Im Gegensatz zu Viren verfügen Backdoors nicht über eigene Verbreitungsmechanismen. Erst durch die Integration in einen Wurm erhalten Backdoors die Möglichkeit, Computersysteme zu infizieren. Mit dem Wurm als Träger stehen Backdoors dann alle Verbreitungswege offen, darunter Email, Instant Messaging, P2P und von mehreren Anwendern genutzte Netzwerk-Ressourcen. Diese Entwicklung hat dazu geführt, dass Backdoors heute nicht mehr nur einzelne Systeme, sondern die Sicherheit ganzer Netzwerke gefährden. Nur durch wirksame Security-Policies können Unternehmen ihre kritischen Ressourcen vor dieser wachsenden Bedrohung schützen.
Viren-Aktivitäten im Januar 2004
TROJ_XOMBE.A trat erstmals Anfang Januar in Erscheinung und ist ein typisches Beispiel für die Kombination mehrerer Technologien. Bereits seit einiger Zeit kann eine Zusammenarbeit von Hackern und Viren-Programmierern beobachtet werden. Jetzt scheinen sich darüber hinaus auch Spam-Versender (Spammer) an der Entwicklung von Malicious Codes zu beteiligen. Bei TROJ_XOMBE.A handelt es sich um einen Trojaner, der dementsprechend nicht über eigene Verbreitungsmechanismen verfügt. Viele Anwender berichten aber, dass sie den Malicious Code per Email erhalten haben. Bei dieser Email handelt es sich daher wahrscheinlich um Spam mit Malware im Dateianhang. Techniken für den Spam-Versand werden zunehmend zur Verbreitung von Malicious Codes eingesetzt. Die Email tarnt sich zudem als angebliche Nachricht von Microsoft (Anhang: WINXP_SP1.EXE, Betreff: Windows XP Service Pack 1 (Express) - Critical Update). Die Blockade von EXE-Dateien durch eine einfache Regel am Internet-Gateway reicht dabei aus, um das gesamte Netzwerk wirkungsvoll zu schützen.
Aufgrund der Verbreitung des WORM_BAGLE.A löste TREND MICRO als erster Anbieter von Antiviren-Lösungen am 19. Januar (2 Uhr GMT+1) einen globalen Yellow Alert aus. Der Wurm wurde zuerst in den USA entdeckt und verteilte sich über eine Email mit folgendem Format:
Von: Gefälschte (spoofed) Adresse Betreff: Hi Nachrichtentext: Test =) Test, yep. Dateianhang: .EXE
WORM_BAGLE.A prüft das aktuelle Systemdatum und beendet sich selbst, wenn das Systemdatum der 28. Januar 2004 oder später ist. Nach der Aktivierung öffnet der Wurm den Port 6777 und macht so das System verwundbar für Hacker-Angriffe. Ist der infizierte Computer Teil eines Netzwerks, wird somit unter Umständen die Sicherheit der gesamten Infrastruktur bedroht. Wie WORM_SOBIG.F führt auch WORM_BAGLE.A einen Scan der Empfängeradresse durch, um den Domain-Namen zu erhalten. Ziel ist es, über den Domain-Namen und den damit verbundenen DNS (Domain Name Server) an den MailBox (MB)-Server zu gelangen. Diese Methode kann die Verbreitungsgeschwindigkeit erhöhen.
Da sich der Wurm als EXE-Datei im Email-Anhang verbreitet, könnte er leicht durch einfache Regeln am Internet-Gateway blockiert werden. Daraus folgt:
- Viele Unternehmensnetzwerke wurden durch WORM_BAGLE.A infiziert. Dies beweist, dass immer noch zu wenig Unternehmen über zumindest grundlegende Sicherheitsregeln verfügen. - Die meisten Viren-Programmierer sind sich der Tatsache bewusst, dass EXE-Dateien durch einfache Regeln zu blockieren sind. Es stellt sich also die Frage, ob WORM_BAGLE.A bereits vollständig zu Ende entwickelt war. Dagegen spricht auch die fehlende Komprimierung des Wurms. Oftmals setzen Viren-Programmierer verschiedene Komprimierungsalgorithmen ein, um unzureichende AntiViren-Lösungen zu täuschen. Dies legt die Vermutung nahe, dass der Malicious Code vorzeitig oder unabsichtlich freigesetzt wurde.
Am 26. Januar (01:47 US Pacific Time) warnte TREND MICRO alle Computernutzer durch einen weiteren globalen Yellow Alert, da sich WORM_MYDOOM.A (auch bekannt als WORM_MIMAIL.R, Mydoom oder Novarg.A) verbreitete. Für den Versand der infizierten Emails verwendete der Mass-Mailing-Wurm eine Liste mit verschiedenen Einträgen für Betreffzeilen, Nachrichtentexte und Namen von Dateianhangen. Zusätzlich wurde die Absenderadresse gefälscht (Spoofing). Im Ergebnis schienen die Emails somit von einer Reihe verschiedener Anwender zu kommen, die Identität des tatsächlichen Absenders sowie des infizierten Systems wurden verschleiert. Wieder einmal zeigt sich also die Gefahr eines wirkungsvollen Social Engineering. Zudem nutzte der Wurm auch das Peer-to-Peer (P2P) Netzwerk Kazaa zur Verbreitung.
Mit seiner Schadensroutine versucht WORM_MYDOOM.A, eine Denial-of-Service-Attacke (DoS) gegen die Website www.sco.com zu starten. Der Angriff wird durchgeführt, wenn das Systemdatum der 1. Februar 2004 oder später ist. Ab dem 12. Februar 2004 beendet der Wurm seine Angriffversuche sowie die meisten seiner Programmroutinen. Es ist davon auszugehen, dass das Softwareunternehmen SCO angegriffen werden soll, weil es im November 2003 Klage gegen verschiedene Linux-Distributoren eingereicht hat.
WORM_MYDOOM.A weist außerdem eine Backdoor-Komponente auf, wie sie oben beschrieben wurde. Die Backdoor mit dem Namen SHIMGAPI.DLL öffnet den Port 3127, um Hackern den Fernzugriff und die Manipulation infizierter Dateisysteme zu ermöglichen. Der Remote-Zugang bleibt dabei auch nach dem 12. Februar 2004 aktiviert.