IT-Bedrohungen bekommen neue Impulse

Noch im vergangenen Jahr wurden in Hacker-Kreisen am Fließband primitive Schädlinge produziert. Doch für Antivieren-Hersteller wie Kaspersky Labs scheint die Verschnaufspause vorbei zu sein. Immer perfider werden die Schädlinge und immer mehr kriminelle Energie scheint hinter den Attacken zu stecken.

Im November 2007 erschienen im Internet verschiedene Websites, die ein Schadprogramm verbreiteten. Eine genaue Analyse dieses Programms ergab, dass der Code in der Lage ist,
den MBR und Festplattensektoren zu infizieren. Der Schadcode verbarg sich nicht nur im System, sondern installierte in Windows eine Backdoor. Diese war auf Informationsdiebstahl
spezialisiert und spionierte unter anderem die Zugangsdaten zu verschiedenen Banksystemen aus.

Dieses Bootkit sieht wie eine eigenständige Plattform aus, die problemlos jedem beliebigen Schadprogramm hinzugefügt werden kann. Daher ist nicht auszuschließen, dass es schon bald zum Verkauf angeboten wird. Das wiederum hätte zur Folge, dass diese Technologie tausenden Virenschreibern zur Verfügung stünde und – nach dem aktuellen Wachstumstempo von Malware zu urteilen – zu einer der am weitesten verbreiteten IT-Bedrohungen werden könnte.

Mitte Januar jährte sich das erstmalige Erscheinen eines Schädlings im Netz, der als ‘Sturmwurm’ bekannt wurde. Die Malware verfügt über eine Modulstruktur sowie eine hohe Ausgabefrequenz neuer Varianten. Er verwendet zur Verbreitung hunderte infizierte Websites und breitet sich auch via Skype und IM aus. Zudem setzt er Rootkit-Technologien ein, startet Gegenangriffe auf AV-Programme und nutzt ein dezentralisiertes Botnetz. Der Sturmwurm entwickelte sich in weniger als einem Jahr zum größten Problem für die IT-Sicherheit – nicht zuletzt wegen eines beinahe mystischen Botnetzes. Die genaue Zahl dieser Zombie-Computer lässt sich in einem dezentralisierten Botnetz nicht feststellen. Im Januar dieses Jahres äußerte das Unternehmen Fortinet die Vermutung, dass das Botnetz in die Phishing-Attacken auf die Banken Barclays und Halifax involviert sei. Sollte das stimmen, so wäre das der erste Einsatz des Sturm-Botnetzes zu “klassischen” cyberkriminellen Zwecken.

Über die Herkunft der Sturmwurm-Autoren herrscht unter Experten Uneinigkeit. Sehr wahrscheinlich ist hier eine internationale Gruppe mit klar verteilten Aufgaben am Werk: Einer ist zuständig für die Programmierung, einer für die Spam-Versendungen, ein anderer platziert den Wurm auf infizierten Websites, der nächste hackt die Websites und wieder ein
anderer entwickelt die Exploits. Der Sturmwurm wäre damit ein Musterbeispiel für moderne Cyberkriminalität mit internationaler Arbeitsteilung.

Legale Software oder auch Software-Hersteller dienen selten als Virenträger, doch auch das kommt vor. Solche Fälle schaden dem guten Ruf der Software oder des Herstellers, sie
ziehen Anwender in Mitleidenschaft und sie bereiten Antiviren-Herstellern Probleme, die legale Software als grundsätzlich vertrauenswürdig ansehen.