Virenautoren entdecken Open Source
Herkömmliche virtuelle Schädlinge wie Würmer oder Trojaner haben immer öfter auch Open-Source-Komponenten. Experten des IT-Sicherheitsunternehmens Symantec schätzen, dass inzwischen rund 10 Prozent aller Schädlinge mit wiederverwendbaren Komponenten arbeiten. Mit diesem Schritt hoffen die Autoren die Reichweite ihrer Schädlinge auszudehnen.
Zudem lässt sich der Code um so besser vermarkten, je verbreiteter der Schädling ist. Ein Beispiel ist der Trojaner Limbo. 2007 konnten die Autoren für den – zu diesem Zeitpunkt noch proprietären – Code noch rund 350 Dollar verlangen. Damals schwang sich Limbo auf, um der Trojaner mit der weltweit größten Verbreitung zu werden. Doch Limbo wurde von dem deutlich besseren Trojaner Zeus abgelöst, für den Betrüger heute bis zu 3000 Dollar bezahlen. Limbos Verkaufszahlen jedoch gingen in den Keller.
Daraufhin haben die Autoren den Code offen gelegt und das Interesse der Betrüger war dem Schädling, zumindest für eine gewisse Zeit, wieder sicher. Limbo ist heute nicht mehr der beste Trojaner auf dem Markt. Aber weil der Source-Code verfügbar ist, tauchen selbst zwei Jahre nach der ersten Veröffentlichung immer wieder Exemplare auf.
Doch das Offenlegen des Schad-Codes hilft nicht nur den Autoren. Wüest erklärt, dass dadurch auch Unternehmen wie Symantec einen Vorteil haben. “Mit dem Sourcecode ist es einfacher, ein generelles heuristisches Erkennungsmuster zu finden.”
Die erste Offenlegung eines Trojaners nahm die Gruppe ‘The Cult of the Dead Cow’ vor. Der Code nannte sich Back Orifice und konnte unter anderem dazu verwendet werden,
einen Trojaner zu entwickeln.