Dipl.-Inform. Carsten Eilers

Am 22. Oktober kündigte Microsoft sehr kurzfristig die Veröffentlichung eines außerplanmäßigen Security Bulletins nebst Updates für den folgenden Tag an. Am 23. Oktober wurde dann das als kritisch eingestufte Bulletin MS08-067 veröffentlicht: Eine Pufferüberlauf-Schwachstelle im RPC-Service erlaubt durch präparierte RPC-Requests die Ausführung beliebigen Codes aus der Ferne.

Laut Microsoft wurde die Schwachstelle bereits für gezielte Angriffe ausgenutzt, aber bisher kein Exploit im Internet veröffentlicht. Sophos berichtete über einen Schädling, der die Schwachstelle zwar nicht zur Verbreitung ausnutzte, aber von Shellcode nachgeladen wurde. Vanja Svajcer von Sophos verglich die aktuelle Schwachstelle mit der 2004 vom Sasser-Wurm ausgenutzten und kommentierte das mit

"It remains to be seen how interested the virus writers will be in this vulnerability, considering a general trend towards hidden malware that does not replicate. The noise of generated network traffic seen with large scale outbreaks of self-replicating malware may not appeal to modern day virus writers.

Let us hope that the dark days of Blaster and Sasser history will not be repeated."

Wie wir inzwischen wissen, wurde diese Hoffnung nicht erfüllt.

Ein Unwetter zieht auf

Noch am gleichen Tag wurde ein erster Exploit im Exploit-Archive Milw0rm (das inzwischen offline ist, dessen Inhalt aber in der Exploit-DB aufgegangen ist, so auch dieser Exploit) veröffentlicht, und auch ein erster Wurm, der die Schwachstelle ausnutzte, wurde entdeckt.

Von Treatexperts wurde dieser allgemein Gimmiv.A genannte Schädling zwar als Wurm bezeichnet, technisch war er aber eine Art "Netzwerkfähiger Trojaner": Nachdem der Schädling als Trojaner einen Rechner befallen hatte, suchte er von dort aus über die RPC-Schwachstelle nach weiteren Opfern im lokalen Netz.

Jetzt geht es los

Man sollte erwarten, dass das Anlass genug war, um überall das Update zu installieren. Eigentlich hätte ein danach losgelassener Wurm sofort aussterben müssen. Leider war dem ganz und gar nicht so, und als dann nach ziemlich genau einem Monat die erste Variante von Conficker auftauchte, fand er reichlich Opfer.

Wie so oft bei neuen Schädlingen, kochte jeder Antivirenhersteller seine eigene (Buchstaben-)Suppe (neue Schädlinge austauschen tun sie, aber sich dabei auch gleich auf einheitliche Namen zu einigen, ist wohl nicht drin), so dass Conficker auch als Downadup und Kido bezeichnet wurde.

Die erste Variante machte noch einen Bogen um die Ukraine, späte Versionen gaben diese Rücksichtnahme auf und rasten dann ab Anfang Januar 2009 förmlich um die Welt. Die neuen Varianten versuchten auch, sich auf nur mit schwachen Passwörtern geschützte Netzwerklaufwerke zu kopieren und sich über die AutoRun-Funktion für USB-Sticks und andere Wechselmedien zu verbreiten.

Gemeinsam gegen den Wurm

Anfang Februar 2009 sollte es den Entwicklern des Wurms an den Kragen gehen: Microsoft, Sicherheitsunternehmen und -forscher schlossen sich zur Conficker Working Group zusammen und Microsoft setzte eine Belohnung für die Ergreifung des oder der Entwickler aus. Die Conficker Working Group arbeitete bis zum Juni 2010 und veröffentlichte am 24. Januar 20011 ein "Lessons Learned"-Dokument (PDF) mit einer Beschreibung der Ergebnisse.

Der Untergang des AbendlandsInternets droht!?!?

Für den 1. April 2009 sagten dann einige Medienberichte den Untergang des Internet voraus: Conficker, der bis dahin bereits eine riesige Anzahl Rechner infiziert hatte, sollte mit Hilfe eines neuen Algorithmus zur Bestimmung von Domains von diesen neuen Code nachladen. Das führte vor allen in den Massenmedien zu einer regelrechten Conficker-Hysterie - ohne, dass irgend jemand irgend etwas über die Hintergründe des Wurms wusste.

Nun, das Internet ging nicht unter, stattdessen wurden erst mal zwei einfache Online-Tests veröffentlicht, mit denen infizierte Rechner erkannt werden können: Da der Wurm den Zugriff auf verschiedene Sicherheits- und Antiviren-Seiten blockiert, wird geprüft, ob der Zugriff auf solche Seiten möglich ist oder nicht. Joe Stewart von SecureWorks verwendet dazu einige Logos, die im Normalfall alle angezeigt werden (weitere Variante). Ist der Rechner vom Wurm befallen, fehlen einige oder alle Logos von Sicherheits- und Antiviren-Seiten. Felix Leder und Tillmann Werner vom Honeynet Project verwenden unterschiedliche Stylesheets und nutzen aus, dass der Wurm bereits auf bestimmte Schlüsselwörter im Domainnamen mit einer Blockade reagiert. Da beide Tests auf durch den Wurm blockierte DNS-Abfragen angewiesen sind, funktionieren sie nicht, wenn ein Proxy verwendet wird. Außerdem werden nur die Wurm-Varianten B, C und deren Nachfolger erkannt, da die erste Variante noch keine Funktion zum Blockieren der DNS-Abfragen enthielt.

Der Wurm lässt die Maske fallen?

