Revierkämpfe unter Hackern – live im Fernsehen

Was den neuesten Sprössling der Schädlingsfamilie Zotob angeht, haben sich sowohl Microsoft als auch die Sicherheitsexperten gründlich verschätzt. Zum Anfang der Woche hatte es vom SANS Internet Storm Center noch geheißen, dass keine neuen Exploit-Varianten des Wurms aufgetaucht sind – wenige Stunden später konnten Fernsehzuschauer eine weitere Attacke live im Fernsehen mitverfolgen: Aufgeregte CNN-Redakteure führten ihre verrückt spielenden Computer vor.

Betroffen waren auch die amerikanische Fernsehanstalt ABC, die Nachrichtenagentur AP, die New York Times, sowie das Kapitol in Washington und verschiedene US-Unternehmen – darunter United Parcel Service (UPS), General Electric (GE) und DaimlerChrysler. Nach einiger Verwirrung um Anzahl und Familienzugehörigkeit der Würmer geht David Perry vom Sicherheitsunternehmen Trend Micro inzwischen davon aus, dass es sich um sieben verschiedene Würmer und ihre Varianten handelt – alle sollen entweder zur Zotob- oder zur Rbot-Familie gehören, sagte der Experte gegenüber der New York Times.

Hintergrund der Attacke sind allem Anschein nach Revierkämpfe im Cybercrime-Umfeld. So beobachteten Security-Experten am Sonntag eine erste Angriffswelle, die am Montag scheinbar nachließ. Am Dienstag dann folgten von verschiedenen Seiten schärfere Attacken, bei denen das gesamte Internet nach ungepatchten Systemen durchsucht wurde. Der neue Schädling habe sich 30 Mal schneller verbreitet als sein Vorgänger, so David Maynor von Internet Security Systems gegenüber dem Wall Street Journal.

Einmal infiziert, empfange ein Rechner über ein IM-System (Instant Messaging) zusätzliche Informationen von einem zentralen Server – anschließend versuche er weitere Computer im Unternehmensnetzwerk zu infizieren. Diese würden dann von den Hackern zu Botnets zusammengeschlossen. Im Wesentlichen geht es den Angreifern dabei darum, das jeweils größte und leistungsfähigste Netzwerk in Gang zu setzen. “Das Ganze lässt sich am Besten als Revierkampf umschreiben”, so Maynor.

In aller Öffentlichkeit bekam das der Nachrichtensender CNN zu spüren. Der Sender unterbrach sein reguläres Programm mit der Nachricht, dass alle Windows-2000-Rechner mit einem Wurm befallen seien, der die Geräte immer wieder hochfahre. Zum Beweis wurden die Bilder hektischer Redakteure und verrückt spielender Computer gezeigt. Der Sender war schließlich gezwungen, von Washington aus zu senden, bis die Lage in den Studios in Atlanta und New York wieder unter Kontrolle war. “Wir waren in der ungewöhnlichen Situation, dass wir über die Verbreitung eines neuen Virus berichteten, während wir verzweifelt versuchten, das Problem zu reparieren”, sagte CNN-President John Klein.

Fest steht, dass die Schädlinge eine Lücke in Windows 2000 ausnutzten, die mit einem Update in der vergangenen Woche geschlossen worden war. Die Geschwindigkeit, mit der jedoch inzwischen Exploits für frisch-veröffentlichte Sicherheitslücken auftauchen, versetzt die Sicherheitsexperten in Alarmzustand. “Die vergangenen Wochen haben einmal mehr gezeigt, dass es kein Patch-Zeitfenster mehr gibt”, so Sicherheitsforscher Johannes Ullrich in einer Veröffentlichung des SANS Internet Storm Center. “Gründliche Verteidigung ist die einzige Möglichkeit, um die frühen Malware-Veröffentlichungen zu überleben.”

“Microsoft muss wütend darüber sein, dass Virenautoren Sicherheitslücken in ihrer Software so schnell ausnutzen”, ergänzt Sophos-Experte Graham Cluley. “Das ist nicht nur blamabel für den Softwaregiganten, sondern auch ein wirkliches Problem für Unternehmen, die schnell sein müssen, um die Sicherheits-Patches aufzuspielen.”