2003 fanden zwei Attacken weltweiten Ausmaßes auf das Internet statt, die in der Geschichte ihres Gleichen suchen. Die Grundlage für diese Angriffe wurde von dem Internetwurm Slammer gelegt, der eine Sicherheitslücke im MS SQL-Server nutzte, um sich auszubreiten. Slammer war der erste klassische dateilose Virus, der demonstrierte, dass ein Flash-Wurm tatsächlich die Möglichkeiten hat, die ihm schon einige Jahre vorher prophezeit worden waren.
Am 25. Januar infizierte dieser Wurm innerhalb weniger Minuten Hunderttausende von Computern auf der ganzen Welt und legte aufgrund des enorm angestiegenen Datenverkehrs mehrere nationale Internetsegmente komplett lahm. Fachleute schätzen, dass der Datenverkehr in verschiedenen Netzwerken um 40% bis 80% anstieg. Der Wurm griff die Computer über die Ports 1433 und 1434 an und kopierte sich nicht auf die Festplatte, sondern verblieb schlicht im Speicher des Computers. Nach der Ausbreitungsdynamik des Wurms zu urteilen, hatte er seinen Ursprung im Fernen Osten.
Die zweite und gleichzeitig auch wichtigere Epidemie wurde von dem Wurm Lovesan ausgelöst, der im August 2003 erschien und sehr deutlich machte, wie anfällig Windows ist. Ebenso wie Slammer nutzte Lovesan eine Sicherheitslücke zur eigenen Ausbreitung, doch anders als der Erstgenannte drang Lovesan über ein DCOM-Schlupfloch in dem RPC-Dienst unter Windows 2000/XP ein. Das hatte zur Folge, dass fast jeder Internetuser von dem Wurm angegriffen wurde.
Bezüglich solcher Viren, die in neue Plattformen und Anwendungen eindringen, war das Jahr erstaunlich ruhig. Der einzige Bericht über Entdeckungen in der Wildnis kam von Kaspersky Lab und betraf MBP.Kynel. Dieser Virus infiziert MapInfo-Dokumente und ist in MapBasic verfasst. Der MBP.Kynel wurde ohne Zweifel von einem Russen geschaffen.
2003 war das Jahr der endlosen Wurm-Epidemien. Ganda und Avron wurden erstmals im Januar ausgemacht. Ganda stammt aus Schweden und ist bis heute einer der am weitesten verbreiteten E-Mail-Würmer in Skandinavien, obwohl sein Autor schon Ende März von der schwedischen Polizei festgenommen werden konnte.
Avron war der erste Wurm aus der ehemaligen UdSSR, der eine ernsthafte weltumspannende Epidemie nach sich zog. Der Quellcode des Wurms wurde ins Internet gestellt, was zu einer Reihe von weniger effektiven Avron-Versionen führte.
Ein weiteres wichtiges Ereignis des Jahres war das Erscheinen des ersten Sobig-Wurmes im Januar. Würmer dieser Familie verursachten allesamt signifikante Ausbrüche, doch die Version 'f' brach alle Rekorde und wurde so zum Netzwerk-Wurm mit der größten Ausbreitung seit Bestehen des Internet. Im August trat Sobig.f erstmals in Erscheinung und auf dem Höhepunkt der Epidemie war jede 20. E-Mail von ihm befallen. Die Autoren der Sobig-Familie zielten auf die Errichtung eines Netzes von infizierten Computern ab, um so DoS-Attacken auf willkürlich ausgewählte Computer durchführen zu können und dieses Netzwerk außerdem für Spam-Attacken zu nutzen.
Der E-Mail-Wurm Tanatos.b stellt ebenfalls eine Besonderheit in der Computervirologie dar. Die erste Tanatosversion war Mitte 2002 geschrieben worden, und die Version b erschien nur ein Jahr später. Der Wurm nutzte das wohlbekannte IFRAME-Schlupfloch in MS Outlook, um sich selbst von infizierten Nachrichten aus zu starten. Die durch Tanatos ausgelöste Epidemie steht bezüglich ihres Ausmaßes im Jahr 2003 an zweiter Position, gleich hinter der Sobig.f-Epidemie, im Laufe derer vermutlich die meisten Computer in der Geschichte überhaupt durch einen E-Mail-Wurm infiziert wurden.
