Computerwurm

Ein Computerwurm ist eine selbständige Programmroutine, die sich selbst reproduziert, indem sie über ein Computernetzwerk an Computerprogrammen oder Betriebssystemen anderer Computern Manipulationen vornimmt.

Ein Wurm kann eine spezielle Schadensroutine enthalten, muss aber nicht. Da ein Wurmprogramm auf befallenen Systemen Ressourcen zur Weiterverbreitung bindet, können selbst Würmer ohne spezielle Schadensroutinen gewaltige wirtschaftliche Schäden erzeugen.

Würmer sind den Computerviren konzeptionell sehr ähnlich. Ein Virus verbreitet sich indem er Dateien infiziert. Die Weiterverbreitung des Virus erfolgt durch Weitergabe infizierter Dateien. Auf welchem Weg die infzierten Dateien weitergegeben werden (Datenträger, Netzwerk, Internet, ...) ist für die Definition "Virus" unerheblich. Würmer dagegen warten nicht passiv darauf, daß ein Anwender eines infizierten Computers infizierte Dateien weitergibt. Sie versuchen aktiv, via Netzwerk (Internet), weitere Computer zu infizieren. Welche Wege und Strategien sie dabei anwenden hängt vom Einzelfall ab.

Heutzutage verbreiten sich Würmer häufig auf zwei verschiedene Art und Weisen. Die eine ist dabei die automatische Verbretung über das Netzwerk, bei der kein Zutun erforderlich ist (siehe dazu weiter unten unter Automatisches Ausführen), die andere Verbreitung ist die per E-Mail.

Der Wurm verschickt, unbemerkt vom Anwender, E-Mails mit seiner Kopie als E-Mail-Anhang. Der Text der E-Mail ist stets so gestaltet den Empfänger zu überzeugen den Anhang zu öffnen, und somit die Infektion auszulösen. Verschiedene Mechanismen dienen zur Tarnung des gefährlichen Anhangs bzw. zum automatischen Ausführen. Im folgenden ein paar Beispiele gängiger Tarnungen. Es ist jederzeit denkbar, daß neue Ideen und Varianten auftauchen den Anwender zu täuschen.

Doppelte Dateinamenserweiterung: Würmer bekommen Dateinamen mit doppelter Dateinamens-Erweiterung, wobei darauf gebaut wird, dass beim Empfänger die Dateinamen-Erweiterung ausgeblendet wird (Windows Standardeinstellung). So wird beispielsweise das ausführbare (Wurm-)Programm "music.mp3.exe", nur als "music.mp3" angezeigt und erscheint dem Anwender (Opfer) als harmlose passive Musikdatei. Ein Öffnen dieser Datei verusacht allerdings kein Abspielen einer mp3-Musikdatei sondern die Ausführung eines Programmes. Ein Beispiel:

Content-Type: audio/mpeg;
name="music.mp3"
Content-Transfer-Encoding:base64
Content-Disposition: attachment;
filename="music.mp3.exe"

Codierung: Oft werden Würmer in ZIP-Archive verpackt, um es Virenscannern zu erschweren, den Schädling zu analysieren. Manchmal sind ZIP-Archive mit Passwort verschlüsselt. Das Passwort befindet sich im E-Mail-Text. Daurch wird es Virenscannern nahezu unmöglich gemacht den wahren Inhalt des Anhangs zu analysieren.

Wenig bekannte Dateiarten: Die Gefährlichkeit von EXE-Dateien (Dateien mit der Endung ".exe") ist vielen Anwendern bekannt. Aber neben EXE-Dateien gibt es noch zahlreiche weitere Dateiarten welche ausführbare Programme beinhalten. Da viele Anwender diese nicht kennen wird auf deren fahrlässigen Umgang spekuliert. Zum Beispiel Dateien mit der Endung .scr sind Windows Bildschirmschoner-Programme, können allerdings ebenso Wurmprogramme beinhalten.

Die Verbreitung der vieler Würmer ist davon abhängig in irgendeiner Weise den Menschen, den Anwender, zu täuschen und zu Aktionen zu veranlassen über deren Konsequenzen er sich nicht im klaren ist. Im allgemeinen das Öffnen ihm zugesandter Dateien. Allerdings gibt es auch Würmer welche nicht davon abhängig sind. Sie haben Techniken die ihre Aktivierung auf dem Rechner des Opfers automatisch veranlassen. Da so etwas natürlich nicht möglich sein sollte, fällt das unter die Formulierung "Ausnutzen von Sicherheitslücken".

Der Wurm "MS Blaster" nutzte einen Fehler in der Windows-Implementierung des Internet-Netzwerkprotokolls. Er konnte dadurch völlig selbständig einen Rechner nach dem anderen infizieren. Nach einer Infektion begann er wahllos das Netzwrk (Internet) zu scannen nach weiteren Rechnern mit dieser Sicherheitslücke um sie im nächsten Moment ebenfalls zu infizieren. (siehe "Geschichte")

Auch gibt es Würmer welche es nicht (hauptsächlich) auf die Rechner von Anwendern absehen sondern auf Servercomputer. So gab es in der Vergangenheit eine ganze Reihe von Würmern welche sich auf Sicherheitslücken im Internet Information Server (bekannte Microsoft Webserver-Software) spezialisierten. Nach der Infektion begannen die Server selbständig nach weiteren Servern zu suchen um auch diese zu infizieren.

