Botnetz des Sturm Wurms umfasst 1,7 Millionen Drohnen

Zu Beginn des Jahres rechnete noch niemand mit dem sich ankündigen Sturm Wurm und man betrachtete ihn eher als „Sturm Wurm im Wasserglas“ – doch mittlerweile baute sich der Wurm ein Botnetz auf, das über 1,7 Millionen Drohnen (infizierte Rechner) besteht, so der Sicherheitsspezialist SecureWorks. Bisher werde das Netz zwar für Spam Mails verwendet, könnte aber in dieser Größe auch leicht für Angriffe gegen Unternehmen oder Länder verwendet werden. So konnte SecureWorks allein zwischen Januar und Mai 2007 über 71.342 Angriffe des Wurmes feststellen – diese stiegen zwischen Juni bis heute auf über 20.200.00 Angriffe an. Die Anzahl der angreifenden Drohnen steig dabei ebenfalls extrem an. Zu Jahresbeginn lag die Zahl der Drohnen noch bei ungefähr 3.000, mittlerweile bei 1,7 Millionen.

SecureWorks äußerte die Vermutung daß der mögliche Betreiber des Botnetzes dieses deshalb so extrem ausgeweitet habe um es anderen Crackern oder Hackern zu vermieten oder selbst weitere größere Angriffe plane. McAfee vermute, das der enorme Spread des Wurmes auf die Social Engineering Strategie der Wurmbastler zurückgeht.

Der Sturm Wurm nistet sich weder in den Autostarteinträgen des Systems noch in der Registry ein, sondern infiziert die tcpip.sys und hängt den entsprechenden Code der zum Laden des Wurmes erforderlich ist an diese Datei an. Der Wurm verbindet sich über Peer-to-Peer mit anderen Drohnen auf Basis des eDonkey Protokolls.

Dies ist laut McAfee ein neuer Trend in der Crackerszene, da so Schädlinge mit oder nach dem Booten des Systems geladen werden können.

Naja, aber dennoch ist man sicher davor, wenn man seinen gesunden Menschenverstand benutzt und seine Software up-to-date hält. Daher mache ich mir keine großen Sorgen, von dem Wurm infiziert zu werden.

Würden alle Leute mal so sorgsam mit ihrem PC umgehen, dann hätten wir auch kaum noch Spam Mails, da diese hauptsächlich über solche Botnetzte verteilt werden.
Wenigstens fangen in den USA die Interprovider damit an, dass sie Botnetze ausschalten und Anfragen der Zombie-PCs blockieren, sodass der Virus keine Informationen nachladen kann.

Herbi hat geschrieben:Würden alle Leute mal so sorgsam mit ihrem PC umgehen, dann hätten wir auch kaum noch Spam Mails, da diese hauptsächlich über solche Botnetzte verteilt werden.

Nein, da der Schadcode nicht durch Angebote mit Gratisproduktproben eingeschleust wird, sondern über unsichere Mails, oft mit Dateianhängen. Man sollte also entweder eine vernünftige Softwarefirewall haben, die auch einigermaßen aktuell ist und auch die Mails scannt (beim Posteingang) ODER man misstraut jeder fremden Mail und sollte es unterlassen, ständig irgendwelche Dateianhänge aufzumachen oder das zuzulassen. Ich kenn das noch von früher, manche sind da ja wie die Blöden - erstmal aufmachen, gucken was das ist.

Dadurch wird der Schadcode primär verbreitet - und natürlich über nette, "halbseriöse" Websites - aber auch die kann man ansurfen, wenn man nur gut genug gerüstet ist.

Ob man auf Spam reagiert oder nicht ist dem Spamversender eigentlich total egal, fast so wie dem Typen der Woche für Woche die Angebote in den Briefkasten haut - Hauptsache er hat 1.000 Stück verteilt, ob die beachtet werden interessiert ihn nicht. Und über Kundenmangel können sich die Besitzer von Botnetzen nicht beschweren.

Ich fürchte, wir reden gerade etwas aneinander vorbei. Zum einen gibt es die Bot-Netze, zu deren Errichtung man (per Spam) Malware verschickt. Zum anderen gibt es die (klassischen) Werbe-Spams (die dann mittels Botnetze verschickt werden). Dies ist die Einnahmequelle der Spammer. Für deren Auftraggeber muss sich der Versand lohnen, was er nur tut, wenn eine gewisse Anzahl von Empfängern (der Werbebotschaften) darauf reagiert und etwas bestellt (oder auf die Nigeria-Connectio reinfällt, etc.). Schlußfolgerung: Wenn keiner etwas kauft, lohnt sich der Versand nicht.

Natürlich, da hast Du Recht. Aber es gibt immer ein paar, die dann meinen zuschlagen zu müssen, frei nach der Devise "Jeden Tag steht ein Dummer auf, man muss ihn nur finden (und ihm was verkaufen).".

Beim angeführten Beispiel mit der "Angebotspost" verhält es sich ja ähnlich - wenn da von 1.000 verteilten Sendungen nur 1 - 10 % darauf reagieren, war die Werbung schon ein Erfolg. Weder die Zustellung dieser Werbung noch der Versand von Spam über Botnetze ist so teuer, als daß es sich nicht gut refinanzieren könnte, das ist das Problem.

Da hast du Recht. Es kostet die Spammer wirklich kaum etwas, deren Mails zu verschicken und danke unachtsamer Benutzer ist der Aufbau eines Botnetzes auch nicht gerade so schwer. Es gibt ja schon kleine Tools, mit denen man seinen eigenen Virus / Wurm usw. basteln kann und ihn auf die Welt loslassen kann.

Es wäre gut, wenn man das Spamaufkommen senken könnte, da dann ein großer Teil des aufkommenden Traffics wegallen würde und die Leitungen frei für andere Dienste wären.
Aber viel kann man auch leider nicht dagegen machen. Nicht jeder hat einen Virenscanner und nicht jeder updated seine Software regelmäßig. Da ist es wirklich gut, dass es heutzutage schon viele Programme schaffen, sich ein Update zu verpassen, ohne das der User groß etwas dafür tuen muss. Firefox macht diese Updates ja auch schon von alleine im Hintergrund, wenn man dies wünscht, genauso wie Windows. Aber die automatische Updatefunktion ist leider nicht immer standartmäßig aktiviert.
Ein in Windows fest integrierter Virenscanner würde auch Abhilfe schaffen, nur das kann sich Microsoft anscheinend nicht leisten.
Es wäre auch sehr schön, wenn wirklich jeder Betreiber von Mailservern (auch Webspaceanbieter oder Rootserveranbieter) den Mailservern zwangsweise einen Virescanner verpassen würden. Aber leider kommt es heute auch bei den Freemailanbietern immer wieder vor, dass diese die Mails gar nicht auf Viren überprüfen. Damit könnte man schon viele Gefahren abwenden.

Aber ich denke, da wird sich in den nächsten Jahren noch viel tun.