Auch Würmer aus der Lentin-Familie erschienen immer wieder aufs Neue. Sie waren alle von einer Gruppe indischer Hacker verfasst worden und sind Teil des 'virtuellen Krieges' zwischen indischen und pakistanischen Hackern. Die am weitesten verbreiteten Versionen waren 'm' und 'o', die sich mittels einer ZIP-Datei ausbreiteten, die an die infizierte Nachricht angehängt wurde.
Auch die russischen Virenautoren waren unvermindert aktiv. Der zweite Wurm aus der ehemaligen UdSSR, der eine globale Epidemie auslöste, war Mimail. Der Wurm nutzte zur Aktivierung die neueste Sicherheitslücke im Internet Explorer, die es der Binärdatei des Wurms erlaubte, sich in eine HTML-Datei einzubetten und sich von dort aus auszuführen. Diese Strategie wurde erstmals im Mai 2003 in Russland eingesetzt (Trojan.Win32.StartPage.I) und darauf folgend wurde sie von den Würmern der Mimail-Familie sowie verschiedenen anderen Trojanern genutzt. Der Verfasser des Mimail-Wurms stellte den Quellcode ins Internet und legte so den Grundstein für eine Anzahl von Variationen des Wurms, die von anderen Autoren stammen.
Der September war der Monat des I-Wurms I-Worm.Swen. Er trat im Gewand eines Korrekturprogramms von Microsoft auf und infizierte Hunderttausende von Computern auf der ganzen Welt. Bis zum heutigen Tag ist er einer der am weitesten verbreiteten E-Mail-Würmer. Der Autor dieses Virus nutzte die Verunsicherung der Anwender, die nach den von Lovesan und Sobig.f verursachten Epidemien noch immer nervös waren.
Eine andere ernsthafte Epidemie wurde von Sober ausgelöst, einem relativ simplen Wurm deutschen Ursprungs, der den Spitzenreiter des Jahres, Sobig.f, imitierte.
Der 2002 begonnene Trend zum vermehrten Einsatz von Backdoor- und Spionage-Trojanern setzte sich auch im Jahr 2003 fort. In dieser Kategorie sind besonders Backdoor.Agobot und Afcore zu nennen. Nachdem der Autor der Originalversion von Agobot ein Netz von Websites und IRC-Kanälen geschaffen hatte, über das die Kunden ab einem Betrag von 150 Dollar eine ihren Wünschen entsprechende Version eines Backdoor-a erwerben konnten, waren schließlich über 40 Variationen von Agobot in Umlauf.
Afcore erfuhr zwar nicht eine solche Ausbreitung, doch um sich im System zu tarnen, bedient sich dieser Virus einer ungewöhnlichen Technik: Er platziert sich in zusätzlichen Dateien des NTFS-Systems, d.h. in den Catalogue-Streams und nicht in den File-Streams.
Ein neuer und potentiell gefährlicher Trend offenbarte sich Ende 2003, und zwar ein neuer Typ Trojanischer Pferde, TrojanProxy. Hiermit wurde der Zusammenschluss von Virenautoren und Spamversendern erstmals klar und deutlich. Versender von Spam nutzen die von diesem Trojaner-Typ infizierten Computer für ihre Zwecke, und umgekehrt zeigte sich, dass die so genannten Spammer ihren Anteil an Epidemien hatten, bei denen sich die Schadprogramme via Spam-Technologie ausbreiteten.
Internet-Würmer nahmen den zweiten Platz der Rangliste der aktivsten Schadprogramme im Jahr 2003 ein. Insbesondere sind hier I-Würmer zu nennen, die sich verbreiten, indem sie nach bestimmten Passwörtern suchen und sich dann mit entfernten Netzwerkressourcen verbinden. In der Regel basieren diese Würmer auf IRC-Clients und kopieren die Adresse der IRC-Anwender. Sie versuchen dann über das NetBIOS-Protokoll und den Port 445 in andere Computer einzudringen. Innerhalb dieser Viruskategorie ist die Familie der Randon-Internetwürmer besonders erwähnenswert.
Den ersten Platz unter den Schadprogrammen nahmen auch 2003 die Internetwürmer ein.
Gleich darauf folgten Makroviren, wie der Macro.Word97.Saver. Allerdings wurden im Herbst des Jahres die Viren von den Trojanischen Pferden überholt - ein Trend, der bis heute anhält.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt