Skip to content

2007 - Würmer im Sturm und in Facebook

Bei der Reise durch die Welt der Computerwürmer nähern wir uns nun der Gegenwart. Während die bisher beschriebenen Würmer, mal mehr, mal weniger als "ausgestorben" gelten können, geht es nun um solche, die immer noch ihr Unwesen treiben. So wie z.B. der bereits 2007 entdeckte

Storm - ein nach einem Sturm benannter stürmischer Wurm

Der Storm-Wurm hat viele verschiedene Namen, bei F-Secure heißt er z.B. offiziell Small.DAM. Es handelt sich um einen typischen E-Mail-Wurm, der erst aktiv wird, wenn ein Benutzer das an die E-Mail angehängte Programm startet. Der Name Storm wurde von F-Secure zuerst im eigenen Blog verwendet, da der Wurm u.a. das Subjects "230 dead as storm batters Europe." verwendete und zum Zeitpunkt seines Auftauchens der Orkan Kyrill über Europa hinwegzog. Inzwischen ist der Name "Storm Worm" allgemein üblich.

Nach seine Entdeckung am 17. Januar 2007 breitete Storm sich sehr schnell aus, außerdem wurden schon nach wenigen Tagen Varianten gesichtet, die u.a. Rootkit-Techniken zur Tarnung einsetzten (Video von F-Secure).

Die Schadfunktion bestand anfangs im Nachladen weiteren Schadcodes, über den dann ein Botnet zum Spamversand aufgebaut und der Wurm weiter verbreitet wurde. Das von Storm aufgebaute Botnet wurde im August 2007 von Peter Gutmann mit einem Supercomputer verglichen. Im Laufe der Zeit wurde das Botnet u.a. zum Spam-Versand und für Phishing-Angriffe genutzt, dafür konnte es auch in Teilen von anderen Cyberkriminellen angemietet werden.

Sowohl der Schadcode als auch das Botnet selbst waren von Anfang an sehr geschickt vor Gegenmaßnahmen geschützt. Der Schadcode wurde z.B. regelmäßig neu kodiert, um die Erkennung durch Virenscanner zu erschweren, das Botnet nutzte einen Peer-to-Peer-Ansatz statt eines oder mehrerer zentraler Command&Control-Server. Versuche, das Botnet zu analysieren oder seine Funktion zu beeinträchtigen, wurden mit DDoS-Angriffen beantwortet - das Storm-Botnet war das erste Botnet, dass sich selbst verteidigt. Bruce Schneier bezeichnete den Storm-Wurm als einen Repräsentanten der Zukunft der Schadsoftware. Analysen des Storm Wurms und des gleichnamigen Botnets gibt es z.B. von Websense und SecureWorks.

Erst Ende 2008 ging es dem Botnet an den Kragen, der Grund dafür ist unbekannt. Im Dezember 2008 erfolgte die Veröffentlichung des 'Stormfucker', mit dem die Peer-to-Peer-Kommunikation des Botnets gestört und das Botnet übernommen werden konnte.

Ende April 2010 wurde Storm dann erneut gesichtet: Neue Varianten des Wurm-Codes wurden zusammen mit einem Fake-Virenscanner verteilt, und auch Spam wurde wieder versendet. Die neue Varianten wurden von McAfee und Mark Schlösser, Tillmann Werner und Felix Leder vom Honeynet Project analysiert. Der Code ist weitgehend mit dem alten Storm-Code identisch, allerdings fehlt die Kommunikation über Peer-to-Peer-Netze.

Koobface - der Wurm in Social Networks

Die erste Version von Koobface wurde im August 2008 entdeckt. Man könnte den Wurm, dessen Name ein Anagramm von Facebook ist, als Social-Network-Wurm bezeichnen, da er sich hauptsächliche über solche, anfangs vor allem natürlich Facebook, ausbreitet. Dabei geht es meist nach dem Muster "Link führt zu (angeblichen) Video, Video erfordert Codec/Update/..., heruntergeladenes Programm ist der Wurm" vor.

