2007 - Würmer im Sturm und in Facebook
Bei der Reise durch die Welt der Computerwürmer nähern wir uns nun der Gegenwart. Während die bisher beschriebenen Würmer, mal mehr, mal weniger als "ausgestorben" gelten können, geht es nun um solche, die immer noch ihr Unwesen treiben. So wie z.B. der bereits 2007 entdeckte
Storm - ein nach einem Sturm benannter stürmischer Wurm
Der Storm-Wurm hat viele verschiedene Namen, bei F-Secure heißt er z.B.
offiziell
Small.DAM.
Es handelt sich um einen typischen E-Mail-Wurm, der erst aktiv wird, wenn
ein Benutzer das an die E-Mail angehängte Programm startet. Der Name
Storm
wurde von F-Secure zuerst im eigenen Blog verwendet, da der Wurm u.a.
das Subjects "230 dead as storm batters Europe."
verwendete
und zum Zeitpunkt seines Auftauchens der Orkan
Kyrill
über Europa hinwegzog. Inzwischen ist der Name "Storm Worm" allgemein
üblich.
Nach seine Entdeckung am 17. Januar 2007 breitete Storm sich sehr schnell aus, außerdem wurden schon nach wenigen Tagen Varianten gesichtet, die u.a. Rootkit-Techniken zur Tarnung einsetzten (Video von F-Secure).
Die Schadfunktion bestand anfangs im Nachladen weiteren Schadcodes, über den dann ein Botnet zum Spamversand aufgebaut und der Wurm weiter verbreitet wurde. Das von Storm aufgebaute Botnet wurde im August 2007 von Peter Gutmann mit einem Supercomputer verglichen. Im Laufe der Zeit wurde das Botnet u.a. zum Spam-Versand und für Phishing-Angriffe genutzt, dafür konnte es auch in Teilen von anderen Cyberkriminellen angemietet werden.
Sowohl der Schadcode als auch das Botnet selbst waren von Anfang an sehr geschickt vor Gegenmaßnahmen geschützt. Der Schadcode wurde z.B. regelmäßig neu kodiert, um die Erkennung durch Virenscanner zu erschweren, das Botnet nutzte einen Peer-to-Peer-Ansatz statt eines oder mehrerer zentraler Command&Control-Server. Versuche, das Botnet zu analysieren oder seine Funktion zu beeinträchtigen, wurden mit DDoS-Angriffen beantwortet - das Storm-Botnet war das erste Botnet, dass sich selbst verteidigt. Bruce Schneier bezeichnete den Storm-Wurm als einen Repräsentanten der Zukunft der Schadsoftware. Analysen des Storm Wurms und des gleichnamigen Botnets gibt es z.B. von Websense und SecureWorks.
Erst Ende 2008 ging es dem Botnet an den Kragen, der Grund dafür ist unbekannt. Im Dezember 2008 erfolgte die Veröffentlichung des 'Stormfucker', mit dem die Peer-to-Peer-Kommunikation des Botnets gestört und das Botnet übernommen werden konnte.
Ende April 2010 wurde Storm dann erneut gesichtet: Neue Varianten des Wurm-Codes wurden zusammen mit einem Fake-Virenscanner verteilt, und auch Spam wurde wieder versendet. Die neue Varianten wurden von McAfee und Mark Schlösser, Tillmann Werner und Felix Leder vom Honeynet Project analysiert. Der Code ist weitgehend mit dem alten Storm-Code identisch, allerdings fehlt die Kommunikation über Peer-to-Peer-Netze.
Koobface - der Wurm in Social Networks
Die erste Version von Koobface wurde im August 2008 entdeckt. Man könnte den Wurm, dessen Name ein Anagramm von Facebook ist, als Social-Network-Wurm bezeichnen, da er sich hauptsächliche über solche, anfangs vor allem natürlich Facebook, ausbreitet. Dabei geht es meist nach dem Muster "Link führt zu (angeblichen) Video, Video erfordert Codec/Update/..., heruntergeladenes Programm ist der Wurm" vor.
Koobface baut ein Peer-to-Peer-Botnet auf und kann u.a. weitere Schadsoftware nachladen. Die kann auch von anderen Cyberkriminellen stammen, die Koobface-Entwickler lassen sich dass dann im Rahmen eines "pay per install" bezahlen. Außerdem leitet Koobface Suchanfragen auf Seiten mit Werbung um, sammelt Zugangsdaten und Lizenzschlüssel, lässt CAPTCHAs lösen, ... es gibt kaum einen Bereich der Cyberkriminalität, in dem Koobface nicht aktiv ist.
Die Verbreitung erfolgt, wie bereits erwähnt, überwiegend über Social Networks. Je nach Version kann das ein einziges sein, oder aber auch gleich mehrere. Es gibt aber auch z.B. Versionen, die Twitter, den Google Reader oder Skype zur Verbreitung nutzen.
Zur Verbreitung des Wurms werden auf den infizierten Rechnern die Zugangsdaten oder Cookies zu den betreffenden Social Networks ausgespäht und dann im Namen des betroffenen Benutzers dessen Freunden/Kontakten/... Nachrichten mit dem Link zur Website mit dem Wurm geschickt, meist als Link zu einem angeblichen Video. ESET hat die Verbreitung des Wurms am Beispiel von Facebook in einem Video zusammengefasst (Video auf YouTube).
Ausführliche Analysen und Beschreibungen von Koobface gibt es z.B. von Trend Micro (mit einer sehr schönen Übersichtsgrafik), abuse.ch und dem Information Warfare Monitor. Dancho Danchev hat im Februar 2010 "10 things you didn't know about the Koobface gang" aufgeführt, worauf die Cyberkriminellen mit einer Antwort reagiert haben, die nach Danchev Einschätzung nicht ganz den Tatsachen entspricht.
Im November 2010 konnte ein Teil der Command&Control-Server des Botnets aus dem Verkehr gezogen werden, groß geschadet zu haben scheint das den Cyberkriminellen aber nicht - der Wurm ist immer noch aktiv.
Update 23.1.2012:
Am 16. Januar 2012
wurden fünf Verdächtige öffentlich bloss gestellt, die
für die Verbreitung von Koobface verantwortlich sein sollen.
Daraufhin wurde die Ausgabe neuer Befehle durch die
Command&Control-Server eingestellt. Ob dies von Dauer ist, muss sich
noch zeigen.
Ende des Updates
Gegenmaßnahmen
E-Mail-Würmern begegnet man am besten dadurch, dass man keine unaufgefordert zugesendeten E-Mail-Anhänge öffnet. Übertragen auf Koobface bedeutet das: Laden Sie keine Codecs, Updates o.Ä. von nicht vertrauenswürdigen Seiten herunter. Auch dann nicht, wenn Sie den Link zu dieser Seite von einem Freund bekommen haben, der sich das Video sicher auch angesehen hat. Das stimmt wahrscheinlich sogar - fast, denn statt ein Video zu sehen, hat Ihr Freund dabei seinen Rechner mit Koobface infiziert, und der Wurm versucht nun, Sie ins Verderben zu locken.
Unsere Reise durch die Welt der Computerwürmer nähert sich ihrem vorläufigen Ende: In der nächsten Folge gibt es ein Wiedersehen mit Conficker und Stuxnet.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer
-
- Würmer - Schadsoftware, die sich selbst verbreitet
- Schadsoftware - Die Entwicklung der Würmer
- 1999 - Die Ausbreitung der Würmer beginnt
- 2003 - Würmer ohne Ende
- 2004 - Mehr Würmer, mehr Ziele, mehr Opfer
- 2004 - Der Aufbruch der Würmer ins Web
- 2007 - Würmer im Sturm und in Facebook
- Conficker, Stuxnet, "Here you have" - die aktuellen Würmer
- Smarte Telefone, mehr oder weniger smarte Würmer
- Trojaner - Der Feind im harmlosen Programm
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : "DNS-Changer" - welcher DNS-Changer ist gemeint?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : "Koobface Gang" enttarnt - Die erfolgreiche Verkettung digitaler Identitäten
Vorschau anzeigen