Cyber-War :-)

[Superhobel]

MyDoom gegen Netsky gegen Bagle

Krieg der Würmer

Es begann mit einer der schlimmsten Virenattacken seit "I Love You": Am 26. Januar ging MyDoom um die Welt. So etwas verursacht Schäden - und es macht neidisch: Schnell versuchten Konkurrenten, den Virenautor zu übertreffen. Längst wächst sich der "Wettbewerb" zu einem wahren Viren-Krieg aus.

Virenszene: Auf dem Weg vom Cyber-Vandalismus zur Cyber-Mafia?
Die Vandalen sind wieder am Werk. Seit etwas mehr als einem Monat schaukelt sich der Konflikt zwischen einigen Virenautoren zu einem "Cyber-Krieg" hoch, bei dem die Rechner der ganz normalen Internet-Nutzer in aller Welt nicht mehr als Kollateralschäden sind.

Begonnen hatte die derzeitige Virenwelle, in deren Verlauf man alle paar Stunden vor neuen Schädlingen warnen könnte, mit der Attacke von MyDoom.A, die als "erfolgreichste" Virenattacke seit "I Love You" gilt. Das rief Neider auf den Plan: Zuerst kamen die Trittbrettfahrer, dann die Konkurrenten, die noch eins draufsetzen wollten, um sich so zu profilieren. Schließlich begannen diese, sich auch noch gegenseitig zu bekriegen.

Das ganze Ausmaß dieses sich zunehmend hochschaukelnden Konflikts begreift man am ehesten, wenn man sich die Chronik der MyDoom-Viren betrachtet - und die der mit diesem "Auslöser" verbundenen Würmer und Viren:


26. Januar: Ein noch immer unbekannter Autor setzt MyDoom.A in Umlauf
30. Januar: MyDoom.B wird "veröffentlicht"
6. Februar: MyDoom.dam folgt
9. Februar: Doomjuice.A versucht, die durch MyDoom geöffneten System-Backdoors für sich zu nutzen
11. Februar: Doomjuice.B folgt
12. Februar: Nachi.B tritt auf und versucht, eine eigene Attacke zu fahren und gleichzeitig die Auswirkungen von MyDoom zu bekämpfen. Doomhunter.A versucht dasselbe

15. Februar: Nachi.B folgt
16. Februar: MyDoom.E startet seine Attacke, Netsky.A tritt als "MyDoom-Jäger" auf den Plan

17. Februar: Bagle.B nimmt sich MyDoom vor, startet eigene Attacke
18. Februar: Netsky.B tritt auf den Plan und Jagd MyDoom
20. Februar: MyDoom.F macht die Runde
23. Februar: Nachi.D hält dagegen
24. Februar: Netsky.C taucht auf
27. Februar: Bagle.C kommt in Umlauf, doch das ist erst der Anfang, denn am

28. Februar lässt der MyDoom-Hasser gleich eine ganze Salve von Viren-Versionen auf das Internet los: An einem Tag erscheinen Bagle.D, Bagle.E und Bagle.F. Es zeichnet sich ab, dass der Bagle-Autor es nicht nur auf den von MyDoom abgesehen hat, sondern auch auf Netsky

29. Februar: Bagle.G zeigt, dass dem Autoren die Puste noch nicht ausgeht

1. März: Bagle.H und Bagle.I erscheinen, Netsky.D und Netsky.E dokumentieren, dass auch andere noch mithalten können - und sich "wehren" gegen die Flut der Bagle-Würmer. Offenbar ist der Konflikt zu einem Wettlauf um die Krone des derzeit "erfolgreichsten" Virenautoren geworden

2. März: Jetzt hält auch der MyDoom-Autor nicht mehr still: MyDoom.G erscheint. Bagle.J liefert direkt die Antwort

3. März: MyDoom.H kommt in Umlauf, Netsky.F und Bagle.K halten dagegen - und gegeneinander


Eine Chronik des gallopierenden Wahnsinns: Vom MyDoom-Autor vermutete man relativ früh, dass er mit seinen Attacken Ziele verfolgt, die nicht nur destruktiv sind, sondern eventuell auch kommerzieller Natur. Für die Autoren der anderen Viren schien zunächst vor allem die "erfolgreiche" Konkurrenz das Ziel.

Doch das eine könnte mit dem anderen durchaus etwas zu tun haben. Noch ist die Virenschreiber-Szene zwar vor allem von oft jugendlichen Protagonisten beherrscht, denen es vor allem um die "Ehre" geht, die man mit Cyber-Vandalismus ernten kann. Zunehmend jedoch lässt sich mit Virentechnik auch Geld machen, zum Beispiel im unseligen Verbund mit der Werbemüll-Industrie.

Dass die liebe Konkurrenz nicht nur neidisch ist, sondern auch eigene Pfründe bedroht sieht, deutet sich in einer Botschaft an, die der Autor des Bagle.J-Virus im Code seines Machwerkes versteckte:

"Hey, NetSky" , steht da zu lesen, "@!#$ off you bitch, don't ruine our bussiness, wanna start a war?"

Die Antwort steht noch aus, dürfte aber kaum lang auf sich warten lassen.

Die Szene verändert sich: Kommt die "Viren-Mafia"?

Die Virenexperten von Sophos vermuten, dass es dem Autoren-Dreigestirn um den Kampf um die Kontrolle der schätzungsweise zehntausend ursprünglich durch das MyDoom-Virus "geöffneten" Rechner geht.

