821909

Die 5 gefährlichsten Viren der letzten 5 Jahre

29.02.2012 | 14:34 Uhr |

Der Sturm-Wurm verbreitete sich meist per E-Mail.
Vergrößern Der Sturm-Wurm verbreitete sich meist per E-Mail.

Sturm-Wurm

Der so genannte Sturm-Wurm (W32/Nuwar, Email-Worm.Win32.Zhelatin) ist kurz nach dem Orkan "Kyrill" aufgetaucht, der im Januar 2007 über Europa hinweg fegte. In Spam-artig verbreiteten Mails wurde behauptet, der Mail-Anhang enthielte weitere Informationen zu dem Orkan. Spätere Varianten benutzten allerlei aktuelle oder frei erfundene Nachrichten als Köder oder waren als Grußkarten-Mails getarnt, etwa zum Valentinstag.

Die zahlreichen Varianten dieses Schädlings dienten dem Aufbau eines Botnetzes. Dieses war als P2P-Netz organisiert, die einzelnen Zombie-Rechner kommunizierten also nicht mit einem zentralen Mutterschiff sondern untereinander. Auf diesem Weg wurden weitere Schadprogramme verteilt, darunter auch ein Mail-Proxy, der befallene Rechner in Spam-Schleudern verwandelte. Über dieses Netzwerk wurde auch der Spam-Versand koordiniert - ein PC verschickte innerhalb weniger Minuten mehrere tausend Mails und reichte dann den Staffelstab an den nächsten Zombie-Rechner weiter, der eine weitere Spam-Welle versandte.

Der Wurm Waledec ist der Nachfolger des Schädlings Sturm-Wurm.
Vergrößern Der Wurm Waledec ist der Nachfolger des Schädlings Sturm-Wurm.

Waledac

Der Sturm-Wurm verschwand im Herbst 2008, sein Nachfolger wurde "Waledac", der auch als "Sturm-Wurm 2.0" bezeichnet wurde. Sicherheitsforscher haben aus Code-Analysen geschlossen, dass Waledac (Alias: Win32.Iksmas) eine komplette Neuimplementierung des Sturm-Wurms darstellt. Die Funktionalität war praktisch identisch, auch die Maschen der Verbreitung waren gleich, meist vorgebliche Grußkarten-Mails.

Innerhalb des neu aufgebauten Waledac-Botnetzes erfolgte die Kommunikation stark verschlüsselt. Das technische Verfahren dahinter wurde vom eDonkey-Protokoll auf das schwerer auszufilternde HTTP umgestellt, das auch Web-Browser nutzen. Im Februar 2010 hat Microsoft im Rahmen seiner "Operation b49" das Waledac-Botnetz auf juristischen Weg ausgehoben, die Mutterschiffe vom Netz nehmen lassen und die Kontrolle über die zugehörigen Domains übernommen. Dem voran gegangen waren mehrmonatige Ermittlungen in Kooperation mit Sicherheitsunternehmen und Universitäten. Im Februar dieses Jahres ist ein neuer Schädling aufgetaucht, der zum Teil auf Waledac-Code basieren soll. Dieser spioniert nun auch Zugangsdaten für FTP- und Mail-Server aus. Kaspersky Lab rechnet ihn zur "Hlux-Familie", die seit Januar 2011 bekannt ist und als Waledac-Nachfolger gilt.

Der Schädling Conficker ist sehr trickreich. Das Schaubild zeigt seine Verbreitungsmethoden.
Vergrößern Der Schädling Conficker ist sehr trickreich. Das Schaubild zeigt seine Verbreitungsmethoden.

Conficker

Im November 2008 wurde ein Wurm namens "Conficker" (Alias: Kido, Downadup) [3] bekannt. Er nutzte eine als kritisch eingestufte Sicherheitslücke in Windows aus, gegen die Microsoft einen Monat zuvor das außerplanmäßige Sicherheits-Update MS08-067 [4] bereit gestellt hatte. Conficker und seine Varianten dominierten in der Folge für etliche Monate die Hitlisten der weit verbreiteten Schädlinge. Der Schädlinge blockierte unter anderem den Zugriff verseuchter PCs auf Websites mehrerer Antivirushersteller und damit auf Updates der Antivirusprogramme.

Conficker gab den Malware-Forschern Rätsel auf. Zwar bildeten damit infizierte Rechner ein Botnetz, das jedoch, mit einer Ausnahme [9], nie genutzt wurde, um Spam zu verbreiten oder andere kriminelle Aktivitäten zu entfalten. Das Conficker-Botnetz befand sich allerdings auch fast von Anfang an unter scharfer Beobachtung durch eine bis dahin nicht gesehene Allianz aus diversen Antivirusunternehmen und Sicherheitsforschern. Diese hatten interne Algorithmen des Schädlings analysiert und im Labor nachgebaut. So wussten sie stets bereits im Voraus, wann und wo eine neue Conficker-Variante zu erwarten war, die als Update auf bereits infizierten Rechnern die jeweilige Vorversion ersetzten sollte.

