MyDoom ‘debattiert’ über Open Source

Würmer machen jetzt auch Firmenpolitik, wie MyDooms Attacke auf SCO zeigt. Die neue Schwemme weckt indes erneut Zweifel an Microsofts Sicherheitsstandards.

Die Wurmsaison 2004 hat begonnen. Aggressiv machen sich derzeit über das Netz her: Dumaru und sein vielgesichtiger Konkurrent mit den Namen MiMail oder MyDoom oder Novarg, der womöglich schnellste Wurm der Geschichte. Bill Gates gestand, “Schuldgefühle” zu haben, dass sein Unternehmen nicht schnell genug Sicherheitsupdates entwickelt. Und bei dem Anti-Viren-Hersteller Sophos ist man überzeugt, dass die Version A von MyDoom eine Denial-of-Service-Attacke gegen die Homepage der Software-Klagefirma SCO abzielt. SCO reagierte auf diese Bedrohung und hat auf die Ergreifung des Virenautors ein Kopfgeld von 250.000 Dollar ausgesetzt. Deshalb, so vermutet man bei Sophos, ist der Autor aller Wahrscheinlichkeit nach ein Linux-Fan, der die Diskussion über den Open-Source-Patentstreit auf eine neue Ebene hieven will.
Die Sicherheitsfirma Network Associates vermutet, dass MyDoom die Verbreitungsgeschwindigkeit des Sobig.F-Wurmes überschritten habe. Zu Beginn der Woche schätzte das Unternehmen, dass bereits etwa 100.000 bis 300.000 Rechner infiziert seien. Postini, ein Unternehmen, das Mails filtert, bevor sie weitergeleitet werden, fing etwa 330.000 infizierte Mails ab und stellte über 8 Millionen unter Quarantäne. Zum Vergleich: Bei Sobig waren es am zweiten Tag 3,5 Millionen. Das Mail-Aufkommen schlug sich auch gleich auf die Performance des Internet nieder, das laut dem Messdienst des Unternehmens Keynote schätzungsweise bis zu 10 Prozent an Übertragungsgeschwindigkeit einbüßte.

Besonders in der Zeit vom 1. bis zum 12. Februar wird es vor allem für SCO gefährlich. Denn der Wurm ist programmiert, eine Denial-of-Service-Attacke gegen die Website des Unternehmens zu starten. Sobald ein Computer infiziert ist, versucht er sich per Mass-Mailing zu verschicken und verwandelt sich in eine Zombiemaschine, die ohne Wissen des Users beginnt, die SCO-Website anzugreifen.

“Der MyDoom-Wurm gibt dem Linux-Streit nun eine neue Intensität”, urteilt Gernot Hacker, Senior Technical Consultant bei Sophos. “Indem der MyDoom-Wurm-Autor seinen Wurm auf die SCO-Website loslässt, scheint er das Wortgefecht, das derzeit in den Gerichtssälen und Internetforen tobt, auf eine neue Ebene verlagert zu haben. Falls man den Virenschreiber jemals schnappen wird, wette ich, dass er ein Open-Source-Fan ist.”

Kein Fan von Open Source ist Bill Gates, dessen Betriebssystem Windows laut einer Gartner-Studie auf 96 Prozent aller Rechner installiert ist. Dennoch gestand er auf einer Pressekonferenz in Prag ein, dass ihn “Schuldgefühle” drückten, da sein Unternehmen nicht schnell genug mit den Sicherheits-Patches nachkomme. Er kritisierte aber auch die User. Lediglich ein Fünftel, Unternehmen eingeschlossen, würden regelmäßig ihre Systeme mit den Updates auffrischen. Nach Meinung des Microsoft-Mitbegründers sollten es hingegen über 90 Prozent sein. Er fügte an, dass Microsoft mehr in Research and Development (R&D) von Sicherheitslösungen investieren werde: “Für Microsoft wird Sicherheit weiterhin das Top R&D-Investment der nächsten Jahre sein.” Sein Unternehmen wolle jetzt mehr Updates, die automatisch über das Internet laufen und nicht mehr manuell aufgespielt werden müssen.

Indes machen sich Würmer mit den folgenden Betreffzeilen schneller denn je über das Netz breit: Error, Hello, Hi, Mail Delivery System, Server Report; meist in Verbindung mit einer Ansammlung von zufälligen Zeichenfolgen. Hier ist der beste Mail-Filter die ‘Entfernen’-Taste. Betroffen sind alle Rechner mit Microsoft-Betriebssystemen ab Version 9X. Der eigentliche Virus verbirgt sich in einem Attachment, das in der Regel 22,525 Bytes groß ist, und in verschiedenen Dateiformaten in einem komprimierten Zip-File daherkommt (.exe, .pif, .scr).

Der Autor von MyDoom mag ein Linux-Fan sein, aber er hat auch dafür gesorgt, dass sein virtuelles Geschöpf Passwörter und Kreditkartennummern über befallene Rechner ausspioniert. MyDoom und Dumaru enthalten vermutlich ein so genanntes Key-Logger-Programm, das Tastenkombinationen aufzeichnen und weiterleiten kann. Dumaru spioniert dagegen Paypal-Daten aus. Er kommt immer mit der Betreffzeile: “Important information for you.” Daher relativ leicht auszumachen. Allerdings lockt die Malware den technisch versierten Postfachbesitzer mit einer scheinbar technischen Systemnachricht.

Mit MiMail oder MyDoom liegt die Sache nicht ganz so einfach. Bei jeder Aussendungsgeneration mutiert der Virus und hat dazu verschiedene Betreffzeilen. Zum Schutz gegen diese Viren wird empfohlen, auf keinen Fall das Attachment zu öffnen, auch nicht von Absendernamen, die vielleicht vertrauenswürdig erscheinen. Denn über das so genannte Spoofing können diese gefälscht werden. Auch die Nutzung der Tauschbörse Kazaa birgt derzeit erhebliches Risiko. Der Wurm kopiert sich in den freigegebenen Ordner unter dem Namen: nuke2004, office-crack, rootkitXP, strip, Gril-2.0bdcom_patches, activation_crack, icq2004-final und winamp.

Netzwerkadmins aufgepasst: Der Wurm öffnet auch eine Verbindung auf dem TCP Port 3127, über diesen ein Remote-Access auf den Computer erlangt werden kann, teilte die Sicherheitsfirma Security Planet mit.