Cyber-War :-)
Verfasst: Fr 5. Mär 2004, 08:11
MyDoom gegen Netsky gegen Bagle
Krieg der Würmer
Es begann mit einer der schlimmsten Virenattacken seit "I Love You": Am 26. Januar ging MyDoom um die Welt. So etwas verursacht Schäden - und es macht neidisch: Schnell versuchten Konkurrenten, den Virenautor zu übertreffen. Längst wächst sich der "Wettbewerb" zu einem wahren Viren-Krieg aus.
Virenszene: Auf dem Weg vom Cyber-Vandalismus zur Cyber-Mafia?
Die Vandalen sind wieder am Werk. Seit etwas mehr als einem Monat schaukelt sich der Konflikt zwischen einigen Virenautoren zu einem "Cyber-Krieg" hoch, bei dem die Rechner der ganz normalen Internet-Nutzer in aller Welt nicht mehr als Kollateralschäden sind.
Begonnen hatte die derzeitige Virenwelle, in deren Verlauf man alle paar Stunden vor neuen Schädlingen warnen könnte, mit der Attacke von MyDoom.A, die als "erfolgreichste" Virenattacke seit "I Love You" gilt. Das rief Neider auf den Plan: Zuerst kamen die Trittbrettfahrer, dann die Konkurrenten, die noch eins draufsetzen wollten, um sich so zu profilieren. Schließlich begannen diese, sich auch noch gegenseitig zu bekriegen.
Das ganze Ausmaß dieses sich zunehmend hochschaukelnden Konflikts begreift man am ehesten, wenn man sich die Chronik der MyDoom-Viren betrachtet - und die der mit diesem "Auslöser" verbundenen Würmer und Viren:
26. Januar: Ein noch immer unbekannter Autor setzt MyDoom.A in Umlauf
30. Januar: MyDoom.B wird "veröffentlicht"
6. Februar: MyDoom.dam folgt
9. Februar: Doomjuice.A versucht, die durch MyDoom geöffneten System-Backdoors für sich zu nutzen
11. Februar: Doomjuice.B folgt
12. Februar: Nachi.B tritt auf und versucht, eine eigene Attacke zu fahren und gleichzeitig die Auswirkungen von MyDoom zu bekämpfen. Doomhunter.A versucht dasselbe
15. Februar: Nachi.B folgt
16. Februar: MyDoom.E startet seine Attacke, Netsky.A tritt als "MyDoom-Jäger" auf den Plan
17. Februar: Bagle.B nimmt sich MyDoom vor, startet eigene Attacke
18. Februar: Netsky.B tritt auf den Plan und Jagd MyDoom
20. Februar: MyDoom.F macht die Runde
23. Februar: Nachi.D hält dagegen
24. Februar: Netsky.C taucht auf
27. Februar: Bagle.C kommt in Umlauf, doch das ist erst der Anfang, denn am
28. Februar lässt der MyDoom-Hasser gleich eine ganze Salve von Viren-Versionen auf das Internet los: An einem Tag erscheinen Bagle.D, Bagle.E und Bagle.F. Es zeichnet sich ab, dass der Bagle-Autor es nicht nur auf den von MyDoom abgesehen hat, sondern auch auf Netsky
29. Februar: Bagle.G zeigt, dass dem Autoren die Puste noch nicht ausgeht
1. März: Bagle.H und Bagle.I erscheinen, Netsky.D und Netsky.E dokumentieren, dass auch andere noch mithalten können - und sich "wehren" gegen die Flut der Bagle-Würmer. Offenbar ist der Konflikt zu einem Wettlauf um die Krone des derzeit "erfolgreichsten" Virenautoren geworden
2. März: Jetzt hält auch der MyDoom-Autor nicht mehr still: MyDoom.G erscheint. Bagle.J liefert direkt die Antwort
3. März: MyDoom.H kommt in Umlauf, Netsky.F und Bagle.K halten dagegen - und gegeneinander
Eine Chronik des gallopierenden Wahnsinns: Vom MyDoom-Autor vermutete man relativ früh, dass er mit seinen Attacken Ziele verfolgt, die nicht nur destruktiv sind, sondern eventuell auch kommerzieller Natur. Für die Autoren der anderen Viren schien zunächst vor allem die "erfolgreiche" Konkurrenz das Ziel.
Doch das eine könnte mit dem anderen durchaus etwas zu tun haben. Noch ist die Virenschreiber-Szene zwar vor allem von oft jugendlichen Protagonisten beherrscht, denen es vor allem um die "Ehre" geht, die man mit Cyber-Vandalismus ernten kann. Zunehmend jedoch lässt sich mit Virentechnik auch Geld machen, zum Beispiel im unseligen Verbund mit der Werbemüll-Industrie.
