Skip to content

1999 - Die Ausbreitung der Würmer beginnt

Unsere Reise durch die Welt der Schadsoftware geht weiter: Die Arten der Würmer und die Geschichte ihrer Entstehung kennen Sie schon, nun kommen wir zur Blütezeit der Würmer. Die begann 1999 und ist noch lange nicht zu Ende.

Happy99 macht nicht glücklich

Happy99 wurde erstmals im Januar 1999 entdeckt und verbreitete sich über E-Mail-Anhänge und Usenet-Postings. Er war der erste E-Mail-Wurm und lief, wie die meisten seiner Nachfolger, unter Windows. Seinen Namen erhielt er auf Grund seiner Tarnung: Das Programm öffnete nach dem Start ein Fenster und wünschte darin ein frohes Neues Jahr.

Der Wurm enthielt keine Schadfunktion, er machte nichts weiter, als sich selbst zu verbreiten. Dazu manipulierte er die Winsock-Library winsock32.dll so, dass das Wurm-Programm an jede ausgehende Mail und jedes ausgehende Usenet-Posting angehängt wurde. Auf der Empfängerseite konnte der Wurm nur aktiv werden, wenn er von einem Benutzer gestartet wurde. Ein manipulierter Registry-Key sorgte dann dafür, dass er bei jedem Systemstart oder Reset gestartet wurde.

Melissa macht auch nicht glücklicher

Der nächste E-Mail-Wurm ging im März 1999 auf die Reise: Melissa wurde anfangs als Datei LIST.DOC in der Usenet-Gruppe alt.sex verbreitet und bestand aus einem Makro für Microsoft Office. Nach dem Öffnen einer infizierten Datei infizierte das Makro weitere Word- und Excel-Dateien und schickte sich selbst an die ersten 50 der im Outlook-Adressbuch gespeicherten Adressen. Und das so erfolgreich, dass einigen Mailservern davon so schlecht wurde, so dass sie erst mal eine Erholungspause einlegen mussten.

Als Macro-Virus konnte Melissa auch Word- und Excel-Dateien auf dem Macintosh infizieren, mangels Outlook blieb er aber auf dem System gefangen, da das Senden von E-Mails nur damit möglich war.

Die Schadfunktion der ursprünglichen Variante war recht harmlos: Es wurden Zitate aus den "Simpsons" in die Dokumente eingefügt. Gefährlicher war ein Nebeneffekt: Da die versendeten Dokumente willkürlich ausgewählt wurden, wurden mitunter auch vertrauliche Dateien versendet. Spätere Varianten des Wurm enthielten gefährlichere Schadfunktionen wie z.B. das Löschen wichtiger Systemdateien und Ransomware-Funktionen.

Falls Sie jetzt denken, Sie hätten ein Deja Vu: Dem ist nicht so, Melissa wurde hier bereits erwähnt. Da der Wurm Word- und Excel-Dateien mit seinem Code infizierte, ist er gleichzeitig auch ein Virus, oder, wie man ihn heute wohl nennen würde, File Infector. Entsprechend wurde er auch von manchen Antiviren-Herstellern als Wurm und von anderen als Virus eingestuft. Wenn man dann noch die verschiedenen Namen dazu nimmt, ist die Verwirrung komplett.

Auch Liebesbriefe machen unglücklich

Vor allem, wenn sie als E-Mail mit dem Subject ILOVEYOU auf dem Rechner landen und der Empfänger die angehängte Datei LOVE-LETTER-FOR-YOU.TXT.vbs öffnet. Das passiert schnell, weil sie wie eine harmlose .TXT-Datei erscheint: Die Extension .vbs wurde per Default nicht angezeigt.

ILOVEYOU machte ab Mai 2000 das Internet unsicher. Außer über E-Mails versuchte der Wurm auch, sich über IRC und Usenet-Gruppen zu verbreiten Die Schadfunktionen bestanden darin, wichtige Dateien durch eine Kopie von sich selbst zu ersetzen und die Startseite des Internet Explorers gegen einen Link zu einem Programm auszutauschen.

Ebenso wie Melissa und aus dem gleichen Grund wurde ILOVEYOU bereits bei den Viren erwähnt.

