Die Geschichte von Netsky und Sasser

Die Geschichte von Netsky und Sasser

Die PC-Würmern Netsky und Sasser trieben monatelang ihr Unwesen auf privaten und kommerziellen Rechnern und richteten dabei Milliardenschäden an. Dies alles geschah keineswegs, wie zunächst vermutet durch kriminelle Machenschaften der russischen Mafia, sondern nur durch das gestörte Selbstwertgefühl des bis dahin noch völlig unbekannten und unauffälligen 17 jährigen Schülers SVEN J.
Ein Einzelgänger offenbar, dessen einziger Wunsch es war einmal ins Rampenlicht zu geraten und etwas zu leisten, worauf er sein Leben lang stolz sein konnte.Und vor allem suchte er Anerkennung durch seine Freunde. Leider hat er sich in diesem Punkt verkalkuliert,denn er wurde von einem Freund gegen ein Kopfgeld an Microsoft verraten.

1. Netsky

Am 14. Februar 2004 sitzt Sven in seinem Kellerzimmer im niedersächsischen Waffensen im Haus seiner Eltern und bearbeitet noch einmal hektisch die Tastatur seines Rechners.
Er arbeitete gerade an den letzen Feinheiten des später als NETSKY bekannten Wurmes. Sein Interesse an solchen Programmen wurde erst einen Monat zuvor im Rahmen seiner Ausbildung bei der Berufsfachschule für Informatik in Rotenburg geweckt, als er sich mit dem damals im Umlauf befindlichen Mydoom-Wurm beschäftigt. Vor allem faszinierte ihn die Tatsache, dass Mydoom sich selbst vervielfältigen und an seine Opfer versenden konnte.-Und insbesondere die Tatsache, dass ihn praktisch jeder schon nach kurzer Zeit weltweit kannte.

Schon bald entstand die Idee, einen eignen Anti-Wurm zu programmieren, der sich noch schneller verbreiten und anstatt Schaden anzurichten, Mydoom gezielt von den befallenen Rechnern entfernen sollte. Eine Idee, die im Ansatz sicher auch schon vielen anderen Usern und Programmautoren gekommen ist.
Allerdings scheitert solch ein Unterfangen bei normalen Menschen in der Regel an einem gewissen Verantwortungsgefühl und rechtlichen Grenzen, da ein sich ungefragt auf fremden Rechnern ausbreitendes und vervielfältigendes Programm grundsätzlich einen ziemlichen Einschnitt in die Rechte Dritter bedeutet und daher einen Straftatbestand darstellt. Diese Bedenken mag Sven anfangs auch gehabt haben, aber sie schwanden wohl in gleichem Maße wie seine Fortschritte beim Programmieren wuchsen und endlich war er fertig, der heißersehnte Wurm.

Leider machte er den Fehler, seine Euphorie nicht alleine auszukosten. Der bisher eher kontaktarme Sven nutzte diese Möglichkeit und prahlte damit vor einigen Mitschülern . Diese bestärkten Ihn in seinen Absichten und feuerten ihn noch an.-Plötzlich war er so etwas wie ein kleiner Star im Geheimen und das versperrte ihm wohl den Blick auf die Realität. Die Mitschüler verhielten sich alles andere als loyal.-Schon bald wußte jeder in seiner Klasse, dass er an einem Wurm arbeitet. Manche rieten Ihm sogar dazu, dem Code etwas schadenbringendes zuzufügen.-Es gab dem Kollektiv wohl eine Art Machtgefühl, sich auf diese Art irgendwie zu verewigen. Sven dagegen kam es nur auf den Wurm selbst an.-Er wollte niemand schädigen, nur einfach ein besserer Programmierer sein als die anderen Wurm-Autoren. Als einer seiner Kumpels sich zunächst beteiligen wollte, dann aber wieder absprang, weil es ihm angeblich zu schwer wurde, hätte er schon misstrauisch werden und das Projekt stoppen müssen. Denn genau dieser Kumpel war es, der ihn später gegen ein Kopfgeld von 250.000 Dollar an Microsoft verraten würde.Seine Mitarbeit hatte also vermutlich nur den Sinn Sven auszuspionieren um später Microsoft Einzelheiten und Beweise anbieten zu können.

