Ruhe vor dem Sturmwurm?

Eine Analyse des Sicherheitsdienstleisters Marshal ist zu dem Schluss gekommen, dass die Aktivität des gigantischen Sturmwurm-Botnetzes drastisch zurückgegangen ist. Seit Ende September sei sogar gar keine Spam-Aktivität mehr zu verzeichnen. Zu einem ähnlichen Ergebnis war auch eine kurz zuvor auf dem Security-Portal sudosecure.net veröffentlichte Analyse des Peer-to-Peer-Netzes gekommen, auf dem der Sturmwurm basiert. Ihr zufolge hatte ein Teil der Kontrollserver begonnen, TCP-Anfragen mit der Nachricht "Go away, we're not home" zu beantworten. Zuletzt war der Sturmwurm im Juli durch die Ankündigung des Dritten Weltkriegs in nennenswerte Erscheinung getreten.

Über die Hintergründe der Flaute zerbrechen sich die Analysten derzeit den Kopf. Auf sudosecure.net vermutet man, die urlaubsreifen Botnetzbetreiber hätten erst einmal genug Profit aus dem Spam-Geschäft geschlagen und würden sich nun eine Auszeit nehmen. In den vergangenen Monaten wurden detaillierte wissenschaftliche Analysen der P2P-Architektur des Sturmwurms veröffentlich. Ziel der Betreiber sei daher möglicherweise, die Architektur für einen Neubeginn zu überarbeiten.

Die Marshal-Analysten sehen eine mögliche Ursache auch im gezielten Vorgehen gegen das auf dem PCs der ahnungslosen Heimanwender installierte Schadprogramm, etwa durch das Microsoft Malicious Software Removal Tool im September 2007. Andere Botnetze wie Srizbi, Rustock, Pushdo, und Mega-D seien inzwischen die effektiveren Spam-Verteiler. Das Sturmwurm-Netz spiele in dem Geschäft ohnehin nur noch "eine untergeordnete Rolle".

Siehe dazu auch:

• Goodbye Storm?, Analyse von Marschal
• Storm Worm - Go away, we’re not home, Analyse auf sudosecure.net
• P2P-Botnetz infiltriert und gestört, Meldung von heise Security

(cr)