Web

 

Slammer lässt Antivirensoftware alt aussehen

03.02.2003

MÜNCHEN (COMPUTERWOCHE) - Eine Attacke mit einer überarbeiteten "Slammer"-Variante könnte verheerendere Folgen haben als der erste Angriff Ende Januar (Computerwoche online berichtete), glauben Sicherheitsexperten. Die jüngst aufgetretenen Internet-Würmer "Slammer" und "Sobig" zeigen die Grenzen von Antivirensoftware auf. Die herkömmliche Methode, Viren über so genannte Patterns und Signaturen zu identifizieren, funktioniert bei diesen Schädlingen nur eingeschränkt oder überhaupt nicht mehr.

Problematisch ist laut Steve Chang von Trend Micro zum einen die mittlerweile ungeheure Zahl an Viren. So prüft die Software des Herstellers verdächtige Dateien gegen 365 Patterns ab. Das führt laut Chang zu einer erheblichen Beeinträchtigung der Rechner-Performance, weswegen viele Anwender die speicherresidente Virenprüfung abschalten. Im Fall von Slammer hätte eine Signaturprüfung ohnehin nichts gebracht, sagte John Schwarz, President von Symantec. Da sich der Wurm vollständig in den Arbeitsspeicher einnistet und keinerlei Spuren auf der Festplatte hinterlässt, wirken laut Schwarz nur heuristische Suchmethoden oder spezielle Intrusion-Detection-Systeme (IDS). Sie hätten den durch Slammer ausgelösten ungewöhnlichen Datenverkehr auf dem betroffenen Port 1434 festgestellt. Heuristische Methoden sind laut Chang jedoch nicht zuverlässig.

Sie spürten maximal 80 Prozent bekannter Viren auf. Außerdem produzieren Heuristiken überdurchschnittlich viele Fehlalarme, was Anwender verärgere und verunsichere.

Um die Sicherheit zu verbessern, müsse man jedes am Netz angeschlossene Gerät mit lokalen Antivirus-, Firewall- und IDS-Funktionen ausrüsten, meint Schwarz. Das Beispiel Slammer zeige auch, dass es unerlässlich sei, regelmäßig die Patches der Hersteller einzuspielen. Dies ist jedoch nicht unproblematisch, berichten Anwender. Der betreffende SQL-Server-Patch sei schwierig zu installieren. Um ein laufendes System aufzurüsten, müsse man mindestens sechs Arbeitsstunden veranschlagen.

Kritik wurde unterdessen am NIPC (National Infrastructure Protection Center) laut, das in die 2002 gegründete US-Sicherheitsbehörde Homeland Security eingegliedert wurde. Das Center habe zu spät über die Bedrohung informiert. Laut Marcus Sachs vom Büro für Internet-Sicherheit im Weißen Haus hat es Koordinationsprobleme gegeben. Er erwartet, dass diese gelöst werden, wenn das NIPC besser mit Homeland Security verzahnt wird.

Experten gehen davon aus, dass in nächster Zeit weitere Slammer-Varianten auftreten. Dabei könnten beliebige Schadroutinen direkt in Protokollpakete geschrieben werden, die sich im Hauptspeicher betroffener Rechner einnisten. Denkbar sind die unterschiedlichsten Schadenswirkungen, vom Lahmlegen diverser Peripheriegeräte wie Drucker bis hin zum Löschen kompletter Datenbanken, so die Spezialisten. (lex)