Ist der Mega-Virus MyDoom nur ein Vorgeschmack?

EnterpriseSicherheit

Experten warnen: Den Unternehmen könnten noch größere Epidemien ins Haus stehen, bei denen Tausende großer Websites auf einmal angegriffen werden.

Die MyDoom-Epidemie könnte nur ein Vorgeschmack auf künftige Virenattacken sein. Die Unternehmen sollten sich auf Viren gefasst machen, die Tausende große Websites auf einmal angreifen, so Mikko Hypponen, Research Director des finnischen Antivirus-Spezialisten F-Secure. MyDoom habe Tausende Rechner zum größten Angriffsnetz zusammengeschlossen, dass es jemals gegeben habe. Mit solch einem Netzwerk könne man nicht nur eine Website, sondern Tausende große Sites auf einmal attackieren, sagte Hypponen.
Der MyDoom-Autor werde bald seine Nachahmer finden. Man könne die MyDoom-Technik nutzen, um eine beliebige Website zu Fall zu bringen, so Hypponen nach US-Medienberichten. MyDoom hatte am Samstag die Website von SCO attackiert. Seitdem ist diese offline. MyDoom.B, ein Ableger von MyDoom, startete am Dienstag einen Überlastungsangriff gegen www.microsoft.com. Microsoft wehrte die Attacke bislang ab. Nach Angaben von Jimmy Kuo, Sicherheitsexperte beim US-Antiviren-Spezialisten Network Associates, sorgte ein Programmierfehler des Virenautoren dafür, dass Microsoft von nur etwa 700 Rechnern angriffen wurde. SCO attackieren dagegen etwa 50.000 Computer. Die Angriffe auf SCO sollen noch bis zum 12. Februar dauern, die auf Microsoft bis zum 1. März.

SCO und Microsoft lassen sich Hinweise auf den Virenautor jeweils 250.000 Dollar kosten. Die erste MyDoom-E-Mail hatte der US-Antivirus-Spezialist Message Labs in Russland registriert. Das bedeute aber nicht, dass der Virus auch aus Russland stamme, hieß es bei Message Labs. Normalerweise könne man Virenautoren aufspüren, in dem man den “Infektionsweg” verfolge. Dafür sei es im Fall MyDoom aber bereits zu spät gewesen.

Inzwischen verdichten sich die Hinweise darauf, dass die beiden Varianten des Virus vom gleichen Autor stammen. Jimmy Kuo sagte, der Virenautor habe im Programmcode von MyDoom und MyDoom.B den Namen “Andy” hinterlassen. Im Code stünden Zahlen, die die Version des Virus kennzeichneten. Das sehe danach aus, dass jemand den Programmcode überprüft habe. Wahrscheinlich sei “Andy” der Prüfer gewesen. Der Autor habe in MyDoom.B eine Botschaft in englischer Sprache gesetzt: “Ich mache nur meine Arbeit, ich meine es nicht persönlich. Entschuldigung”.

Bei näherem Hinsehen entdeckten die Experten eine weitere Eigenschaft, die für Nachwirkungen sorgen könnte. MyDoom öffnet bei einem infizierten Rechner nach Angaben von Kuo eine “Hintertür”. Der Virenautor installiere so Software auf dem Rechner oder nutze den Rechner zum Versenden von Spam. Diese Technik ist nach einem Bericht des Wall Street Journal seit dem letzten Jahr gang und gäbe. Die US-Handelsbehörde Federal Trade Commission schätzt, dass 30 Prozent des aktuellen Spams via Hintertür verschickt werden.
 
Einige Experten glauben, dass MyDoom das Werk von Spammern ist. Diese hätten einen Programmierer angeheuert, um an E-Mail-Adressen zu gelangen. So sieht der Wiener Antiviren-Spezialist Ikarus den Hauptzweck von MyDoom im Sammeln von E-Mail-Adressen. “MyDoom verhält sich nicht Viren-spezifisch, sondern Spam-spezifisch”, sagte Ikarus-Geschäftsführer Joe Pichlmayr. Der Virus durchsuche die Dateien auf dem Rechner nach E-Mail-Adressen und verschicke sich an diese. Wahrscheinlich generiere MyDoom eine E-Mail-Adresse, über die der Virenautor dann die anderen E-Mail-Adressen “absauge”.

Der Fall MyDoom zeige, dass die Technologieunternehmen mehr Verantwortung für den Schutz der Anwender übernehmen müssten, so Mikko Hypponen von F-Secure. Die Anwender hörten nicht auf, auf unbekannte E-Mail-Anhänge zu klicken. “Ich habe meinen Glauben an die Bildung verloren”, so Hypponen. Diese helfe nicht, die Menschen würden “auf alles klicken”. Man solle den Anwendern die Verantwortung für den Virenschutz abnehmen und die “Computer automatisch durch irgend jemanden sichern”.