Experten rechnen mit einer anhaltenden Bedrohung durch Virenwürmer und Massen-E-Mails in Kombination mit Social Engineering. Die Folge sind zusammenbrechende Internet-Verbindungen, verwüstete Firmennetze und DDoS-Attacken sowie unaufhaltsamer Spam.
Die Virenschützer erwarten für das kommende Jahr nichts Neues - außer Viren. Allgemein rechnen die Experten damit, dass sich die Trends der vergangenen Monate - Massen-E-Mails in Kombination mit Social Engineering – auch in 2004 fortsetzen werden. Das sollte Grund genug zur Besorgnis sein.
Unternehmen müssen beispielsweise laut Trend Micro zukünftig damit rechnen, dass Viren-Programmierer noch gezielter als bisher die Schwachstellen der IT-Infrastruktur angreifen. Darüber hinaus hievt der Experte auch 2004 E-Mail-Würmer wieder an oberster Stelle in der Rangfolge der Bedrohungen: Hat sich in der Vergangenheit Malware über das Kopieren infizierter Dateien und den Austausch von Disketten verteilt, nutzten Viren-Programmierer heute die voranschreitende Vernetzung globaler Computersysteme, um ihre Malicious Codes in kürzester Zeit zu verbreiten. Fast 100 Prozent aller großen Virenausbrüche von 2001 bis 2003 zeigten dementsprechend Merkmale eines Internet-Wurms.
Obwohl immer mehr Unternehmen Dateianhänge filtern würden, bleibe der Massenversand in Kombination mit Social Engineering die effektivste Verbreitungsmethode für Malicious Codes. Mit Social Engineering ist die perfide, pseudo-persönliche Ansprache eines Internet-Nutzers gemeint. Man könnte auch von gemeinen Tricks sprechen. Bekanntestes und in seiner Machart wohl einfachstes Beispiel war der "I love you"-Wurm aus dem Jahre 2000.
Viren-Programmierer richten laut Trend Micro ihre Angriffe darüber hinaus gezielt gegen Schwachstellen in weit verbreiteten Applikationen und Betriebssystemen, wie zum Beispiel dem Microsoft Internet Information Server (IIS), Apache und dem Microsoft SQL Server. Zu den Trends des Jahres 2003 gehörte darüber hinaus die Verwendung von Internet Relay Chat (IRC) als Verbreitungsweg für Malware. Diese Entwicklung habe sich bereits 2002 angekündigt und werde sich auch zukünftig weiter fortsetzen. Laut Kaspersky Lab sind 2003 neun große Epidemien registriert worden, zudem 26 von geringerer Bedeutung mit vorwiegend lokalem Charakter. Diese Zahlen liegen erfreulicherweise hinter den Ergebnissen des Vorjahres (zwölf beziehungsweise 34) zurück. Allerdings stehe dem zahlenmäßigen Rückgang der Epidemien ein gleichzeitig starker Anstieg in den Ausmaßen und 'Nebenwirkungen' (Payloads) gegenüber. Dies wirke sich zunehmend auf die Funktionsfähigkeit des gesamten Internet aus.
2003 haben die beiden größten globalen Epidemien in der Geschichte des Internet gewütet. Sie wurden nicht von klassischen E-Mail-Würmern hervorgerufen, sondern von ihren Modifikationen im Internet, das heißt von Würmern, die sich als Daten-Pakete direkt übers Internet verbreiten.
Den Anfang machte am 25. Januar der Internet-Wurm Slammer beziehungsweise Helkern, der für seine Verbreitung eine Schwachstelle im Administrationssystem der Datenbanken des Microsoft SQL-Servers benutzte. Slammer wurde zum ersten dateilosen Internet-Wurm, der in vollem Ausmaß die 2001 beschriebene Technologie der Flash-Würmer umsetzen konnte. Innerhalb weniger Minuten infizierte er am 25. Januar 2003 hunderttausende von Computern weltweit und schaffte es, den Internet-Verkehr so zu vergrößern, dass er den Ausfall einiger regionaler Segmente verursachte. Kaspersky beruft sich auf Angaben aus Fachkreisen und geht von einer Zunahme des Internet-Verkehrs durch Slammer von 40 bis 80 Prozent in verschiedenen Segmenten des Internet aus. Der Wurm attackierte die Rechner über die Ports 1433 sowie 1434 und erstellte keine Dateien von sich auf der Festplatte, sondern blieb nur im Arbeitsspeicher. Eine Analyse des Epidemieverlaufs ließ auf eine ostasiatische Herkunft schließen.
