Zotob-Würmer: Geld war das Motiv
Der verhaftete Marokkaner, Urheber der Zotob-, Mytob- und RBot-Würmer, hat diese offenbar gegen Bezahlung für einen ebenfalls in Gewahrsam befindlichen Türken programmiert.
Ein 18-jähriger in Russland geborener Marokkaner ist der mutmaßliche Programmierer der Zotob-Würmer, die die vor kurzem gepatchte Plug-and-Play-Lücke in Windows zum Kapern des Systems ausnutzen. Laut einem Journal-Eintrag im Washington Post-Blog verkaufte der als "Diabl0" im Internet auftretende Marokkaner nach ersten Erkenntnissen die Würmer an einen 21 Jahre alten Türken, der seinerseits unter dem Pseudonym "Coder" agiert. Sie gingen jüngst den lokalen Strafverfolgungsbehörden der jeweiligen Länder ins Netz.
In seinem Weblog berichtet das Unternehmen F-Secure, dass Diabl0 als Mitglied des "0x90-Teams" -- dem Coder ebenfalls angehört -- außer für Zotob auch für diverse Mytob-Varianten seit Februar dieses Jahres verantwortlich zeichne. Er habe mit diesen Würmern mehrere Botnetze aufgebaut. Da einige Mytob-Botnetze jedoch von nicht mit dem Marokkaner verbundenen Gruppen wie beispielsweise "Blackcarder" kontrolliert werden, glauben die Finnen, dass der zugehörige Quellcode im Netz verfügbar ist.
Die marokkanischen Strafverfolgungsbehörden gehen davon aus, dass die beiden im Zusammenhang mit einem Kreditkarten-Betrug-Ring stehen. Es verdichten sich aber auch Hinweise, dass die mit Zotob und Mytob infizierten Rechner mit einer Toolbar "verseucht" wurden, die Werbung einblendet -- für die ebenfalls Geld auf die Konten der beiden jungen Kriminellen floss. Dieses "Software-Update" war möglich, da die Würmer auf den Zombie-PCs eine Verbindung in einen IRC-Kanal herstellen, in dem sie auf Anweisungen ihres Masters warten und diese ausführen.
Gerade bei den Zotob-Würmern stimmt dies nachdenklich. Sie befielen ausschließlich ungepatchte Windows-2000-Systeme vorrangig in US-amerikanischen Firmennetzen, da bei Privatanwendern inzwischen größtenteils Windows XP zum Einsatz kommt. Firmennetze sollten aber per Firewall abgehende IRC-Verbindungen blockieren, was offensichtlich nicht stattfand.
Dies ist ein weiterer Fall, bei dem sich die Beobachtung bestätigen könnte, dass inzwischen weniger der Schaden oder das Zurschaustellen der eigenen "coding skillz" als der finanzielle Gewinn den Antrieb der Viren- und Würmer-Schreiber darstellt. (dmk)
