Computerwurm

Ein Computerwurm ist ein selbstständiges Computerprogramm (Gegensatz: Computervirus), das sich über Computernetzwerke, unter Zuhilfenahme verschiedenster Hilfsmittel, verbreiten kann. Dazu gehört zum Beispiel das Ausnützen von Sicherheitslücken, das Schicken von infizierten E-Mails (selbstständig durch ein SMTP-Engine oder durch ein E-Mail-Programm wie Microsoft Outlook) und das selbstständige Verbreiten durch IRC-Programmen, Peer-To-Peer-Programme, Instant Messaging-Programme (MSN Messanger, ICQ). Bei den erst vor kurzem aufgetretenen Handywürmer sind die derzeitigen Verbreitungsmöglichkeiten Bluetooth und das Verschicken von infizierten MMS.

Ein Wurm kann eine spezielle Schadensroutine enthalten, muss dies aber nicht. Da ein Wurmprogramm auf befallenen Systemen Ressourcen zur Weiterverbreitung bindet, können selbst Würmer ohne spezielle Schadensroutinen gewaltige wirtschaftliche Schäden erzeugen.

Computer-Viren und -Würmer verbreiten sich beide auf Computern, doch benutzen sie z.T. vollkommen verschiedene Strategien und Techniken. Ein Virus verbreitet sich, indem es Dateien infiziert, also sich in eine ausführbare Datei, die vertrauenswürdig erscheint, integriert und somit Teil einer schon bestehenden Programmroutine wird.

Die Weiterverbreitung des Virus erfolgt dann durch Weitergabe dieser infizierten Dateien, also unter Zuhilfenahme des Menschen. Auf welchem Weg die infizierten Dateien weitergegeben werden (Datenträger, Netzwerk, Internet, ...), ist für die Definition "Virus" unerheblich.

Würmer dagegen warten nicht passiv darauf, dass ein Anwender eines infizierten Computers infizierte Dateien weitergibt. Sie versuchen aktiv, via Netzwerk (Internet) weitere Computer zu infizieren. Welche Wege und Strategien sie dabei anwenden, hängt vom Einzelfall ab. Auch ein Wurm kann sich beispielsweise wie ein Virus in vertrauenswürdige Dateien integrieren, um sich zu tarnen.

Heutzutage verbreiten sich Würmer häufig auf zwei verschiedene Weisen, obwohl es insgesamt 6 verschiedene Arten von Würmern gibt. Die eine ist dabei die automatische Verbreitung über das Netzwerk, bei der kein Zutun des Anwenders erforderlich ist (siehe dazu weiter unten unter Automatisches Ausführen), die andere Verbreitung ist die per E-Mail.

Der Wurm verschickt, unbemerkt vom Anwender, E-Mails mit seiner Kopie als E-Mail-Anhang. Der Text der E-Mail ist stets so gestaltet, den Empfänger zu veranlassen den Anhang zu öffnen und somit eine Infektion auszulösen (siehe auch Social Engineering). Verschiedene Mechanismen dienen zur Tarnung des gefährlichen Anhangs bzw. zum automatischen Ausführen. Im folgenden ein paar Beispiele gängiger Tarnungen. Es ist jederzeit denkbar, daß neue Ideen und Varianten auftauchen den Anwender zu täuschen.

Doppelte Dateinamenserweiterung: Würmer bekommen Dateinamen mit doppelter Dateinamens-Erweiterung, wobei darauf gebaut wird, dass beim Empfänger die Anzeige der Dateinamen-Erweiterung ausgeblendet wird (Windows Standardeinstellung). So wird beispielsweise das ausführbare (Wurm-)Programm "music.mp3.exe", nur als "music.mp3" angezeigt und erscheint dem Anwender (Opfer) als harmlose passive Musikdatei. Ein Öffnen dieser Datei verursacht allerdings kein Abspielen einer mp3-Musikdatei, sondern die Ausführung eines Programmes. Ein Beispiel:

Content-Type: audio/mpeg;
name="music.mp3"
Content-Transfer-Encoding:base64
Content-Disposition: attachment;
filename="music.mp3.exe"

Codierung: Oft werden Würmer in ZIP-Archive verpackt, um es Virenscannern zu erschweren, den Schädling zu analysieren. Manchmal sind ZIP-Archive mit Passwort verschlüsselt. Das Passwort befindet sich im E-Mail-Text. Dadurch wird es Virenscannern nahezu unmöglich gemacht, den wahren Inhalt des Anhangs zu analysieren.

