Eines Nachmittags bekam Heinrich Müller (Name geändert) eine mittlere Krise. Er hatte seinen neuen Computer mit Windows XP Professional und der T-Online-Software installiert und hatte seit fünf Minuten eine DSL-Verbindung aufgebaut, als ein merkwürdiges Fenster auf seinem Bildschirm auftauchte. Der Dialog versprach ein Anti-Spyware-Programm, das zudem Viren entfernen könne. Müller wurde misstrauisch und rief die ihm bekannten IT-Sicherheitsexperten des "Team Seekuhrity". Auf ihr Geheiß trennte er die Netzverbindung. Er tat gut daran.
Problemfall Bot-Netze "Bot-Netze sind kein neues Phänomen. Sie gibt es schon einige Zeit und auch die Gefahren sind bekannt", erläutert Thorsten Holz, Mitglied des deutschen Honeynet-Projekts. Diese Organisation konfiguriert Rechner so, dass sie für Botnets anfällig sind, um so möglichst viel über solche Umtriebe zu erfahren und Methoden zum Aufspüren solcher Netze zu entwickeln. Müllers Rechner wurde von einem Wurm befallen, der eine bekannte Sicherheitslücke in Microsofts "Local Authority Subsystem Service" (kurz LSASS) ausnutzte. Der Windows-Installation fehlten das Servicepack 2 und weitere Sicherheits-Updates. Team Seekuhrity wollte den Schädling ausfindig machen und richtete auf einem eigenen PC mittels der Virtualisierungssoftware "VMware" und einem Internet-Router ein "Honeypot"-System ein. Bei einem "Honigtopf" werden die Sicherheitsmechanismen bewusst heruntergefahren, so dass Viren und Würmer leichtes Spiel haben und geradezu angelockt werden.
Nach nicht einmal drei Minuten schlug der Netzwerk-Sniffer "Ethereal" Alarm und meldete die ersten Live-Angriffe. Die VMware-Konsole informierte über ansteigende Systemlast. Im "System32"-Verzeichnis des Rechners tauchten verdächtige Dateien mit einer Dateigröße von 0 Bytes auf. Die Router-LEDs begannen wie wild zu flackern - ein Indiz für rege Kommunikation mit dem Internet. Nachdem die virtuelle Netzwerkkarte deaktiviert wurde, stoppte zwar der Datenaustausch, die Systemauslastung blieb hingegen hoch.
Systeme schützen und patchen Nutzer, die ihre Systeme weder patchen noch vor Viren und Trojanern schützen, können Opfer eines Bot-Netzes werden. Ihre Computer könnten zu Zombies mutieren, die, ferngesteuert Spam und Viren verbreiten. Zudem versuchen Bots, Passwörter zu knacken sowie Denial-of-Service-Attacken auf Web-Server zu starten. Eine Analyse der Log-Files des Sniffers deckte Charakteristiken des Wurms auf. Seine Attacken richteten sich gegen den unter der Windows-Umgebung freigegebenen Port 445. Der Schädling übertrug Shellcode und speicherte einen TFTP-Server auf dem System. Anschließend wurde die eigentliche Komponente des Wurms nachgeladen und gestartet. Abgesehen von der verwendeten IP-Adresse war das Angriffsmuster nicht ungewöhnlich, weshalb sich Team Seekuhrity den Wurm selbst genauer anschaute.
Über einschlägige Datenbanken im Internet ließ sich der Wurmtyp bestimmen. Der Name der verwendeten Executable-Datei wurde gleich von zwei großen Wurm-Familien verwendet: vom "W32/Codbot.Z" sowie von mehreren Varianten des "SDBot/Rbot". Die Dateien wurden in Textfiles ("*.txt") umbenannt, um sie mit "Wordpad" betrachten zu können. Die Datei ähnelte einer unter Windows üblichen Portable-Execution-Datei (PE); sie enthielt aber weder Zeichenketten noch Blöcke eines Binärcodes. Fazit: Die Datei wurde gepackt. Viel gravierender war jedoch, dass der Executable-Packer nicht zu erkennen war. Meist lässt sich dieser an Einträgen in der PE-Datei ausfindig machen. In vielen Fällen wird der UPX-Packer verwendet.