Die zweite, nicht weniger verheerende Epidemie, wurde vom Lovesan- beziehungsweise Blaster-Wurm verursacht. Dieser tauchte am 12. August auf und führte der ganzen Welt vor Augen, wie verwundbar das populäre Betriebssystem Windows ist. Wie Slammer benutzte auch Lovesan eine Lücke im Sicherheitssystem der Microsoft-Software für seine Verbreitung. Der Unterschied bestand darin, dass Lovesan eine Schwachstelle im RPC DCOM-Dienst nutzte, welcher auf jedem Rechner war, der unter Windows 2000/XP läuft. Das führte dazu, dass praktisch jeder Anwender, der in den Tagen der Epidemie online ging, der Attacke durch den Wurm ausgesetzt war. Wenige Tage nach dem ersten Erscheinen von Lovesan wurden drei Modifikationen des Wurms entdeckt. Kurz darauf verursachte ein Gegen-Wurm eine weitere Epidemie im Internet: Er benutzte dieselbe Schwachstelle im Sicherheitssystem von Windows. Doch im Gegensatz zum 'Original' entfernte der Wurm Kopien von Lovesan und versuchte, den Patch für den RPC DCOM-Dienst zu installieren. Das Jahr 2003 verlief laut Kaspersky zudem unter dem Zeichen pausenloser Epidemien durch E-Mail-Würmer. Im Januar wurden die Würmer Ganda und Avron entdeckt. Ersterer wurde in Schweden geschrieben und ist bis jetzt in Skandinavien einer der meist verbreiteten Würmer. Der Wurm-Autor ist Ende März von der schwedischen Polizei festgenommen worden. Der Wurm Avron wurde zum ersten auf dem Gebiet der ehemaligen UdSSR geschriebenen Wurm, der eine bedeutende Epidemie globalen Ausmaßes auslösen konnte. Die Ausgangstexte für den Wurm wurden auf den Web-Seiten von Viren-Autoren veröffentlicht, was zum Erscheinen weiterer, weniger erfolgreicher Varianten führte.
Ebenfalls im Januar erschien der erste Wurm der Sobig-Family auf der Bildfläche, die danach regelmäßig Viren-Epidemien hervorrief. Die Modifikation Sobig.f schlug sämtliche Rekorde und wurde zum meist verbreiteten Wurm im Internet-Verkehr in der Geschichte des Internet. Auf dem Höhepunkt der Sobig.f-Epidemie, die im August anfing, enthielt jede 20ste Mail eine Kopie des Wurms. Eines der Ziele der Sobig-Autoren war die Errichtung eines ganzen Netzwerks von infizierten Rechnern zur Durchführung von DoS-Attacken auf beliebige Web-Seiten sowie in Funktion als Server zum Verschicken von Spam-Mails.
Große Beachtung in der Computer-Virenforschung fand der Mail-Wurm Tanatos.b alias Bugbear. Die erste Version von Bugbear war bereits Mitte 2002 geschrieben worden. Erst nach fast einem Jahr tauchte dann die zweite Variante auf. Der Wurm benutzte die bereits 'traditionelle' und längst bekannte Schwachstelle im Sicherheitssystem von Microsoft Outlook (IFRAME) zum automatischen Starten seines Bodys aus infizierten Mails.
Es tauchten weiterhin neue Würmer der Lentin-Familie (alias Yaha) auf. Angaben lassen darauf schließen, dass sie in Indien von einer der lokalen Hacker-Gruppen in einem 'virtuellen Krieg' zwischen indischen und pakistanischen Viren-Autoren geschrieben wurden. Die größte Verbreitung erlangten die Versionen M sowie O, in denen sich der Virus als ZIP-Archiv im Anhang von infizierten Mails verbreitete.
