Hintergrund: Zwei virtuelle Würmer, ein reales Chaos

Zwei neue Würmer geben seit der vergangenen Woche besonderen Anlass zur Sorge: Der E-Mail-Schädling SirCam und der IIS-Wurm Code Red.

In Pocket speichern vorlesen Druckansicht 207 Kommentare lesen
Lesezeit: 5 Min.
Von
  • Patrick Brauch

Zwei neue elektronische Schädlinge geben seit der vergangenen Woche immer noch besonderen Anlass zur Sorge: Der E-Mail-Wurm "SirCam" und der IIS-Wurm "Code Red", der sich ohne Zutun des Anwenders über eine bekannte Sicherheitslücke in Microsofts IIS verbreitet. Beide Schädlinge weisen Eigenarten auf, die es so in freier Wildbahn noch nicht gab und die Sicherheitsexperten und Administratoren in hohe Alarmbereitschaft versetzten.

"Code Red" sorgte zunächst für Aufsehen, weil eine besondere Schadroutine eingebaut wurde: An bestimmten Tagen sollten alle Schädlinge zwischen 20 und 24 Uhr einen dDoS-Angriff (distributed Denial of Service) auf die Website des Weißen Hauses unternehmen. Die verantwortlichen Administratoren haben jedoch schnell reagiert und die entsprechende IP-Adresse ins Nirwana umgeleitet, sodass keiner dieser Angriffe durchschlug.

Die rasante Verbreitung machte allerdings auch wesentlich mehr Sorgen als ein drohender dDoS-Angriff. So wurden laut der Sicherheitsmailingliste Bugtraq innerhalb weniger Tage über 225.000 Hosts mit "Code Red" infiziert. Grund genug für das amerikanische Verteidigungsministerium, Gegenmaßnahmen zu ergreifen: So schnitt man kurzerhand diverse militärische Webserver vom Internet ab – lediglich vom internen Netzwerk aus konnte man auf die Server noch zugreifen. Das war nach Angaben des US-Verteidigungsministeriums eine reine Präventivmaßnahme – hier darf man getrost darüber spekulieren, das Pentagon sei sich selbst nicht sicher, ob die militärischen Server Sicherheitslücken aufweisen oder nicht ...

Der Grund für die starke Verbreitung von "Code Red" liegt nicht nur daran, dass immer noch viele IIS-Server ohne entsprechenden Patch laufen (Microsoft stellt seit dem 18. Juni einen Fix für die Sicherheitslücke bereit), sondern auch, weil sich schnell eine zweite Variante des Schädlings breit machte: Bei "CRv2", wie die Variation auf Bugtraq genannt wurde, fehlte die Routine, die die Website verändert ("Hacked by Chinese!"). Dafür haben die Autoren eine veränderte Scan-Routine für die Verbreitung integriert. Durch das fehlende Website-Defacement gab es keine offensichtlichen Hinweise, die auf die Infektion mit dem Schädling hindeuteten. Zudem war die Verbreitungsroutine noch effizienter – "CRv2" dürfte sich damit um einiges schneller verbreitet haben als die Ur-Variante.

Ein weiterer Grund für den durschlagenden "Erfolg" des Wurmes dürfte die Eigenheit gewesen sein, dass sich "Code Red" zu keiner Zeit auf der Festplatte breit macht. Der Schädling residiert allein im RAM des Rechners, wodurch alle gängigen Virenscanner außer Gefecht gesetzt wurden. Diese Eigenheit erleichtert allerdings das manuelle Entfernen des Schädlings: Der Administrator braucht lediglich den Rechner neu zu starten, um Code Red aus dem Speicher zu entfernen, und den Microsoft-Patch einzuspielen, um eine erneute Infektion zu vermeiden.

Der zweite Wurm namens "SirCam" sieht auf den ersten Blick aus wie die x-te Variante eines Loveletter- oder Kournikova-Schädlings. Aber auch dieser Schädling hat Eigenarten, die bisher so noch nicht "in freier Wildbahn" vorkamen. Zum einen, und das ist besonders bedenklich, verschickt der Schädling willkürlich Dokumente aus dem Verzeichnis Eigene Dateien von Windows; damit kompromittiert der Schädling möglicherweise vertrauliche Daten. Durch die enorme Verbreitung des Schädlings sind schon einige interessante Dokumente in unserer Redaktion – und wer weiß, wo sonst noch – eingetroffen. Neben der Verbreitungsroutine besitzt "SirCam" laut Symantec noch eine Schadroutine, die mit einer Wahrscheinlichkeit von 20 Prozent am 16. Oktober die Festplatte löschen soll.

"SirCam" behält den Namen der ausgwählten Datei bei – er fügt allerdings den Wurmcode an den Anfang des Files und hängt eine ausführbare Dateiendung (*.lnk, *.pif, *.bat, etc.) an die Datei an und verschickt sie anschließend als Attachment über einen im Wurm-Code integrierten SMTP-Server an Kontakte im Windows-Adressbuch. Für den Betreff der Mail setzt SirCam einfach den Namen des Attachments ein, sodass sowohl Dateianhang als auch Betreff stets unterschiedlich und kein Erkennungsmerkmal sind.

Durch diese Faktoren halten offenbar viele Anwender solche Mails für harmlos – obgleich man sie am stets im Mail-Body auftauchenden "Hi! How are you?" oder "Hola como estas?" in der spanischen Version erkennen könnte. Sogar bei der FBI-Abteilung NIPC (National Infrastructure Protection Center) kursierte der Schädling. Die besondere Ironie in diesem Fall: "SirCam" schnappte sich ein Dokument, dass als "for official use only" gekennzeichnet war und über einen anderen Schädling ("Leave") informierte. Innerhalb weniger Minuten verbreitete sich SirCam im gesamten NIPC-Netzwerk.

Dirk Kollberg, Virenexperte bei Network Associates, weist darauf hin, dass ältere Virenscanner womöglich die Endungen *.pif und *.lnk als ungefährlich einstufen – man sollte also auf jeden Fall überprüfen, ob man die jeweils aktuellste Version eines Virenscanners installiert hat.

Die beiden Schädlinge – wenn sie auch völlig unterschiedlichen Charakter haben – zeigen, dass bei der Entwicklung solcher "Malware" noch lange kein Ende abzusehen ist. Vor vier Jahren hielt man noch Melissa für äußerst gefährlich, vor einem Jahr legte Loveletter das halbe Internet kurzzeitig lahm. Doch Schädlinge wie "SirCam" oder "Code Red" zeigen wieder einmal eines: Durch Kombination verschiedener beziehungsweise Integration neuer Schad- und Verbreitungsroutinen werden noch üblere Schädlinge auf die Internet-Gemeinde zukommen. Weitere Informationen zu SirCam auch bei Telepolis, unter I send you this file in order to have your advice. (pab)