Nach über 2000 Befehlszeilen und 3 Wochen intensivster Arbeit ist Netsky schließlich fertig. Noch ist er namenlos, aber das würde sich schon bald ändern.
Am Abend des 14.Februars, einem Samstag, sammelt Sven eine große Zahl beliebiger E-Mailadressen im Netz um schließlich die erste Wurmwelle an die ahnungslosen Opfer zu verschicken. Es entsteht eine zufällige Liste mit einigen 1000 Adressen, die er und einige Klassenkameraden in die Adressbücher der eigenen Rechner übertragen um dann den Wurm zu starten.Schon am nächsten Montag wurde klar, dass der Wurm sich über das Wochenende rasant verbreitet hatte. Eine Antivirusfirma hatte ihm den Namen Netsky gegeben, weil vermutet wurde,dass er ein Produkt russischer oder osteuropäischer Autoren wäre.

In den folgenden Wochen schreibt er noch an die 30 weitere Varianten mit immer raffinierteren E-Mailtexten, um die Empfänger zum Öffnen der verseuchten Mails zu animieren. Der Wurm verbreitet sich wie eine Lawine und löscht zum Erstaunen so mancher Experten die Würmer Mydoom und Bagle von der Festplatte der Opfer, die sich daher wohl zuweilen eher beschenkt als geschädigt vorkamen.

2. Sasser

Am 29.April 2004 wird Sven volljährig.
Schon seit Wochen schreibt er an einem neuen Wurm der über eine bestimmte Sicherheitslücke in Windows die Zielrechner infizieren soll. Den erforderlichen Remotecontrolcode zieht er sich aus dem Netz und baut ihn in den neuen Wurm ein. So entsteht Sasser, den er gleich am nächsten Abend ins Netz entlässt. Die erste Welle des Wurmes verlief jedoch im Sand und der Code verbreitete sich nicht. Statt dessen startete er die infizierten Rechner aufgrund eines Programmfehlers neu. Auch die Nachfolgeversionen sind nicht viel besser.-Zwar vermehren sich sich nun, aber den eigentlichen Fehler mit dem Neustart kann Sven dennoch nicht ausbügeln.

Stattdessen geraten die verschiedenen Sasser Versionen völlig ausser Kontrolle und richten weltweit einen Milliardenschaden an. Dies ist nun nicht mehr im Sinne von Sven, aber er kann nichts mehr tun. Der Remotecontrolcode aus dem Netz war leider fehlerhaft und fährt nun jeden infizierten Rechner herunter.Allmählich bekommt Sven es mit der Angst zu tun.-Er fühlt sich ein wenig wie der übermütige Zauberlehrling, der seine Geister die er rief nun nicht mehr im Griff hat.

Er schreibt eine letze Variante mit der Absicht weitere Opfer zu warnen. Es sollte sich ein Fesnster öffnen und auf die Microsoft Sicherheitslücke hinweisen. Als er am 5.Mai auch diese Variante ins Netz stellt, setzt zeitgleich Microsoft ein Kopfgeld von 250.000 Dollar für Hinweise auf Virenprogrammierer aus. Auch FBI und LKA sind mittlerweile hinter Sven her. Er bekommt es mit der Angst zu tun und löscht oder verschlüsselt hektisch alle Beweise auf seiner Festplatte.Nicht ohne Grund, denn sein Kumpel hat ihn bereits an Microsoft verraten. Am 7.Mai schlägt das LKA Niedersachsen schließlich zu. Mit einem Großaufgebot an Beamten und Fahrzeugen wird der Durchsuchungsbefehl ausgeführt, alle Rechner und Datenträger beschlagnahmt, und Sven anschließend stundenlang im Beisein des Microsoft Vertreters verhört.