Wenig bekannte Dateiarten: Die Gefährlichkeit von EXE-Dateien (Dateien mit der Endung ".exe") ist vielen Anwendern bekannt. Aber neben EXE-Dateien gibt es noch zahlreiche weitere Dateiarten, welche ausführbare Programme beinhalten. Da viele Anwender diese nicht kennen, wird auf deren fahrlässigen Umgang spekuliert. Beispielsweise sind Dateien mit der Endung '.scr' Windows Bildschirmschoner-Programme, können allerdings ebenso Wurmprogramme beinhalten.

Die Verbreitung der meisten Würmer ist davon abhängig in irgendeiner Weise den Anwender zu täuschen und zu Aktionen zu veranlassen über deren Konsequenzen er sich nicht im klaren ist. Im allgemeinen das Öffnen ihm zugesandter Dateien. Allerdings gibt es auch Würmer, welche nicht von der Mitwirkung des Opfers abhängig sind. Sie nutzen Techniken, die ihre Aktivierung auf dem Rechner des Opfers automatisch veranlassen. Da dies grundsätzlich nicht möglich sein sollte, fällt dies unter die Kategorie "Ausnutzen von Sicherheitslücken".

Der Wurm MS Blaster nutzte einen Fehler in der Windows-Implementierung des Internet-Netzwerkprotokolls. Er konnte dadurch völlig selbständig einen Rechner nach dem anderen infizieren. Nach einer Infektion begann er wahllos das Netzwerk (Internet) nach weiteren Rechnern mit dieser Sicherheitslücke zu scannen, um sie unverzüglich ebenfalls zu infizieren (siehe "Geschichte").

Neben Sicherheitslücken des Betriebssystems können auch Sicherheitslücken innerhalb von Kommunikationssoftware Einfallstore für Würmer bieten. Eine Reihe von Würmern nutzte einen Fehler in der Javascript-Implementierung des bekannten E-Mailprogramms "Outlook Express". HTML E-Mails, welche mit speziellem Javascript-Code ausgestattet waren, gelang es selbständig die Anlage zu öffnen und somit die Infektion auszulösen. Allein das Betrachten des E-Mailtextes öffnete ohne weiteres Zutun des Anwenders die Anlage. Eine ähnliche Sicherheitslücke existierte im E-Mailprogramm "Eudora".

Auch gibt es Würmer, welche es nicht (hauptsächlich) auf die Rechner von Anwendern absehen, sondern auf Servercomputer. So gab es in der Vergangenheit eine ganze Reihe von Würmern, welche sich auf Sicherheitslücken im Internet Information Server (bekannte Microsoft Webserver-Software) spezialisierten. Nach der Infektion begannen die Server selbständig nach weiteren Servern zu suchen, um auch diese zu infizieren.

Zum Ausführen von Wurm-Anhängen enthält eine E-Mail HTML-Code, der ein Fenster im Fenster (iframe) erzeugt, in dem der Datei-Anhang mit Hilfe von Javascript gestartet wird. Der Wurm verschickt sich selbst, wobei aus dem Adressbuch des Benutzers wahllos Empfänger- und Absenderadressen entnommen werden. Es ist daher relativ sinnlos, beim Empfang einer verseuchten E-Mail eine Warnung an die Absenderadresse zu schicken; es trifft höchstwahrscheinlich den Falschen.

