Verbreitung des Sturm-Wurms hält an

Über das Wochenende hat sich der von F-Secure so getaufte „Storm Worm“ in sechs weiteren Wellen über das Internet verbreitet. Sicherheitsexperten befürchten, dass sich viele Heimanwender mit dem Trojaner infiziert haben. E-Mails mit angeblichen wichtigen Nachrichten versuchen den Anwender zu verleiten, einen Dateianhang auszuführen.

Der Sturm-Wurm hatte ursprünglich am Donnerstag mit Details zum Sturmtief Kyrill gelockt. Über das Wochenende waren E-Mails mit Varianten des Dateianhanges und unterschiedlichen Betreffzeilen aufgetaucht. Beispielsweise versprachen die Mails Nachrichten zu einem chinesischen Raketentest oder zum angeblichen Tod von Fidel Castro.

Um den Herstellern von Antivirensoftware einen Schritt voraus zu sein, enthalten die neuen Versionen des Schädlings eine Updatefunktion. „Als sie zum ersten Mal auftauchten, waren die Trojaner für die meisten Antivirenprogramme praktisch unauffindbar“, sagte Mikko Hypponen, Leiter für Antivirus Research bei F-Secure. „Die Entwickler des Wurms haben viel Arbeit investiert und fast stündlich Updates herausgebracht.“ F-Secure erwartet, dass mehrere Hunderttausend PCs weltweit befallen sind.

Der Schädling installiert ein Rootkit, um sich selbst zu verbergen, und einen Backdoor-Trojaner, um den Rechner zum Teil eines Botnetzes zu machen. Das Botnetz unterteilt sich in viele Untereinheiten, wobei keine Untereinheit eine vollständige Liste aller beteiligten Rechner enthält. Der tatsächliche Umfang des Botnetzes lässt sich nur sehr schwer ausmachen.

Für Sophos ist der Sturm-Wurm der erste große Angriff des Jahres 2007. Das Unternehmen erwartet weitere Angriffswellen in den nächsten Tagen. Das Botnetz wird nach Einschätzung von Sophos für die Verbreitung von Spam oder Adware benutzt werden. Auch ein Verkauf an Erpresser zum Starten eines Distributed-Denial-of-Service-Angriffes sei denkbar.