Experten kämpfen sich durch Zotob-Dschungel

EnterpriseSicherheit

Die Ermittler kämpfen sich durch eine kriminellen Sumpf aus Banden und Virenfamilien. Die zwei Festnahmen waren erst die Spitze des Eisbergs.

Nach der Verhaftung der Autoren der Internetwürmer Zotob und Mytob kommen immer mehr Details ans Licht. Fest steht inzwischen, dass für die beiden 18 und 21 Jahre alten Männer Geld das Hauptmotiv gewesen sein dürfte. Als Mitglieder eines so genannten ‘0x90-Teams’ versuchten sie Botnets aufzubauen und darüber Geld auf ihre Konten zu transferieren, heißt es von den Sicherheitsexperten von F-Secure.

Gleichzeitig gibt es immer mehr Anzeichen für eine Verbindung der beiden Autoren zu einer Betrügerszene, die sich auf Kreditkarten spezialisiert hat. Das gilt insbesondere für den Türken Atilla Ekici, der im Internet unter dem Decknamen ‘Coder’ agierte. Die Behörden des Landes haben inzwischen 16 weitere Verdächtige identifiziert, die in die illegalen Aktivitäten verwickelt sein sollen. “Wir gehen davon aus, dass die Personen in Verbindung mit Coder stehen”, sagte ein FBI-Sprecher gegenüber US-Medien. “Die Ermittlungen gehen weiter, aber es gibt derzeit keine Anzeichen dafür, dass diese Personen den Zotob-Wurm entwickelt oder verteilt haben.”

Tatsächlich hatte diese Arbeit nach den bisherigen Ermittlungen der 18-jährige Marokkaner Farid Essebar übernommen. Das FBI geht davon aus, dass er neben Zotob auch mehrere Mytob- und Rbot-Varianten geschrieben hat und diese dann an seinen marokkanischen Komplizen verkauft hat. Sowohl Mytob als auch Zotob nutzen Backdoor-Schwächen von Windows-Rechnern aus und ermöglichten es kriminellen Angreifern so, infizierte Computer zum Aufbau von Botnets zu missbrauchen.

Die britischen Security-Experten von Sophos haben derweil herausgefunden, dass zahlreiche weitere Computerschädlinge auf das Konto  von Essebar – in der Szene auch bekannt unter dem Namen ‘Diabl0’ – gehen. Dieser Deckname findet sich sowohl im Quellcode von MyDoom-BG als auch in 20 Varianten des Massenmail-Wurms Mytob, diese Wurmfamilie dominiert derzeit die weltweiten Virencharts.

“Es ist nicht ungewöhnlich für Virenautoren, dass sie ihr Kennzeichen innerhalb des Schadcodes zurücklassen, manchmal gemeinsam mit anderen Nachrichten”, heißt es in einem Statement von Sophos. Aufgrund der großen Verbreitung der Mytob-Familie sei jede Maßnahme, die weitere Abkömmlinge des Schädling verhindert, zu begrüßen.

Sophos-Experte Graham Cluley warnte jedoch vor zu großen Optimismus. Möglicherweise hätten andere Hacker Zugang zum Quellecode von Mytob – auch andere Branchenbeobachter betrachten einen solchen Informationsaustausch als Wurzel des Übels. Schließlich sind in diesem Jahr 200 Mytob-Varianten aufgetaucht. “Wer auch immer Zotob entwickelt hat – es scheint so, als hatte er Zugang zum Quellcode von Mytob, entfernte daraus den Abschnitt, der für die Mail-Verbreitung verantwortlich ist und fügte ein Microsoft-Exploit ein”, so Cluley.