Instant Messaging Programme sind sogenannte Chat-Programme wie zum Beispiel ICQ oder MS Messanger. Ein Wurm dieser Art verbreitet sich, indem er allen Kontakten, einen Link zu einer Seite schickt, welche den Wurm enthält. Klickt der Benutzer auf den Link, wird der Wurm auf dem Computer installiert und ausgeführt. Nun sendet der Wurm auch von diesem Computer den Link an alle eingetragenen Kontakte weiter. Es wäre technisch möglich, dass sich der Wurm allen eingetragenen Kontakten zum Download anbietet, doch Dank fehlender Dokumentationen der Programme ist so ein Wurm noch nicht aufgetreten.

Datei:Irc.bmp.jpg

IRC (Internet Relay Chat) sind Programme, mit denen jeder beliebige Benutzer mit anderen Benutzern virtuell sprechen kann. Die meisten IRC Programme benutzen, um sich am IRC Server anmelden zu können, ein spezielles Script, das beim Starten des Programms ausgeführt wird. Dieses Script beinhaltet Befehle, die das IRC-Programm ausführt. Diese Befehle sind zum Beispiel das Einloggen in einen Chatroom, das Schreiben von Meldungen aber auch das Versenden von Dateien. Ein IRC-Wurm, der einen Computer infiziert hat, sucht nach IRC Progammen, die er benutzen kann, um sich weiterzuverbreiten. Wenn er ein solches Programm gefunden hat, modifiziert er das Script, welches automatisch geladen wird. Beim nächsten Start des IRC Programms wird der Wurm selbstständig an alle Benutzer in einem Chatraum verschickt. Wenn ein Benutzer den Download akzeptiert und öffnet, wird wieder das selbe wiederholt. Derzeit gibt es fünf IRC Programme, für die es IRC Würmer gibt (mIRC, pIRCh, vIRC, dIRC und Xircon).

Peer-To-Peer ist eine Netzwerkform, die ohne Server funktioniert. Das heißt, es ist eine Direktverbindung zwischen den einzelnen Benutzern. Die meisten im Internet erhältlichen Tauschbörsen wie Kazaa oder Morpheus sind Peer-To-Peer Netzwerke. Es gibt zwei Möglichkeiten, wie sich ein Wurm in einer Tauschbörse verbeitet. Die erste Möglichkeit ist, dass sich der Wurm in den freigegebenen Ordner kopiert, von dem andere Benutzer Dateien downloaden können. Für diese Art von Würmern ist es die richtige Namensgebung sehr wichtig, da mehr Benutzer eine Datei mit einem relevanten Namen downloaden als eine Datei mit einem zufällige erstellten Namen. Darum gibt es Würmer, die ihre Namen im Internet auf speziellen Seiten suchen, um so glaubwürdig wie möglich zu sein. Diese Art der Verbreitung in Tauschbörsen ist sehr einfach und nicht sehr effektiv. Die zweite Art dieser Würmer ist viel effektiver und deswegen auch viel komplizierter zu programmieren, darum existiert sie kaum. Ein Wurm, der ein eingebautes Peer-To-Peer Protokoll beinhaltet verbindet sich mit den anderen Benutzern der Tauschbörse, und bei jeder Suchabfrage täuscht der Wurm vor, dass er die gesuchte Datei sei. Der Benutzer kopiert dann den Wurm und aus seinem Computer passiert das selbe wieder.

Datei:Caribe.bmp.jpg

Handywürmer sind die neuste Art von Würmern. Zuerst aufgetreten sind sie im Juni 2004. Die derzeitigen Würmer verbreiten sich alle über eine Technik, die Bluetooth heißt. Bluetooth ist eine kabellose Verbindung zwischen Handys, Drucker, Scanner oder sogar Bordcomputer von Autos mit einer Reichweite von ungefähr zehn Meter. Handywürmer greifen das Betriebssystem SymbianOS an, und versuchen, sich selbst mit Bluetooth an alle erreichbaren Bluetooth Empfänger zu schicken. Gleich wie im Computersektor, so vermuten Antivirenhersteller, werden im Handybereich immer mehr Viren und Würmer auftreten. Seit dem Jahr 2005 ist es sogar möglich, dass sich Handywürmer durch MMS verbreiten. Die derzeitigen Handywürmer sind jedoch noch zu trivial, um als wirkliche Gefahr zu gelten. Auch ist noch kein Handywurm "in-the-wild" (das bedeutet offiziell verbreitet) gesichtet worden. Sicherheitsexperten befürchten jedoch, dass die Entwicklung von Handywürmer zukünfig das gleiche Ausmaß annimmt wie die Entwicklung der bereits lange existierenden Computerwürmer. Ein wirklicher Schutz gegen Handywürmer wird zur Zeit erst entwickelt. Zwar gibt es schon ein Antiviren-Programm für SymbianOS, jedoch wird dieses noch bei keinem Handy vorinstalliert enthalten. Eine weitere Schutzmöglichkeit, ein Betreiber-basiertes Programm das alle Nachrichten durchsucht, ist derzeit noch nicht möglich, da die Verzögerung bis zum Empfangen einer Nachricht noch größer werden würde.

