GAZ / WZ  vom 03.09.2005

Rasende Würmer

zurück

Ehemals das lokale Netz im Unternehmen in dem sich Viren noch gemächlich
per Diskette verbreiteten, geht das dank der Technik nun viel schneller.
Heutige Schadsoftware verbreitet sich rasant über schnelle Netzwerke.

Ein Wurm wird durch seine besondere Verbreitungsmethode charakterisiert. Im Unterschied zu Viren benötigen Würmer keinen Wirt. 
Es sind eigenständige Programme die Routinen besitzen um sich auf andere Rechner zu kopieren. Das sind Freigaben die versehentlich für jeden zugängig und zu allem Überfluss auch noch im Internet sichtbar sind. Natürlich auch im lokalen Netz hüpfen Würmer sozusagen von Rechner zu Rechner wie eine Epidemie. Ausgenutzt werden Schwachstellen im Betriebssystem und Anwendungen oder Dienste die ahnungslos im Internet bereitgestellt werden, man spricht hier von offenen Ports. 
Die ersten am Markt erhältlichen Würmer waren noch relativ dumm und mussten per Mausklick aktiviert werden. Der am häufigsten genutzte Verbreitungsweg ist wohl auch heute noch die E-Mail. Die Würmer verschicken sich als meist direkt ausführbares Attachment an mehr oder weniger zufällig ausgewählte Mail-Adressen. SirCam - der sogar heutzutage noch unterwegs ist, oder Kournikova sind berüchtigte Beispiele dieser Gattung. Für gewöhnlich erfordern Würmer eine Aktion des Anwenders das Ausführen des Anhangs, um aktiv zu werden. 
Der Wurm Nimda nutzte jedoch eine Sicherheitslücke, die ihn automatisch bei Betrachten der Mail in Microsoft Outlook und Outlook Express startete, andere folgten dem Weg, wie Netsky und weitere Mutationen.
Keine Regel ohne Ausnahme, folgedessen gibt es Würmer die von allein ihren Weg in den Rechner finden, ist der nicht genügend geschützt.
Inzwischen tauchen auch immer mehr Schädlinge auf, die sich ohne Zutun des Anwenders direkt über Sicherheitslücken verbreiten. Lovsan / Blaster beispielsweise nutze eine Sicherheitslücke im Windows RPC / DCOM-Dienst (Port 135) und die Würmer Sasser und Korgo verbreiten sich über ein Sicherheitsloch im LSASS-Dienst (Ports 139, 445).
Es ist übrigens erstaunlich wieviele Systeme, vornehmlich wohl von privaten Anwendern diese Schädlinge am aussterben zuverlässig hindern indem sie diese Sicherheitslücken nicht durch aktuelle Virenscanner und Updates ihres Betriebssystems schließen.
Ein recht neuer Wurmvertreter mit dem Namen Zotob schwimmt auf dieser Welle nun mit und klopft an Port 445 vornehmlich in Windows2000 an, aber nicht nur dort. 
In nur acht Tagen war der Schädling Zotob nach Bekanntgabe und bereitgestelltem Fix seitens Microsofts schon marktreif und unterwegs. Die Notwendigkeit ihre Systeme abzusichern haben den Meldungen nach etliche Unternehmen wohl etwas verpasst und sind von dem Wurm erheblich getroffen worden.
Dass Schadsoftware in immer kürzeren Abständen auf neue Lücken trainiert ist, sollte eigentlich bekannt sein. Ein nicht ordentlich gesichertes und folglich infiziertes Notebook im Firmennetz angeschlossen erzielt einen durchschlagenden Erfolg weil es sich hinter der Firmenfirewall befindet.
Die nun aus der perspertive eines Schädlings erreichbaren Server können problemlos infiziert werden, sind diese Server nicht ausreichend dagegen geschützt, was leider zu oft der Fall ist.

Michael Bormann