Zum Ausführen von Wurm Anhängen enthält eine E-Mail HTML-Code der ein Fenster im Fenster (iframe) erzeugt, in dem der Datei-Anhang mit Hilfe von Javascript gestartet wird. Der Wurm verschickt sich selbst, wobei aus dem Adressbuch des Benutzers wahllos Empfänger- und Absenderadressen entnommen werden. Es ist daher relativ sinnlos, beim Empfang einer verseuchten E-Mail eine Warnung an die Absenderadresse zu schicken, es trifft höchstwahrscheinlich den Falschen.

Allgemein gilt, dass die Software auf dem Rechner (Betriebssystem, E-Mail-Software) immer auf dem neuesten Stand sein sollte. Viele Würmer nutzen Sicherheitslücken veralteter Softwareversionen, um sich zu verbreiten. Rechner deren Software auf dem neuesten Stand ist, deren bekannte Sicherheitslücken beseitigt sind, sind deutlich schwerer zu infizieren.

Auch sollte Antivirensoftware mittlerweile zur Grundaustattung jedes Computers gehören. Die Antivirensoftware sollte regelmäßig aktualisiert werden und ist dann auch in der Lage die aktuell kursierenden Würmer zu erkennen.

Gegen die Verbreitungsform E-Mail ist der sicherste Schutz der verantwortungsvolle Umgang mit E-Mail und deren Anhängen. Es sollten keine unverlangten Anhänge geöffnet werden. Auch bekannte Absender sind keine Gewährleistung der Echtheit, da zum einen die Absender meist gefälscht sind, und zum anderen bekannte Absender ebenfalls Opfer von Würmern werden können. Im Zweifelsfall sollte man beim Absender nachfragen. Vor dem Öffnen von zugesandten Dateien ist ein vorheriges Scannen mit der Antivirensoftware niemals falsch.

Es kann auch hilfreich sein, eine Personal-Firewall Software zu verwenden, bzw. zu aktivieren, wenn sie im Lieferumfang des Betriebsystems enthalten ist (Windows XP). Diese kann unter günstigen Umständen auch bisher unbekannte Sicherheitslücken kompensieren, sowie Hinweise liefern auf eine trotz allem eingetretene Infektion. Der daraus resultierende Sicherheits-Effekt kann aber auch anders erzielt werden. Für weitere Informationen sollte man daher erst unter Personal Firewall nachschauen.

Das Konzept eines Computerwurms oder Netzwerkwurms wurde erstmals 1975 im Science-Fiction-Buch The Shockwave Rider (dt. Der Schockwellenreiter) von John Brunner erwähnt.

Robert Morris programmierte 1988 den Morris-Wurm, der zwar keine Schadensroutine enthielt, aber durch seine aggressive Weiterverbreitung unter Ausnutzung von einigen Unix-Diensten, wie z.B. Sendmail, fingerd oder rexec sowie der r-Protokolle ca. 6000 Rechner lahm legte - das entsprach damals ungefähr 10% des weltweiten Netzes. Allerdings hatte das Morris nicht beabsichtigt - es war ein Programmierfehler, der zu diesem Debakel führte.

Im März 1999 verbreite sich über Outlook der E-Mail-Wurm Melissa. Er führte allerdings keine zerstörende Aktion aus, sondern löste nur eine E-Mail-Flut aus.

Ins öffentliche Bewusstsein gerieten Würmer spätestens 2000 mit dem massiven Auftreten des "ILOVEYOU"-E-Mail-Wurms, der viele Nachahmer inspiriert hat.

Neben den E-Mail-Würmern ist heute die beliebteste Weiterverbreitungsstrategie das Ausnutzen von Sicherheitslücken in häufig installierter Software. Prominente Beispiele sind "Code Red", der 2001 in einer großen Welle Systeme mit dem Microsoft Internet Information Server attackierte, und "SQL Slammer", der 2003 eine Sicherheitslücke im Microsoft SQL Server ausnutzte.

Am 12. August 2003 machte der Wurm W32.Blaster (auch Blaster genannt) Schlagzeilen. Er verbreitete sich aufgrund einer Sicherheitslücke im Microsoft Windows-Betriebssystem, um einen Distributed Denial of Service-Angriff auf Microsoft Server vorzubereiten. Etwa zur gleichen Zeit befiel der Wurm Sobig.F in kurzer Zeit unzählige Computer und belastete Mailserver auf der ganzen Welt.

Am 26. Januar 2004 wurde der Wurm Mydoom das erste Mal gesichtet. Die schnelle Verbreitung des Wurms sorgte für ein paar Stunden zu einer durchschnittlich 10-prozentigen Verlangsamung des Internetverkehrs und einer durchschnittlich erhöhten Ladezeit der Webseiten von 50 Prozent.

Am 3. März 2004 machten neue Varianten des Mitte Februar im Internet aufgetauchten Bagle-Wurms Schlagzeilen. Sie können den zentralen Virenschutz in Firmennetzwerken unterlaufen.

April/Mai 2004 taucht mit Phatbot ein neuer Wurm auf, der mit anderen Würmern wie Sasser, Beagle und Mydoom interagiert.

Am 15. Juni 2004 taucht mit EPOC.Cabir der erste Computerwurm auf, der sich über Bluetooth auf Smartphones mit dem Betriebssystem Symbian verbreitet.

Am 10. März 2005 wurde der erste Handy-Wurm, der sich via MMS verbreitet, von einer Antivirenfirma entdeckt. Der Wurm hieß SymbOS.Commwarrior.A, und befiel das Betriebssystem Symbian. Der Wurm war dahingehend gefährlich, da ab nun mit enormen finanziellen Schäden zu rechnen sein musste.

Siehe auch: Malware, Computersicherheit, Backdoor, Dropper

• RFC 2828: Internet Security Glossary (u.a. Definition von Worm)

Vorlage:WikiReader Internet