Skip to content

Conficker, Stuxnet, "Here you have" - die aktuellen Würmer

Willkommen auf der vorletzten Station unserer Reise durch die Welt der Computerwürmer. Conficker sorgte 2009 dafür, dass manche Medien den Untergang des Internets befürchteten, und Stuxnet bewies 2010, dass ein Cyberwar nicht mehr ausschließlich auf Science-Fiction-Romane beschränkt sein muss. "Here you have" dagegen war zumindest in Europa mehr ein schlechter Witz als eine wirkliche Gefahr, erinnerte aber immerhin daran, dass auch E-Mail-Würmer noch nicht ausgestorben sind.

2008 - Microsoft, die RPC-Schwachstelle und Conficker

Am 22. Oktober kündigte Microsoft sehr kurzfristig die Veröffentlichung eines außerplanmäßigen Security Bulletins nebst Updates für den folgenden Tag an. Am 23. Oktober wurde dann das als kritisch eingestufte Bulletin MS08-067 veröffentlicht: Eine Pufferüberlauf-Schwachstelle im RPC-Service erlaubt durch präparierte RPC-Requests die Ausführung beliebigen Codes aus der Ferne.

Laut Microsoft wurde die Schwachstelle bereits für gezielte Angriffe ausgenutzt, aber bisher kein Exploit im Internet veröffentlicht. Sophos berichtete über einen Schädling, der die Schwachstelle zwar nicht zur Verbreitung ausnutzte, aber von Shellcode nachgeladen wurde. Vanja Svajcer von Sophos verglich die aktuelle Schwachstelle mit der 2004 vom Sasser-Wurm ausgenutzten und kommentierte das mit

"It remains to be seen how interested the virus writers will be in this vulnerability, considering a general trend towards hidden malware that does not replicate. The noise of generated network traffic seen with large scale outbreaks of self-replicating malware may not appeal to modern day virus writers.

Let us hope that the dark days of Blaster and Sasser history will not be repeated."

Wie wir inzwischen wissen, wurde diese Hoffnung nicht erfüllt.

Ein Unwetter zieht auf

Noch am gleichen Tag wurde ein erster Exploit im Exploit-Archive Milw0rm (das inzwischen offline ist, dessen Inhalt aber in der Exploit-DB aufgegangen ist, so auch dieser Exploit) veröffentlicht, und auch ein erster Wurm, der die Schwachstelle ausnutzte, wurde entdeckt.

Von Treatexperts wurde dieser allgemein Gimmiv.A genannte Schädling zwar als Wurm bezeichnet, technisch war er aber eine Art "Netzwerkfähiger Trojaner": Nachdem der Schädling als Trojaner einen Rechner befallen hatte, suchte er von dort aus über die RPC-Schwachstelle nach weiteren Opfern im lokalen Netz.

Jetzt geht es los

Man sollte erwarten, dass das Anlass genug war, um überall das Update zu installieren. Eigentlich hätte ein danach losgelassener Wurm sofort aussterben müssen. Leider war dem ganz und gar nicht so, und als dann nach ziemlich genau einem Monat die erste Variante von Conficker auftauchte, fand er reichlich Opfer.

Wie so oft bei neuen Schädlingen, kochte jeder Antivirenhersteller seine eigene (Buchstaben-)Suppe (neue Schädlinge austauschen tun sie, aber sich dabei auch gleich auf einheitliche Namen zu einigen, ist wohl nicht drin), so dass Conficker auch als Downadup und Kido bezeichnet wurde.

Die erste Variante machte noch einen Bogen um die Ukraine, späte Versionen gaben diese Rücksichtnahme auf und rasten dann ab Anfang Januar 2009 förmlich um die Welt. Die neuen Varianten versuchten auch, sich auf nur mit schwachen Passwörtern geschützte Netzwerklaufwerke zu kopieren und sich über die AutoRun-Funktion für USB-Sticks und andere Wechselmedien zu verbreiten.

Gemeinsam gegen den Wurm

Anfang Februar 2009 sollte es den Entwicklern des Wurms an den Kragen gehen: Microsoft, Sicherheitsunternehmen und -forscher schlossen sich zur Conficker Working Group zusammen und Microsoft setzte eine Belohnung für die Ergreifung des oder der Entwickler aus. Die Conficker Working Group arbeitete bis zum Juni 2010 und veröffentlichte am 24. Januar 20011 ein "Lessons Learned"-Dokument (PDF) mit einer Beschreibung der Ergebnisse.

Der Untergang des AbendlandsInternets droht!?!?

Für den 1. April 2009 sagten dann einige Medienberichte den Untergang des Internet voraus: Conficker, der bis dahin bereits eine riesige Anzahl Rechner infiziert hatte, sollte mit Hilfe eines neuen Algorithmus zur Bestimmung von Domains von diesen neuen Code nachladen. Das führte vor allen in den Massenmedien zu einer regelrechten Conficker-Hysterie - ohne, dass irgend jemand irgend etwas über die Hintergründe des Wurms wusste.

