Gefahren 2004: Gemeine Tricks und Würmer

Laut Kaspersky Lab sind 2003 neun große Epidemien registriert worden, zudem 26 von geringerer Bedeutung mit vorwiegend lokalem Charakter. Diese Zahlen liegen erfreulicherweise hinter den Ergebnissen des Vorjahres (zwölf beziehungsweise 34) zurück. Allerdings stehe dem zahlenmäßigen Rückgang der Epidemien ein gleichzeitig starker Anstieg in den Ausmaßen und ‚Nebenwirkungen‘ (Payloads) gegenüber. Dies wirke sich zunehmend auf die Funktionsfähigkeit des gesamten Internet aus.

2003 haben die beiden größten globalen Epidemien in der Geschichte des Internet gewütet. Sie wurden nicht von klassischen E-Mail-Würmern hervorgerufen, sondern von ihren Modifikationen im Internet, das heißt von Würmern, die sich als Daten-Pakete direkt übers Internet verbreiten.

Den Anfang machte am 25. Januar der Internet-Wurm Slammer beziehungsweise Helkern, der für seine Verbreitung eine Schwachstelle im Administrationssystem der Datenbanken des Microsoft SQL-Servers benutzte. Slammer wurde zum ersten dateilosen Internet-Wurm, der in vollem Ausmaß die 2001 beschriebene Technologie der Flash-Würmer umsetzen konnte. Innerhalb weniger Minuten infizierte er am 25. Januar 2003 hunderttausende von Computern weltweit und schaffte es, den Internet-Verkehr so zu vergrößern, dass er den Ausfall einiger regionaler Segmente verursachte. Kaspersky beruft sich auf Angaben aus Fachkreisen und geht von einer Zunahme des Internet-Verkehrs durch Slammer von 40 bis 80 Prozent in verschiedenen Segmenten des Internet aus. Der Wurm attackierte die Rechner über die Ports 1433 sowie 1434 und erstellte keine Dateien von sich auf der Festplatte, sondern blieb nur im Arbeitsspeicher. Eine Analyse des Epidemieverlaufs ließ auf eine ostasiatische Herkunft schließen.

Die zweite, nicht weniger verheerende Epidemie, wurde vom Lovesan- beziehungsweise Blaster-Wurm verursacht. Dieser tauchte am 12. August auf und führte der ganzen Welt vor Augen, wie verwundbar das populäre Betriebssystem Windows ist. Wie Slammer benutzte auch Lovesan eine Lücke im Sicherheitssystem der Microsoft-Software für seine Verbreitung. Der Unterschied bestand darin, dass Lovesan eine Schwachstelle im RPC DCOM-Dienst nutzte, welcher auf jedem Rechner war, der unter Windows 2000/XP läuft. Das führte dazu, dass praktisch jeder Anwender, der in den Tagen der Epidemie online ging, der Attacke durch den Wurm ausgesetzt war. Wenige Tage nach dem ersten Erscheinen von Lovesan wurden drei Modifikationen des Wurms entdeckt. Kurz darauf verursachte ein Gegen-Wurm eine weitere Epidemie im Internet: Er benutzte dieselbe Schwachstelle im Sicherheitssystem von Windows. Doch im Gegensatz zum ‚Original‘ entfernte der Wurm Kopien von Lovesan und versuchte, den Patch für den RPC DCOM-Dienst zu installieren.