09.01.2008, 08:29 Uhr
Storm-Worm erhält gefährliche Konkurrenz
Sicherheitsexperten haben einen Newcomer in der Malware-Szene entdeckt, der dem berühmt-berüchtigten Storm-Worm den Rang ablaufen könnte.
Der erstmals vor zwei Jahren gesichtete Wurm ,,Nugache" war laut Paul Henry, Vice President of Technology Evangelism bei Secure Computing, zunächst auf das Zusammenspiel mit Chat-Protokollen ausgelegt und hatte sich als solcher nicht stark verbreitet. Mittlerweile sollen Hacker dem Schädling jedoch eine Art Face-Lifting verpasst und ihn im vergangenen Monat um diverse Erfolgsmerkmale des Sturm-Wurms - darunter Verschlüsselung und ein Rootkit - aufgerüstet haben. Gemäss Henry kann sich Nugache nun selbst verschlüsseln. Ausserdem sei jede Version etwas anders gestaltet, was seine Entdeckung erschwere.
Auch Nugache wird nun via Peer-to-Peer kontrolliert. Eine dezentralisierte Command-and-Control-Struktur soll es erschweren, das Bot-Netz ausser Gefecht zu setzen, das der Schädling aus infizierten PCs konstruieren kann. Bot-Netze werden unter anderem zum Versenden von Spam über die gekaperten Rechner verwendet. Das aufkommende Nugache-Botnet scheint dem Sturm-Botnet bereits Konkurrenz zu machen. Laut Henry schafft es eine Handelsbasis für Spam. So würden online mittlerweile eine Million Spam-Nachrichten für nur 100 Dollar angeboten. Niedrige Preise wie diese führt der Sicherheitsexperte primär auf das Aufkommen des neuen Schädlings zurück.
Unternehmen und Verbraucher müssten sich bewusst sein, dass Nugache ihre Rechner über mehrere Wege kompromittieren kann - speziell durch Drive-by-Downloads über präparierte Web-Seiten. Laut Henry verbreitet sich der Wurm unter anderem über bösartige URLs in Blogs. Hierbei sorgt dem Experten zufolge ein Programm namens "Xrunner" aus dem Black-Hat-Umfeld für die automatisierte Einbettung von URLs zu Malware-Sites für Drive-by-Hacking. Häufig werde dieser Kniff in Kombination mit gefälschten Video-Codecs genutzt, um Anwender zum Download des Nugache-Schädlings zu bewegen, so Henry.
Laut Henry manipulieren Hacker-Banden wie das Russian Business Network mittlerweile auch Googles Rating-System, um der Malware zu grösserer Verbreitung zu verhelfen. Hierzu erstellten sie Blog-Einträge, in die sie Hunderte Schlüsselwörter sowie Verweise auf andere Postings einbetteten, um ihre Beiträge auf der Liste der Suchmaschinenergebnisse künstlich nach oben zu treiben.
Da der aufpolierte Nugache-Schädling signaturbasierende Malware-Erkennung umgeht, sollten sich Massnahmen zur Abwehr des aufstrebenden Botnet-Wurms laut Secure Computing verstärkt auf dessen bösartige Scripting-Fähigkeiten konzentrieren.