Koobface baut ein Peer-to-Peer-Botnet auf und kann u.a. weitere Schadsoftware nachladen. Die kann auch von anderen Cyberkriminellen stammen, die Koobface-Entwickler lassen sich dass dann im Rahmen eines "pay per install" bezahlen. Außerdem leitet Koobface Suchanfragen auf Seiten mit Werbung um, sammelt Zugangsdaten und Lizenzschlüssel, lässt CAPTCHAs lösen, ... es gibt kaum einen Bereich der Cyberkriminalität, in dem Koobface nicht aktiv ist.

Die Verbreitung erfolgt, wie bereits erwähnt, überwiegend über Social Networks. Je nach Version kann das ein einziges sein, oder aber auch gleich mehrere. Es gibt aber auch z.B. Versionen, die Twitter, den Google Reader oder Skype zur Verbreitung nutzen.

Zur Verbreitung des Wurms werden auf den infizierten Rechnern die Zugangsdaten oder Cookies zu den betreffenden Social Networks ausgespäht und dann im Namen des betroffenen Benutzers dessen Freunden/Kontakten/... Nachrichten mit dem Link zur Website mit dem Wurm geschickt, meist als Link zu einem angeblichen Video. ESET hat die Verbreitung des Wurms am Beispiel von Facebook in einem Video zusammengefasst (Video auf YouTube).

Ausführliche Analysen und Beschreibungen von Koobface gibt es z.B. von Trend Micro (mit einer sehr schönen Übersichtsgrafik), abuse.ch und dem Information Warfare Monitor. Dancho Danchev hat im Februar 2010 "10 things you didn't know about the Koobface gang" aufgeführt, worauf die Cyberkriminellen mit einer Antwort reagiert haben, die nach Danchev Einschätzung nicht ganz den Tatsachen entspricht.

Im November 2010 konnte ein Teil der Command&Control-Server des Botnets aus dem Verkehr gezogen werden, groß geschadet zu haben scheint das den Cyberkriminellen aber nicht - der Wurm ist immer noch aktiv.

Update 23.1.2012:
Am 16. Januar 2012 wurden fünf Verdächtige öffentlich bloss gestellt, die für die Verbreitung von Koobface verantwortlich sein sollen. Daraufhin wurde die Ausgabe neuer Befehle durch die Command&Control-Server eingestellt. Ob dies von Dauer ist, muss sich noch zeigen.
Ende des Updates

Gegenmaßnahmen

E-Mail-Würmern begegnet man am besten dadurch, dass man keine unaufgefordert zugesendeten E-Mail-Anhänge öffnet. Übertragen auf Koobface bedeutet das: Laden Sie keine Codecs, Updates o.Ä. von nicht vertrauenswürdigen Seiten herunter. Auch dann nicht, wenn Sie den Link zu dieser Seite von einem Freund bekommen haben, der sich das Video sicher auch angesehen hat. Das stimmt wahrscheinlich sogar - fast, denn statt ein Video zu sehen, hat Ihr Freund dabei seinen Rechner mit Koobface infiziert, und der Wurm versucht nun, Sie ins Verderben zu locken.

Unsere Reise durch die Welt der Computerwürmer nähert sich ihrem vorläufigen Ende: In der nächsten Folge gibt es ein Wiedersehen mit Conficker und Stuxnet.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer
Würmer - Schadsoftware, die sich selbst verbreitet
Schadsoftware - Die Entwicklung der Würmer
1999 - Die Ausbreitung der Würmer beginnt
2003 - Würmer ohne Ende
2004 - Mehr Würmer, mehr Ziele, mehr Opfer
2004 - Der Aufbruch der Würmer ins Web
2007 - Würmer im Sturm und in Facebook
Conficker, Stuxnet, "Here you have" - die aktuellen Würmer
Smarte Telefone, mehr oder weniger smarte Würmer
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : "DNS-Changer" - welcher DNS-Changer ist gemeint?

Vorschau anzeigen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf eine Infektion mit der Schadsoftware "DNS-Changer" zu überprüfen und nennt auch eine Website, auf der das online erledigt

Dipl.-Inform. Carsten Eilers am : "Koobface Gang" enttarnt - Die erfolgreiche Verkettung digitaler Identitäten

Vorschau anzeigen
Der Wurm "Koobface", der sich vor allem über Social Networks, anfangs vor allen über Facebook, verbreitet hat, ist seit 2008 aktiv, und auch als im November 2010 ein Teil der Command&Control-Server aus dem Verkehr gezogen wurde, k