Sturm-Wurm-Angriffe schrecken Sicherheitsforscher nicht ab

In der letzten Woche hat Josh Corman von Internet Security Systems, einer IBM-Tochter, die These aufgestellt, automatische DDoS-Angriffe des Sturm-Botnets auf neugierige Malware-Forscher würden diese abschrecken. Dieser Auffassung haben Sicherheitsfachleute von Antivirus-Firmen jedoch widersprochen. Das Botnet der Sturm-Wurm-Bande erkennt, wenn verdächtig viele Zugriffe auf das Netz von einer IP-Adresse kommen. Darauf reagiert das Botnet, indem es seine Zombie-Armee zu einem DDoS-Angriff (Distributed Denial of Service) auf diese IP-Adresse veranlasst.

Antivirus-Forscher schützen sich davor, indem sie die Schädlinge in einem isolierten Netzwerk innerhalb eines mehrfach abgesicherten Malware-Labors studieren. So können sie die Bots analysieren, ohne dass diese Kontakt mit dem Internet aufnehmen können, wie Zulfikar Ramzan von Symantec erklärt. Ihm sekundiert Joe Stewart von SecureWorks, der ebenfalls erklärt, man sei zwar vorsichtig, lasse sich jedoch von solchen Angriffen nicht abschrecken.

Beide bestätigen jedoch Cormans Angaben, das Sturm-Botnet verfüge über eine Art Frühwarnsystem, das recht allergisch auf allzu neugierige Zugriffsversuche reagiere. Dies sei zwar nicht neu, erklärt Ramzan, die Sturm-Wurm-Bande habe diese Technik jedoch auf ein neues Niveau der Automatisierung gehoben. Stewart nennt die Anti-Spam-Aktivisten von Spamhaus als Beispiel für eine Organisation, die regelmäßig Ziel solcher Angriffe sei, weil sie den Spammern das Geschäft zu verderben versuche.

Ramzan meint allerdings auch, die Botnet-Betreiber gingen mit solchen Angriffen ein gewisses Risiko ein. Immerhin würden sie durch einen verteilten Angriff ihr Netzwerk exponieren. Deshalb seien DDoS-Angriff für zahlende Auftraggeber auch rückläufig. Möglicherweise glaube die Sturm-Wurm-Bande, ihr Botnet sei groß genug, um sich Racheakte leisten zu können.