125266

Hacker und Spammer richten gemeinsam Schaden an

03.06.2005 | 14:47 Uhr |

Die Betrachtung der Hintergründe der aktuellen Bagle-Schwemme offenbart Verbindungen zwischen verschiedenen Tätergruppen.

In dieser Woche wurden etliche Varianten von Schädlingen Spam-artig per Mail verschickt ( wir berichteten ). Die meisten Antivirus-Hersteller subsummierten diese Schädlinge als neue Versionen des Bagle-Wurms. Genauer betrachtet handelt es sich jedoch um Trojanische Pferde, die sich im Unterschied zu Würmern nicht selbsttätig ausbreiten können.

Sam Curry, Vizepräsident der Etrust Security Group bei Computer Associates , geht von einer dreistufigen Vorgehensweise aus. Er nennt dieses planmäßige Vorgehen "Ausbreiten - Entwaffnen - Ausbeuten".

Zunächst werden Trojanische Pferde aus der "Glieder"-Familie per Mail versandt, die den Bagle-Würmern sehr ähnlich sind. Es wird also nicht wie bislang üblich ein Wurm freigesetzt, der sich von infizierten Computern aus weiter ausbreitet. Vielmehr werden virulente Mails an eine sehr große Zahl von gesammelten Adressen verschickt, anscheinend im Stundentakt. Diese Vorhut soll erstmal einen möglichst breiten Brückenkopf auf Seiten der Anwender schaffen.

Wird der Mail-Anhang ausgeführt, lädt er ein weiteres Trojanisches Pferd aus dem Internet herunter, das von Computer Associates als " Fantibag " bezeichnet wird, andere Antivirus-Firmen rechnen den Schädling teils zur "Bagle"-Familie, teils zur "Mitglieder"-Familie. Er überschreibt die Datei HOSTS, die Zuordnungen von Server-Namen zu IP-Adressen enthält. Damit wird der PC von Updates installierter Sicherheits-Programme abgeschnitten, also sozusagen entwaffnet.

In Stufe 3 wird dann ein drittes Trojanisches Pferd herunter geladen und installiert. Es gehört zur "Mitglieder"-Familie und ähnelt ebenfalls den Bagles. Damit kann der befallene PC in einen Mail-Proxy verwandelt werden, über den Spam-Mails verbreitet werden. Die "Mitglieder"-Familie öffnet ferner eine Hintertür in das System, die eine Installation weiterer Schädlinge, etwa Key-Logger, ermöglicht.

Es findet also eine rege Kooperation zwischen Virenprogrammierern und Spammern statt, die von finanziellen Interessen geprägt ist. Mutmaßlich werden von Spammern für jeden kompromittierten Rechner einige Cent Prämie gezahlt. Es wird geschätzt, dass sich für die Spammer aus einem derart verseuchten PC zwischen 10 Cent und 2,40 US-Dollar an Gewinn erwirtschaften lassen. Es kommt also offenbar auf die Masse an.

Neue Bagle-Varianten (PC-WELT Online, 01.06.2005)

0 Kommentare zu diesem Artikel
125266