Er ist geständig und kooperativ,verrät den Beamten sogar freiwillig das Passwort für seine verschlüsselten Dateien. Wenn der Gesamtschaden erst einmal ermittelt ist, wird eine wahre Prozessflut auf ihn zukommen. Bis dahin geht er weiter in die gleiche Klasse der Informatikfachschule, hat aber wohl kaum Chancen, später jemals als Informatiker arbeiten zu können. Der angerichtete Schaden und sein Ruf als Virenprogrammierer werden ihn ein Leben lang begleiten und jede Vertrauensbasis für einen Job in der Branche unmöglich machen.

3. Was sagt die Szene?

In den Kreisen der "ernsthaften" Virenprogrammierer (VX-er) herrscht Unruhe. Hier gilt es als hohe Kunst Viren zu schaffen, die allerdings nach dem Ehrenkodex der Programmierer nur um ihrer eigenen Existenz wegen geschaffen werden, und keinesfalls in Netz entlassen werden dürfen. Swen dagegen hat seine Schöpfungen ins Internet versendet, und somit gegen diesen Ehrenkodex verstoßen. Den anderen Autoren geht es nämlich angeblich nicht um den Schaden, den ein Virus anrichten könnte, sondern einzig und alleine um die "Schönheit des Codes" und dem Aufzeigen von Sicherheitslücken, wie sie selbst immer behaupten. Eine Behauptung allerdings, die ich recht zweifelhaft finde...Nehmen sie doch schließlich stillschweigend in Kauf, dass sog. Scriptkiddies ihre Schöpfungen aus dem Internet ziehen und nach leichten Modifikationen wieder völlig frei als Eigenschöpfung ins Web entlassen. Nun gibt es nicht nur fertige Scripts im Internet, sondern auch komplette Virenbaukästen und Tools, die Viren nach bestimmten Vorgaben vollautomatisch erstellen. Es ist also wirklich kein Kunststück, seine persönliche Profilneurose und Minderwertigkeitskomplexe mit Hilfe solcher Programme auszuleben.

4. Viren und Würmer sind Business

Swen und die anderen Scriptkiddies sind heute jedoch nur noch eine aussterbende Gattung von armen Idioten. Schon lange steckt hinter Viren und Würmern harter Business. Da sind zum Einen die Antivirenfirmen, die das mittlerweile erwachte Schutzbedürfis der User mit ihren kostenpflichtigen Programmen und Updates zur klingenden Münze machen. Vermutlich arbeiten einige der Firmen sogar verdeckt mit Virenautoren zusammen. Beweise für diese Behauptung gibt es allerdings nicht! Und andererseits gibt es unabhängig davon noch eine Art Virenmafia, die nichts anderes im Sinn hat, als mittels Trojanern und Würmern eine Armee von gekaperten Rechnern zu nutzen um über diese anonym und ungestraft Spammingmails der verschiedensten Firmen zu versenden.-Natürlich gegen entsprechende Gebühren, versteht sich. Dies betrifft Werbemails ebenso wie staatsfeindliche Propaganda oder geziehltes Ausspionieren von Kreditkartennummer etc. Die Auftraggeber zahlen gut und verstecken sich hinter den IP-Adressen der ahnungslosen Besitzer von befallenen PCs. Es gibt mittlerweile Internetbörsen mit Millionen von Adressen infizierter Rechner, die sich unter anderem auch für Schutzgelderpressungen verwenden lassen. So können etwa Firmenseiten mittels DOS Attacken und ähnlichen Operationen kurzfristig lahmgelegt und den Unternehmen im Ernstfalle mit Milliardenschäden gedroht werden, falls diese ein bestimmtes Schutzgeld nicht zahlen. In England wurden bereits diverse Online Wettbüros mit solchen Mitteln erpresst. Aber auch die systematische Erpressung von Privatleuten wäre durchaus denkbar.Wenn zum Beispiel per Virus deren vertrauliche Daten ausgespät und veröffentlicht oder gar versteckt Kinderpornografiedateien auf der Festplatte gespeichert werden, falls der Betroffene nicht zahlt. Dabei beschränkt sich diese Entwicklung keineswegs nur auf Rechner. Auch erste Handyviren wurden bereits gemeldet,die etwa in der Lage sind, sich selbst über Infrarot und Bluetooth auf anderen Systemen zu replizieren und Spamming-SMS zu verschicken.

Mein Tip:

Die beste Taktik ist demzufolge eine permanente Wachsamkeit jedes einzelnen Users.-Wer Internetanbindung und E-Mail mit seinem Rechner aktiv nutzt, der ist auch grundsätzlich gefährdet. Man sollte sich darüber im Klaren sein, dass diese Gefahr sich keineswegs nur in einzelnen Angriffswellen erschöpft, sondern vielmehr definitiv permanent vorhanden ist. Es ist daher auch unbedingt anzuraten, eine Dreierkombination aus einem guten Virenwächter, einer vernünftig konfigurierten Firewall und noch einem aktuellen 0190-er Warner ständig und via Autostart im Hintergrund laufen zu lassen.-Auch dann, wenn man gerade nicht mit dem Internet verbunden ist, denn erstens nutzen viele Eindringlinge gerade diese Phase zur Installation ihrer Dateien,- und zweitens vergisst man selbst nur allzuleicht das manuelle Starten der Schutzprogramme bevor man Online gehen möchte.

Dabei ist es von immenser Wichtigkeit, alle Schutzprogramme ein- bis zweimal pro Woche oder besser noch täglich zu Updaten! Nichts ist gefährlicher als ein falsches Gefühl von vermeintlicher Sicherheit, während sich klammheimlich im Hintergrund eifrige Programme damit beschäftigen, die bestehenden Sicherheitsmaßnahmen zu umgehen oder ganz auszuhebeln, etwa weil sie bei ihrer Einschleusung mangels aktuellster Virensignaturen nicht erkannt werden konnten.

Das verwendete Virenprogramm sollte unbedingt ein Virenwächtermodul besitzen und dennoch der Virenscanner selber einmal pro Woche zusätzlich für einen kompletten Scan aller auf den Laufwerken befindlichen Dateien und Programme genutzt werden.-Dabei ist auch die heuristische Suche zu verwenden, selbst wenn der Vorgang dann längere Zeit in Anspruch nehmen sollte. Das gleiche gilt für zusätzliche Scans nach Trojanern oder sonstiger Spyware mittels Spezialprogrammen wie Ad-Aware, und Search & Destroy, die man ebenfalls regelmässig durchführen und updaten sollte

Je nach Bedarf kann man im Falle einer aktiven Internetverbindung dann auch noch einige nützliche Zusatztools verwenden, etwa um zu große Grafiken, lästige Pop Up Fenster oder bedenkliche Aktive-X Controls zu deaktivieren. Zu empfehlen ist der Webwasher welcher sich auch als Proxyserver konfigurieren lässt und somit sehr viele Informationen verschleiert, oder ganz zurückhält, die der eigene Browser üblicherweise klammheimlich und im Hintergrund an die gerade betrachteten Webseiten vermittelt.-Zwar sind dies in der Regel nur Daten für statistische Erhebungen, aber man kann nie vorsichtig genug sein.

Webwasher ist Freeware und entweder über Internet oder auch durch Beilagen-CD's vieler Computerzeitschriften erhältlich. Webwasher sollte allerdings nur bei Bedarf verwendet und keinesfalls per Autostart verwendet werden, weil er auch auf seriösen Seiten teilweise ganze Grafiken und Animationen ausblendet, die weder eine Gefahr noch eine Belästigung darstellen und damit die Seiten teilweise recht heftig verstümmeln kann. Als Beispiel verweise ich auf meine eigene Startseite, deren großes Logo in der Mitte ebenfalls unterdrückt wird und deren kleines Logo in der Navigationsleiste nicht mehr animiert ist.

DER TECHNODOCTOR


Aktuelles		ARCHIV		Viren&Würmer 1		Security 5		Startseite