Nun, das Internet ging nicht unter, stattdessen wurden erst mal zwei einfache Online-Tests veröffentlicht, mit denen infizierte Rechner erkannt werden können: Da der Wurm den Zugriff auf verschiedene Sicherheits- und Antiviren-Seiten blockiert, wird geprüft, ob der Zugriff auf solche Seiten möglich ist oder nicht. Joe Stewart von SecureWorks verwendet dazu einige Logos, die im Normalfall alle angezeigt werden (weitere Variante). Ist der Rechner vom Wurm befallen, fehlen einige oder alle Logos von Sicherheits- und Antiviren-Seiten. Felix Leder und Tillmann Werner vom Honeynet Project verwenden unterschiedliche Stylesheets und nutzen aus, dass der Wurm bereits auf bestimmte Schlüsselwörter im Domainnamen mit einer Blockade reagiert. Da beide Tests auf durch den Wurm blockierte DNS-Abfragen angewiesen sind, funktionieren sie nicht, wenn ein Proxy verwendet wird. Außerdem werden nur die Wurm-Varianten B, C und deren Nachfolger erkannt, da die erste Variante noch keine Funktion zum Blockieren der DNS-Abfragen enthielt.

Der Wurm lässt die Maske fallen?

Am 7. April 2009 legte Conficker dann endlich los, nutzte entgegen der Voraussagen aber nicht die neu erzeugten Domains zum Nachladen von Schadcode, sondern die ebenfalls integrierte Peer-to-Peer-Funktion. Die neue Variante, Conficker.E genannt, würde sich am 3. Mai 2009 selbst löschen und nur ihren Vorgänger in Form der Variante C aktiv zurück lassen.

Falls Sie sich jetzt fragen, was der Wurm denn für eine Schadfunktion hat... nun, die Frage stellten sich anfangs wohl alle. Außer sich selbst zu verbreiten und von Zeit zu Zeit zu aktualisieren, machte der Wurm nichts weiter als auf weitere Befehle zu warten. Erst die ab dem 7. April 2009 verteilte Variante E enthielt eine Schadfunktion: Es wurden der für seinen Spamversand und das Sammeln von Informationen bekannte E-Mail-Wurm Waledac und Fake-Virenscanner nachgeladen. Es gab also keine Grund zur Panik, alles war wie immer, und diesmal noch nicht mal schlimmer:

  • Der RPC-Wurm lud eine neue Variante von sich selbst herunter, die sich selbst verbreiten kann - das hatten wir schon.
  • Der RPC-Wurm lud den Schädling Waledac nach, der sich sonst über E-Mail verbreitet - im Grunde ist auch das keine neue Bedrohung
  • Der RPC-Wurm lud Fake-Antivirensoftware nach - auch das ist nichts neues
  • Der RPC-Wurm entfernte sich am 3. Mai 2009 selbst, die vorherige Version bleibt zurück

Die Ruhe vor dem nächsten Sturm?

Nach dem 3. Mai 2009 wurde es dann ruhig um Conficker, der sich aber weiter verbreitete. Anfang Februar 2010, also mehr als ein Jahr nach dem Ausbruch ersten großen Wurmwelle, erwischte der Wurm z.B. noch ein Revier der britischen Polizei, die 'Greater Manchester Police' (GMP), wie z.B. Graham Cluley von Sophos (mit Verweis auf einen BBC-Bericht) und Karel Obluk von AVG (mit Verweis auf einen Artikel der Manchester Evening News) berichteten. Und auch heute (d.h. Anfang Februar 2011 und damit zwei Jahre nach den ersten Wurmwellen) ist Conficker noch aktiv und wartet darauf, eingesetzt zu werden.

Zwei abschließende Hinweise: Microsoft hat eine Informationsseite zum Wurm bereit gestellt, und bei der Conficker Working Group gibt es eine Zeitleiste seiner Entwicklung.

Stuxnet - Der "Cyberwar-Wurm"

Über Stuxnet habe ich schon genug geschrieben, so dass ich mich hier auf eine kurze Zusammenfassung mit entsprechenden Verweisen beschränke. Das besondere an Stuxnet: Er verbreitete sich Mitte 2010 sehr schnell im Internet, hatte aber eine so spezielle Schadfunktion, dass er dort eigentlich nichts verloren hatte - war das also ein "Betriebsunfall" oder aber Absicht?

Erstmals aufgefallen war Stuxnet im Juni 2010, als die erste der vier von ihm ausgenutzten 0-Day-Schwachstellen bekannt wurde. Klar war, dass Stuxnet es auf Produktionsanlagen abgesehen hatte - aber auf welche und in wessen Auftrag? Nachdem das iranische Atomwaffenprogramm als wahrscheinliches Ziel ausgemacht worden war, war klar: Stuxnet war ein erster Schritt in Richtung Cyberwar. Nach und nach kamen weitere Details ans Licht, die vollständigen Fakten werden wir aber wohl nie erfahren.