Auch die russischen Viren-Autoren blieben nicht hinter ihren 'Kollegen' zurück. Der zweite Wurm aus der ehemaligen UdSSR, welcher eine globale Epidemie hervorrief, war Mimail. Der Wurm benutzte zu seiner Aktivierung eine Schwachstelle im Internet-Explorer, die dann den Namen 'Mimail-based' erhielt. Sie ermöglichte es, einen binären Code aus einer HTML-Datei zu entnehmen und ihn zur Ausführung zu starten. Zum ersten Mal wurde sie im Mai 2003 in Russland benutzt (Trojan.Win32.StartPage.L). Danach wurde diese Schwachstelle in der Mimail-Familie verwendet sowie in einigen Trojanern. Der Autor des Wurms Mimail veröffentlichte die Ausgangstexte im Internet, was im November 2003 einige neue Varianten verursachte, die von anderen Autoren geschrieben wurden, unter anderem US-amerikanischen und französischen.
Der September 2003 verlief im Zeichen des Internet-Wurms Swen. Swen, der sich als Update von Microsoft ausgab, infizierte hunderttausende Rechner weltweit und ist bis jetzt einer der meist verbreiteten Würmer geblieben. Den Viren-Autoren gelang es, die Lage zum Zeitpunkt seines Erscheinens auszunutzen, als die Anwender von den Lovesan- und Sobig.f-Epidemien aufgeschreckt bemüht waren, rechtzeitig neue Patches für ihre Betriebssysteme zu installieren.
Unbedingt Erwähnung finden sollten auch noch zwei weitere Epidemien. Zum einen durch Sober, einem nicht sehr komplexen Wurm, der von einem deutschen Viren-Autor in Anlehnung an die Nr. 1 des Jahres, Sobig.f , geschrieben wurde. Zum anderen der Backdoor-Trojaner Arcore. Dieser fand trotz seiner vergleichsweise geringen Verbreitung Beachtung wegen seiner interessanten Technologie zur Tarnung seiner Anwesenheit im System: Arcore stellt seinen Code in die Zusatzprotokolle (Alternate Data Streams) des Dateisystems NTFS. Noch interessanter ist, dass er die zusätzlichen Ströme nicht von Dateien, sondern Verzeichnissen nutzt. Spam kann mittlerweile als direkte Folge der Penetration des Internet durch Würmer betrachtet werden. Entsprechend den Erregern nimmt auch die Menge an verschickten Werbe-Mails zu. Neben Initiativen von Internet-Anbietern ist auch die EU aktiv geworden: Die Union hat laut Sophos Anfang Dezember bei neun Mitgliedsnationen angefragt, die noch keine Antispam-Gesetze national umgesetzt haben, was sie zu tun beabsichtigen, um die entsprechenden Vorgaben zu erfüllen. Frankreich, Deutschland, Belgien, Finnland, Griechenland, Luxemburg, die Niederlande, Portugal und Schweden müssen sich möglicherweise vor Gericht verantworten, es sei denn, sie können innerhalb zwei Monate eine Erklärung dazu abgeben.
Die EU hofft, auf diese Weise unerwünschte Spam-E-Mails auszurotten, überlässt es aber den Mitgliedsnationen zu entscheiden, wie Spam gestoppt und wie Spammer bestraft werden sollen. Österreich, Dänemark, Irland, Italien, Spanien und Großbritannien haben bereits Schritte unternommen, um das EU-Gesetz umzusetzen. Die britische Version trat am 11. Dezember in Kraft.
"Spammer können ihre Identität verbergen und von überall auf der Welt operieren. Da die meisten Spam-E-Mails aus den USA stammen, argumentieren viele, dass europäische Gesetze gegen Spam keinen Sinn machten", berichtete Gernot Hacker, Senior Technical Consultant bei Sophos. "Es sollten aber alle Länder sorgfältig prüfen, mit welchen Maßnahmen sie Spam verbieten können. Durch enge Zusammenarbeit und strenge Antispam-Gesetze können wir Spammern das Leben ein bisschen schwerer machen."