Nicht nur Windows ist gefährdet

Im Mai 2001 machte sich Sadmind auf den Weg, seine Botschaft im Web zu verbreiten. Zuerst wurden Solaris-Systeme und dann von denen ausgehend Microsofts IIS kompromittiert. In beiden Fällen wurden zuvor bereits behobenen Schwachstellen ausgenutzt. Auf den IIS-Systemen wurden danach die Dateien index.htm, index.asp, default.htm und default.asp gegen solche mit einem Defacement ausgetauscht. Diese Schadfunktion war also noch relativ harmlos, heutzutage würde so ein Wurm wahrscheinlich Code für Drive-by-Infektionen in die vorhandenen Seiten einfügen und sich ansonsten möglichst unauffällig verhalten.

Alarmstufe Rot im Internet

Der nächste berühmt-berüchtigte Wurm machte ab Juli 2001 das Internet unsicher: Code Red infizierte wie schon Sadmind Microsofts IIS. Und wie Sadmind nutzte auch Code Red eine längst behobene Schwachstelle, was seiner Verbreitung aber nicht großartig behinderte. Patches installieren gehörte damals wohl nicht gerade zu den Lieblingsbeschäftigungen der Admins. Außer sich selbst zu verbreiten sorgte der Wurm für ein Defacement der betroffenen Website oder startete DoS-Angriffe auf verschiedene Server, u.a. www.whitehouse.gov.

Ryan Permeh und Marc Maiffret von eEye Digital Security, die Entdecker des Wurm, haben ihn ausführlich analysiert.

Code Red war übrigens für die merkwürdigen Einträge mit dem
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNN...
in den Apache-Logfiles verantwortlich: So suchte der Wurm nach neuen Opfern.

Wurm mit Wiederholung

Code Red II ist nicht, wie der Name vermuten lässt, eine Variante von Code Red, sondern ein eigenständiger Wurm, der ab August 2001 das Internet unsicher machte. Er nutzte die gleiche Schwachstelle wie Code Red aus, enthielt aber eine völlig andere Schadfunktion. Seine Aufgabe: Die Installation einer Backdoor.

Multifunktionaler Wurm

Schon im September 2001 gab es den nächsten bemerkenswerten Wurmausbruch: Nimda schaffte es, innerhalb von 22 Minuten der am weiteste verbreitete Wurm im Internet zu werden. Da gelangt u.a. weil der Wurm sowohl Windows-Clients als auch -Server infizierte und sich über mehrere Verbreitungswege neue Opfer suchte:

  • Über E-Mails, wobei eine Schwachstelle im Internet Explorer 5 zur automatischen Ausführung des Schadcodes ausgenutzt wurde, so dass jeder Mail-Client betroffen war, der HTML-Mails mit dem IE renderte
  • Durch das Kopieren auf offene Netzwerk-Laufwerke
  • Durch Ausnutzung längst behobener Schwachstellen in IIS 4 und 5 (die von Code Red verbreitete Lektion "Wer nicht patcht, bekommt einen Wurmbefall" hatte sich in der kurzen Zeit noch nicht herumgesprochen)
  • Durch Drive-by-Infektionen, wobei der Schadcode zum einen in die Seiten infizierter IIS-Systeme eingefügt wurde, zum anderen entsprechende Dateien auf Client-Rechnern infiziert wurden, die dann von den Benutzern auf nicht kompromittierte Webserver kopiert wurden
  • Über von Code Red II und Sadmind hinterlassene Hintertüren
  • Über die Infektion von Programmen, die dann vom Benutzer weitergegeben wurden

Nimda war der erste Wurm, der bestehende Websites für Drive-by-Infektionen präparierte. Außerdem war er der erste Wurm, der von Client-Rechnern aus nach angreifbaren Servern suchte und damit auch nicht aus dem Internet, sondern nur aus dem lokalen Netz erreichbare Server angreifen konnte.

Außer sich selbst zu verbreiten installierte der Wurm auch eine Hintertür.

Nach der Blütezeit der Viren in den 1990er Jahren begann die Blütezeit der Würmer. Und die dauert noch an, wie Sie in der nächsten Folge erfahren werden.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer
Würmer - Schadsoftware, die sich selbst verbreitet
Schadsoftware - Die Entwicklung der Würmer
1999 - Die Ausbreitung der Würmer beginnt
2003 - Würmer ohne Ende
2004 - Mehr Würmer, mehr Ziele, mehr Opfer
2004 - Der Aufbruch der Würmer ins Web
2007 - Würmer im Sturm und in Facebook
Conficker, Stuxnet, "Here you have" - die aktuellen Würmer
Smarte Telefone, mehr oder weniger smarte Würmer
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Keine Trackbacks