Witty als Vorbote weiteren Übels?

Sicherheitsexperte befürchtet noch bösartigere Würmer

11.06.2004
MÜNCHEN (CW) - Bruce Schneier, Gründer und Chief Technical Officer (CTO) von Counterpane Internet Security, warnt vor einer neuen Generation äußerst zerstörerischer Malware. Er glaubt, dass demnächst nach dem Vorbild des Wurms "Witty" weitere Schädlinge folgen werden, die sich schnell verbreiten und infizierte Rechner zerstören.

Witty sorgte Ende März für einiges Aufsehen, obwohl sich der von ihm angerichtete Schaden in Grenzen hielt: Der Schädling infizierte weltweit etwa 12 000 Systeme, vor allem innerhalb von Unternehmen. Er verbreitete sich dabei jedoch anders als viele seiner Artgenossen nicht über E-Mail, sondern nutzte das User Datagram Protocol (UDP). Dabei war er in mehrfacher Hinsicht einzigartig.

Bereits knapp 36 Stunden nach der Veröffentlichung einer Schwachstelle in den Sicherheitsprodukten "Realsecure" und "Black Ice" des Herstellers Internet Security Systems (ISS) (http://www.iss.net/) griff Witty Maschinen an, auf denen diese spezielle Software lief. Die Verbreitung ging von einem Verbund von etwa 100 Computer-Bots (im Vorfeld gekaperte und mit einer speziellen Software ausgestattete Rechner) aus, eine laut Schneier "bis dahin zwar oft diskutierte, aber in dieser Form noch nicht in der Praxis angewandte Technik". Innerhalb von nur 45 Minuten erreichte Witty die verwundbaren Systeme und begann sein zerstörerisches Werk, indem er Daten auf verfügbaren Festplatten in zufälligen, 64 KB großen Blöcken löschte.

"Dies ist der erste Wurm, der ein derart hohes Maß an Können mit einem enormen Maß an Boshaftigkeit vereint", stellt Schneier fest, demzufolge es sich bei dem Witty-Autoren um einen "intelligenten und erfahrenen Programmierer" handeln muss. Der Wurm-Code habe keine Fehler beinhaltet, was darauf schließen lasse, dass vor der Freisetzung Tests stattgefunden haben. Vielleicht sei der eigentliche Wurm schon fertig gewesen, als die Schwachstelle auftauchte, so dass sie der Virenschreiber nur noch einbauen musste.

"Hätte Witty eine Sicherheitslücke in Windows benutzt, hätte er mehr Schaden angerichtet als jeder andere Wurm", gibt Schneier zu bedenken, für den mit diesem Ereignis daher ein neues Malware-Kapitels begonnen hat: "Virenschreiber lernen voneinander, und wir müssen davon ausgehen, dass Teile des Witty-Codes in anderen Würmern auftauchen werden." (ave)