189319

Innenansicht eines Wurms

27.09.2005 | 15:55 Uhr |

Eine Animation zeigt, wie interne Funktionen eines Mail-Wurms mit Systemfunktionen interagieren.

Es wird viel über Viren und Würmer berichtet, viele mussten auch bereits Erfahrungen damit sammeln. Aber wie sieht so ein Wurm eigentlich aus? Die Spezialisten des Antivirus-Herstellers F-Secure haben als Anwort auf diese Frage eine Animation erstellt, die Funktionszusammenhänge eines Mail-Wurms veranschaulichen soll.

Die Virenforscher haben dazu den Wurm "W32/Bagle.AG@mm" analysiert und seinen Programm-Code in viele kleine Module zerlegt. Deren Verbindungen untereinander und mit Systemfunktionen von Windows haben sie grafisch aufbereitet und zu einer pseudo-dreidimensionalen Animation verarbeitet.

Die einzelnen Funktionsblöcke werden mit kleinen, miteinander verknüpften Quadern dargestellt. Der oberste Block ist die Hauptroutine, gefolgt von einer Ebene mit Funktionen, die von dieser direkt aufgerufen werden. Weitere Ebenen folgen nach dem gleichen Prinzip. Wurm-eigene Funktion und solche der Windows-Programmierschnittstelle (API) werden farblich unterschieden.

Für das Projekt kamen unter anderem der Dissambler IDA Pro , eine von F-Secure selbst entwickelte Python-Schnittstelle zu IDA Pro nebst eigenen Scripts, sowie das 3D-Grafik-Tool Blender zum Einsatz. Ebenfalls eine Eigenentwicklung ist "Pydot", eine Python-Schnittstelle zu der Visualisierungs-Software Graphviz .

Die grafische Aufbereitung zeigt nicht, was der Wurm im Einzelnen genau macht, sondern veranschaulicht eindrucksvoll die Komplexität auch eines so kleinen Programms. Im Weblog des Virenlabors kann die Animation in den Formaten WMV (für den Windows Media Player) und Quicktime-Movie herunter geladen und betrachtet werden. Die Dateien sind jeweils über neun MB groß.

Sicherheits-Newsletter : Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .

0 Kommentare zu diesem Artikel
189319