Skip to content

Würmer - Schadsoftware, die sich selbst verbreitet

Geschrieben von Carsten Eilers am um 07:21

Als (Computer-)Wurm wird Schadsoftware bezeichnet, die sich im Gegensatz zu z.B. Viren und Trojanern selbst verbreitet. Im Gegensatz zu den bereits vorgestellten Viren werden dabei keine fremden Dateien oder Bootsektoren als Wirt benötigt, auch gelangt der Wurm selbständig auf andere Rechner, während Viren auf eine Weitergabe der infizierten Dateien angewiesen sind.

Würmer unterwegs

Klassische Würmer verbreiten sich über Netzwerke, entweder indem sie vorhandene Funktionen missbrauchen oder indem sie Schwachstellen z.B. in Server-Diensten ausnutzen. Inzwischen gibt es aber aber viele Varianten, die andere Verbreitungswege nutzen:

Würmer in E-Mails

E-Mail-Würmer verbreiten sich über (selbst verschickte) E-Mails. Dabei wird vom Wurm entweder der Wurmcode selbst oder ein Link zum Wurm(programm) verschickt, die Empfängeradressen werden auf den infizierten Rechnern z.B. aus dem Adressbuch des Mailprogramms oder anderen Dateien gesammelt. Verschickt werden die Mails entweder über das vorhandene Mailprogramm oder über im Wurmcode enthaltenen eigenen Code zur Nutzung des SMTP-Protokolls, als Absender dient meist die Adresse des Benutzers des infizierten Rechners. Die Empfänger der Mail erhalten also eine Mail von einen ihnen bekannten Absender und sind daher meist wenig misstrauisch, was die Chance des Wurms, dass der mitgeschickte Code ausgeführt bzw. der enthaltene Link angeklickt wird, stark erhöht.

Würmer im Instant Messaging

Instant-Messaging-Würmer verbreiten sich, indem sie über Instant Messaging einem Link zu einer Webseite mit dem Wurmcode verbreiten. Klickt ein Benutzer auf den Link, wird der Wurm auf seinem Rechner ausgeführt und verschickt sich über Instant Messaging an alle Kontakte des Opfers. Die erhalten die Nachricht von einen ihnen bekannten Absender... für den Rest siehe oben. Dieser Social-Engineering-Ansatz wird von Schadsoftware allgemein sehr gerne genutzt.

Würmer im IRC

IRC-Würmer verbreiten sich über IRC, indem sie die Initialisierungsskripte von IRC-Clients so manipulieren, dass ihr eigener Code beim Start des Clients automatisch an alle Benutzer der besuchten Chaträume geschickt wird.

Würmer in Peer-to-Peer-Netzen

P2P-Würmer verbreiten sich in Peer-to-Peer-Netzen, vor allem in Tauschbörsen. Dafür gibt es mehrere Möglichkeiten:

  • Der Wurm kann Schwachstellen in den verwendeten Peer-to-Peer-Clients nutzen, um sich darüber zu verbreiten (womit er im Prinzip wieder zu den klassischen Würmern zu zählen ist). Da Peer-to-Peer-Netze sehr viel Traffic erzeugen, fällt der durch den Wurm verursache zusätzliche Traffic kaum auf, zumal er dem erwarteten Muster des Peer-to-Peer-Clients entspricht: Die Kontaktaufnahme mit anderen Clients ist ja eine von dessen Hauptaufgaben.
  • Der Wurm kann sich in das Peer-to-Peer-Protokoll einklinken und auf Suchanfragen mit gefälschten Antworten reagieren, die dann zum Download des Wurms führen. Je besser der Wurm sich dabei als die gesuchte Datei tarnt, also deren Größe und Format nachahmt, desto größer ist seine Erfolgswahrscheinlichkeit.
  • Der Wurm kann sich selbst unter einen möglichst verlockenden Namen in das freigegebene Verzeichnis des infizierten Systems kopieren und darauf warten, dass er von anderen Benutzern geladen wird. Dieser Verbreitungsweg ist ebenso einfach wie ineffektiv, da die wenigsten Benutzer nach der Wurmdatei bzw. deren Tarn-Namen suchen werden.

