Strategiewechsel bei Wurmautoren: Weniger auffallen, mehr Kontrolle

Aktuell kursierende Schädlinge installieren fast ausnahmslos eine Hintertür auf befallenen PCs. Einzelne Varianten verbreiten sich zudem weniger stark -- dafür wächst die Zahl der Varianten.

In Pocket speichern vorlesen Druckansicht 258 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Die Programmierer von Viren und Würmern für Windows scheinen ihre Strategie gewechselt zu haben: Weniger auffallen, mehr Kontrolle. Waren bis Ende letzten Jahres hauptsächlich Mass-Mailing-Würmer ohne echte Schadfunktion im Umlauf, enthalten neuere Schädlinge zunehmend Trojaner und Backdoors. Infizierte PCs erlauben so den Zugriff auf das Betriebssystem, um den Anwender auszuspähen oder seinen Rechner zum Spam-Proxy oder zur Botnet-Drohne umzufunktionieren.

Auch fällt auf, dass sich einzelne Varianten etwa aus der aktuellen Mail-Wurmfamilie Mytob nicht mehr so stark verbreiten, dass die Hersteller von Antivirensoftware Alarm schlagen. Anders als etwa bei Bagle und Netsky, vor denen sogar in den Tageszeitungen gewarnt wurde, erscheinen in kurzer Folge immer neue Varianten, die allein gesehen die Kriterien für einen "Outbreak" verfehlen. So gab es in den letzten sieben Wochen mehr als 40 Abkömmlinge von Mytob, von denen so gut wie alle irgendeine Hintertür öffnen.

Ähnliches kann man auch bei Kelvir beobachten, der es in sechs Wochen zu 21 Varianten schaffte. Kelvir verbreitet sich über den MSN Messenger und installiert den Trojaner Spybot -- am gestrigen Donnerstag wohl auch bei Dienstleistungen der Nachrichtenagentur Reuters. Die Summe der gemeldeten Mytob- und Kelvir-Infektionen erreicht zwar immer noch nicht die Größenordnung wie bei MyDoom und Konsorten, allerdings scheint dies auch gar nicht das Ziel der Programmierer zu sein. Bereits während der CeBIT wies der Virenspezialist Eugene Kaspersky darauf hin, dass viele Autoren gar kein Interesse an einer globalen Verbreitung ihres Programms hätten. Einige würden sogar darauf achten, ob ihr Programm bereits entdeckt wurde und verteilten unterschiedliche Virus-Varianten.

Ohne von den Herstellern je als echte Bedrohung eingestuft zu werden, ist auch Rbot bereits seit Monaten in den Wurmlisten vertreten. Mittlerweile ist man bei der dreistelligen Variante Rbot.BEH angelangt. Rbot verbreitet sich über Netzwerkfreigaben und Sicherheitslücken im Windows RPC- und LSASS-Dienst und hat es wirklich in sich: Das von ihm installierte Rootkit klaut CD-Keys von Spielen, ermöglicht die vollständige Kontrolle des Systems und trägt Funktionen für DoS-Angriffe auf andere Systeme in sich.

In der c't-Ausgabe 09/05, die am Montag am Kiosk zu erhalten ist, beschäftigt sich auch der Artikel "Verteilte Kriminalität - Bedrohung durch vernetzte Schädlinge steigt" auf Seite 88 mit der Verbreitung von Botnets. (dab)