Clearswift sagt Superwurm für 2004 voraus

Januar ist traditionell der Monat der Weissagungen für das bevorstehende Jahr. Nachdem schon die Analysten von TruSecure durch Viren verursachte Schäden in Milliardenhöhe vorausgesagt haben, setzt ClearSwift, Hersteller von Content-Security-Produkten, noch eins oben drauf. Im Jahr 2004 sei mit einem Superwurm zu rechnen, der sich über bereits etablierte, geheime Peer-to-Peer-Netzwerke verbreite und in Minutenfrist alle ungeschützten Rechner im Internet infizieren könne. So genannte "Malware-Gangs" würden dazu den seit Oktober letzten Jahres bekannten Trojaner Sinit einsetzen. Befallene Windows-Systeme würden dann ein weltumspannendes "Untergrundnetz" knüpfen, über das weitere Trojaner und Würmer verbreitet würden. Die Kommunikation der Systeme sei verschlüsselt, die Einspeisung von neuen Schädlingen in das Netz nur mit entsprechenden Schlüsseln möglich. Nach Schätzungen seien bereits hunderttausende PCs befallen.

Offenbar hat ClearSwift eine Analyse von LURHQ-Research als Grundlage ihrer Voraussage genommen. In der Analyse ist detailiert beschrieben, mit welchen Fähigkeiten der Trojaner ausgestattet ist. Tatsache ist, dass Sinit, ähnlich wie schon Sobig.F, in der Lage ist, neuen Code nachzuladen. Um dies bei Sobig.F zu verhindern, wurden seinerzeit die entsprechenden Server vom Netz getrennt oder mittels DoS lahm gelegt. Dies ist in P2P-Netzen ohne zentralen Server schwer möglich.

Über die Verbreitung von Sinit kann man nur spekulieren. Die sehr hohe Zahl basiert auf einer Hochrechnung von LURHQ, die in einem DSL-Class-C-Netz zwei Sinit-infizierte Systeme von 255 möglichen entdeckten. Allerdings gibt es bisher keine weiteren Indizien für ein geheimes Untergrundnetz.

Siehe dazu auch: (dab)

• Trojaner-Analyse von LURHQ
• Trojaner-Analyse von Symantec
• Sobig.F versucht nachzuladen auf heise Security