"Here you have"... einen E-Mail-Wurm

Im September 2010 erinnerte "Here you have" die Welt daran, dass es auch noch E-Mail-Würmer gibt und die auch reichlich Opfer finden. Sofern die den Wurmausbruch nicht verschlafen, so wie wir Europäer: Kaum war der Wurm da, war er auch schon wieder weg. Alles wesentliche habe ich bereits im Standpunkt vom 13. September 2010 geschrieben. Hier ist der Wurm eigentlich nur als Kuriosität interessant, hielt man E-Mail-Würmer doch eigentlich für ausgestorben. Wer weiß, was als nächstes wiederkommt - Bootsektorviren?

In der nächsten Folge gibt es zum Abschluss der Geschichte der Würmer einen Überblick über deren besonders mobilen Versionen, oder genauer: Würmer für Mobiltelefone. Denn Smartphones sind so Smart, dass sie sich auch einen Wurm einfangen können.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer
Würmer - Schadsoftware, die sich selbst verbreitet
Schadsoftware - Die Entwicklung der Würmer
1999 - Die Ausbreitung der Würmer beginnt
2003 - Würmer ohne Ende
2004 - Mehr Würmer, mehr Ziele, mehr Opfer
2004 - Der Aufbruch der Würmer ins Web
2007 - Würmer im Sturm und in Facebook
Conficker, Stuxnet, "Here you have" - die aktuellen Würmer
Smarte Telefone, mehr oder weniger smarte Würmer
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : USB-Würmer - Gute und schlechte Nachrichten

Vorschau anzeigen
Würmer, die sich über USB-Sticks verbreiten, sind ein Dauerproblem. Zumindest für Windows gehört in den Satz demnächst ein "gewesen" hinter das "Dauerproblem", sofern man sich auf die Würmer beschränkt, die sich &u

Dipl.-Inform. Carsten Eilers am : Conficker ist wieder da. Und was macht Stuxnet?

Vorschau anzeigen
Um den RPC-Wurm Conficker war es recht ruhig geworden, jetzt ist er wieder da. Und wie sieht es mit Stuxnet aus? Conficker-Urheber verhaftet oder nicht? Um Conficker war es recht ruhig geworden. Das davon aufgebaute Botnet ist trotz sein

Dipl.-Inform. Carsten Eilers am : Gefährliche Peripherie: USB

Vorschau anzeigen
Auch über Angriffe über den USB-Port habe ich bereits 2005 in About Security etwas geschrieben. Damals war das Podslurping ein relativ neuer Angriff: Wenn ein präparierter USB-Massenspeicher, z.B. ein iPod, an einen Rechner angeschl

Dipl.-Inform. Carsten Eilers am : Warum Sie Java im Browser ausschalten sollten

Vorschau anzeigen
Eigentlich ist mit "Java ist ein potentielles Einfallstor für Angreifer, und wenn man es im Browser nicht braucht, sollte man es dort auch keinen Angriffen aussetzen" schon alles relevante gesagt. Trotzdem möchte ich das Ganze noch etwas n

Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 3.2013 - Unsicherer Serial Bus

Vorschau anzeigen
Im Entwickler Magazin 3.2013 ist ein Artikel über Angriffe über den USB-Port erschienen. Vorgestellt werden unter anderem Angriffe über getarnte USB Human Device Interfaces wie USB Rubber Ducky und dem Social Engineering Toolkit.

Dipl.-Inform. Carsten Eilers am : Kommentare zu PostgreSQL, Ad-Blockern, AT&T Passwortregeln und mehr

Vorschau anzeigen
Die Themen heute: PostgreSQL ergreift vor der Veröffentlichung eines Sicherheitsupdates eine zweifelhafte Schutzmaßnahme, Ad-Blocker können vor Drive-by-Infektionen schützen, und AT&T verwendet unsichere Passwortregeln. Au&s

Dipl.-Inform. Carsten Eilers am : Ein paar kommentierte Links zum Wochenanfang

Vorschau anzeigen
Heute gibt mal wieder "nur" ein paar mehr oder weniger kommentierte Links statt eines "Standpunkts" zu einem Thema. Los geht es mit einem Text von Paul Ducklin von Sophos: "Anatomy of a brute force attack - how important is password complexity?".

Dipl.-Inform. Carsten Eilers am : Kommentare zu Conficker, Android, Google Glass, iOS und mehr

Vorschau anzeigen
Heute gibt es mal wieder eine bunte Mischung an Kommentaren. Zum Beispiel zu den Spam-Quellen im 2. Quartal 2014. Conficker lebt noch?!?! Hätten Sie damit gerechnet, dass Conficker auf Platz 1 der Liste der in Unternehmen am h&auml

entwickler.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am : Drucksache: Windows Developer 2.16 - Wie sicher sind virtuelle Maschinen?

Vorschau anzeigen
Im windows.developer 2.16 ist ein Artikel über die Sicherheit virtueller Maschinen erschienen. Was passiert, wenn ein Cyberkrimineller die Virtuelle Maschine übernimmt? Hängt er dann darin fest, oder kann er sie verlassen

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!