1999 - Die Ausbreitung der Würmer beginnt
Unsere Reise durch die Welt der Schadsoftware geht weiter: Die Arten der Würmer und die Geschichte ihrer Entstehung kennen Sie schon, nun kommen wir zur Blütezeit der Würmer. Die begann 1999 und ist noch lange nicht zu Ende.
Happy99 macht nicht glücklich
Happy99 wurde erstmals im Januar 1999 entdeckt und verbreitete sich über E-Mail-Anhänge und Usenet-Postings. Er war der erste E-Mail-Wurm und lief, wie die meisten seiner Nachfolger, unter Windows. Seinen Namen erhielt er auf Grund seiner Tarnung: Das Programm öffnete nach dem Start ein Fenster und wünschte darin ein frohes Neues Jahr.
Der Wurm enthielt keine Schadfunktion, er machte nichts weiter, als sich
selbst zu verbreiten. Dazu manipulierte er die Winsock-Library
winsock32.dll
so, dass das Wurm-Programm an jede ausgehende
Mail und jedes ausgehende Usenet-Posting angehängt wurde. Auf der
Empfängerseite konnte der Wurm nur aktiv werden, wenn er von einem
Benutzer gestartet wurde. Ein manipulierter Registry-Key sorgte dann
dafür, dass er bei jedem Systemstart oder Reset gestartet wurde.
Melissa macht auch nicht glücklicher
Der nächste E-Mail-Wurm ging im März 1999 auf die Reise:
Melissa
wurde anfangs als Datei LIST.DOC
in der Usenet-Gruppe alt.sex
verbreitet und bestand aus einem Makro für Microsoft Office. Nach dem
Öffnen einer infizierten Datei infizierte das Makro weitere Word- und
Excel-Dateien und schickte sich selbst an die ersten 50 der im
Outlook-Adressbuch gespeicherten Adressen. Und das so erfolgreich, dass
einigen Mailservern davon so schlecht wurde, so dass sie erst mal eine
Erholungspause einlegen mussten.
Als Macro-Virus konnte Melissa auch Word- und Excel-Dateien auf dem Macintosh infizieren, mangels Outlook blieb er aber auf dem System gefangen, da das Senden von E-Mails nur damit möglich war.
Die Schadfunktion der ursprünglichen Variante war recht harmlos: Es wurden Zitate aus den "Simpsons" in die Dokumente eingefügt. Gefährlicher war ein Nebeneffekt: Da die versendeten Dokumente willkürlich ausgewählt wurden, wurden mitunter auch vertrauliche Dateien versendet. Spätere Varianten des Wurm enthielten gefährlichere Schadfunktionen wie z.B. das Löschen wichtiger Systemdateien und Ransomware-Funktionen.
Falls Sie jetzt denken, Sie hätten ein Deja Vu: Dem ist nicht so, Melissa wurde hier bereits erwähnt. Da der Wurm Word- und Excel-Dateien mit seinem Code infizierte, ist er gleichzeitig auch ein Virus, oder, wie man ihn heute wohl nennen würde, File Infector. Entsprechend wurde er auch von manchen Antiviren-Herstellern als Wurm und von anderen als Virus eingestuft. Wenn man dann noch die verschiedenen Namen dazu nimmt, ist die Verwirrung komplett.
Auch Liebesbriefe machen unglücklich
Vor allem, wenn sie als E-Mail mit dem Subject
ILOVEYOU
auf dem Rechner landen und der Empfänger die angehängte Datei
LOVE-LETTER-FOR-YOU.TXT.vbs
öffnet. Das passiert
schnell, weil sie wie eine harmlose .TXT
-Datei erscheint: Die
Extension .vbs
wurde per Default nicht angezeigt.
ILOVEYOU machte ab Mai 2000 das Internet unsicher. Außer über E-Mails versuchte der Wurm auch, sich über IRC und Usenet-Gruppen zu verbreiten Die Schadfunktionen bestanden darin, wichtige Dateien durch eine Kopie von sich selbst zu ersetzen und die Startseite des Internet Explorers gegen einen Link zu einem Programm auszutauschen.
Ebenso wie Melissa und aus dem gleichen Grund wurde ILOVEYOU bereits bei den Viren erwähnt.
Nicht nur Windows ist gefährdet
Im Mai 2001 machte sich
Sadmind
auf den Weg, seine Botschaft im Web zu verbreiten. Zuerst wurden
Solaris-Systeme und dann von denen ausgehend Microsofts IIS kompromittiert.
