Smarte Telefone, mehr oder weniger smarte Würmer
Bisher ging es bei unserer Reise durch die Welt der Computerwürmer überwiegend um Würmer, die sich über das Internet oder mobile Massenspeicher von einem Computer auf den nächsten verbreiten. Aber das war den Cyberkriminellen hinter den Würmern schon vor einigen Jahren nicht mehr genug, und sie suchten nach neuen Lebensräumen für ihr digitales Spielzeug. Fündig wurden sie bei den Smartphones. Das sind ja eigentlich auch nichts weiter als miniaturisierte Computer, die zusätzlich noch mehr oder weniger gut zum telefonieren geeignet sind. Warum sollten sie also nicht von Computerwürmern befallen werden?
2004: Caribik-Urlaub für Symbian
Cabir
ist ein Wurm für SymbianOS, der sich als Datei caribe.sis
über Bluetooth verbreitet. Der Wurm landet im Posteingang
angegriffener Smartphones und muss vom Benutzer gestartet werden, um aktiv
zu werden. Einmal installiert, sendet der Wurm sich über Bluetooth an
alle erreichbaren Smartphones. Durch einen Fehler hörten die ersten
Versionen dabei nach dem ersten gefundenen Gerät auf, so dass pro Start
nur ein anderes Gerät infiziert werden konnte. Und auch das nur, wenn es
erstens unter Symbian läuft (der Wurm interessiert sich nicht
dafür, an was für ein Gerät er sich sendet) und zweitens der
Benutzer des Geräts den Wurm startet.
Die Ausbreitung von Cabir
Erstmals wurde Cabir im Juni 2004 gesichtet. F-Secure berichtete am 15. Juni erstmals über den Wurm und präsentierte einige Bilder der Wurm-Installation sowie der Desinfektion. Schon am 16. Juni wurde Variante B gemeldet.
Am 23. August wurde der Wurm erstmals "in the Wild" beobachtet, und zwar auf den Philippinen. Es folgten Singapur (3. Oktober), die Vereinigten Arabischen Emirate, das chinesische Festland, Indien und Finnland (24. November). Am 4. Januar 2005 wurde der Quellcode des Wurms veröffentlicht. "In the wild" wurde der Wurm danach in Großbritannien (18. Januar, davor wurde er in Vietnam, der Türkei und Russland gesichtet). Italien, den USA (14. Februar), Südafrika und Australien (21. Februar), Hong Kong und Japan (3. März), Frankreich (4. März), den Niederlanden und Ägypten (16. April) Luxemburg (26. April), Griechenland (6. Mai), Neuseeland und der Schweiz, (11. Mai) und in Deutschland (19. Mai) gesichtet.
Für einen Computerwurm wäre so eine Ausbreitungsgeschwindigkeit das reinste Schneckentempo. Für einen Wurm, der sich nur über Bluetooth von Smartphone zu Smartphone verbreitet, dabei auf die Hilfe des Benutzers angewiesen ist und nach jedem Start nur je einen Versuch startet, ist diese Ausbreitung dagegen doch sehr beachtlich. Zu Gute gekommen sind dem Wurm dabei größeren Menschenansammlungen, z.B. ganz einfach auf öffentlichen Plätzen, aber auch auf Konferenzen oder in Stadien.
Es gibt eine ganze Reihe von Cabir-Varianten (teilweise auch nur umgepackte Versionen älterer Varianten), die aber alle nur Smartphones infizieren. Berichte, dass auch auf Symbian basierende Navigationssysteme und Auto-Bordcomputer infiziert werden könnten, erwiesen sich als falsch, was F-Secure durch ausführliche Tests überprüft hat.
Commwarrior schickt MMS
Commwarrior
ist ein weiterer Wurm für Symbian, der sich außer über Bluetooth auch über
MMS verbreitet und damit ein
größeres Tempo
als Cabir erreicht. An die im Adressbuch eingetragenen Telefonnummern wird
dabei eine MMS mit der Datei commw.sis
und einer Beschreibung,
die sie z.B. als Virenscanner oder Spiel ausgibt, geschickt. Da die MMS
von bekannten Absendern kommen, werden mehr Empfänger den Wurm starten
als im Fall der über Bluetooth verbreiteten Würmer, die quasi aus dem
Nichts auf den Smartphones auftauchen.
Von den Symbian-Würmern machen wir nun einen Sprung in die Gegenwart und zu den iPhone-Würmern.
