Vorderste Verteidigungslinie
Neueste Bedrohung: Der SOHANAD-Wurm
In den vergangenen Wochen hat sich der IM- (Instant Messaging) Wurm WORM_SOHANAD aus äußerst bescheidenen Anfängen zu einer umfangreichen Malware-Familie entwickelt. Zunächst zeigte SOHANAD sich als gewöhnlicher IM-Wurm. Mittlerweile besteht er aus einer ganzen Familie, die gegenseitig auf die Komponenten eines jeweils anderen Mitglieds zugreifen, um gemeinsam einen Angriff auszuführen.
Die ersten SOHANAD-Varianten hatten bereits vietnamesische Computer-Benutzer im Visier. Neuere Varianten verwenden nicht mehr die vietnamesischen Instant Messages und zeigen bei ihrer Weiterentwicklung stärkere Anzeichen der Koordinierung.
Am 13. September kam es zum ersten Angriff des Trojaners TROJ_AGENT.EVJ über die Instant Message "Let's vote for Miss Mai Phuong Thuy for the upcoming Miss World championship". Am 3. Oktober wurde der erste SOHANAD-Wurm bekannt, der sich über den Yahoo! Messenger mit der Nachricht "the latest picture of our upcoming Miss World 2006" verbreitete. Die Schadteile von WORM_SOHANAD.A und TROJ_AGENT.EVJ ähnelten sich. Sie änderten die Internet Explorer Startseite des Benutzers und manipulierten die Registrierung dahingehend, dass der Benutzer die gewünschte Startseite nicht mehr einstellen konnte. Außerdem wurden der Registrierungseditor und der Task-Manager deaktiviert, sowie die Einstellungen des Yahoo! Messengers abgeändert, so dass der betroffene Benutzer bei der Ausführung bestimmter Yahoo! Programme auf einer bösartigen Website landete.
Am 4. Oktober wurde WORM_SOHANAD.B, die erste SOHANAD-Variante, entdeckt. Auch er verbreitete sich über den Yahoo! Messenger, verwendete aber auch andere beliebte IM-Anwendungen, wie z.B. AOL Instant Messenger und Windows Live Messenger. Innerhalb kürzester Zeit wurden weitere Varianten bekannt. Ab dem 23. Oktober wurden per IM massenweise Spam-Nachrichten versendet, die einen Link enthielten. Der Link verweist auf eine Website, auf der sich ein Skript befindet. Dieses Skript, das als VBS_ADODB.AE entdeckt wird, lädt eine Kopie von WORM_SOHANAD.I auf den Computer des Benutzers herunter. Kurz darauf wurde auf einer anderen Website ein anderes Skript, JS_WONKA.N, entdeckt. Auch dieses Skript lud WORM_SOHANAD.I herunter.
Der Einsatz von Skripts zur Verbreitung des Wurms macht deutlich, dass es sich bei WORM_SOHANAD.I um einen sorgfältig geplanten, koordinierten Angriff handelt, ganz im Sinne der zielgerichteten Bedrohungen. Derartige Angriffe verfolgen die Strategie, mehrere Komponenten einzusetzen und so das Schadenspotenzial zu maximieren.
Weitere Beispiele von WORM_SOHANAD.I nutzten eine Sicherheitslücke der MDAC- (Data Access Components) Funktion aus, um auf eine Website zuzugreifen, auf der sich das Java-Skript JS_WONKA.N befindet. Dieses Skript lädt dann eine Kopie des Wurms auf den betroffenen Computer herunter und schließt dadurch den Infektionskreislauf. Die neueste Variante, WORM_SOHANAD.J, lädt Dateien herunter, u.a. eine Eigenkopie und einen Trojaner-Downloader.
Der Einsatz von Trojaner-Downloadern in Massen-Spam-Angriffen hat die Erkennung des bösartigen Angriffs für Antiviren-Produkte deutlich erschwert. Das Incident Response Team von Trend Micro spricht hier von einem "beimpften Angriff". Die Malware verbreitet sich nicht, sondern führt ihre Schadensroutine weiter aus, bis ihr Auftrag im Angriffsgesamtkonzept erfüllt ist.
Da SOHANAD auf eine bestimmte Gruppe von Computer-Benutzern abzielt, koordiniert angreift und Downloader einsetzt, entwickelte sich der Wurm rasant von einem gewöhnlichen IM-Wurm zur bekanntesten Malware des Monats. Mit den heute bekannten neun Varianten und einer Handvoll Komponenten hat er das Potenzial, sich zu einem ausgewachsenen, konzertierten und gezielten Angriff zu entwickeln. Nun muss SOHANAD nur noch sein Angriffsziel verwirklichen, um seinen Profit zu erzielen. Da er sich in kürzester Zeit rasant weiterentwickelt hat und bereits Downloader einsetzt, ist dies nur eine Frage der Zeit.