Dass die liebe Konkurrenz nicht nur neidisch ist, sondern auch eigene Pfründe bedroht sieht, deutet sich in einer Botschaft an, die der Autor des Bagle.J-Virus im Code seines Machwerkes versteckte:
"Hey, NetSky" , steht da zu lesen, "@!#$ off you bitch, don't ruine our bussiness, wanna start a war?"
Die Antwort steht noch aus, dürfte aber kaum lang auf sich warten lassen.
Die Szene verändert sich: Kommt die "Viren-Mafia"?
Die Virenexperten von Sophos vermuten, dass es dem Autoren-Dreigestirn um den Kampf um die Kontrolle der schätzungsweise zehntausend ursprünglich durch das MyDoom-Virus "geöffneten" Rechner geht.
Graham Cluley, Chef-Virenjäger bei Sophos in England, über den sich zuspitzenden Clash zwischen den Autoren von Netsky und Bagle: "Wir glauben, beide Autoren könnten Zugang zu einem Untergrund-Netzwerk haben, das aus tausenden von befallenen Computern besteht, die dazu benutzt werden, jede neue Welle der Viren zu verbreiten."
Das würde allerdings erklären, warum es den Viren trotz ständig erfolgender Updates der Virenschutz-Software gelingt, sich weiter in so großer Zahl im Web zu verbreiten. Gedacht ist dieses Netzwerk befallener Rechner aber eigentlich für etwas ganz anderes, glauben die Experten: Zur Verbreitung von Spam - und damit kann man richtig Geld verdienen.
Frank Patalong
Krieg der Würmer
Es begann mit einer der schlimmsten Virenattacken seit "I Love You": Am 26. Januar ging MyDoom um die Welt. So etwas verursacht Schäden - und es macht neidisch: Schnell versuchten Konkurrenten, den Virenautor zu übertreffen. Längst wächst sich der "Wettbewerb" zu einem wahren Viren-Krieg aus.
Virenszene: Auf dem Weg vom Cyber-Vandalismus zur Cyber-Mafia?
Die Vandalen sind wieder am Werk. Seit etwas mehr als einem Monat schaukelt sich der Konflikt zwischen einigen Virenautoren zu einem "Cyber-Krieg" hoch, bei dem die Rechner der ganz normalen Internet-Nutzer in aller Welt nicht mehr als Kollateralschäden sind.
Begonnen hatte die derzeitige Virenwelle, in deren Verlauf man alle paar Stunden vor neuen Schädlingen warnen könnte, mit der Attacke von MyDoom.A, die als "erfolgreichste" Virenattacke seit "I Love You" gilt. Das rief Neider auf den Plan: Zuerst kamen die Trittbrettfahrer, dann die Konkurrenten, die noch eins draufsetzen wollten, um sich so zu profilieren. Schließlich begannen diese, sich auch noch gegenseitig zu bekriegen.
Das ganze Ausmaß dieses sich zunehmend hochschaukelnden Konflikts begreift man am ehesten, wenn man sich die Chronik der MyDoom-Viren betrachtet - und die der mit diesem "Auslöser" verbundenen Würmer und Viren:
26. Januar: Ein noch immer unbekannter Autor setzt MyDoom.A in Umlauf
30. Januar: MyDoom.B wird "veröffentlicht"
6. Februar: MyDoom.dam folgt
9. Februar: Doomjuice.A versucht, die durch MyDoom geöffneten System-Backdoors für sich zu nutzen
11. Februar: Doomjuice.B folgt
12. Februar: Nachi.B tritt auf und versucht, eine eigene Attacke zu fahren und gleichzeitig die Auswirkungen von MyDoom zu bekämpfen. Doomhunter.A versucht dasselbe
15. Februar: Nachi.B folgt
16. Februar: MyDoom.E startet seine Attacke, Netsky.A tritt als "MyDoom-Jäger" auf den Plan
17. Februar: Bagle.B nimmt sich MyDoom vor, startet eigene Attacke
18. Februar: Netsky.B tritt auf den Plan und Jagd MyDoom
20. Februar: MyDoom.F macht die Runde
23. Februar: Nachi.D hält dagegen
24. Februar: Netsky.C taucht auf
27. Februar: Bagle.C kommt in Umlauf, doch das ist erst der Anfang, denn am
28. Februar lässt der MyDoom-Hasser gleich eine ganze Salve von Viren-Versionen auf das Internet los: An einem Tag erscheinen Bagle.D, Bagle.E und Bagle.F. Es zeichnet sich ab, dass der Bagle-Autor es nicht nur auf den von MyDoom abgesehen hat, sondern auch auf Netsky
29. Februar: Bagle.G zeigt, dass dem Autoren die Puste noch nicht ausgeht
1. März: Bagle.H und Bagle.I erscheinen, Netsky.D und Netsky.E dokumentieren, dass auch andere noch mithalten können - und sich "wehren" gegen die Flut der Bagle-Würmer. Offenbar ist der Konflikt zu einem Wettlauf um die Krone des derzeit "erfolgreichsten" Virenautoren geworden
2. März: Jetzt hält auch der MyDoom-Autor nicht mehr still: MyDoom.G erscheint. Bagle.J liefert direkt die Antwort
3. März: MyDoom.H kommt in Umlauf, Netsky.F und Bagle.K halten dagegen - und gegeneinander
Eine Chronik des gallopierenden Wahnsinns: Vom MyDoom-Autor vermutete man relativ früh, dass er mit seinen Attacken Ziele verfolgt, die nicht nur destruktiv sind, sondern eventuell auch kommerzieller Natur. Für die Autoren der anderen Viren schien zunächst vor allem die "erfolgreiche" Konkurrenz das Ziel.
