Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

14.05.2004 - 

Virenschreiber identifiziert

Sasser und Phatbot - made in Germany

MÜNCHEN (CW) - Als Autor des "Sasser"-Wurms und der "Netsky"-Viren wurde ein 18-Jähriger aus Niedersachsen identifiziert. Der Urheber des Wurms "Phatbot" kommt ebenfalls aus Deutschland. Die Polizei und Microsoft konnten sich in der vergangenen Woche über zwei spektakuläre Festnahmen freuen.

Mehrere Informanten aus Niedersachsen haben Microsoft und anschließend das Landeskriminalamt auf die Spur des Sasser-Entwicklers gesetzt. Innerhalb von 48 Stunden zeichnete sich ein Tatverdacht ab, ein 18-jähriger Schüler aus einem Dorf nahe Rotenburg/Wümme wurde festgenommen. Er hat gestanden, für den Wurm Sasser verantwortlich zu sein, berichtete die Polizei. Da er erst Ende April volljährig wurde, wird sein Fall nach dem Jugendstrafrecht behandelt. Auf Computersabotage stehen Haftstrafen von bis zu fünf Jahren. Zudem können Schadensersatzforderungen gestellt werden.

Sasser hatte in den vergangenen Wochen massiv Rechner befallen - die kolportierten Zahlen gehen in die Millionen. Betroffen waren diversen Berichten zufolge die Postbank, Delta Airlines, American Express, British Airways, die britische Küstenwache sowie Goldman Sachs. Der Antivirenspezialist McAfee bezeichnet Sasser allerdings nur als Wurm mit einem "mittleren Risiko". Das Programm attackiert eine Schwachstelle im Local Security AuthoritySubsystem (LSASS) des Windows-Betriebssystems und benötigt zur Verbreitung keine E-Mail. Durch einen Buffer Overrun kann ein Angreifer damit die Kontrolle über den Computer erlangen. Allerdings zerstörte Sasser keine Dateien, sondern fuhr lediglich die befallenen Rechner herunter.

Ursprünglich als "Antivirus" konzipiert

Microsoft hat angekündigt, den Informanten 250000 Dollar aus seinem mit insgesamt fünf Millionen Dollar ausgestatteten Antivirus Reward Program zu zahlen, wenn es zu einer Verurteilung kommt. Wie viele Personen Tipps gaben, wurde nicht gesagt. Dem nach seiner Vernehmung wieder freigelassenen Niedersachsen wird auch vorgeworfen, für alle inzwischen aufgetretenen 30 Varianten des Netsky-Wurm verantwortlich zu sein. Der Schädling tauchte Mitte Februar erstmals auf und infizierte weltweit Millionen von Rechnern. Ursprünglich hatte der Berufsschüler (Wirtschaftsinformatik) damit eine Art "Antivirus" gegen Schädlinge wie Mydoom und Bagle schaffen wollen.

Ebenfalls am vergangenen Freitag war ein Verdächtiger im Raum Lörrach festgenommen worden, der den als "Superwurm" titulierten Trojaner Phatbot sowie seinen Vorläufer "Agobot" gemeinsam mit anderen Programmierern aus Niedersachsen, Hamburg und Bayern entwickelt haben soll. Phatbot ist deutlich gefährlicher als der Sasser-Wurm. Er nutzt diesen, um sich auf seinen Spuren über andere Rechner zu verbreiten. Eine direkte Verbindung zwischen den Programmierern der beiden Störprogramme sei nicht bekannt, hieß es.

Der Quellcode von Phatbot, der über ein grafisches Konfigurationsmodul verfügt, wurde über ein Web-Forum verbreitet. Der Verdächtige, der Berichten zufolge ebenfalls gestanden hat, ist 21 Jahre alt und arbeitslos. Allen Windows-Anwendern wurde wiederholt empfohlen, die aktuellen Patches, eine Firewall sowie einen Virenscanner zu installieren. Eine Garantie gegen Wurmbefall ist dies aber nicht. (ajf)