Attacke auf SCO-Site erfolgreich

Mydoom: Plage, aber keine Katastrophe

06.02.2004
MÜNCHEN (ave) - Schneller als alle bisherigen Viren pflanzt sich der Mydoom-Wurm im Internet fort. Inzwischen ist bereits eine erste Variante im Umlauf. Der Anbieter SCO reagierte nach einem schweren Angriff auf seine Homepage, indem er seine Web-Präsenz auf eine andere IP-Adresse verlegte.

Als "Turbo-Wurm" bezeichnet der Anbieter Message Labs Mydoom.A: Nach Angaben des Content-Security-Spezialisten hat sich der Schädling seit seinem ersten Auftreten am 26. Januar bereits über 8,7 Millionen Mal weiterverschickt. Damit stellt der Massen-Mailer, der sich zudem auch über die Internet-Tauschbörse Kazaa verbreitet, Vorgänger wie Blaster oder Sobig in den Schatten.

Nachfolger greift Microsoft an

Inzwischen ist bereits eine erste Mydoom-Variante aufgetaucht. Das Schadenspotenzial ist ähnlich dem des Vorgängers: Mydoom.B versucht sämtliche Mail-Adressen auf dem befallenen Rechner aufzuspüren und sich an diese zu versenden. Außerdem werden eine Hintertür und ein Programm installiert, das jegliche Tastatureingaben protokolliert. Zusätzlich versucht der Wurm, den infizierten Rechner daran zu hindern, auf Sites von Antivirenspezialisten zuzugreifen. Und während Mydoom.A eine Distributed-Denial-of-Service-(DDoS-)Attacke auf die Website von SCO Systems startete, nimmt sein Nachfolger die Homepage von Microsoft ins Visier.

Ursprüngliche Befürchtungen, die B-Variante könne noch schlimmer sein als das Original, scheinen indes unbegründet. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) mitteilt, ist die B-Variante des Wurms "weder in Deutschland noch weltweit besonders stark verbreitet". Von Mydoom.A sind in erster Linie die USA betroffen, Angaben des Virenspezialisten McAfee zufolge befinden sich nur 14 Prozent aller infizierten Rechner in Europa.

Der Autor des Mydoom-Wurms hat sein Ziel erreicht, die Website von SCO mit einer DDoS-Attacke lahm zu legen. Wie erwartet, begannen die Angriffe am frühen Morgen des 1. Februar. Kurz darauf machten zahllose von Mydoom-infizierten Rechnern gesendete Anfragen ein Erreichen von www.sco.com unmöglich, auch www.caldera.com war nicht verfügbar - beide Sites teilten sich die gleiche IP-Adresse (216.250.128.12). SCO bestätigte die Attacken. Hintergrund der Angriffe auf SCO dürfte dessen Kreuzzug gegen die Linux-Welt sein. SCO hatte IBM und andere Anbieter verklagt, weil sie angeblich widerrechtlich geschützten Linux-Code an die Linux-Gemeinde weitergegeben haben. Auch Anwender des freien BS sind von SCO bedroht.

Der Hersteller reagierte, indem er den entsprechenden Eintrag aus dem Domain Name System (DNS) entfernen ließ, woraufhin viele der Anfragen ins Leere liefen. Zumindest die Startseite des Unternehmens war danach unter der geänderten Adresse www2.sco.com zu erreichen. Schon gegen Ende Januar war die SCO-Homepage spürbar langsamer geworden, was Experten darauf zurückführten, dass PCs mit falsch eingestelltem Datum früher als andere ihre Angriffe starteten.

Schätzungen zufolge könnten weltweit zwischen 500000 und eine Million Rechner mit dem Mydoom-Wurm verseucht sein. Davon sollen sich jedoch "nur" zwischen 25000 und 50000 an dem Angriff beteiligen, der noch bis zum 12. Februar fortdauern soll. Obwohl Mydooms SCO-Anschlag zu den größten bisher registrierten DDoS-Attacken gehört, rechnet Craig Schmugar, Antivirenforscher bei McAfee, mit keinen größeren Beeinträchtigungen für Internet-Benutzer. Das bestätigen Untersuchungen des englischen Internet-Dienstleisters Netcraft (www.netcraft.com), der Performance-Werte im weltweiten Datennetz misst. Den Spezialisten zufolge waren die Bedingungen im Internet trotz der SCO-Attacken "sehr annehmbar".