MyDoom vs. SCO = 1:0 [Update]

Der angekündigte Angriff des MyDoom-Wurms gegen die Webseiten der SCO-Guppe zeigt Wirkung: Die Webserver des Unternehmens sind seit Stunden nicht erreichbar. Allerdings dürfte dies zumindest teilweise auch an Gegenmaßnahmen einiger Provider liegen, die Verkehr zu sco.com blockieren. Seit dem heutigen Sonntag greifen alle mit MyDoom infizierten Rechner massiv auf die Webseiten der SCO-Gruppe zu. In den ersten Stunden des Angriffs wurden die Webserver des Unternehmens nur langsamer, mittlerweile sind sie aber überhaupt nicht mehr zu erreichen. Das gilt für www.sco.com, ftp.sco.com genauso wie für www.caldera.com und ftp.caldera.com, welche auf die gleichen IP-Adressen zeigen.

Die SCO-Gruppe selbst bestätigt den Angriff in einer Stellungnahme: Seit Samstag Abend nimmt die Verkehrslast laufend zu, mittlerweile ist www.sco.com überhaupt nicht mehr erreichbar. Jeff Carlon von SCO erwartet, dass der Angriff noch eine Zeit andauert. "Während wir erwarten, dass dieser Angriff in den kommenden Wochen anhält, haben wir eine Reihe von Notfall-Plänen gegen das Problem, die wir ab Montag morgen in Kraft setzen werden." Mittlerweile scheint SCO aber lediglich die Seite www.sco.com aus der Namensauflösung im DNS herausgenommen zu haben.

Dass der Angriff funktioniert, ist nicht weiter verwunderlich: Beim britischen Sicherheitsdienstleister MessageLabs hat man mittlerweile über 14 Millionen Exemplare des Schädlings abgefangen -- damit bricht MyDoom alle Rekorde, was die Verbreitungsrate eines manuellen E-Mail-Wurms angeht.

Die kürzlich entdeckte B-Variante des Schädlings, die zusätzlich einen Denial-of-Service-Angriff gegen die Webseiten von Microsoft durchführen soll, verbreitet sich indessen kaum, sie taucht nach wie vor in so gut wie keiner Verbreitungsstatistik auf und die Webseiten von Microsoft sind auch nach wie vor erreichbar. Theoretisch sollte sich die B-Variante eigentlich noch stärker verbreiten, da sie neben dem üblichen Mail-Versand eine zusätzliche Verbreitungsmöglichkeit nutzt: MyDoom.b sucht aktiv nach den Hintertüren, die die A-Variante hinterlässt. Findet der Schädling solche, baut er darüber eine Verbindung zum infizierten Rechner auf und nistet sich dort selbst ein, indem er die A-Variante überschreibt. Nach einem Reboot ist dann nur noch die B-Variante des Schädlings aktiv.

Virenexperten vermuten inzwischen, dass sich die A-Variante nur deshalb so gut verbreiten konnte, weil sie "einen guten Start" hatte. Möglicherweise wurden die ersten MyDoom-Schädlinge über ein so genanntes IRC-Botnet freigesetzt -- über solche Botnets können Programme auf Tausenden Rechnern gleichzeitig aktiviert werden.

Doch weder der Denial-of-Service-Angriff noch die starke Verbreitung des Schädlings ist das gefährliche für den Anwender. Viel besorgniserregender sind die Hintertüren, die MyDoom in infizierte Systeme öffnet. Das BSI warnt Anwender, dass diese Hintertüren durchaus dafür genutzt werden können, um kritische Daten des Anwenders abzugreifen. Auch gibt es immer häufiger einen direkten Zusammenhang zwischen Spam und Schädlingen: Viele mit Schädlingen infizierte Rechner werden im nachhinein als Spam-Relays missbraucht.

Trotz des ausgesetzten Kopfgelds von insgesamt 500.000 US-Dollar gibt es bislang keine Hinweise auf den Autor des Wurms. Zwar geht man mittlerweile davon aus, dass die ersten Exemplare des Schädlings in Russland aufgetreten sind, aber Rückschlüsse auf die Nationalität des Autors lässt das dabei kaum zu.

Die Ausbreitung von MyDoom beweist, dass Mail-Schädlinge, die man erst durch explizites Ausführen des Dateinanhangs aktivieren kann, immer noch ein gefährliches Verbreitungspotenzial besitzen. Dass der Schädling keinen offensichtlichen Schaden anrichtet (Löschen von Dateien oder ähnliches) ist das eigentlich Verhängnisvolle: Die für den Anwender unsichtbaren Hintertüren sind wesentlich gefährlicher als eine offensichtliche Schadfunktion, die den Anwender zum Handeln zwingt. Glücklicherweise nistet sich MyDoom so im System ein, dass man ihn auch manuell ohne allzu großen Aufwand wieder entfernen kann. Das BSI stellt eine Anleitung zum manuellen Entfernen zur Verfügung. Alternativ dazu kann ein Removal-Tool benutzt werden, um infizierte Rechner zu reinigen. Wir stellen das Tool von Symantec zur Entfernung von MyDoom.a und MyDoom.b über den FTP-Server von heise zur Verfügung, da gegebenenfalls die Symantec-Seiten durch den Schädling blockiert werden.

[Update]
Die Eintrag www.sco.com ist mittlerweile aus dem DNS gelöscht, weshalb Anfragen nicht mehr mit einer IP-Adresse aufgelöst werden. Der Wurm ist damit zwar nicht primär der Grund für die Nicht-Erreichbarkeit, wohl aber der Auslöser für diese Maßnahme. Ursprünglich zeigte www.sco.com auf die Adresse 216.250.128.12. Zumindest www.caldera.com lösen die Nameserver noch mit dieser Adresse auf, offenbar hat SCO den Server aber vom Netz genommen:"No route to host". Erreichbar ist SCO noch ohne Beeinträchtigungen über die Adresse sco.com (216.250.128.21). Auch www2.sco.com liefert Webseiten recht zügig aus.

Siehe dazu auch: (pab)

• Removal-Tool für MyDoom.a und MyDoom.b
• Microsoft setzt Kopfgeld auf Urheber des MyDoom-Wurms aus
• Neue Variante des Wurms MyDoom/Novarg zielt auf Microsoft
• MyDoom/Novarg -- Tipps zur Wurmkur und weitere Details
• BSI-Pressemitteilung zu MyDoom
• Hinweise des BSI zum manuellen Entfernen von MyDoom
• Stellungnahme von SCO zum Denial-of-Service-Angriff