16128

Eine Million Zombie-Rechner: Was planen die Macher des Sturm-Wurms?

08.08.2007 | 15:59 Uhr |

Die Sturm-Wurm-Bande hat mit vorgeblichen Grußkarten-Mails ein Botnet aufgebaut, dessen schiere Größe Fragen nach den Absichten der Hintermänner aufwirft. Möglicherweise bereiten sie einen großen DoS-Angriff vor.

Seit Juni werden Spam-artig vorgebliche Grußkarten-Mails verbreitet, die Links zu Malware-haltigen Web-Seiten propagieren. Die eingeschleuste Malware fügt die Rechner der Opfer einem stetig wachsenden Botnet hinzu, das nach Angaben von Secure Works bereits mehr als eine Million so genannter Zombies umfasst. Bislang nutzt die Storm-Worm-Gang dieses riesige P2P-Botnet nur zur Verbreitung der Grußkarten-Mails sowie zum Versand von Spam.

Für diese Zwecke würde jedoch ein Botnet von einigen tausend fremdgesteuerten Rechnern völlig genügen. Die Frage stellt sich also, was die Hintermänner mit dem riesigen Botnet vorhaben. Spekulationen besagen, sie könnten es an andere vermieten, die einen groß angelegten DoS-Angriff planen. Mit einem Botnet dieser Größe könnten sie ein großes Unternehmen, ein ganzes Land oder die lebenswichtige Infrastruktur des Internets angreifen.

Wie Rachit Mathur von den McAfee AVERT Labs im Blog der Sicherheitsforscher berichtet, entwickeln die Programmierer der Sturm-Wurm-Bande ihre Schädlinge ständig weiter. So folgen sie etwa einem Retro-Trend in der Malware-Szene - nach Art klassischer Vireninfektionen hängen sie schädlichen Code gezielt an bestimmte Systemdateien an. So wird zum Beispiel der Treiber für den TCP/IP-Stack, tcpip.sys, infiziert. Damit wird der schädliche Code bei jedem Start von Windows geladen, ohne dass verdächtige Autostart-Einträge in der Registry zu finden sind.

Die aus dem Internet nachgeladenen Malware-Dateien werden Server-seitig ständig modifiziert, um die Entdeckung und Erkennung durch Antivirus-Software zu erschweren. Das aufgebaute Botnet nutzt zudem eine P2P-artige Kommunikationsstrategie, statt wie klassische Botnets über einen zentralen IRC-Server gesteuert zu werden. Somit kann das Botnet nicht durch Schließen eines zentralen Kommando-Servers außer Gefecht gesetzt werden.

Welche Pläne die Sturm-Wurm-Bande mit ihrem Botnet tatsächlich verfolgt, wird die Zukunft zeigen.

0 Kommentare zu diesem Artikel
16128