Doch das eine könnte mit dem anderen durchaus etwas zu tun haben. Noch ist die Virenschreiber-Szene zwar vor allem von oft jugendlichen Protagonisten beherrscht, denen es vor allem um die "Ehre" geht, die man mit Cyber-Vandalismus ernten kann. Zunehmend jedoch lässt sich mit Virentechnik auch Geld machen, zum Beispiel im unseligen Verbund mit der Werbemüll-Industrie.
Dass die liebe Konkurrenz nicht nur neidisch ist, sondern auch eigene Pfründe bedroht sieht, deutet sich in einer Botschaft an, die der Autor des Bagle.J-Virus im Code seines Machwerkes versteckte:
"Hey, NetSky" , steht da zu lesen, "@!#$ off you bitch, don't ruine our bussiness, wanna start a war?"
Die Antwort steht noch aus, dürfte aber kaum lang auf sich warten lassen.
Die Szene verändert sich: Kommt die "Viren-Mafia"?
Die Virenexperten von Sophos vermuten, dass es dem Autoren-Dreigestirn um den Kampf um die Kontrolle der schätzungsweise zehntausend ursprünglich durch das MyDoom-Virus "geöffneten" Rechner geht.
Graham Cluley, Chef-Virenjäger bei Sophos in England, über den sich zuspitzenden Clash zwischen den Autoren von Netsky und Bagle: "Wir glauben, beide Autoren könnten Zugang zu einem Untergrund-Netzwerk haben, das aus tausenden von befallenen Computern besteht, die dazu benutzt werden, jede neue Welle der Viren zu verbreiten."
Das würde allerdings erklären, warum es den Viren trotz ständig erfolgender Updates der Virenschutz-Software gelingt, sich weiter in so großer Zahl im Web zu verbreiten. Gedacht ist dieses Netzwerk befallener Rechner aber eigentlich für etwas ganz anderes, glauben die Experten: Zur Verbreitung von Spam - und damit kann man richtig Geld verdienen.
Frank Patalong
, ob er damit umgehen kann, ist dann meistens eine andere Frage.
, merkt der Anwender (Du) natürlich garnichts. Aber das ist ja noch nicht alles. Mit vereinten Kräften (man sagt, man könne mehr als 50000 Rechner bündeln) könnte man im besten Fall 50000 User * 128kB/s Upstream könnte man eine Gewalt über 6 Gbit/s haben. Da macht kein Netzwerk mehr was! Ganz willkürlich kann man so Leitungen per DDoS (Lastverteiltes Angriffsszenario auf einen einzigen Zugang) niedermachen. Sowas kann dann sogar als Waffe genutzt werden, um die Mafioso-Methoden mal zu erwähnen, also kann man z.B. einer grossen Firma, die ihre Zweigstellen per VPN angeschlossen haben, ihre Mails darüber austauscht und auch (und das ist das weniger Wichtige) ihre Webserver über einen Netzzugang ins Internet bereitstellt, erpressen. Man kann eine Firma damit quasi still legen. Gut, dann gibt es eben einen Backupzugang. Das mag für wechselnde IP-Adressen klappen, aber in grossen Netzen werden feste IPs gefahren und NAT macht man nicht für so viele Systeme, ausserdem müssen die VPNs oder auch Mailserver usw. feste Adressen haben, um von aussen erreichbar zu sein. Deshalb gibt es Routingprotokolle wie z.B. BGP, die dann den Routern im Internet (beim jeweiligen Provider) mitteilen, dass nun die Pakete für den IP-Bereich a bis b über die Backupleitung laufen. Und schon ist der Quark wieder da.