2009: iPhone: Jailbreak lockt Würmer an, zuerst 'ikee'...
Anfang November 2009 tauchte der
erste iPhone-Wurm
auf, der sich zuerst in Australien verbreitete. Der ikee
genannte Wurm infizierte nur iPhones, auf denen nach einem Jailbreak das
Default-Passwort für den installierten SSH-Daemon nicht geändert
wurde. Einmal installiert, suchte der Wurm nach weiteren angreifbaren
iPhones.
Nach der Installation tauschte der Wurm das Wallpaper für den Lock-Screen durch ein Bild von Rick Astley mit der Nachricht
ikee is never going to give you up
Weiteren Schadcode (außer der Verbreitungsroutine) enthielt der Wurm
nicht. Der Wurm-Autor, der sich im Sourcecode des Wurms selbst
ikex
nennt,
nannte
im Sourcecode folgenden Grund für dessen Entwicklung:
"Why?: Boredom, because i found it so stupid the fact that on my
initial scan of my 3G optus range i found 27 hosts running SSH daemons, i
could access 26 of them with root:alpine. Doesn't anyone RTFM
anymore"
In einem per Chat durchgeführten Interview schrieb der Wurm-Autor u.a., dass von seinem iPhone "100+ phones" infiziert wurden. Außerdem gab er eine Anleitung zur Entfernung des Wurms.
Die ausgenutzte Schwachstelle (wenn man denn das Nicht-Lesen der Anleitung so nennen will, denn die sieht das Ändern des Passworts vor) wurde bereits zuvor ausgenutzt. In den Niederlanden wurden darüber ungeschützte iPhones per Portscan gesucht, ein Wallpaper mit einer Warnung installiert und dann deren Besitzern für 5 Euro eine Anleitung zum Beheben der "Schwachstelle" angeboten.
Der Wurm sorgte als erster iPhone-Wurm für viel Aufmerksamkeit, und auch
sein Sourcecode war
heiß begehrt.
Kurz nach der Veröffentlichung von ikee
wurde ein
in Python geschriebenes
Tool
gesichtet,
dass die gleiche "Schwachstelle" ausnutzt, um vertrauliche Daten vom
iPhone zu kopieren.
Während die meisten anderen Wurm-Autoren, wenn sie denn ermittelt werden konnten, vor Gericht gestellt und bestraft wurden, wurde der Entwickler von ikee belohnt: Er wurde von einem Unternehmen, dass iPhone-Anwendungen entwickelt, eingestellt. Verbrechen lohnt sich mitunter also doch? Das ist keine gute Nachricht, da es Nachahmer ermuntern kann.
... dann 'Duh'
Ende November wurde dann der nächste iPhone-Wurm
entdeckt,
der im Gegensatz zu ikee eine tatsächliche Schadfunktion enthielt: Der
teilweise
'Duh'
genannte Wurm nutzte Command&Control-Funktionen wie ein
Botnet
und
schickte die auf den infizierten iPhones gefundenen Daten an einen Server
der Cyberkriminellen. Außerdem sorgte der Wurm dafür, dass er
bei jedem Neustart ebenfalls gestartet wird, und änderte das
Default-Passwort. Dabei wurde nicht (nur) das SSH-Passwort geändert,
sondern in /etc/master.passwd
jedes Passwort, dass dem
Default-Passwort 'alpine' entspricht, überschrieben.
Duh nutzte den Code des ikee-Wurms als Verbreitungsroutine, wie nach dem Interesse an dessen Sourcecode wohl zu befürchten war.
Damit soll es dann auch erst mal genug sein mit der Geschichte der Würmer. In der nächsten Folge geht es um eine weitere Art von Schadsoftware: Trojaner.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer
-
- Würmer - Schadsoftware, die sich selbst verbreitet
- Schadsoftware - Die Entwicklung der Würmer
- 1999 - Die Ausbreitung der Würmer beginnt
- 2003 - Würmer ohne Ende
- 2004 - Mehr Würmer, mehr Ziele, mehr Opfer
- 2004 - Der Aufbruch der Würmer ins Web
- 2007 - Würmer im Sturm und in Facebook
- Conficker, Stuxnet, "Here you have" - die aktuellen Würmer
- Smarte Telefone, mehr oder weniger smarte Würmer
- Trojaner - Der Feind im harmlosen Programm
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Die Sache mit den Standortdaten...
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Onlinebanking: Cyberkriminelle reagieren auf Chip- und SMS-TAN
Vorschau anzeigen