Während Conficker.B 250 pseudo-zufällige Domain-Namen am Tag generierte, waren es bei der C-Variante, die am 1. April 2009 nach Updates schauen sollte, bereits 50.000, aus denen Conficker 500 zufällig ausgewählte abfragte. Um den Forschern die Analyse zu erschweren, fragte Conficker.C zudem große Websites wie Yahoo ab, um das Datum zu ermitteln. Der Update-Check erfolgte zudem mit kryptografischen Signaturen.

Anfang Mai 2009 löschte sich diese erst am 7. April in Umlauf gebrachte Variante namens Conficker.E planmäßig selbst. Zurück blieben jedoch mehrere Millionen Rechner, die mit einer älteren Variante infiziert waren und blieben - oft noch für Jahre. Zudem schätzten Malware-Forscher noch im Mai 2009 die Zahl der Neuinfektionen auf 50.000 pro Tag. Ein Jahr später gingen sie von 6,5 Millionen mit Conficker.A oder .B. verseuchen PCs aus. Die Hintermänner wurden in der Ukraine ermutet, konnten jedoch nie ermittelt oder gar dingfest gemacht werden, obwohl Microsoft 250.000 US-Dollar Belohnung dafür ausgesetzt hatte.

Den Schädling Zbot gibt es ein zahlreichen Varianten. Dieses Schaubild gibt nur einen kleinen Überblick.
Vergrößern Den Schädling Zbot gibt es ein zahlreichen Varianten. Dieses Schaubild gibt nur einen kleinen Überblick.

Zbot/Zeus

Zu den variantenreichsten Schädlingen der letzten Jahre gehört zweifellos die Zbot-/Zeus-Familie. Diese Trojanischen Pferde wurden und werden als Mail-Anhang oder per Drive-by Download verbreitet. Es handelt sich bei Zbot um einen im Untergrund kommerziell vertriebenen, modularen Malware-Baukasten. Jeder (kriminelle) Kunde des Zeus-Programmierers konnte sich nach dem Erwerb einer mehrere tausend Euro kostenden Lizenz den Schädling für seinen Bedarf zusammenstellen.

Zum Zbot-Repertoire gehören Rootkit-Funktionen (Tarnkappe), das Ausspionieren der Anmeldedaten fürs Online-Banking sowie der Diebstahl weiterer Daten wie etwa Passwörter. Zwischenzeitlich gab es einen zum Teil aggressiv geführten Konkurrenzkampf mit dem SpyEye-Programmierer. Den hat der Zeus-Autor letztlich aufgegeben und allem Anschein nach seinen Code an den Konkurrenten verkauft. Seit Ende 2010 sind daher Mischformen beider Schädlinge im Einsatz.

Der Wurm Stuxnet wurde programmiert, um die Maschinen in einer Fabrik lahm zulegen.
Vergrößern Der Wurm Stuxnet wurde programmiert, um die Maschinen in einer Fabrik lahm zulegen.

Stuxnet

Ein ganz andere Geschichte ist die des Stuxnet-Wurms, dessen Entdeckung im Juli 2010 bekannt wurde. Seine Urheberschaft wird bei westlichen Geheimdiensten (USA, Israel) vermutet. Ziel des Schädlings war, wie monatelange Analysen ergaben, die Sabotage fünf iranischer Atomanlagen über Schwachstellen in der Steuerungstechnik für Industrieanlagen, so genannte SCADA-Systeme (SupervisoryControlAnd Data Acquisition).

Stuxnet nutzte gleich vier bis dahin nicht bekannte Sicherheitslücken in Windows aus, um sich in Richtung seiner Ziele auszubreiten und in sie einzudringen. Zunächst kam er wohl über verseuchte USB-Sticks in Umlauf, die Stuxnet über die später so genannte "LNK-Lücke" infizierte. Auf diesem Wege sollte er sich offenbar bis in die iranischen Atomanlagen vorarbeiten. Stuxnet ist das erste bekannt gewordene Beispiel für einen derart komplexen Schädling, der gezielt Industrieanlagen sabotieren sollte. Im Herbst 2011 ist mit "Duqu" ein weiterer Schädling ähnlicher Bauart in Europa entdeckt worden, der aus der gleichen Code-Schmiede stammen soll.

0 Kommentare zu diesem Artikel
821909