Wenn man sich vor Würmern schützen möchte, muss man sich erst fragen, vor welchen Angriffen genau man sich denn schützen möchte. Nur vor dem konkreten Einzelfall oder Klassen von konkreten Einzelfällen kann man sich schützen. Man muss also die konkreten Verbreitungs- bzw. Angriffsmethoden kennen, verstanden haben und dazu passende Schutzmechanismen planen und umsetzen. "Sich unwohl fühlen" oder "sich besser fühlen" mit bestimmten Maßnahmen sind keine Kriterien für einen vernünftigen Schutz. Auch blind Schutz-Software zu installieren ist nicht zielführend.

Viele Anwendungen sind so komplex, dass nicht mehr garantiert werden kann, dass sie fehlerfrei sind. Man geht in der Regel sogar davon aus, dass zahlreiche Fehler enthalten sind. Einige dieser Fehler lassen sich dazu benutzen Programm-Code auszuführen, was aber natürlich niemals vorgesehen war durch den Programmierer der fehlerhaften Anwendung. Geschickt geformte Daten können so plötzlich einen MP3-Player veranlassen z.B. Dateien zu löschen oder anderen Unfug zu treiben.

Schützen kann man sich dagegen nur durch viel Aufmerksamkeit: Allgemein gilt, dass Software (Betriebssystem, E-Mail-Software) immer auf dem neuesten Stand sein sollte. Viele Würmer nutzen Sicherheitslücken veralteter Softwareversionen, um sich zu verbreiten. Rechner, deren Software auf dem neuesten Stand ist, deren bekannte Sicherheitslücken beseitigt sind, sind deutlich schwerer zu infizieren. Außerdem gilt es zu informieren, ob es in den verwendeten Anwendungen und Betriebssystem Sicherheitslücken existieren, wie man diese Lücken schließen kann und bei oftmals auffälligen Anwendungen zu überlegen, ob man diese Anwendung wirklich weiter einsetzen möchte.

Unterscheiden muss man noch Client-Anwendungen bzw. nicht netzwerkfähige Anwendungen und Server-Anwendungen. Die erste Klasse von Anwendungen muss vom Benutzer des Computers dazu veranlasst werden Daten zu verarbeiten. Ein Email-Programm beispielsweise holt nur vom Benutzer initiiert Emails ab, über das Netzwerk lässt sich dieser Vorgang nicht steuern. Gegen Lücken in solchen Anwendungen helfen keine Paketfilter und auch keine Personal-Firewalls. Entweder man verwendet eine solche Anwendung einfach nicht oder man versucht durch Patches diese Lücken zu schließen.

Die zweite Klasse von Anwendungen, Server-Anwendungen oder auch Dienste, warten auf Anfragen über das Netzwerk, jeder Fremde kann Daten an diese Anwendungen per Netzwerk/Internet schicken. Somit steigt das Risiko infiziert zu werden, wenn Sicherheitslücken in solchen Anwendungen existieren. Windows beispielsweise startet eine Vielzahl von solchen Server-Anwendungen schon beim Systemstart. Mehrere Würmer hatten bereits so leichtes Spiel, als Sicherheitslücken in diesen Server-Anwendungen bekannt wurden - notwendig ist diese sicherheitskritische Standard-Konfiguration von Windows übrigens nicht. Wie so oft ist Nachlässigkeit Ursache für dieses Sicherheitsproblem.