In beiden Fällen wurden zuvor bereits behobenen Schwachstellen ausgenutzt.
Auf den IIS-Systemen wurden danach die Dateien index.htm
,
index.asp
, default.htm
und
default.asp
gegen solche mit einem Defacement ausgetauscht.
Diese Schadfunktion war also noch relativ harmlos, heutzutage würde so ein
Wurm wahrscheinlich Code für
Drive-by-Infektionen
in die vorhandenen Seiten einfügen und sich ansonsten möglichst
unauffällig verhalten.
Alarmstufe Rot im Internet
Der nächste berühmt-berüchtigte Wurm machte ab Juli 2001 das Internet
unsicher:
Code Red
infizierte wie schon Sadmind Microsofts IIS. Und wie Sadmind nutzte auch
Code Red eine längst behobene Schwachstelle, was seiner Verbreitung
aber nicht großartig behinderte. Patches installieren gehörte
damals wohl nicht gerade zu den Lieblingsbeschäftigungen der Admins.
Außer sich selbst zu verbreiten sorgte der Wurm für ein
Defacement der betroffenen Website oder startete DoS-Angriffe auf
verschiedene Server, u.a. www.whitehouse.gov
.
Ryan Permeh und Marc Maiffret von eEye Digital Security, die Entdecker des Wurm, haben ihn ausführlich analysiert.
Code Red war übrigens für die merkwürdigen Einträge mit dem
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNN...
in den Apache-Logfiles verantwortlich: So suchte der Wurm nach neuen
Opfern.
Wurm mit Wiederholung
Code Red II ist nicht, wie der Name vermuten lässt, eine Variante von Code Red, sondern ein eigenständiger Wurm, der ab August 2001 das Internet unsicher machte. Er nutzte die gleiche Schwachstelle wie Code Red aus, enthielt aber eine völlig andere Schadfunktion. Seine Aufgabe: Die Installation einer Backdoor.
Multifunktionaler Wurm
Schon im September 2001 gab es den nächsten bemerkenswerten Wurmausbruch: Nimda schaffte es, innerhalb von 22 Minuten der am weiteste verbreitete Wurm im Internet zu werden. Da gelangt u.a. weil der Wurm sowohl Windows-Clients als auch -Server infizierte und sich über mehrere Verbreitungswege neue Opfer suchte:
- Über E-Mails, wobei eine Schwachstelle im Internet Explorer 5 zur automatischen Ausführung des Schadcodes ausgenutzt wurde, so dass jeder Mail-Client betroffen war, der HTML-Mails mit dem IE renderte
- Durch das Kopieren auf offene Netzwerk-Laufwerke
- Durch Ausnutzung längst behobener Schwachstellen in IIS 4 und 5 (die von Code Red verbreitete Lektion "Wer nicht patcht, bekommt einen Wurmbefall" hatte sich in der kurzen Zeit noch nicht herumgesprochen)
- Durch Drive-by-Infektionen, wobei der Schadcode zum einen in die Seiten infizierter IIS-Systeme eingefügt wurde, zum anderen entsprechende Dateien auf Client-Rechnern infiziert wurden, die dann von den Benutzern auf nicht kompromittierte Webserver kopiert wurden
- Über von Code Red II und Sadmind hinterlassene Hintertüren
- Über die Infektion von Programmen, die dann vom Benutzer weitergegeben wurden
Nimda war der erste Wurm, der bestehende Websites für Drive-by-Infektionen präparierte. Außerdem war er der erste Wurm, der von Client-Rechnern aus nach angreifbaren Servern suchte und damit auch nicht aus dem Internet, sondern nur aus dem lokalen Netz erreichbare Server angreifen konnte.
Außer sich selbst zu verbreiten installierte der Wurm auch eine Hintertür.
Nach der Blütezeit der Viren in den 1990er Jahren begann die Blütezeit der Würmer. Und die dauert noch an, wie Sie in der nächsten Folge erfahren werden.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer
-
- Würmer - Schadsoftware, die sich selbst verbreitet
- Schadsoftware - Die Entwicklung der Würmer
- 1999 - Die Ausbreitung der Würmer beginnt
- 2003 - Würmer ohne Ende
- 2004 - Mehr Würmer, mehr Ziele, mehr Opfer
- 2004 - Der Aufbruch der Würmer ins Web
- 2007 - Würmer im Sturm und in Facebook
- Conficker, Stuxnet, "Here you have" - die aktuellen Würmer
- Smarte Telefone, mehr oder weniger smarte Würmer
- Trojaner - Der Feind im harmlosen Programm
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks