Würmer

Das folgende Kapitel widmet sich der Computerwürmer. Im Allgemeinen werden diese auch einfach als „Würmer“ tituliert. Der Definition zur Folge ist ein Wurm ein Programm, das sich selbstständig über Netzwerke auf andere Systeme repliziert. Genauer ausgedrückt ist das Ziel von einem Wurm eigentlich nur, in fremde Ressourcen einzudringen, eine Kopie von sich zu hinterlassen und sich danach innerhalb des Netzwerkes weiter zu verbreiten. Dabei macht der Wurm sich die Schwachstellen fremder Netzwerkdienste zu nutze. Im Gegensatz zu Viren benötigt ein Wurm keinen Wirt, um sich zu verbreiten. Das schafft er leider von ganz alleine. Hierfür ist nicht einmal eine bestimmte Benutzeraktion notwendig. Das ist auch der Grund, was die Ausbreitungsgeschwindigkeit sehr hoch macht. Wie hoch genau? Nun, da Würmer immer versuchen, sich aktiv in möglichst viele Systeme zu replizieren, hängt es eigentlich nur von den Ressourcen ab, die von ihm erreicht werden können. Im Grunde kann er innerhalb kürzester Zeit Tausende von Systemen infizieren.

Für die Verbreitung nutzt ein Wurm die unterschiedlichsten Umgebungen. Diese können E-Mail-Programme, Computer- oder Mobilfunknetze, Instand Messenger (IM), P2P- Tauschbörsen und Internet Relay Chats (IRC) sowie Local Area Networks (LAN) sein. Aber egal, wo auch immer sich der Wurm “herumtreibt“, überwiegend repliziert er sich in Form einer Datei. Diese Datei wird dann, je nach Umgebung, als Anhang einer E-Mail versendet, über einen Link in IM- und IRC-Mitteilungen untergebracht oder in einem Verzeichnis für P2P-Filesharing hinterlegt.

Die Verbreitungsarten im genaueren erklärt:

E-Mail-Würmer

E-Mail-Würmer nutzen, wie ihr Name schon verrät, E-Mails zur Verbreitung. Sie versenden dabei entweder ihre Kopie im Anhang einer E-Mail oder einen in ihr abgesetzten Link, der auf die Datei verweist. Im erstgenannten Fall wird der Wurm durch das Öffnen des Anhangs ausgeführt, im zweit genannten wird der Wurm durch das anklicken des Links herunter geladen. Zum Versand der infizierten E-Mails nutzt dieser Wurm unterschiedlichen Verfahren:

  • Er nutzt die Dienste von Microsoft Outlook.
  • Der Wurm nutzt die MAPI-Funktion von Windows.
  • Er verbindet sich direkt mit einem SMTP-Server, wobei der Wurm die in seinem Schadprogramm enthaltene E-Mail Bibliothek nutzt.

Zum Auffinden der E-Mail-Adressen, die der Wurm für seine Replikation benötigt, verwendet er (oft sogar gleichzeitig) unterschiedliche Methoden: Der Wurm versendet seine E-Mail zum Beispiel an alle im Adressbuch von Microsoft Outlook eingetragenen E- Mail-Adressen. Manchmal liest ein Wurm aber auch die E-Mail-Adressen aus der Adressdatenbank WAB aus. Meistens scannt er zudem geeignete Dateien auf der Festplatte und durchsucht diese nach E-Mail-Adressen. Zu guter Letzt kann ein Wurm unter Umständen seine E-Mail auch an alle Empfänger versenden, deren E-Mails im Postfach des Rechners entdeckt werden. Darüber hinaus gibt es leider auch noch viele andere Wege, E-Mail-Adressen ausfindig zu machen.

Instand-Messenger-Wurm

Eine weitere Gattung von Würmern ist der sogenannte Instand-Messenger-Wurm. Dieser Wurm nutzt nur einen einzigen Weg, um sich zu replizieren. Er sendet über einen Instand Messenger Nachrichten, in denen ein Link enthalten ist. Diese Nachricht geht an alle in der IM-Kontaktliste enthaltenen Adressen. Der versendete Link verweist auf eine infizierte Datei, die auf einem Webserver gespeichert ist. Somit ist dieser Wurm dem E-Mail-Wurm sehr ähnlich.

Internet-Relay-Chats

Würmer, die sich über Internet-Relay-Chats verbreiten, nutzen zwei Möglichkeiten, sich selbst in Umlauf zu bringen. Bei der ersten Methode wird eine URL versendet, die wiederum ein Zeiger auf eine Kopie des Wurmes ist. Die zweite Methode besteht aus dem Versand einer infizierten Datei, die an alle Nutzer innerhalb des gerade angegriffenen Netzwerkes gesendet wird. Die angegriffenen Nutzer erhalten dabei eine Aufforderung, den Empfang der jeweiligen Datei zu bestätigen, sie zudem auf der Festplatte zu speichern und unmittelbar zu öffnen. Und, wie nicht schwer zu erraten, wird hierbei die Malware des Wurmes gestartet.

P2P-Tauschbörsen-Würmer

P2P-Tauschbörsen-Würmer stellen sich unter der Vorspiegelung falscher Bezeichnungen in Internet-Tauschbörsen zur Verfügung. Hierzu kopieren sie sich in Form einer Datei in ein freigegebenes Verzeichnis eines lokalen Rechners. ( Manche Würmer legen sogar selbständig neue Verzeichnisse an ) Nun brauchen die Würmer nur noch abzuwarten, bis ein User sich diese Datei herunter lädt und diese öffnet. Wenn dieser Zeitpunkt gekommen ist, wird der Wurm wieder aktiv und stellt sich erneut, wiederum unter falscher Kennung, in ein Verzeichnis einer Tauschbörse zur Verfügung.

Es gibt zudem noch kompliziertere Tauschbörsen-Würmer, die die Fähigkeit besitzen, das Netzwerkprotokoll eines Dateitauschsystems zu imitieren. Um sich selbst zu replizieren antwortet der Wurm auf alle Suchanfragen positiv und bietet dabei nur seine eigene Kopie zum Herunterladen an.

Eine Extrakategorie bilden Würmer, die sich in Web- oder FTP-Servern verbreiten. Die Infektion findet dabei in zwei Etappen statt: Als erstes dringt der Wurm in einen Server ein und präpariert dessen Dienstdateien, wie statische Webseiten, für seine Zwecke. Daraufhin wartet der Wurm auf eine Anfrage dieser Datei, also auf User, die diese Webseite aufrufen und somit unbewusst den Wurm herunter laden.

Viele Würmer besitzen zudem weitere Eigenschaften, die ebenfalls zu der Malware-Familie gehören. So sind manche Würmer beispielsweise mit Trojaner- oder Viren-Funktionen ausgestattet. Manch ein Wurm ist sogar in der Lage, ausführbare Dateien der lokalen Festplatten zu infizieren.
In beiden Fällen werden die Würmer als Zustellungsmethode benutzt um andere Malware in möglichst viele fremde Systeme einzuschleusen.

Eine ganz neue Art von Wurm ist in den letzten Monaten zum Vorschein gekommen und verblüfft seitdem viele Experten. Dieser Wurm hat den Namen Stuxnet erhalten. Vielen Medienberichten zu Folge ist das besondere und außergewöhnliche an diesem Wurm, das er sich speziell auf Rechner zu replizieren versucht, auf denen auch Steuerungssysteme ( S7 ) der Firma Siemens installiert sind und das Ziel verfolgt, diese Steuerungen unter seine Kontrolle zu bringen. Weiterhin ist auffällig, das dieser Wurm jegliche Kommunikation mit dem Internet vermeidet und sich von seiner Infektionsquelle aus nur auf drei weitere Rechner zu replizieren versucht. Um in die fremde Ressourcen einzudringen nutzt dieser Wurm nicht einen, sondern gleich vier zuvor unentdeckte Windows-Exploits aus. Stuxnet, ein Wurm, bestehend aus einem unheimlich komplexen Konstrukt, knapp ein halbes Megabyte groß, scheint speziell zur Sabotage mit gezielter Sachbeschädigung entworfen zu sein. Seine Entwicklung muss, so die Experten, mindestens eine Million Euro gekostet haben.

Begriffserklärung:

MAPI = Microsoft Application Programming Interface (Microsoft Anwendungsprogrammierschnittstelle)
SMTP = Simple Mail Transfer Protocol (Einfaches E-Mail-Sendeprotokoll)
URL = Uniform Ressource Locator (Einheitlicher Quellenfinder)
WAB = Windows Address Book (ein Dateiformat unter Windows)