Würmer - Schadsoftware, die sich selbst verbreitet
Als (Computer-)Wurm wird Schadsoftware bezeichnet, die sich im Gegensatz zu z.B. Viren und Trojanern selbst verbreitet. Im Gegensatz zu den bereits vorgestellten Viren werden dabei keine fremden Dateien oder Bootsektoren als Wirt benötigt, auch gelangt der Wurm selbständig auf andere Rechner, während Viren auf eine Weitergabe der infizierten Dateien angewiesen sind.
Würmer unterwegs
Klassische Würmer verbreiten sich über Netzwerke, entweder indem sie vorhandene Funktionen missbrauchen oder indem sie Schwachstellen z.B. in Server-Diensten ausnutzen. Inzwischen gibt es aber aber viele Varianten, die andere Verbreitungswege nutzen:
Würmer in E-Mails
E-Mail-Würmer verbreiten sich über (selbst verschickte) E-Mails. Dabei wird vom Wurm entweder der Wurmcode selbst oder ein Link zum Wurm(programm) verschickt, die Empfängeradressen werden auf den infizierten Rechnern z.B. aus dem Adressbuch des Mailprogramms oder anderen Dateien gesammelt. Verschickt werden die Mails entweder über das vorhandene Mailprogramm oder über im Wurmcode enthaltenen eigenen Code zur Nutzung des SMTP-Protokolls, als Absender dient meist die Adresse des Benutzers des infizierten Rechners. Die Empfänger der Mail erhalten also eine Mail von einen ihnen bekannten Absender und sind daher meist wenig misstrauisch, was die Chance des Wurms, dass der mitgeschickte Code ausgeführt bzw. der enthaltene Link angeklickt wird, stark erhöht.
Würmer im Instant Messaging
Instant-Messaging-Würmer verbreiten sich, indem sie über Instant Messaging einem Link zu einer Webseite mit dem Wurmcode verbreiten. Klickt ein Benutzer auf den Link, wird der Wurm auf seinem Rechner ausgeführt und verschickt sich über Instant Messaging an alle Kontakte des Opfers. Die erhalten die Nachricht von einen ihnen bekannten Absender... für den Rest siehe oben. Dieser Social-Engineering-Ansatz wird von Schadsoftware allgemein sehr gerne genutzt.
Würmer im IRC
IRC-Würmer verbreiten sich über IRC, indem sie die Initialisierungsskripte von IRC-Clients so manipulieren, dass ihr eigener Code beim Start des Clients automatisch an alle Benutzer der besuchten Chaträume geschickt wird.
Würmer in Peer-to-Peer-Netzen
P2P-Würmer verbreiten sich in Peer-to-Peer-Netzen, vor allem in Tauschbörsen. Dafür gibt es mehrere Möglichkeiten:
- Der Wurm kann Schwachstellen in den verwendeten Peer-to-Peer-Clients nutzen, um sich darüber zu verbreiten (womit er im Prinzip wieder zu den klassischen Würmern zu zählen ist). Da Peer-to-Peer-Netze sehr viel Traffic erzeugen, fällt der durch den Wurm verursache zusätzliche Traffic kaum auf, zumal er dem erwarteten Muster des Peer-to-Peer-Clients entspricht: Die Kontaktaufnahme mit anderen Clients ist ja eine von dessen Hauptaufgaben.
- Der Wurm kann sich in das Peer-to-Peer-Protokoll einklinken und auf Suchanfragen mit gefälschten Antworten reagieren, die dann zum Download des Wurms führen. Je besser der Wurm sich dabei als die gesuchte Datei tarnt, also deren Größe und Format nachahmt, desto größer ist seine Erfolgswahrscheinlichkeit.
- Der Wurm kann sich selbst unter einen möglichst verlockenden Namen in das freigegebene Verzeichnis des infizierten Systems kopieren und darauf warten, dass er von anderen Benutzern geladen wird. Dieser Verbreitungsweg ist ebenso einfach wie ineffektiv, da die wenigsten Benutzer nach der Wurmdatei bzw. deren Tarn-Namen suchen werden.
