Der Sturm kommt wieder

Der totgeglaubte Sturm-Wurm ist zurück und verschickt wieder Spam. Der vor über einem Jahr von der Bildfläche verschwundene Schädling wurde offenbar ein wenig überarbeitet.

In Pocket speichern vorlesen Druckansicht 42 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Der totgeglaubte Sturm-Wurm ist zurück und verschickt wieder Spam, wie mehrere Antivirenhersteller beobachtet haben. Lange Zeit galt das aus dem Sturm-Wurm bestehende Bot-Netz als eines der größten seiner Zeit. Das Sturmwurm-Botnetz bestand zwischenzeitlich aus mehr als einer Million infizierter Rechner und war zwischen 2006 und Anfang 2009 für einen beträchtlichen Teil der Spam-Flut und viele verteilte Denial-of-Service-Angriffe verantwortlich. Seinen Namen erhielt der Sturm-Wurm, der strenggenommen gar kein Wurm, sondern ein Trojan-Downloader ist, durch infizierte Mails zu Sensationsmeldungen rund um den Orkan Kyrill.

Anfang 2009 wurde es dann ruhig um den Sturm-Wurm. Es wurde spekuliert, dass die Botnetzbetreiber vorerst genug Profit gemacht hätten und nun die Architektur überarbeiten wollen – unter anderem auch, weil immer mehr Virenspezialisten dem Bot mit Analysen zu Leibe rückten. Möglicherweise wurden die Verantwortlichen aber auch einfach nur von anderen Botnetzbetreibern (Srizbi, Mega-D, Rustock, Pushdo et al) aus dem Markt gedrängt.

Analysen der zum Honeynet-Projekt gehörenden Forscher Tillmann Werner, Felix Leder und Mark Schlösser haben ergeben, dass die nun auferstandene Version einige kleine Unterschiede zum Original aufweist. So läuft die Kommunikation zwischen Bot und C&C-Server nun offenbar nur noch über HTTP ab. Darüber holen die Bots dann die Templates für ihre Spam-Kampagnen für Viagra und anderes Gedöns ab. Ehemals enthaltene Funktionen für Peer-to-Peer-Kommunikation seien gar nicht mehr enthalten. Ohnehin sei in der neuen Version nur noch rund 60 Prozent des alten Codes enthalten.

Nach Meinung der Forscher, die schon Anfang 2009 Analysen zum Sturm-Wurm und das Tool Stormfucker zur Bekämpfung veröffentlichten, könnten die Sturm-Entwickler seinerzeit den Originalcode aber auch weiterverkauft haben. Demnach könne die neue Variante auch zu einem neuen Botnetzbetreiber gehören.

Siehe dazu auch:

(dab)