Schützen kann man sich vor Sicherheitslücken in Server-Anwendungen wieder durch rechtzeitiges Einspielen von Patches, durch Beenden oder Umkonfiguration der Server-Anwendung, so dass keine Anfragen mehr über das Netzwerk angenommen werden oder durch dazwischenschalten von Paketfiltern, die Anfragen an diese Server-Anwendungen ausfiltern.

Technisch kann man sich nicht vor Social-Engineering schützen, man ist darauf angewiesen seinen Verstand zu gebrauchen und stets kritisch zu sein.

Gegen die Verbreitungsform E-Mail ist der sicherste Schutz der verantwortungsvolle Umgang mit E-Mail und deren Anhängen. Es sollten keine unverlangten Anhänge geöffnet werden. Auch bekannte Absender sind keine Gewährleistung der Echtheit, da zum einen die Absender meist gefälscht sind und zum anderen bekannte Absender ebenfalls Opfer von Würmern werden können. Im Zweifelsfall sollte man beim Absender nachfragen. Vor dem Öffnen zugesandter Dateien ist eine vorherige Prüfung mit der Antivirensoftware niemals falsch.

Ein Paketfilter ist eine Anwendung, die Netzwerkkommunikation nach bestimmten technischen Kriterien filtern kann. Diese Kriterien kann man durch die Konfiguration des Paketfilters festlegen. Um sich vor Angriffen auf Server-Anwendungen zu schützen kann man einen solchen Paketfilter einsetzen, indem man Anfragen an diese Server-Anwendung ausfiltert, wenn Gründe dagegen Sprechen die Server-Anwendung zu beenden oder die Gefahr besteht, dass eine Server-Anwendung ungewollt gestartet wird. In Personal-Firewalls sind u.a. auch Paketfilter integriert.

Ein Virenscanner kann im Einzelfall Infektionen verhindern, nämlich dann, wenn vor dem Ausführen einer Datei, die einen Wurm enthält, der Virenscanner die Datei prüft, den Wurm kennt und zugleich das Ausführen verhindert oder schon im Vorfeld bei Routine-Scans diese Datei entdeckt wird und der Anwender darauf aufmerksam gemacht wird. Ein solches Szenario ist beim Social-Engineering denkbar, wo dem Anwender nicht klar ist, dass er eine Datei ausführt oder aber er über die Eigenschaften des Programms getäuscht wird. Da der Virenscanner aber den Wurm nicht kennen muss, ist dieses Szenario durch einen Virenscanner nicht abgedeckt. Zahlreiche andere Infektionsmöglichkeiten können vom Virenscanner gar nicht verhindert werden, beispielsweise die Infektion über eine laufende Server-Anwendung.

Die Bereinigung eines infizierten Systems ist durch einen Virenscanner nicht zuverlässig möglich. Hersteller von Virenscannern empfehlen das Neuaufsetzen des infizierten Systems, siehe auch Kompromittierung.

Es kann hilfreich sein, eine Personal-Firewall-Software zu verwenden bzw. zu aktivieren, wenn sie im Lieferumfang des Betriebssystems enthalten ist (aktuelle Linux-Distributionen, Windows XP). Diese kann, wenn sie richtig konfiguriert ist, Anfragen über das Netzwerk bzw. Internet an laufende Server-Anwendungen ausfiltern und somit das Ausnutzen von auch noch unbekannten Sicherheitslücken verhindern. Sinnvoll ist diese Maßnahme vor allem, wenn es nicht möglich ist die Server-Anwendung zu beenden oder so zu konfigurieren, dass Anfragen nicht mehr angenommen werden über das Netzwerk oder aber wenn die Gefahr besteht, dass eine Server-Anwendung ungewollt gestartet wird, siehe auch Personal Firewall.