Würmer auf mobilen Massenspeichern
AutoStart- bzw. AutoRun-Würmer verbreiten sich über mobile Massenspeicher wie z.B. USB-Sticks: Sie kopieren sich auf alle Massenspeicher, die mit einem infizierten Rechner verbunden werden, und sorgen meist dafür, dass die AutoStart/AutoRun-Funktion des Betriebssystems sie automatisch startet, sobald der infizierte Massenspeicher an einen anderen Rechner angeschlossen wird. Ist der automatische Start nicht möglich (insbesondere Microsoft hat da in letzter Zeit einige Sicherheitsmaßnahmen ergriffen), sind sie auf Social-Engineering-Tricks oder die Ausnutzung von Schwachstellen angewiesen, um auf dem neuen Rechner für ihren Start zu sorgen.
Es gibt auch Würmer, die sich über Disketten verbreiten. Mangels Diskettennutzung sind die aber in der heutigen Zeit nahezu ausgestorben, zumindest aber in ihrer Verbreitung extrem eingeschränkt.
Würmer auf Netzwerkfreigaben und -laufwerken
Manche Würmer kopieren sich auf alle erreichbaren Netzwerk-Shares und warten darauf, von dort auf andere Rechner im lokalen Netz kopiert zu werden. Dieser Verbreitungsweg ist aber i.A. nur eine zusätzliche Möglichkeit anderer Würmer bzw. allgemein Schadsoftware, um sich nach der Infektion eines Rechners möglichst weit im jeweiligen lokalen Netz zu verbreiten. Eine Verbreitung über das Internet scheitert i.A. an Schutzmaßnahmen wie z.B. der Firewall.
Würmer auf dem Handy
Handy-Würmer verbreiten sich über z.B. Bluetooth, aber auch z.B. MMS, UMTS oder WLAN, auf andere Handys. Insbesondere Smartphones sind dabei gefährdet: Je intelligenter ein Gerät und je größer sein Funktionsumfang, desto größer ist auch der Anreiz für Cyberkriminelle, dafür Schadsoftware zu entwickeln und die vorhandenen Funktionen und Daten zu missbrauchen. Es gibt z.B. seit kurzem Schadsoftware für Blackberry und Symbian, die SMS-TANs abfängt. Die verbreitet sich zwar nicht als Wurm, sondern mit Hilfe der den Windows-PC infizierenden Komponente, ist aber ein gute Beispiel für das Gefahrenpotential eines Handy-Schädlings.
Würmer im Web
Auch Webanwendungen sind nicht vor Wurmbefall sicher: Es gab bereits mehrere Würmer, die sich z.B. über XSS-Schwachstellen in Webanwendungen verbreiteten. Vor allem Social-Networking-Websites sind dabei ein beliebtes und lohnendes (zumindest wenn es um die möglichst große Verbreitung und das Erlangen von Aufmerksamkeit geht) Ziel.
In der nächsten Folge gibt es einen Überblick über die Entwicklungsgeschichte der Würmer.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer
-
- Würmer - Schadsoftware, die sich selbst verbreitet
- Schadsoftware - Die Entwicklung der Würmer
- 1999 - Die Ausbreitung der Würmer beginnt
- 2003 - Würmer ohne Ende
- 2004 - Mehr Würmer, mehr Ziele, mehr Opfer
- 2004 - Der Aufbruch der Würmer ins Web
- 2007 - Würmer im Sturm und in Facebook
- Conficker, Stuxnet, "Here you have" - die aktuellen Würmer
- Smarte Telefone, mehr oder weniger smarte Würmer
- Trojaner - Der Feind im harmlosen Programm
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Apple geg. Kaspersky, Angreifer geg. PHP, Irgendwer geg. den Iran, und mehr
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 3.2013 - Unsicherer Serial Bus
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kein 0-Day-Exploit für vBulletin, dafür ein neuer AutoCAD-Schädling und mehr
Vorschau anzeigen
entwickler.de am : PingBack
Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.Dipl.-Inform. Carsten Eilers am : Cross-Site Scripting im Überblick, Teil 2: Persistentes XSS
Vorschau anzeigen