Der Storm Worm bildet inzwischen das größte globale Botnetz aller Zeiten mit 1,8 Millionen kompromittierten Maschinen. Peter Gutman (ja, der mit der Vista-Kritik) hat errechnet, dass die Leistung des Botnetzes locker die der größten Supercomputer übertrifft.
Bruce Schneier hat eine Analyse des Storm Worm zusammengefasst. Er spricht von der Zukunft des Schadcodes.
- Der Wurm ist geduldig. Er greift nicht permanent an sondern führt einige Angriffe durch und versteckt sich dann wieder um nicht erkannt zu werden.
- Der Wurm verwendet Aufgabenteilung wie in einem Ameisenhaufen. Einige Instanzen verbreiten den Wurm weiter, andere dienen als Kontrollzentren, die restlichen warten auf Anweisung. Dadurch wird der Wurm immun gegen das Abschalten einzelner Systeme.
- Storm verursacht keine spürbaren Schäden an komprimittierten Systemen. Die Anwender merken keine Änderung im Verhalten, das einen Administrator alarmieren könnte.
- Der Storm Wurm verwendet zur Kommunikation Peer-to-Peer Funktionen statt eines zentralen Servers. Auch dadurch wird es fast unmöglich, den Wurm auszuschalten.
- Die Kontrollsysteme sind nicht nur durch Peer-to-Peer Techniken geschützt, sie verstecken sich auch im DNS durch „Fast Flux“, d.h. ständig wechselnde DNS-Einträge.
- Die Schadroutinen von Storm verändern sich durch Code-Morphing automatisch, was eine Erkennung durch Virenscanner erschwert, da feste Signaturen nicht verwendet werden können.
- Die Verbreitungsverfahren des Wurms werden auch ständig angepaßt. Per Mail, als Einladung zu einer Webseite, über Lücken im Browser … sobald eine Lücke geschlossen wird, greift der Wurm auf eine andere zu.
- Die zur Verbreitung verwendeten E-Mails, sowohl Subject als auch Inhalt werden ständig an aktuelle Ereignisse angepasst. Wenn die NFL eröffnet werden Tickets angeboten, bei schweren Stürmen Wetterinformationen, etc.
- Der Wurm greift gezielt Anti-Spam-Seiten an, die seine Verbreitung behindern sowie Forscher, die ihn analysieren. Damit soll das Wissen über den Wurm beschränkt werden, um die Ausbreitung nicht weiter zu gefährden.
Eigentlich bestätigt das nur, was ich seit geraumer Zeit in meinen Vorträgen erzähle. Schadprogramme werden von organisierten Banden geschrieben und nicht mehr von gelangweilten Jugendlichen im elterlichen Kinderzimmer.
Nur F-Secure ist anderer Meinung.