von Alexander Gostev, Senior Viren Analytiker, Kaspersky Lab
Warum verzeichnen wir bereits über ein Jahr keine großen Mailwurm-Epidemien mehr? Was versteckt sich hinter den heutigen Würmern für ISQ-, AOL- und MSN-Messenger? Wodurch ist das qualitative und quantitative Anwachsen von Phishing-Attacken bedingt? Was hat sich seit der Veröffentlichung von Service Pack 2 für Windows XP verändert? Was ist Adware und Spyware, und warum wird in der letzten Zeit so viel darüber gesprochen? Die Quartalsanalyse von Kaspersky Lab liefert hier einige Antworten.
Instant Messenger Würmer
IM-Würmer sind Instant Messenger Würmer, die sich über Instant Messenger-Netzwerke verbreiten. Die bekannten Computerwürmer dieses Typs nutzen als einzigen Weg zu ihrer Selbstverbreitung Mitteilungen, die an Kontakte der Instant Messenger-Kontaktlisten versandt werden. Diese enthalten eine URL auf eine Datei, die sich auf einem beliebigen Webserver befindet.
Bemerkenswert für die Computer-Virologie im 1. Quartal 2005 ist das Auftauchen einer Vielzahl von Würmern, die zu ihrer Verbreitung die bekannten Netzwerke für das Versenden von Sofortnachrichten nutzten - die MSN- und AOL Messenger.
Wenn man die bisher im Jahr 2005 gefundenen IM-Würmer analysiert und die Daten in einer Tabelle auflistet, kann man einige wesentliche Schlüsse ziehen, die zu verstehen helfen, wie diese Klasse Schadprogramme tatsächlich agiert.
Aus der Tabelle ist ersichtlich, dass die Mehrheit der Würmer für ihre Verbreitung den MSN-Messenger benutzt, der in den USA sehr populär ist, in Russland zum Beispiel jedoch kaum eingesetzt wird. Alle Würmer (mit einer Ausnahme) sind in der Programmiersprache Visual Basic (VB) geschrieben.
Dies legt die Annahme nahe, dass wir derzeit die erste Entwicklungsphase dieser Klasse Schadprogramme beobachten. Die Verwendung von VB lässt auf geringe Programmier-Erfahrung der Wurmautoren schließen: die Sprache ist einfach zu erlernen, und ist nicht geeignet zum Erstellen von komplexen Programmen: Die ausführbaren Dateien wären viel zu groß und würden die Arbeitsgeschwindigkeit des Wurmes stark verringern.
Die deutliche Ausrichtung auf den MSN-Messenger zeugt davon, dass praktisch alle Würmer ähnlicher Machart nach dem Muster früherer Exemplare erstellt worden sind. Diese Schlussfolgerung wird durch eine umfangreiche Analyse des Codes der IM-Würmer durch das Virenlabor bei Kaspersky Lab bekräftigt.
Nachgewiesen ist, dass die Quellcodes einiger IM-Würmer teilweise im elektronischen Schriftverkehr der Virenschreiber veröffentlicht wurden. Genau diese Quellcodes waren die Grundlage für die meisten der später entdeckten IM-Würmer. Man kann mit 100prozentiger Sicherheit davon ausgehen, dass sich mit dem Entstehen dieser Klasse Viren gegenwärtig ausschließlich unerfahrene Programmierer beschäftigen (sogenannte Script Kiddies).
Diese Situation ist eine Wiederholung der Entstehungs- und Entwicklungsgeschichte der P2P-Würmer der Jahre 2003/2004. Zu Beginn ihrer Entwicklung waren die P2P-Würmer in der Programmiersprache Visual Basic geschrieben und nutzten zu ihrer Selbstverbreitung nur einen bekannten P2P-Client: Kazaa.