FBI greift sich Teenager wegen Blaster

“Virenautor von Blaster gefasst.” So titeln US-Medien unter Berufung auf die Staatsanwaltschaft von Seattle und die amerikanische Bundespolizei FBI. Tatsache ist jedoch lediglich, dass ein Verdächtiger im Fall des zerstörerischen Blaster-Virus festgenommen wurde. Wie das Wall Street Journal schreibt, stehe der Verdächtige in engem Zusammenhang mit einer der verschiedenen Varianten, die von dem Wurm existieren.
Der in Amerika lebende 18-Jährige, dessen Name ungenannt bleibt, soll nach Angaben eines Augenzeugen dabei beobachtet worden sein, wie er seinen Virus, der auf dem ursprünglichen Blaster-Wurm basierte, testete. Laut John Harting, einem Sprecher der zuständigen Staatsanwaltschaft, verständigte der Zeuge daraufhin die Behörden.

Der junge Mann soll den ursprünglichen Wurm modifiziert und noch schädlicher gemacht haben, berichtet die Tageszeitung Seattle Times. Die ursprünglichen Urheber von Blaster seien hingegen noch nicht gefunden. Der auch ‘Lovesan’ genannte Wurm war vor allem darauf ausgelegt, eine Microsoft-Website lahm zu legen. Wie ein Justizbeamter der Zeitung sagte, ist dies “eine bedeutende Entwicklung in diesem Fall”. Er sagt weiter: “Diese Wurmvariante war eine giftige Version, die hier und in aller Welt eine Menge Ärger gemacht hat.”

Microsoft hatte die Attacke auf seine Server Mitte August nach eigenen Angaben erfolgreich abgewehrt. Der Wurm war als so genannte DoS-Attacke gegen die Server von Microsoft geplant. Damit sollten diese durch die Flut von Anfragen in die Knie gezwungen werden. Das Unternehmen nahm das Hauptziel der Attacke, die Internet-Adresse windowsupdate.com, jedoch rechtzeitig vom Netz.

Die Virenschutz-Industrie meldete sich umgehend zu Wort, um ihre Sicht auf das notwendige Strafmass zu geben. “Eine klare Botschaft muss an all diejenigen gehen, die glauben, Virenschreiben und -verbreiten sei cool und ein harmloser Spaß. Sobald ein Virus erst einmal im Umlauf ist, kann ihn keiner mehr stoppen und er gerät völlig außer Kontrolle – auch für den Schöpfer”, erklärt Gernot Hacker, Senior Technical Consultant bei Sophos. “Es hat nicht lange gedauert, bis das FBI in diesem Fall weitergekommen ist. Dies ist ein gutes Zeichen dafür, dass die Strafverfolgungsbehörden weltweit besser darauf vorbereitet sind, Cyber-Kriminelle zu verfolgen und festzusetzen.”

Der Virenschutzanbieter Symantec geht davon aus, dass der sogenannte schmutzige Code eine Variante des ersten Blaster-Wurms war, der vor zwei Wochen erstmals Schaden anrichtete. Diese Vermutung könnte sich nun, stimmen die Aussagen des Augenzeugen, bewahrheiten.

Der Schädling verbreitete sich über Mails und über das Netzwerk und nutzt dazu die ‘DCOM RPC’-Schwachstelle aus. Dabei handelte es sich um einen nicht geprüften Puffer im Microsoft ‘Windows Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) Interface’. Durch Überschreiben der Puffergrenze kann beliebiger Programmcode ausgeführt werden. Die Schwachstelle befindet sich in nicht-gepatchten Windows NT/2000/XP-Systemen. Windows 98, 95 und Windows Me sind von dem Wurm bislang nicht betroffen.

Mit seinen Schadensroutinen brachte der Wurm die infizierten Computer unter seine Kontrolle und bewirkte unkontrollierte Neustarts. Zugleich bereitete der Wurm am 16. August eine groß angelegte DDoS-Attacke gegen die Windows-Update-Webseite Microsofts vor, die das Unternehmen jedoch ins Leere laufen ließ. Auch eine Botschaft nach Redmond befand sich in dem Schädling: “Billy Gates, warum lässt Du so etwas zu? Hör auf Geld zu machen und repariere deine Software.”