Moderne Betriebssysteme (Linux, Windows ab Version NT) bieten von Hause aus Sicherheitsmechanismen, welche eine Infektion deutlich erschweren, resp. eine Infektion leicht vereiteln können. Viele Windows Nutzer beispielsweise arbeiten stets mit Administratorrechten. In diesem Betriebszustand sind sämtliche Sicherheitsschranken des Betriebssystems außer Kraft. Ein versehentlich oder automatisch gestartetes Wurmprogramm (das gleiche gilt für Viren) kann sich ungehindert die volle Kontrolle über alle Systemfunktionen aneignen. Sinnvoller ist es, sich zwei Benutzerkonten einzurichten: Eines für die routinemäßige Arbeit mit stark eingeschränkten Benutzerrechten, insbesondere eingeschränktem Recht von Softwareinstallationen; das andere mit Administratorrechten allein für Installations- und Konfigurationsarbeiten.

Diverse Programme, insbesondere Spiele, funktionieren jedoch nicht da sie auf Grund schlechter Programmierung ein Administratorkonto voraussetzen.

• 1975 - Das Konzept eines Computerwurms oder Netzwerkwurms wird im Science-Fiction-Buch The Shockwave Rider (dt. Der Schockwellenreiter) von John Brunner erwähnt.

• 1988 - Robert Morris programmiert den Morris-Wurm, der zwar keine Schadensroutine enthält, aber durch seine aggressive Weiterverbreitung unter Ausnutzung von einigen Unix-Diensten, wie z.B. Sendmail, finger oder rexec sowie der r-Protokolle ca. 6000 Rechner lahm legt - das entsprich ungefähr 10% des weltweiten Netzes. Allerdings hat das Morris nicht beabsichtigt - es ist ein Programmierfehler, der zu diesem Debakel führt.

• 1999 - Im März verbreit sich über Outlook der E-Mail-Wurm Melissa, und damit wird das Zeitalter der E-Mail-Würmer eingeleitet.

• 2000 - Ins öffentliche Bewusstsein geriet Würmer mit dem massiven Auftreten des ILOVEYOU-E-Mail-Wurms, der viele Nachahmer inspiriert hat.

• 2001 - Die ersten Würmer mit einem eigenen SMTP-Engine werden geschrieben. Damit sind Würmer nicht mehr auf Microsoft Outlook (Express) angewiesen.

• 2001 - Ein Wurm namens Code Red löst eine große Welle der Verbreitung aus. Er nützt eine Lücke in Microsoft Internet Information Server aus.

• 2003 - SQL Slammer verbreitet sich sehr stark durch Ausnutzen einer Sicherheitslücke im Microsoft SQL Server.

• 2003 - Am 12. August macht der Wurm W32.Blaster Schlagzeilen. Er verbreitet sich auf Grund einer Sicherheitslücke im Microsoft Windows-Betriebssystem, um einen Distributed Denial of Service-Angriff auf Microsoft Server vorzubereiten.

• 2004 - Der Wurm Mydoom wird das erste Mal gesichtet. Die schnelle Verbreitung des Wurms führt für ein paar Stunden zu einer durchschnittlich 10-prozentigen Verlangsamung des Internetverkehrs und einer durchschnittlich erhöhten Ladezeit der Webseiten von 50 Prozent.

• 2004 - Am 15. Juni 2004 taucht mit EPOC.Cabir der erste Computerwurm auf, der sich über Bluetooth auf Smartphones mit dem Betriebssystem Symbian verbreitet.

• 2005 - Mit SymbOS.Commwarrior.a wird der erste Wurm entdeckt, der sich via MMS verbreiten kann.

Siehe auch: Malware, Computervirus, Computersicherheit, Backdoor, Dropper

• RFC 2828: Internet Security Glossary (u.a. Definition von Worm)
• Reverse Code Engineering: An In-Depth Analysis of the Bagle Virus by Konstantin Rozinov (2004)
• Computer Parasitology Klassifikation und Geschichte von Computerwürmern, Virus Bulletin Konferenz 1999 (zwar schon etwas älter, aber sehr lesenswert)

Vorlage:WikiReader Internet Vorlage:Kandidat (Lesenswert)