Der Sturmwurm - die Evolution der Malware

05.03.2008
Autor(en): MORITZ JÄGER.

Kaum ein Schadcode hat das vergangene Jahr so geprägt wie der Storm-Wurm. Wir zeigen Ihnen, was den Wurm erfolgreich macht und warum die Jagd auf ihn so schwierig ist.

Seit gut einem Jahr, Anfang 2007, steht die Anti-Viren-Industrie vor einer neuen Herausforderung, die bis heute anhält. Denn damals machte der Storm-Wurm zum ersten Mal auf sich aufmerksam, in E-Mails, die angeblich von 230 Todesopfern in Europa berichteten. In Wahrheit enthielten diese Mails nur einen Wurm mit vielen Namen. Zu den Aliasen gehören Zhelatin, Small.dam, Nuwar@MM oder Peacomm.

Kaum jemand hätte Anfang 2007 damit gerechnet, dass der Storm-Wurm die Malware-Szene so gründlich dominieren würde. Das Ganze ist für die Betreiber ein einträgliches Geschäft. Laut IBM Internet Security Systems verdienen sie täglich Millionen Dollar.

In diesem Artikel zeigen wir Ihnen, warum dieser Wurm zu Recht als Malware 2.0 bezeichnet wird, welche Techniken er anwendet und weshalb er noch lang aktiv sein wird.

Storm: Flexibel und unauffällig

Traditionell: Ältere Bot-Netze verwenden zentrale Kontroll-Server. Nimmt man diese offline ?stirbt? das Bot-Netz.

Man glaubte, dass die Zeiten der großen, weltweiten Virenausbrüche wie bei Sasser oder Slammer vorbei wären. Die Malware-Szene ist dem Script-Kiddie-Status entwachsen, jetzt geht es um Geld. Eine große Infektion passt dazu nicht, denn diese spektakulären Malware-Attacken ziehen ein weltweites Medieninteresse nach sich. Die Folge ist, dass die Lücken schnell geschlossen werden. Storm dagegen hat es geschafft, fast unbemerkt ein gigantisches Netzwerk aufzubauen. Im September 2007 wurde das Storm-Netz von der Sicherheitsfirma MessageLabs auf rund 50 Millionen befallene Computer geschätzt.

Doch wie schafft es Storm, unbemerkt so groß zu werden? Der Trick ist, dass sich die Malware wie ein Parasit verhält. Ist ein PC infiziert, nimmt Storm nur Kontakt zum nächsten Kommandoknoten auf und wartet dann ab. Auf dem befallenen Rechner richtet er weder Schaden an, noch verschwendet er unnütz Ressourcen. Der Host-Rechner ist seine Lebensgrundlage, und die schädigt er nicht. Denn je weniger Aufsehen ein Schadprogramm erregt, desto unwahrscheinlicher ist es, dass Administratoren oder Nutzer es bemerken und entfernen.

Die Malware ist zudem viel mehr als ein stupider Wurm, der sich einfach weiterverbreitet. Storm ist modular aufgebaut; einmal installiert kann der Bot über das Internet neue Komponenten und Instruktionen nachladen.

Kontrolle via P2P

Peer-to-Peer: Storm setzt beim Aufbau auf die P2P-Architektur, so dass der Ausfall einzelner Komponenten kaum ins Gewicht fällt.

Ein von Storm erstelltes Bot-Netz unterscheidet sich signifikant von den Bot-Netzen früherer Würmer. Zum Beispiel verzichtet Storm auf eine zentrale Struktur, bei der alle Bots mit einem Kontroll-Server verbunden sind. Wird dieser Server vom Netz genommen, bricht das traditionelle Bot-Netz im Normalfall zusammen.

Storm dagegen setzt auf die Peer-to-Peer-Technologie. Alle Bots sind über ein verschlüsseltes, auf dem eDonkey/Overnet-basierendem Protokoll miteinander verbunden. Die Kommandostruktur ähnelt dabei einer Ameisenkolonie. Einzelne der infizierten PCs werden zu Kommandoknoten, die die Aufträge der Bot-Netzbetreiber entgegennehmen und an die angeschlossenen Peers weiterleiten.

Fällt einer aus, kann ein anderer Client die Kontrolle übernehmen, somit wird es nahezu unmöglich, das komplette Netz zu zerstören. Interessanter Nebeneffekt: Die hoch entwickelte Funktionsweise hat dem Storm-Bot-Netz einen eigenen Wikipedia-Eintrag gebracht.