Rubrik: Produkte/Hintergrund

Wurm MyDoom.A hat die Virenlandschaft für immer grundlegend verändert

Konvergenz von Viren und Spam

(02.02.05) - MyDoom.A war zwar nicht der erste Wurm, der die Effektivität einer Kombination von Viren mit Spam-Technologien unter Beweis stellte, jedoch der bei Weitem erfolgreichste. Er läutete zudem den Beginn einer Ära ein, in der diese Methode großflächig zum Einsatz kam. Während es sich früher bei Viren und Spam noch um zwei unterschiedliche Angriffsmethoden handelte, führen finanzielle Anreize mittlerweile zu einem erheblichen technischen Fortschritt bei Malware. Heutzutage ist fast jeder abgefangene Virus in der Lage, die Verbreitung von Spam zu unterstützen.

Mithilfe des bösartigen Codes wird darüber hinaus auf dem infizierten Rechner eine Hintertür geöffnet, über die Computer für Denial of Service-Attacken oder andere illegale Aktivitäten miss-braucht werden können.

Erst ca. zehn Stunden nach Enddeckung des Wurms begannen die Hersteller von Antiviren-Software mit der Veröffentlichung von Viren-Signaturen. Wie MyDoom und seine Nachfolger gezeigt haben, sind sich Cyber-Kriminelle der Bedeutung des kritischen Zeitfensters voll bewusst und nutzen es geschickt für ihre Zwecke aus. Die Programmierer versuchen nicht mehr die Lebensdauer von Viren möglichst zu verlängern, sondern setzen eher auf einen blitzartigen Überfall. Ziel ist die Infektion einer größtmöglichen Anzahl von Rechnern, bevor die Hersteller von Antiviren-Software ihre Schutzprogramme aktualisieren können. Bis zur Umsetzung der Virensignaturen ist der Schaden bereits angerichtet und die nächste Variante des Virus sitzt schon in den Startlöchern. Zur Familie der MyDoom-Viren zählen heute bereits mehr als 30 Varianten.

Unangefochten die Nummer 1

Der sich massenhaft replizierende Wurm wurde auch über die Internet-Tauschbörse KaZaA verbreitet und war darüber hinaus in der Lage, E-Mail-Adressen zu erraten oder zu erzeugen und sich selbst an diese zu verschicken. Im Vergleich zu anderen Würmern, die sich bereits früher massenhaft verbreitet hatten, bediente sich MyDoom.A eines recht eleganten Tricks und verleitete Benutzer über subtiles Social Engineering dazu zu glauben, bei der infizierten E-Mail handele sich lediglich um eine Fehlermeldung aufgrund einer nicht zustellbaren E-Mail. Die Kombination dieser Methoden stellte sicher, dass der Wurm auch noch zwölf Monate später für den schwersten Viren-Ausbruch des Jahres 2004 verantwortlich ist.

Lektion verstanden?

Die Anzahl krimineller Handlungen in der virtuellen Welt steigt in hohem Tempo. Zugleich ist zu erwarten, dass Sicherheitsbedrohungen in zunehmendem Maße finanziell motiviert sind. Hacker versuchen zunehmend, mit ihren Aktionen das größtmögliche Schadenspotenzial sicherzustellen, was die Entwicklung von hoch entwickelter Malware und die Häufigkeit von Attacken antreibt.

MyDoom.A führte zu einem Richtungswechsel in der Virenszene und veränderte offensichtlich das primäre Ziel von Viren-Programmierern. Als Folge davon wurde es für IT-Abteilungen zu einer nervenaufreibenden und sehr herausfordernden Aufgabe, ihr Unternehmen vor den ständigen Angriffen mit Malware zu schützen - vor allem dann, wenn sie hierzu auf herkömmliche, reaktive Sicherheitslösungen setzen.

Die Sicherheitsbranche bestätigte im Jahr 2004, dass bei einer Verkürzung des kritischen Zeitfensters auf unter drei Stunden solche Mass-Mailer praktisch der Vergangenheit angehören könnten. Allerdings kann eine herkömmliche Antiviren-Software dies nicht leisten. Aus diesem Grunde sollten mehrschichtige Sicherheitslösungen mit proaktiven Viren-Erkennungstechnologien zum Einsatz kommen, um die heutzutage meist komplexen, sich schnell ausbreitenden kombinierten Bedrohungen wirkungsvoll zu bekämpfen. (MessageLabs: ma)