Conficker, Facebookwürmer und der erste Wurm für mobile Endgeräte

Am 1. April hat Conficker seine Funktionsweise geändert und es damit wieder in die Schlagzeilen geschafft

(09.04.09) - Schadsoftware in Form von Würmern waren nach Angaben von F-Secure in den letzten drei Monaten die größte Gefahr für die PC-Sicherheit in den ersten drei Monaten des Jahres. Einer stahl jedoch allen die Show: Conficker, auch bekannt als Downadup, machte durch seine enorme Verbreitung besondere Schlagzeilen. Dieser klassische Wurm nutzt Microsoft Windows-Schwach-stellen auf eine Weise, wie das schon seit Jahren nicht mehr passiert ist. Conficker nutzt dabei einige raffinierte Features, wie etwa komplexe Verschlüsselung, die Fähigkeit sich selbst zu konvertieren und zu aktualisieren und Peer-to-Peer-Funktionen. Damit können die infizierten Rechner untereinander kommunizieren, ohne dass ein Server nötig ist.

Mikko Hyppönen, Chief Research Officer bei F-Secure, kommentiert das Phänomen so: "Die Programmierer hinter dem Wurm sind extrem professionell. Sie haben Millionen Rechner infiziert und können damit alles Mögliche anstellen. Die große Frage ist nur, warum sie es nicht schon längst getan haben. Bisher jedenfalls noch nicht."

Am 1. April hat Conficker seine Funktionsweise geändert und es damit wieder in die Schlagzeilen geschafft. Die Cyberkriminellen hinter dem Wurm nehmen immer wieder Einfluss auf das Bot-Netz – das Rätselraten geht somit weiter.

Social Networks im Visier der Cyberkriminellen

Inzwischen sind einige Würmer ausschließlich auf Social Networks spezialisiert. Die aktuelle Version des Koobface-Wurms breitet sich beispielsweise über Facebook aus und hat es auf die Zugangsdaten der Nutzer abgesehen. Sobald der Wurm die Daten kopiert hat, loggt er sich damit ein und stiehlt Fotos sowie die E-Mail-Adressen der Freunde des betroffenen Nutzers. Mit den Facebook-Fotos legt der Wurm wiederum eine gefälschte YouTube-Seite an und schickt daraufhin den Freunden des Opfers eine E-Mail mit der Nachricht, sie seien auf einem YouTube-Video entdeckt wurden.

"Wenn Nutzer eine Nachricht von ihren Freunden in Facebook bekommen, gehen sie davon aus, dass die Mail vertrauenswürdig ist. Wenn die Anwender einem vermeintlich witzigen Link folgen und dann der Aufforderung nachkommen ihren Videoplayer zu aktualisieren, sind sie schon in die Falle getappt", erklärt Hyppönen die Masche der Cyberkriminellen.

SMS-Wurm für Smartphones

Die ersten drei Monate 2009 waren jedoch noch in anderer Hinsicht bemerkenswert: Die Viren-forscher entdeckten den ersten SMS-Wurm für Smartphones, der den bezeichnenden Namen Sexy View trägt. Ähnlich wie Koobface ist Sexy View ein so genannter Social Engeneering-Wurm, der sich über die auf dem Smartphone gespeicherten Kontakte verbreitet. Der Wurm sendet dazu eine Nachricht an die Kontakte des Opfers. Das Angebot in dieser SMS ist im wahrsten Sinne des Wortes verlockend: Den Empfängern werden sexy Bilder versprochen und ein entsprechender Link dazu geschickt.

Einige Empfänger folgen dem Link, weil die Nachricht von einer vertrauenswürdigen Person kommt. Sie werden daraufhin aufgefordert eine Anwendung zu installieren, die den Wurm wiederum an alle Kontakte des neuen Opfers verschickt. Ist der Wurm erst mal auf dem Smartphone, schickt er Informationen über das Gerät zu seinen Urhebern, die diese Daten nutzen, um beispielsweise Spam per SMS zu verschicken.

"Sexy View ist in vielerlei Hinsicht bedeutsam", erklärt Hyppönen. "Es ist der erste Wurm überhaupt, der sich über eine Textnachricht verbreitet. Außerdem ist es der erste Wurm, der die Signaturprüfung umgeht, die das Smartphone eigentlich schützen soll. Das Motiv der Cyberkrimi-nellen hinter dieser Schadsoftware besteht offenbar darin, Daten für Handy-Spam-Aktionen zu sammeln. Handy-Spam ist in einigen Ländern bereits ein großes Problem und wird zukünftig vielleicht auch im Rest der Welt ein wichtiges Thema." (F-Secure: ra)