Graham Cluley, Chef-Virenjäger bei Sophos in England, über den sich zuspitzenden Clash zwischen den Autoren von Netsky und Bagle: "Wir glauben, beide Autoren könnten Zugang zu einem Untergrund-Netzwerk haben, das aus tausenden von befallenen Computern besteht, die dazu benutzt werden, jede neue Welle der Viren zu verbreiten."

Das würde allerdings erklären, warum es den Viren trotz ständig erfolgender Updates der Virenschutz-Software gelingt, sich weiter in so großer Zahl im Web zu verbreiten. Gedacht ist dieses Netzwerk befallener Rechner aber eigentlich für etwas ganz anderes, glauben die Experten: Zur Verbreitung von Spam - und damit kann man richtig Geld verdienen.

Frank Patalong

[Rolf]

Was heisst schon Viren. Jeder Depp kann ein Programm schreiben (irgendeine *.exe) und es irgendwem verschicken. Ich gehe davon aus, dass auch heute noch viele eo ein Programm starten würden, selbst schuld. Oder liegt es an mangelnder Aufklärung?

Gruss,
Rolf

[Tempest]

Traue da auch eher dem Rolf seiner Theorie, wir in unserer Firma nennen's sogar "Thick user syndrome", also "doofer User Syndrom", denn heute hat ja jeder Depp einen PC , ob er damit umgehen kann, ist dann meistens eine andere Frage.

Tempest

[Scuderianer]

JAJA, Rolf hat da schon eher recht, Verschwörungsteorien tauchen überall da auf, wo man sie gern hätte.

Und die Verbreitung?? Man bedenke nur den DAU (dümmster anzunehmender User!!!)

[Rolf]

Graham Cluley, Chef-Virenjäger bei Sophos in England, über den sich zuspitzenden Clash zwischen den Autoren von Netsky und Bagle: "Wir glauben, beide Autoren könnten Zugang zu einem Untergrund-Netzwerk haben, das aus tausenden von befallenen Computern besteht, die dazu benutzt werden, jede neue Welle der Viren zu verbreiten."

Öh, warum eigentlich so vorsichtig? Natürlich haben die Zugang zum "Untergrund-Netz" -> IRC, und natürlich werden einige Viren rein aus kommerzieller Sicht erstellt. Aber das ist doch keine Mutmassung, sondern Fakt.

Ein Virenschreiber (nennen wir es Virus, Trojaner passt aber eher) verbreitet seinen Viren, die erstmal nichts machen (Drohnen). Wie damals die Module in den Linuxkernel Einzug gehalten haben, gibt es sie bei Viren auch, d.h. es gibt einen Virus, der sich einfach verbreitet und sonst nichts weiter tut. Dieser meldet sich aber hin und wieder bei der "Zentrale" und fragt nach, ob es Arbeit für ihn gibt. Wenn ja, dann wird dieser Code nachgeladen und ausgeführt. Das eignet sich hervorragend für Spam, aber auch für Mailangriffe auf einen einzelnen Server oder einfach nur für Mails, bei denen der Absender unerkannt bleiben will. Auf dem Wirtsrechner, also dem von Dir , merkt der Anwender (Du) natürlich garnichts. Aber das ist ja noch nicht alles. Mit vereinten Kräften (man sagt, man könne mehr als 50000 Rechner bündeln) könnte man im besten Fall 50000 User * 128kB/s Upstream könnte man eine Gewalt über 6 Gbit/s haben. Da macht kein Netzwerk mehr was! Ganz willkürlich kann man so Leitungen per DDoS (Lastverteiltes Angriffsszenario auf einen einzigen Zugang) niedermachen. Sowas kann dann sogar als Waffe genutzt werden, um die Mafioso-Methoden mal zu erwähnen, also kann man z.B. einer grossen Firma, die ihre Zweigstellen per VPN angeschlossen haben, ihre Mails darüber austauscht und auch (und das ist das weniger Wichtige) ihre Webserver über einen Netzzugang ins Internet bereitstellt, erpressen. Man kann eine Firma damit quasi still legen. Gut, dann gibt es eben einen Backupzugang. Das mag für wechselnde IP-Adressen klappen, aber in grossen Netzen werden feste IPs gefahren und NAT macht man nicht für so viele Systeme, ausserdem müssen die VPNs oder auch Mailserver usw. feste Adressen haben, um von aussen erreichbar zu sein. Deshalb gibt es Routingprotokolle wie z.B. BGP, die dann den Routern im Internet (beim jeweiligen Provider) mitteilen, dass nun die Pakete für den IP-Bereich a bis b über die Backupleitung laufen. Und schon ist der Quark wieder da.

Ups, das war wohl etwas ausführlich, hab mich jetzt ein wenig hinreissen lassen .

Gruss,
Rolf

[Rolf]

Achso, bevor es hier Mutmassungen gibt:

Ich bin kein Virenschreiber, sondern arbeite freiberuflich unter anderem für die WAN- und Firewall-Abteilung eines grossen Konzerns .

Gruss,
Rolf
[Edit 05.03.2004 18:54:14 Rolf]

[FF81]

Im ersten Lehrjahr lernt man als Fachinformatiker bereits wie man nen blue screen erzeugt, oder wie man ne Platte schrotten kann, ganz einfach über ne *.bat datei...
Is echt nicht schwer

[Superhobel]

@Rolf:

Ich muss gestehen, dass ich 1995-1996 zu den "bösen" Jungs gehörte :hehe: 7 Hits in die ewige Bestenliste geschossen