computerwoche.de

Security

Sicherheitsexperten rätseln über neue Malware

31.10.2006
Ein seltsames neues Programm infiziert dieser Tage Windows-PCs: Es verändert ständig seinen Code – aber noch weiß niemand, welche Schadwirkung es irgendwann entfalten wird.

Bislang stufen die einschlägigen Sicherheitsfirmen die potenzielle Malware – sie wird unter anderem als „Warezov“, „Stration“ oder „Stratio“ bezeichnet – als geringes Risiko ein. Sie räumen aber gleichzeitig ein, dass das Progrämmchen schwer zu handhaben ist.

Die rätselhafte Software verbreitet sich als Massen-Mail-Wurm weiter und ist nach der Infektion eines Rechners in der Lage, alle 30 Minuten neue Kopien seiner selbst von einer Reihe von Websites zu laden, erklärt Mikko Hypponen, Chief Research Officer bei F-Secure in Finnland. Diese neue Versionen würden von einem Programm erzeugt, dass auf einem vom Urheber der Software kontrollierten Server laufe.

Sich verändernde Malware gab es auch früher schon. Allerdings war der Code für die Veränderungen immer in der Malware selbst enthalten. Experten konnten daher mögliche Variationen vorhersehen, wenn sie den Code in Händen hatten. Bei der neuen Malware durchblicken die Experten bislang noch nicht, wie die neuen Versionen erzeugt werden, die in schneller Folge herauskommen – F-Secure allein hat schon wenigstens 150 Signaturen dafür herausgeben müssen.

„Einen solchen Angriff zu entdeckt wird sehr komplex, weil sich der Code dauernd verändert“, klagt Hypponen. Sophos hat sogar schon etwa 300 Varianten der Malware entdeckt. Security Consultant Carole Theriault sagt, sie gehöre im Oktober zu den am häufigsten in Spam-E-Mails entdeckten Schädlingen.

F-Secure bemüht sich, in Zusammenarbeit mit Internet Service Providern (ISPs), die Domains stillzulegen, von denen das seltsame Programm seine Nachkommen lädt. Neun von zehn seien bereits abgeschaltet.

Seltsam ist, dass das Programm auf infizierten Rechnern bislang eigentlich nichts weiter tut. Infiziert könnten laut Hypponen derzeit ein paar Hunderttausend PCs sein – zwar einen nennenswerte Zahl, aber noch gering im Vergleich zu einigen Malware-Katastrophen der Vergangenheit.

Hypponen mutmaßt, ein Hacker warte möglicherweise ab, bis genug Rechner befallen seien, um einen Denial-of-Service-Angriff (DoS) darüber zu fahren, oder um Spam zu versenden beziehungsweise das Netz an einen externen Spammer zu vermieten.

„Wir finden hoffentlich eines Tages heraus, warum sie das tun“, orakelt der finnische Experte. „Und wir hoffen, dass es nichts allzu Schlimmes ist.“ (tc)