Angriff aus Russland?

Der Wurm MyDoom, der eine "globale Epidemie" ausgelöst hat und schon auch als "Massenvernichtungswaffe" bezeichnet wurde, soll nach Auskunft von Kaspersky Labs aus Russland stammen

Mittlerweile hat nicht nur SCO ein Kopfgeld für den Autor und Verbeiter des Wurms MyDoom ausgesetzt, sondern auch Microsoft offeriert eine Prämie von 250.000 US-Dollar für denjenigen, der Hinweise für die Ergreifung des Verantwortlichen der Variante MyDoom.B liefert. Zwischen dem 1. und 12. Februar führen die dann noch infizierten Rechner der neuen Variante DoS-Angriffe sowohl auf www.sco.com als auch auf www.microsoft.com aus.

Mittlerweile wird MyDoom oder Novarg als globale Epidemie bezeichnet. Er hat sich rasant im Internet verbreitet und soll mehrere Hunderttausend Windows-Rechner befallen haben. Offenbar hat die andere Beschaffenheit der Mails, mit denen der Wurm reist, die Vorsicht vieler Internetnutzer unterlaufen, weil sie unüblich als Hinweise auf technische Probleme verstanden wurden. Der Wurm verbreitet sich nicht nur über Emails, sondern auch über die Tauschbörse P2P-Netzwerk KaZaA.

Nach Ansicht von Kaspersky Labs soll der Wurm aus Russland stammen. Man habe die ersten mit MyDoom infizierten Mails auf Adressen von russischen Internetprovidern zurück verfolgen können. Das ist nach Denis Zenkov, dem Sprecher von Kaspersky, auch nicht weiter verwunderlich, weil "die meisten gefährlichen Viren in Russland geschrieben werden".

Nachdem der Wurm am Montag zum ersten Mal aufgetreten ist, soll er es geschafft haben, in jeder 12. Mail enthalten zu sein. Damit wäre das gesamte Netz davon betroffen. Drastisch erklärt Michail Yakuschew, ein Rechtsberater von Microsoft in Russland, dass man den Wurm mit einer "Massenvernichtungswaffe" vergleichen könne. Bedenklich ist vor allem, dass der Wurm nicht wie üblich Schaden auf dem infizierten Rechner von unvorsichtigen Nutzern anrichtet und diesen benutzt, um sich zu vermehren, sondern dass er ein Backdoor-Programm installiert, mit dem die Virenautoren den Rechner kontrollieren können. Zudem wird ein Programm installiert, um vom 1. bis zum 12. Februar zunächst die Website von SCO, mit der neuen Variante auch die von Microsoft mit DoS-Angriffen lahmzulegen.

Warum allerdings gerade diese Zeitspanne für die geplanten Angriffe auf die beiden Unternehmen mit Symbolwert ausgewählt wurden, ist noch unbekannt. Bei Kaspersky wundert man sich auch, warum gerade jetzt ein Wurm in Russland geschrieben worden ist. "Normalerweise schreiben Programmierer Viren während einer Wirtschaftskrise, wenn es keine Arbeit gibt und auch sonst nichts zu tun ist", meint Zenkov. "Aber gerade jetzt gibt es viel Arbeit für russische Programmierer."

Allerdings seien in Russland nur 1 Prozent der Rechner befallen, in den USA hingegen 13 Prozent. Auch das ist ein Grund, die Arbeit "Made in Russia" hervorzuheben, weil man dort, wie Zenkov behauptet, Email-Viren besser bekämpfe, "da die Systemadministratoren allgemein hier kompetenter sind und schneller Schutzmaßnahmen installieren". Allerdings müssten die Autoren schnell eine neue Version schreiben, um ihre beabsichtigten Ziele zu erreichen, weil der Wurm in den nächsten Tage bereits weitgehend unter Kontrolle gebracht werden könne. MyDoom.B hat bereits nicht nur mit Microsoft ein weiteres Angriffsziel mit sich gebracht, sondern versucht auch zu verhindern, dass Antiviren-Programme heruntergeladen werden können, um so die Zerstörung zu verhindern. Überdies sucht MyDOOM.B vom infizierten Rechner aus im Internet nach Rechnern, die mit der ersten Variante des Wurms infiziert sind. Wird ein solcher gefunden, wird eine Verbindung aufgebaut und ein "update" eingeleitet.

Nach Craig Schmugar von Network Associates ist MyDoom der Email-Virus, der sich bislang am schnellsten verbreitet hat. So soll ein Unternehmen stündlich 160.000 infizierte Emails erhalten haben. Im Code von MyDoom.B ist nach Schmugar die Zeile versteckt:

Andy: I'm just doing my job, nothing personal, sorry.

Für Schmugar weist dies darauf hin, dass die MyDoom-Würmer als bezahlte Auftragsarbeit geschrieben worden könnten. Manche vermuten, dass die symbolischen DoS-Angriffsziele Microsoft und SCO vielleicht nur ein Ablenkungsmanöver sein könnten. Möglicherweise geht es den Autoren darum, mit den infizierten Rechnern über das Backdoor-Programm Spam zu versenden oder anderes zu machen. (Florian Rötzer)

Anzeige