Krieg der Viren: Bagle-Gang gegen die Netsky-Bande

Die Antivirus-Experten, die vermutet hatten, der Ende Januar entdeckte Virus MyDoom sei nur ein Vorgeschmack auf künftige Virenplagen, könnten Recht bekommen. Seit Anfang März werden die Anwender von einer Virenschwemme bislang unbekannten Ausmaßes heimgesucht. In den letzten fünf Tagen sind sieben neue Varianten des Virus Bagle und zwei neue Varianten des Netsky-Virus aufgetaucht. Allein am Mittwoch, dem 3. März, registrierten die Kaspersky Labs innerhalb von nur drei Stunden fünf neue Varianten.
“Es lässt sich kaum eine schlechtere Komödie vorstellen als jene, in der eine Handvoll Viren-Schreiberlinge unbestraft mit dem World Wide Web spielen und nicht ein einziges Mitglied der Internet-Community kann dieser Anarchie ein Ende setzen”, kommentiert Eugene Kaspersky, Forschungsleiter der Kaspersky Labs.

“Wie konnte es zu dieser Virenschwemme kommen?”, fragen sich die  Experten. Viren folgen den Gesetzen von Naturkatastrophen, sagen die einen. Andere Spezialisten verweisen auf die Sicherheitslücken in der modernen Software, etwa auf die noch offenen sieben Lecks in Windows. Mittlerweile gilt auch das Szenario eines ‘Kriegs der Virenschreiber’ als durchaus realistisch, denn die Hinweise darauf häufen sich. So haben die Security-Forscher von Sophos herausgefunden, dass Bagle.J eine beleidigende Nachricht enthält, die sich an den Autor des derzeit akuten Netsky-Virus richtet: “Hey, NetSky, f*** off you bitch, don’t ruin our business, wanna start a war?”

Welches “Business” ist da gemeint? Das Bild vom ungeselligen, aber talentierten ‘Nerd’ scheint sich immer mehr als Trugschluss herauszustellen. Moderne Virenautoren sind geschäftstüchtig und haben es aufs Geld abgesehen. Bereits während der MyDoom-Epidemie hatten einige Spezialisten vermutet, dass der Virenschreiber im Auftrag von Spammern arbeitet. MyDoom sucht den infizierten Rechner nach E-Mail-Adressen ab und verschickt diese. Die Spekulationen über eine Allianz von Spammern und Virenautoren bekamen Ende Februar neue Nahrung. In den USA wurden mutmaßliche Virenautoren verhaftet, die den Randex-Virus im Auftrag von Spammern geschrieben haben sollen.

Andererseits erscheint es nicht sinnvoll, alle Virenschreiber über den gleichen Kamm zu scheren. Im Fall von MyDoom liegt durchaus die Vermutung nahe,  dass hier selbsternannte Idealisten am Werk waren. Dieser Virus hatte mit SCO und Microsoft die gegenwärtig meistgehassten Software-Unternehmen attackiert. Die aktuelle MyDoom-Variante, MyDoom.F, blies zum Überlastungsangriff auf die Website der amerikanischen Musikindustrie. Microsoft und SCO haben insgesamt 500.000 Dollar ‘Kopfgeld’ auf den Virenschreiber ausgesetzt. Der blieb bislang unentdeckt. Das spricht für einen Einzeltäter.

Wo gehobelt wird, fallen Späne, sagen andere Experten. Die zahlreichen Viren seien die Späne, die im Krieg der Virenschreiber oder Virenschreiber-Gangs abfallen. Das Verhalten von Nachi-B sei ein Hinweis auf diesen Kampf. Dieser Virus beseitigt die MyDoom-Varianten A und B und lädt von der Microsoft-Site ein Sicherheitsupdate herunter. Der Nachi-Autor hält sich für einen ‘Robin Hood des Internet’, vermutet das britische Sicherheitsunternehmen Sophos. Ein weiteres Indiz für die ‘Kampf-Theorie’: Viele Antivirenspezialisten meinen, dass MyDoom, Bagle, Netsky und Nachi aus verschiedenen Quellen stammen. Es gebe keine Hinweise auf eine Verbindung zwischen diesen Virentypen, sagen die Experten von Sophos.

Auch Vincent Gullotto, Vice President von McAfee’s AVERT Virus Research Team, glaubt an eine Schlacht zwischen Personen oder Gruppen. “Für mich ist die Virenplage abgestimmt”, so Gullotto gegenüber US-Medien. Es sei kein Zufall, das es in den letzten fünf Tagen sieben neue Varianten von Bagle und zwei neue Varianten von Netsky gegeben habe. Da sei eine Menge Stolz im Spiel, die Autoren versuchen sich zu übertrumpfen.

Auch andere Spezialisten vermuten, alle zehn Bagle-Varianten seien von derselben Person oder Personengruppe geschrieben worden. Diese hätten die Viren nach einem bestimmten Schema veröffentlicht. Die Personen oder Gruppen kämpften “um Marktanteile im Malware-Markt”. Sophos-Deutschland Geschäftsführer Pino von Kienlin  bläst in das gleiche Horn. “Die Funktionen der Bagle-Varianten sind sehr ähnlich und die Verbreitung erfolgt mit einer ungewöhnlich hohen Geschwindigkeit”, sagte er gegenüber Börse Online. Das lasse einen einzigen Urheber vermuten.

Von Kienlin verwies außerdem darauf, dass Viren oft zuerst an einem Freitag auftreten. Zum Wochenstart seien die Mitarbeiter unvorsichtiger und klickten auf die verseuchten E-Mail-Anhänge. So geschehen mit dem Virus Netsky.D, der letzten Montag erstmals entdeckt worden war. Auch dieser Virus sei ein Hinweis auf eine Gebietsstreiterei zwischen Hackern. Der Grund: Netsky.D entferne Bagle.C, der erst am Freitag aufgetaucht sei.

Was immer die Motive, die Anwender sind gegenwärtig mit einer regelrechten “Angriffswelle” konfrontiert, die erfolgreich zu sein scheint. In Zukunft, so mutmaßen die Experten, sei mit noch mehr dieser Wellen zu rechnen. Man solle nicht glauben, dass “der März als Löwe komme und als Lamm gehe”. Ende März würden traditionell mehr Viren geschrieben. Dann hätten die Hacker im Universitätsalter wegen der Frühjahrsferien Zeit. Außerdem stehe der erste April vor der Tür. Der sei eine gute Gelegenheit für Hacker, um ihre Viren-E-Mails unter die vielen Scherz-E-Mails zu mischen.

Silicon-Redaktion

Recent Posts

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

In Deutschland hat das Zahlungsverhalten 2024 eine deutliche Entwicklung hin zu Sofortüberweisungen und Instant Payment…

3 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago