodiert, um die Erkennung durch Virenscanner zu erschweren, das Botnet
nutzte einen Peer-to-Peer-Ansatz statt eines oder mehrerer zentraler
Command&Control-Server. Versuche, das Botnet zu analysieren oder seine
Funktion zu beeinträchtigen, wurden mit DDoS-Angriffen beantwortet – das
Storm-Botnet war das erste Botnet, dass sich selbst verteidigt. Bruce
Schneier
bezeichnete
den Storm-Wurm als einen Repräsentanten der Zukunft der Schadsoftware.
Analysen des Storm Wurms und des gleichnamigen Botnets gibt es z.B. von
Websense
und
SecureWorks.
Erst Ende 2008 ging es dem Botnet
an den Kragen,
der Grund dafür ist
unbekannt.
Im Dezember 2008 erfolgte die Veröffentlichung des
‘Stormfucker’,
mit dem die Peer-to-Peer-Kommunikation des Botnets gestört und das Botnet
übernommen
werden konnte.
Ende April 2010 wurde Storm dann erneut gesichtet:
Neue Varianten
des Wurm-Codes wurden
zusammen mit einem Fake-Virenscanner
verteilt, und auch Spam wurde wieder
versendet.
Die neue Varianten wurden von
McAfee
und
Mark Schlösser, Tillmann Werner und Felix Leder
vom Honeynet Project analysiert. Der Code ist weitgehend mit dem alten
Storm-Code identisch, allerdings fehlt die Kommunikation über
Peer-to-Peer-Netze.
Koobface – der Wurm in Social Networks
Die erste Version von
Koobface
wurde im August 2008 entdeckt. Man könnte den Wurm, dessen Name ein
Anagramm von Facebook ist, als Social-Network-Wurm bezeichnen, da er sich
hauptsächliche über solche, anfangs vor allem natürlich
Facebook, ausbreitet. Dabei geht es meist nach dem Muster “Link
führt zu (angeblichen) Video, Video erfordert Codec/Update/…,
heruntergeladenes Programm ist der Wurm” vor.
Koobface baut ein Peer-to-Peer-Botnet auf und kann u.a.
weitere Schadsoftware nachladen.
Die kann auch von anderen Cyberkriminellen
stammen, die Koobface-Entwickler lassen sich dass dann im Rahmen eines
“pay per install”
bezahlen. Außerdem leitet Koobface Suchanfragen auf Seiten mit Werbung um,
sammelt Zugangsdaten und Lizenzschlüssel,
lässt CAPTCHAs lösen,
… es gibt kaum einen Bereich der Cyberkriminalität, in dem Koobface
nicht aktiv ist.
Die Verbreitung erfolgt, wie bereits erwähnt, überwiegend über Social
Networks. Je nach Version kann das ein einziges sein, oder aber auch
gleich
mehrere.
Es gibt aber auch z.B. Versionen, die
Twitter,
den
Google Reader
oder
Skype
zur Verbreitung nutzen.
Zur Verbreitung des Wurms werden auf den infizierten Rechnern die
Zugangsdaten oder Cookies zu den betreffenden Social Networks ausgespäht
und dann im Namen des betroffenen Benutzers dessen Freunden/Kontakten/…
Nachrichten mit dem Link zur Website mit dem Wurm geschickt, meist als
Link zu einem angeblichen Video. ESET hat die Verbreitung des Wurms am
Beispiel von Facebook in einem Video
zusammengefasst
(Video
auf YouTube).
Ausführliche Analysen und Beschreibungen von Koobface gibt es z.B. von
Trend Micro
(mit einer sehr schönen Übersichtsgrafik),
abuse.ch
und dem
Information Warfare Monitor.
Dancho Danchev hat im Februar 2010
“10 things you didn’t know about the Koobface gang”
aufgeführt, worauf die Cyberkriminellen mit einer
Antwort
reagiert haben, die nach Danchev Einschätzung nicht ganz den Tatsachen
entspricht.
Im November 2010 konnte ein Teil der Command&Control-Server des Botnets
aus dem Verkehr gezogen
werden, groß geschadet zu haben scheint das den Cyberkriminellen aber
nicht – der Wurm ist immer noch
aktiv.
Update 23.1.2012:
Am 16. Januar 2012
wurden fünf Verdächtige öffentlich bloss gestellt, die
für die Verbreitung von Koobface verantwortlich sein sollen.
Daraufhin wurde die Ausgabe neuer Befehle durch die
Command&Control-Server eingestellt. Ob dies von Dauer ist, muss sich
noch zeigen.
Ende des Updates
Gegenmaßnahmen
E-Mail-Würmern begegnet man am besten dadurch, dass man keine
unaufgefordert zugesendeten E-Mail-Anhänge öffnet.
Übertragen auf Koobface bedeutet das: Laden Sie keine Codecs, Updates
o.Ä. von nicht vertrauenswürdigen Seiten herunter. Auch dann
nicht, wenn Sie den Link zu dieser Seite von einem Freund bekommen haben,
der sich das Video sicher auch angesehen hat. Das stimmt wahrscheinlich
sogar – fast, denn statt ein Video zu sehen, hat Ihr Freund dabei seinen
Rechner mit Koobface infiziert, und der Wurm versucht nun, Sie ins
Verderben zu locken.
Unsere Reise durch die Welt der Computerwürmer nähert sich ihrem vorläufigen
Ende: In der
nächsten Folge
gibt es ein Wiedersehen mit Conficker und Stuxnet.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware – Der Spion in Ihrem Computer
- Viren – Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer
-
- Würmer – Schadsoftware, die sich selbst verbreitet
- Schadsoftware – Die Entwicklung der Würmer
- 1999 – Die Ausbreitung der Würmer beginnt
- 2003 – Würmer ohne Ende
- 2004 – Mehr Würmer, mehr Ziele, mehr Opfer
- 2004 – Der Aufbruch der Würmer ins Web
- 2007 – Würmer im Sturm und in Facebook
- Conficker, Stuxnet, “Here you have” – die aktuellen Würmer
- Smarte Telefone, mehr oder weniger smarte Würmer
- Trojaner – Der Feind im harmlosen Programm
- Zeus – Trojaner, Botnet, Schädlingsbaukasten, …
- Exploit-Kits – Die Grundlage für Drive-by-Infektionen
- Rootkits – Schadsoftware im System
- Remote Administration Toolkits – Fernwartung in der Grauzone
- Botnets – Zombie-Plagen im Internet
- Schadsoftware – Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : "DNS-Changer" – welcher DNS-Changer ist gemeint?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : "Koobface Gang" enttarnt – Die erfolgreiche Verkettung digitaler Identitäten
Vorschau anzeigen
Kommentar schreiben
Kommentare
Ansicht der Kommentare:
Linear | Verschachtelt