In den folgenden Grafiken und Beschreibungen soll einmal ein tieferer Einblick in die „Bauweise“ eines solchen Angriffs gegeben werden.
Die Grafiken sind aus Notizen zu den einzelnen Prozessen und Verbindungsachsen konstruiert und zeigen so den Verlauf der verschiedenen Prozesse
Die folgenden Malware Grafiken zeigen die Hauptvarianten der letzten Tage:
Zotob.A
http://www.pandasoftware.com/...
Zotob.B
http://www.pandasoftware.com/...
Zotob.C
http://www.pandasoftware.com/...
Zotob.D
http://www.pandasoftware.com/...
IrcBot.JZ
http://www.pandasoftware.com/...
IrcBot.KD
http://www.pandasoftware.com/...
Die Grafik zeigt das Ablaufdiagram der Prozesse eines jeden Wurms. Es entsteht ein Fingerabdruck oder eine genetische Signatur des Wurms. Durch die grafische Darstellung erhält man einen guten Einblick in die Komplexität und Machart jedes einzelnen Wurms und die Beziehungen, die sie haben können.
Im Folgenden eine detailliertere Grafik von IRCBot.KC:
http://www.pandasoftware.com/...
Der Vergleich der Grafiken zeigt, dass die Varianten A, B und C, die den Alarm am Wochenende auslösten weitestgehend identisch sind. Im Vergleich zu der neuen Variante D sind sie jedoch völlig unterschiedlich.
Diese neuen Varianten weisen eine höhere Komplexität auf. Aber auch in diesen Fällen zeichnen sich zwei parallele Entwicklungen ab. So ähneln sich Zotob.D und IRCBot.JZ. Ebenso sind die Konstruktionen von IRCBot.KC und IRCBot.KD ähnlich angelegt.
Diese Tatsache lässt darauf schließen, dass es sich bei den Programmierern um die Selbe Person oder Gruppe handeln könnte. Allerdings ist diese Person, oder Gruppe, nicht identisch mit den Programmierern der ersten Zotob Varianten. Das wiederum bedeutet, dass die Funktionalität nahezu identisch ist, der Source Code jedoch völlig unterschiedlich.
Andere Daten lassen vermuten, dass es sich um drei Autoren handelt. So beinhalten einige der Würmer eine Funktion zum löschen von Varianten die nicht zu ihrer Familie gehören. So beendet Zotob.D die Prozesse von Zotob.A, B und C.
Die Leistungsfähigkeit des Basis Codes, nämlich die Ausnutzung einer von Microsoft bereits bekannt gemachten Sicherheitslücke (MS 05-039), wurde in der Praxis nachgewiesen. Somit sind nur Veränderungen bei der Art der Weiterverbreitung (Scannen von zufälligen IP´s) oder das Beenden alternativer Prozesse nötig um erfolgreich zu sein.
Angriff auf Großunternehmen
Eine der vielen Fragen zu diesen Angriffen war warum gerade große Unternehmen ins Visier der Würmer gerieten. In den letzten Tagen gab es Meldungen, dass Unternehmen wie CNN, The New York Times, UPS oder Catapillar angegriffen wurden.
Hierfür gibt es zwei Gründe: Auf der einen Seite verhindert die Komplexität großer Netzwerke einen schnellen Umstieg auf neue Betriebssysteme, so dass hier ein Angriff auf Windows 2000 Systeme, das Hauptziel der Attacken, wahrscheinlich eher von „Erfolg“ gekrönt sein dürfte.
Ein weiteres einleuchtendes Argument stützt sich auf die Tatsache dass diese Schädlinge auch Windows XP und Windows 2003 Server attackieren. In diesen Fällen wird eine Verwundbarkeit bei der Verwaltung der Administrationsrechte ausgenutzt.
Weiterhin haben große Unternehmen häufig viele mobile User, bei denen der Administrator kaum Kontrolle über das Sicherheitslevel der Rechner hat wenn sie sich mit dem Netzwerk verbinden.
Hier finden Sie die Meldung im HTML Format mit wichtigen Grafikelementen:
http://www.panda-software.de/...
Über PandaLabs
Seit 1990, ist es Aufgabe des Panda Virenlabors neue Bedrohungen so schnell wie möglich zu analysieren um unsere Kunden schützen zu können. Mehrere verschiedene Teams, jedes auf eine bestimmte Malware Art (Viren, Würmer, Trojaner, Spyware, Phishing, Spam, usw.) spezialisiert, arbeiten 24 Stunden 7 Tage die Woche um einen weltweiten Schutz zu gewährleisten. Um dies zu erreichen, haben sie Unterstützung durch die TruPrevent™ Technologie, welche wie eine Art weltweites Früh-Warnsystem bestehend aus strategisch verteilten Sensoren funktioniert, um neue Bedrohungen zu neutralisieren und sie an PandaLabs zur Detailanalyse zu senden. (weitere Informationen unter www.pandasoftware.com/....