Experten kämpfen sich durch Zotob-Dschungel

Nach der Verhaftung der Autoren der Internetwürmer Zotob und Mytob kommen immer mehr Details ans Licht. Fest steht inzwischen, dass für die beiden 18 und 21 Jahre alten Männer Geld das Hauptmotiv gewesen sein dürfte. Als Mitglieder eines so genannten ‘0x90-Teams’ versuchten sie Botnets aufzubauen und darüber Geld auf ihre Konten zu transferieren, heißt es von den Sicherheitsexperten von F-Secure.

Gleichzeitig gibt es immer mehr Anzeichen für eine Verbindung der beiden Autoren zu einer Betrügerszene, die sich auf Kreditkarten spezialisiert hat. Das gilt insbesondere für den Türken Atilla Ekici, der im Internet unter dem Decknamen ‘Coder’ agierte. Die Behörden des Landes haben inzwischen 16 weitere Verdächtige identifiziert, die in die illegalen Aktivitäten verwickelt sein sollen. “Wir gehen davon aus, dass die Personen in Verbindung mit Coder stehen”, sagte ein FBI-Sprecher gegenüber US-Medien. “Die Ermittlungen gehen weiter, aber es gibt derzeit keine Anzeichen dafür, dass diese Personen den Zotob-Wurm entwickelt oder verteilt haben.”

Tatsächlich hatte diese Arbeit nach den bisherigen Ermittlungen der 18-jährige Marokkaner Farid Essebar übernommen. Das FBI geht davon aus, dass er neben Zotob auch mehrere Mytob- und Rbot-Varianten geschrieben hat und diese dann an seinen marokkanischen Komplizen verkauft hat. Sowohl Mytob als auch Zotob nutzen Backdoor-Schwächen von Windows-Rechnern aus und ermöglichten es kriminellen Angreifern so, infizierte Computer zum Aufbau von Botnets zu missbrauchen.

Die britischen Security-Experten von Sophos haben derweil herausgefunden, dass zahlreiche weitere Computerschädlinge auf das Konto  von Essebar – in der Szene auch bekannt unter dem Namen ‘Diabl0’ – gehen. Dieser Deckname findet sich sowohl im Quellcode von MyDoom-BG als auch in 20 Varianten des Massenmail-Wurms Mytob, diese Wurmfamilie dominiert derzeit die weltweiten Virencharts.

“Es ist nicht ungewöhnlich für Virenautoren, dass sie ihr Kennzeichen innerhalb des Schadcodes zurücklassen, manchmal gemeinsam mit anderen Nachrichten”, heißt es in einem Statement von Sophos. Aufgrund der großen Verbreitung der Mytob-Familie sei jede Maßnahme, die weitere Abkömmlinge des Schädling verhindert, zu begrüßen.

Sophos-Experte Graham Cluley warnte jedoch vor zu großen Optimismus. Möglicherweise hätten andere Hacker Zugang zum Quellecode von Mytob – auch andere Branchenbeobachter betrachten einen solchen Informationsaustausch als Wurzel des Übels. Schließlich sind in diesem Jahr 200 Mytob-Varianten aufgetaucht. “Wer auch immer Zotob entwickelt hat – es scheint so, als hatte er Zugang zum Quellcode von Mytob, entfernte daraus den Abschnitt, der für die Mail-Verbreitung verantwortlich ist und fügte ein Microsoft-Exploit ein”, so Cluley.

Silicon-Redaktion

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

1 Tag ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

3 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

4 Tagen ago