Computerwürmer

Erreger geistern durchs Netz: Viren sind geradezu harmlose Tierchen, denn sie nehmen sich nur eine oder mehrere Dateien vor und infizieren diese. Computerwürmer dagegen wollen immer gleich alles: Sie infizieren nicht einzelne Dateien, sondern das gesamte Computersystem, am besten auch gleich alle anderen PCs, die mit dem Opfer irgendwie verbunden sind.

Generell gehört es also zum wurmhaften Verhalten, ein Netzwerk zu infizieren – der Befall eines einzelnen Systems ist nur ein Mittel zum Zweck, andere Systeme zu erreichen. Einige Würmer entfernen sich selbst wieder aus dem System (oder sollen es nach Plan ihrer Schöpfer tun, es geht aber manchmal schief). In diesem Fall “reist” die Software-Anomalie durch das Netz von Rechner zu Rechner, ohne sich an einem bestimmten Ort lange aufzuhalten. Das hört sich ein bisschen abstrakt an und ist es auch, und wohl deswegen werden die meisten Würmer heute einfach als Viren bezeichnet. In Wirklichkeit ist es heute aber umgekehrt: Die meisten Viren sind heute genau genommen eigentlich Würmer.

Kettenbriefe und E-Mail-Würmer

Die frühen E-Mail-Programme auf Hostrechnern besaßen die Fähigkeit, mit Script-Programmiersprachen kleine Tools auszuführen – man konnte sozusagen seine E-Mail-Software “programmieren”. Das hatte schon früh zur Folge, dass einige Spaßvogel Briefe schrieben, deren einzige Funktion es war, sich selbst zu reproduzieren und an weitere User zu verschicken. Als Nachfolger dieser automatischen E-Kettenbriefe können heute alle Viren und Würmer gelten, die sich über Microsoft Outlook verbreiten. Der Wurm lebt dabei meistens in einem ausführbaren Anhang (Programme, Scripte) und benötigt zu seiner Vermehrung ein Mailprogramm, um dessen Netzwerkfunktionen zu nutzen.

Würmer mit Viren- & Trojaner-Techniken

Die neuen Würmer stellen die derzeit größte Gefahr dar, denn sie kombinieren auf teuflische Weise alle bisher bekannten Möglichkeiten von Software-Anomalien:

  • Sie setzen auf rasche Ausbreitung durch Wurm-Techniken, indem sie Mailprogramme oder Netzwerke benutzen, um andere PCs anzustecken.
  • Sie infizieren Dateien und Dokumente, um den PC “als Ganzes” zu unterwandern.
  • Sie besitzen Schadensfunktionen, wie sie sonst für Viren typisch sind. (“Normale Würmer” verzichten darauf, denn sie wollen nicht auffallen.)
  • Sie hinterlassen Trojanische Pferde und Keylogger in Windows, um Passwörter zu stehlen oder den User zu belauschen.

E-Mail und Internet sind derzeit die gefährlichsten Quellen, denn sie sind das das Medium schlechthin für jeden Wurm.
Schon 2001 hatte sich nach Angaben von Kaspersky Labs die Zahl der Viren-Angriffe per Mail im Vergleich zum Vorjahr um etwa fünf Prozent erhöht und soll nun schon 90 Prozent aller Virenvorfälle ausmachen. Und alternative Infektionskanäle wie ICQ, Gnutella, MSN Messenger oder IRC werden gerade erst von den Wurm-Machern als neues Spielfeld entdeckt, ebenso neue Plattformen wie Linux.
Inzwischen gibt es so viele Würmer auf dem PC, dass man sie in verschiedene Typen aufteilen kann. Die Trennung erfolgt dabei vor allem nach den Einfallschneisen, über die Würmer unsere PCs infiltieren, und nach den Techniken, die sie einsetzen.

Dateileichen pflastern ihren Weg

Script-Würmer: Damit sind alle Würmer gemeint, die aus Anwendungs-Makros bestehen und zum Beispiel aus Word heraus Outlook und andere Microsoft-Produkte fernsteuern, oder Würmer wie Loveletter, die aus einem alleinstehenden Visual Basic Script (VBS) bestehen. Die meisten Wurm-Epidemien gehen auf das Konto der VB-Scripte, da Outlook in einigen Versionen Scripte schon ausführt, wenn man nur die Mails anzeigt, welche die Scripte enthalten.

File-Würmer: Obwohl VBS als Wurm-Faktor Nummer 1 gilt, gibt es auch Würmer, die sich ohne jedes Script ausbreiten. Hier besteht der Wurm aus einem ganz ordinären Programm. In Form eines Virus kann es Dateien infizieren und so dem PC einen Wurm verpassen. Viel öfter aber verankert sich der Wurm als zusätzliches Programm im System, fast wie ein Gerätetreiber. Der User installiert ihn sich normalerweise über ein Trojanisches Pferd, indem er unvorsichtigerweise auf einen Dateianhang klickt, zum Beispiel der angebliche Screensaver, in dem der Goner-Wurm steckt.

IRC-Würmer: Der Internet Relay Chat (IRC) ist ohnehin schon ein Tummelplatz für alle User mit leicht kriminellen Neigungen, doch wegen gewisser Eigenheiten haben sich dort auch scriptfähige IRC-Clients durchgesetzt, allen voran mIRC. Diese Scripts könnten im Prinzip nützlich sein, doch man kann mit ihnen auch User aus dem Chat drängen oder ihre Clients “abschießen” – schon vor Jahren bildete sich eine eigene Szene mit Kampf-Scripts, die sich gegenseitig in Schach hielten. Inzwischen gibt es zahlreiche Würmer und Viren, die in der Lage sind, auch IRC als Ausbreitungsweg zu verwenden, indem sie sich die Scripte untertan machen.

IM-Würmer: Ob ICQ, AOL Instant Messenger (AIM) oder Microsoft Messenger – immer wieder fallen die Instant Messenger (IMs) durch Sicherheitslücken auf. Und als wäre das nicht genug, versucht eine neue Wurm-Generation, die IMs zur Ausbreitung zu benutzen. Und es ist einfach: Die IM-Würmer verschicken einfach eine Kurznachricht mit Datei an die im IM eingetragenen Freunde (Buddy-List). Prinzipiell funktionieren sie also wie Würmer, die sich per Mail verbreiten.

…und viele weitere mehr, sowie

Dropper und Construction Kits: Viren und Trojanische Pferde können auch dazu dienen, einen Wurm in Ihrem System abzuwerfen. Darüber hinaus gibt es inzwischen schon eigene Wurm-Generatoren, also Software, mit deren Hilfe sich jeder in wenigen Sekunden einen eigenen Wurm zusammenklicken kann.

Ein paar Wurm-Links

  • Klaus-Peter Kossakowski: Computer-Würmer
    kossakowski.de/wuermer…

    Die beste deutschsprachige, öffentlich zugängliche Arbeit über Computer-Würmer (die ich kenne), allerdings sehr akademisch-wissenschaftlich aufgemacht und inzwischen bei einigen Details ein wenig veraltet. Dennoch ist sie lesenswert für alle, die tiefer ins Thema einsteigen wollen. (Sie könnten natürlich auch einfach mein Buch kaufen ;-)
  • The Morris Internet Worm
    ethics.csc.ncsu.edu…

    Die derzeit wohl beste Dokumentation des legendären Internet Wurms von Robert Morris, der 1988 6000 Rechner (= damals fast das gesamte Internet) lahmlegte.