Am 7. April 2009 legte Conficker dann endlich los, nutzte entgegen der Voraussagen aber nicht die neu erzeugten Domains zum Nachladen von Schadcode, sondern die ebenfalls integrierte Peer-to-Peer-Funktion. Die neue Variante, Conficker.E genannt, würde sich am 3. Mai 2009 selbst löschen und nur ihren Vorgänger in Form der Variante C aktiv zurück lassen.

Falls Sie sich jetzt fragen, was der Wurm denn für eine Schadfunktion hat... nun, die Frage stellten sich anfangs wohl alle. Außer sich selbst zu verbreiten und von Zeit zu Zeit zu aktualisieren, machte der Wurm nichts weiter als auf weitere Befehle zu warten. Erst die ab dem 7. April 2009 verteilte Variante E enthielt eine Schadfunktion: Es wurden der für seinen Spamversand und das Sammeln von Informationen bekannte E-Mail-Wurm Waledac und Fake-Virenscanner nachgeladen. Es gab also keine Grund zur Panik, alles war wie immer, und diesmal noch nicht mal schlimmer:

• Der RPC-Wurm lud eine neue Variante von sich selbst herunter, die sich selbst verbreiten kann - das hatten wir schon.
• Der RPC-Wurm lud den Schädling Waledac nach, der sich sonst über E-Mail verbreitet - im Grunde ist auch das keine neue Bedrohung
• Der RPC-Wurm lud Fake-Antivirensoftware nach - auch das ist nichts neues
• Der RPC-Wurm entfernte sich am 3. Mai 2009 selbst, die vorherige Version bleibt zurück

Die Ruhe vor dem nächsten Sturm?

Nach dem 3. Mai 2009 wurde es dann ruhig um Conficker, der sich aber weiter verbreitete. Anfang Februar 2010, also mehr als ein Jahr nach dem Ausbruch ersten großen Wurmwelle, erwischte der Wurm z.B. noch ein Revier der britischen Polizei, die 'Greater Manchester Police' (GMP), wie z.B. Graham Cluley von Sophos (mit Verweis auf einen BBC-Bericht) und Karel Obluk von AVG (mit Verweis auf einen Artikel der Manchester Evening News) berichteten. Und auch heute (d.h. Anfang Februar 2011 und damit zwei Jahre nach den ersten Wurmwellen) ist Conficker noch aktiv und wartet darauf, eingesetzt zu werden.

Zwei abschließende Hinweise: Microsoft hat eine Informationsseite zum Wurm bereit gestellt, und bei der Conficker Working Group gibt es eine Zeitleiste seiner Entwicklung.

Stuxnet - Der "Cyberwar-Wurm"

Über Stuxnet habe ich schon genug geschrieben, so dass ich mich hier auf eine kurze Zusammenfassung mit entsprechenden Verweisen beschränke. Das besondere an Stuxnet: Er verbreitete sich Mitte 2010 sehr schnell im Internet, hatte aber eine so spezielle Schadfunktion, dass er dort eigentlich nichts verloren hatte - war das also ein "Betriebsunfall" oder aber Absicht?

Erstmals aufgefallen war Stuxnet im Juni 2010, als die erste der vier von ihm ausgenutzten 0-Day-Schwachstellen bekannt wurde. Klar war, dass Stuxnet es auf Produktionsanlagen abgesehen hatte - aber auf welche und in wessen Auftrag? Nachdem das iranische Atomwaffenprogramm als wahrscheinliches Ziel ausgemacht worden war, war klar: Stuxnet war ein erster Schritt in Richtung Cyberwar. Nach und nach kamen weitere Details ans Licht, die vollständigen Fakten werden wir aber wohl nie erfahren.

"Here you have"... einen E-Mail-Wurm

Im September 2010 erinnerte "Here you have" die Welt daran, dass es auch noch E-Mail-Würmer gibt und die auch reichlich Opfer finden. Sofern die den Wurmausbruch nicht verschlafen, so wie wir Europäer: Kaum war der Wurm da, war er auch schon wieder weg. Alles wesentliche habe ich bereits im Standpunkt vom 13. September 2010 geschrieben. Hier ist der Wurm eigentlich nur als Kuriosität interessant, hielt man E-Mail-Würmer doch eigentlich für ausgestorben. Wer weiß, was als nächstes wiederkommt - Bootsektorviren?

In der nächsten Folge gibt es zum Abschluss der Geschichte der Würmer einen Überblick über deren besonders mobilen Versionen, oder genauer: Würmer für Mobiltelefone. Denn Smartphones sind so Smart, dass sie sich auch einen Wurm einfangen können.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware

Ransomware: Geld her, oder die Daten sind weg

Spyware - Der Spion in Ihrem Computer

Viren - Infektiöse Schadsoftware mit langer Ahnenreihe

Würmer

Würmer - Schadsoftware, die sich selbst verbreitet

Schadsoftware - Die Entwicklung der Würmer

1999 - Die Ausbreitung der Würmer beginnt

2003 - Würmer ohne Ende

2004 - Mehr Würmer, mehr Ziele, mehr Opfer

2004 - Der Aufbruch der Würmer ins Web

2007 - Würmer im Sturm und in Facebook

Conficker, Stuxnet, "Here you have" - die aktuellen Würmer

Smarte Telefone, mehr oder weniger smarte Würmer

Trojaner - Der Feind im harmlosen Programm

Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...

Exploit-Kits - Die Grundlage für Drive-by-Infektionen

Rootkits - Schadsoftware im System

Remote Administration Toolkits - Fernwartung in der Grauzone

Botnets - Zombie-Plagen im Internet

Schadsoftware - Infektionen verhindern

Schadsoftware im Überblick