Sturm-Wurm-Botnetz mit über 1,7 Millionen Drohnen

Sicherheitsunternehmen warnen vor dem mit dem Sturm-Wurm aufgebauten Botnetz. Es umfasse inzwischen mehr als 1,7 Millionen infizierte Rechner, die Spam versenden und möglicherweise auch andere Angriffe ausführen können.

In Pocket speichern vorlesen Druckansicht 340 Kommentare lesen
Lesezeit: 3 Min.
Von

Anfang des Jahres wehte er noch als leichte Brise herein: der Sturm-Wurm. Inzwischen hat er sich jedoch tatsächlich zum ausgewachsenen Sturm entwickelt. Das mit dem Schädling aufgebaute Botnetz sei auf mehr als 1,7 Millionen Drohnen, also infizierte Rechner, angewachsen, meldet der Sicherheitsdienstleister SecureWorks. Das Netz diene bislang vorrangig dem Versand von Spam-Mails, könne jedoch auch für DDoS-Angriffe gegen Unternehmen oder gar Länder eingesetzt werden, schreibt das Unternehmen.

Zwischen Januar und Mai dieses Jahres konnte SecureWorks 71.342 Angriffe mit dem Sturm-Wurm feststellen, äußert der Sicherheitsforscher Joe Stewart. Seit Juni habe die Firma jedoch 20.200.101 Angriffe abgewehrt. Auch die Zahl infizierter Rechner, von denen die Angriffe mit E-Mails ausgingen, sei dramatisch angestiegen: Während Anfang des Jahres bis Ende Mai lediglich knapp 3000 Rechner infiziert waren, stieg die Zahl im Juni und Juli auf insgesamt 1,7 Millionen Drohnen an. SecureWorks mutmaßt, dass der Botnetzbetreiber das Netzwerk deshalb so weit ausgebaut habe, damit er es anderen Hackern vermieten oder Angriffe ausführen könne.

Laut McAfee sei der enorme Anstieg an infizierten Rechnern auf die Social-Engineering-Taktik der Schädlingsbastler zurückzuführen, die etwa vermeintliche Grußkarten-Mails mit infizierten Dateianhängen oder Links auf Webseiten mit der Malware verschickt haben. Der Antivirenhersteller vermutet das Sturm-Wurm-Botnetz auch hinter den kürzlich versendeten Spam-Mails, die als Dateianhang RAR-Archive mit einer Textdatei enthielten. Aktuelle Versionen des Schädlings nutzen McAfee zufolge ungewöhnliche Ansätze, um sich im System zu verankern. Anstatt sich einfach über die Autostart-Einträge in der Registry einzunisten, infizieren die aktuellen Fassungen die Datei tcpip.sys und hängen Code zum Laden des Schädlings an den Treiber an. McAfee spricht dabei von einem Trend, dem Schädlinge zunehmend folgen, um nach dem Rechnerneustart geladen zu werden.

Als Schutz vor dem Schädling empfiehlt SecureWorks, einerseits Vorsicht bei E-Mails mit vermeintlichen Grußkarten im Gepäck beziehungsweise als Link oder mit Katastrophenmeldungen walten zu lassen. Als weitere Maßnahme solle man Peer-to-Peer-Verkehr blockieren, da der Sturm-Wurm sich mit weiteren Botnetz-Drohnen mittels des eDonkey-Protokolls verbinde. Wie man das anstellt, lässt SecureWorks jedoch offen; das eDonkey-Protokoll ist nicht auf bestimmte Netzwerk-Ports beschränkt. Weitere Hinweise zum sicheren Umgang mit E-Mails und zum Schutz vor Schädlingsbefall liefern die Anti-Viren-Seiten von heise Security.

Siehe dazu auch:

(dmk)