Würmer auf mobilen Massenspeichern

AutoStart- bzw. AutoRun-Würmer verbreiten sich über mobile Massenspeicher wie z.B. USB-Sticks: Sie kopieren sich auf alle Massenspeicher, die mit einem infizierten Rechner verbunden werden, und sorgen meist dafür, dass die AutoStart/AutoRun-Funktion des Betriebssystems sie automatisch startet, sobald der infizierte Massenspeicher an einen anderen Rechner angeschlossen wird. Ist der automatische Start nicht möglich (insbesondere Microsoft hat da in letzter Zeit einige Sicherheitsmaßnahmen ergriffen), sind sie auf Social-Engineering-Tricks oder die Ausnutzung von Schwachstellen angewiesen, um auf dem neuen Rechner für ihren Start zu sorgen.

Es gibt auch Würmer, die sich über Disketten verbreiten. Mangels Diskettennutzung sind die aber in der heutigen Zeit nahezu ausgestorben, zumindest aber in ihrer Verbreitung extrem eingeschränkt.

Würmer auf Netzwerkfreigaben und -laufwerken

Manche Würmer kopieren sich auf alle erreichbaren Netzwerk-Shares und warten darauf, von dort auf andere Rechner im lokalen Netz kopiert zu werden. Dieser Verbreitungsweg ist aber i.A. nur eine zusätzliche Möglichkeit anderer Würmer bzw. allgemein Schadsoftware, um sich nach der Infektion eines Rechners möglichst weit im jeweiligen lokalen Netz zu verbreiten. Eine Verbreitung über das Internet scheitert i.A. an Schutzmaßnahmen wie z.B. der Firewall.

Würmer auf dem Handy

Handy-Würmer verbreiten sich über z.B. Bluetooth, aber auch z.B. MMS, UMTS oder WLAN, auf andere Handys. Insbesondere Smartphones sind dabei gefährdet: Je intelligenter ein Gerät und je größer sein Funktionsumfang, desto größer ist auch der Anreiz für Cyberkriminelle, dafür Schadsoftware zu entwickeln und die vorhandenen Funktionen und Daten zu missbrauchen. Es gibt z.B. seit kurzem Schadsoftware für Blackberry und Symbian, die SMS-TANs abfängt. Die verbreitet sich zwar nicht als Wurm, sondern mit Hilfe der den Windows-PC infizierenden Komponente, ist aber ein gute Beispiel für das Gefahrenpotential eines Handy-Schädlings.

Würmer im Web

Auch Webanwendungen sind nicht vor Wurmbefall sicher: Es gab bereits mehrere Würmer, die sich z.B. über XSS-Schwachstellen in Webanwendungen verbreiteten. Vor allem Social-Networking-Websites sind dabei ein beliebtes und lohnendes (zumindest wenn es um die möglichst große Verbreitung und das Erlangen von Aufmerksamkeit geht) Ziel.

In der nächsten Folge gibt es einen Überblick über die Entwicklungsgeschichte der Würmer.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer
Würmer - Schadsoftware, die sich selbst verbreitet
Schadsoftware - Die Entwicklung der Würmer
1999 - Die Ausbreitung der Würmer beginnt
2003 - Würmer ohne Ende
2004 - Mehr Würmer, mehr Ziele, mehr Opfer
2004 - Der Aufbruch der Würmer ins Web
2007 - Würmer im Sturm und in Facebook
Conficker, Stuxnet, "Here you have" - die aktuellen Würmer
Smarte Telefone, mehr oder weniger smarte Würmer
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Apple geg. Kaspersky, Angreifer geg. PHP, Irgendwer geg. den Iran, und mehr

Vorschau anzeigen
Heute gibt es mal wieder eine bunte Mischung an Kommentaren: Apple erlaubt keine Virenscanner im App-Store, es gibt Angriffe auf die PHP-CGI-Schwachstelle, Yahoo! veröffentlicht einen privaten Schlüssel, eine Verbesserung für TLS soll

Dipl.-Inform. Carsten Eilers am : Drucksache: Entwickler Magazin 3.2013 - Unsicherer Serial Bus

Vorschau anzeigen
Im Entwickler Magazin 3.2013 ist ein Artikel über Angriffe über den USB-Port erschienen. Vorgestellt werden unter anderem Angriffe über getarnte USB Human Device Interfaces wie USB Rubber Ducky und dem Social Engineering Toolkit.

entwickler.de am : PingBack

Die Anzeige des Inhaltes dieses Trackbacks ist leider nicht möglich.

Dipl.-Inform. Carsten Eilers am : Cross-Site Scripting im Überblick, Teil 2: Persistentes XSS

Vorschau anzeigen
Eine Universal XSS Schwachstelle, wie sie im Internet Explorer gefunden wurde, ist für Angreifer natürlich das beste, was ihnen passieren kann. Denn darüber können sie jede Webseite über XSS angreifen, unabhängig dav