2004 - Mehr Würmer, mehr Ziele, mehr Opfer | Dipl.-Inform. Carsten Eilers

2004 - Mehr Würmer, mehr Ziele, mehr Opfer

Geschrieben von Carsten Eilers am Donnerstag, 20. Januar 2011 um 09:30

Die Blütezeit der Würmer begann 1999, und vor allem in 2003 war der sprichwörtliche Wurm gleich mehrfach drin. Und SQL Slammer, Blaster und Welchia waren zumindest bezogen auf die Verbreitung der Würmer nur der Anfang.

Sobig - der Größte 2003

Sobig ist ein weitere E-Mail-Wurm und wurde erstmals als Sobig.A im Januar 2003 entdeckt, Testversionen wurden bis zum August 2002 zurückverfolgt. Sobig ist darauf angewiesen, dass ein Benutzer die an die E-Mails angehängte Datei öffnet, danach kann er sich selbständig über eine enthaltene SMTP-Engine an auf dem infizierten Rechner gefundene E-Mail-Adressen schicken.

Außer über E-Mails verbreitet Sobig sich auch durch das Kopieren auf Netzwerk-Freigaben. Seine Schadfunktion besteht im Nachladen von Schadcode, im einfachsten Fall von Sobig.A wurde dazu von einer Geocities-Webseite eine Datei mit dem Link zum nachzuladenden Programm geladen.

Die am weitesten verbreitete Sobig-Variante, Sobig.F, wurde erstmals am 19. August 2003 entdeckt. Sobig.F kontaktiert Freitags und Sonntags 20 IP-Adressen über den UDP-Port 8998, um Schadcode nachzuladen. Am 10. September 2003 deaktivierte Sobig.F seine Verbreitungsroutinen. Laut Sophos war die F-Variante trotz ihrer kurzen Lebenszeit als Wurm der 2003 am weitesten verbreitete Schädling.

Da ein Wurm ja nicht wissen kann, was für eine Betriebssystem der Empfänger der E-Mail verwendet, kommen natürlich auch Mac- und Linux-User regelmäßig in den "Genuss" der jeweiligen Mail-Fluten, so auch diesmal. Der Wurm selbst kann ihre Rechner zwar nicht schädigen, die überfüllten Mailboxen können aber auch ziemlich störend sein, sofern die Schädlinge nicht schon vor der Zustellung auf dem Mailserver ausgefiltert werden.

Mydoom - 2004 fängt schlecht an

Der nächste große Wurmausbruch ließ nicht lange auf sich warten: Am 26. Januar wurde erstmals Mydoom gesichtet, der sich bis dahin am schnellsten ausbreitende E-Mail-Wurm. Eine Infektion machte sich vor allem durch ein Notepad-Fenster mit Binärmüll darin bemerkbar, dann war es für eine Reaktion aber schon zu spät und der Wurm installiert. Seine Schadfunktionen: Einen DDoS-Angriff auf www.sco.com durchführen sowie auf den infizierten Systemen eine Hintertür öffnen.

Während andere Würmer mehr oder weniger interessante Subjects und Texte verwenden, um die Benutzer zum Öffnen des Anhangs zu bewegen, versuchte Mydoom es u.a. mit angeblichen Mail-Fehlermeldungen. Wurde der Anhang geöffnet, verschickte der Wurm sich mit Hilfe einer integrierten SMTP-Engine an einen Teil der auf dem infizierten Rechner gefundenen Mailadressen und kopierte sich ggf. in das Download-Verzeichnis eines vorhandenen KaZaA-Clients. Ein Teil der gefundenen Mailadressen wurde verschont: Mydoom sendete sich u.a. nicht an E-Mail-Adressen bestimmter Universitäten und Unternehmen, darunter Microsoft und Symantec. Auch wurden bestimmte Local Parts verschont. Nach dem 12. Februar 2004 beendet sich der Wurm nach dem Start automatisch, ohne irgend eine Aktion auszuführen.

Witty gegen die Firewall

Am 19. März 2004 wurde Witty erstmals gesichtet. Während Sobig und Mydoom E-Mail-Würmer waren und es auf Windows-Systeme abgesehen hatten, verbreitete sich Witty über direkte Netzwerkverbindungen und nutzte dabei eine einen Tag zuvor veröffentlichte und behobene Schwachstelle in der Firewall und weiteren Sicherheits-Produkte von Internet Security Systems (ISS, heutzutage IBM Internet Security Systems) aus. Der Wurm griff also genau die Systeme an, die die Netze vor Angriffen schützen sollten. Seinen Namen verdankt der Wurm einem Text innerhalb des Wurmcodes:

(^.^)      insert witty message here      (^.^)

Nachdem ein System infiziert wurde, sendet der Wurm sich selbst über UPD vom Quellport 4000 aus an 20.000 zufällig erzeugte IP-Adressen mit zufälligen Zielport. Seine danach ausgeführte Schadfunktion bestand im Überschreiben eines zufälligen Festplattensektors. Dies könnte ein Programmierfehler sein, evtl. versuchte der Wurm, sich selbst auf die Platte zu schreiben, was aber fehlschlägt. Nach dem Schreiben auf die Festplatte beginnt der Wurm, sich erneut an 20.000 zufällig erzeugte IP-Adressen zu schicken usw. usf. Die Ausbreitung des Wurm erfolgte sehr schnell und sorgte für reichlich Netzwerktraffic.

Da der Wurm nur im Hauptspeicher zu finden ist, übersteht er einen Neustart oder Absturz nicht, konnte aber auch nur schwer von den damals üblichen Virenscannern entdeckt werden.

Sasser gegen LSASS

Ende April 2004 wurde Sasser entdeckt, der eine zwei Wochen zuvor von Microsoft behobene Schwachstelle im Local Security Authority Subsystem Service (LSASS) ausnutzte. Wie Witty verbreitete Sasser sich völlig selbständig über die Netze. Die Infektion erfolgte in mehreren Schritten: Auf einem infizierten Rechner erzeugte der Wurm IP-Adressen nach bestimmten Mustern und versuchte, sich mit diesen zu verbinden. Gelang das, wurde versucht, über die LSASS-Schwachstelle Shellcode einzuschleusen. Der Shellcode lud dann den eigentlichen Wurmcode vom infizierten Rechner nach. Dazu installierte Sasser auf den infizierten Systemen einen FTP-Server. Der nachgeladene Wurmcode wurde in das Windows-Verzeichnis kopiert, ein Registry-Eintrag sorgte dann für seinen automatischen Start.

Der Wurm enthielt keine Schadfunktion, sorgte aber trotzdem für großen Schaden: Er brachte in unregelmäßigen Abständen LSASS.exe zum Absturz, was zu einem ungeplanten Neustart des Systems führte. Diese Neustarts sowie die weite Verbreitung des Wurms sorgten in vielen Unternehmen und Behörden für Ausfälle.

2004 war für die Würmer ein gutes Jahr, und 2005 wurde noch besser: Die Würmer eroberten einen neuen Lebensraum - das World Wide Web. Was damals alles passierte, erfahren Sie in der nächsten Folge.

Carsten Eilers