| [NETZ]KULTUR | | | Aktuell | 26. Februar 2004 |
|
 | |
c't ENTHÜLLT: VIRENSCHREIBER LIEFERN SPAM-INFRASTRUKTUR Die Spam-Mafia Teil 2Von Burkhard Schröder |
Die aktuelle Ausgabe der c't,  Ausgabe 5/2004, enthält einen gut recherchierten Artikel: "Ferngesteuerte Spam-Armeen". Thema: Viren-Programmierer liefern die Infrastruktur für Spam - unerwünschte Werbung. Da der Artikel aber für Computer-Laien eher unverständlich ist, fassen wir hier die wichtigsten Aussagen volkstümlich und pädagogisch wertvoll zusammen. Und ein paar klitzekleine Links sollten bei einem Internet-Thema auch nicht fehlen. Fortsetzung von Teil 1.
Der böse Virus W32/Sluter-B heisst auch W32.Randex.F und verbreitet sich selbst. Die Programmierer haben ihm auch eine Liste häufig genutzer Passworte implementiert. Mit dem Windows-Befehl ntscan analysiert er andere Rechner. Wenn er eine Schwachstelle, etwa ein leicht zu erratendes Passwort, bemerkt, kopiert er sich unbemerkt in ein Unterverzeichnis und aktiviert den Bot, sein trojanisches "Pferd". Es gibt sogar eine Funktion, "sich selbst" upzudaten und auf den neuesten Stand zu bringen, dass Viren-Scanner ausgetrickst werden.
Der Rechercheur des c't-Artikels versuchte nun herauszufinden, wem die Rechner-Adresse des IRC-Servers gehörte, mit dem das trojanische Pferd des infizierten Rechners in Kontakt trat. Jetzt wird es spannend - die Redaktion der c't hat alls Realnamen und Nicknamen der Personen verändert. Im Artikel heisst es über den Besitzer der IP-Adresse, die er herausgefunden hat: "White ist einer von sieben Entwicklern einer IRC-Server-Software. Auch den Nick-Namen "iss" von White findet Thomas. Das Entwicklerprojekt steht unter dern Open-Source-Lizenz GPL  und ist sogar auf der Site Sourceforge gelistet. Und genau jene Software setzen die Bot-Netz-Betreiber in einer modifizierten Version zur Steuerung ihrer Dronen [sic!] ein." Man müsste also dort nur nach "IRC" und "GPL" suchen...
Einer der Entwickler mit dem Nick dave hat sich gebrüstet, einen Konkurrenten angegriffen zu haben - sein Posting steht noch im Netz: "Apparently I have performed DoS (Denial of Service) Attacks against the one and only, lame 'IceChat'" Der Rechercheur hat den Entwickler im IRC ausfindig gemacht. Der gab zu - der Chat wurde protokolliert: "wir benutzen den Randex F Wurm das heisst wir haben ihn benutzt...es ist nur ein 72k Binary, aber er ist so mächtig wie 10 Pferde." Der Vergleich stimmt: das trojanische Pferd ist wirklich gefährlich, vor allem auch dann, wenn viele Pferde gemeinsam losgaloppieren.
Der Viren-Programmierer macht den Fehler, irgendwann mit einer real existierenden IP-Adresse unterwegs zu sein. Auf seinem Computer lief auch ein IRC-Server, auf dem die Gruppe kommunizierte. Der Rechercheur fragte dort nach, ob man ihm nicht den Zugriff auf das Randex-Botnet, also den "Pferdestall" für die Trojaner, geben könnte- Für 150 Dollar, die überweisen wurden, bekam man die Erlaubnis, die manipulierten Rechner weltweit für Werbemails zu missbrauchen. Pro Monat sollte das aber 28000 Dollar kosten!
Die c't schreibt als Fazit: "Die beschriebene Recherche liefert den ersten echten Nachweis, dass Spam-Versender und Virenschreiber profitable Allianzen schmeiden. Spekuliert wird über solcherlei Verbindungen spätetens seit dem Auftauchen von Sobig. Jener Mail-Wurm, der Mitte 2003 gewaltigen Schaden anrichtetet, sollte eigentlich jeden infizierten Rechner in einen offenen Proxy verwandeln."
Wie üblich sind auch die Kommentare der Nutzer im Heise-Forum interessant: einen derartigen Vorfall gab es schon einmal. Der damals, im Jahr 2002, betroffene Administrator der Gibson Research Corporation schrieb: "I determined that we had been attacked by 474 Windows PC's." Auf der Website werde, so kommentierte ein Heise-User, "...eine Analyse eines Trojaners beschrieben, der per IRC für DDOS Attacken und andere Aufgaben genutzt wird."
Ob aber Journalisten die Aufgabe haben, ihre Rechercheergebnisse vor der Veröffentlichung an die Ermittlungsbehörden weiterzugeben, ist zumindest strittig. Man könnte auch meinen, sie machten sich zum Büttel der Polizei.
---------------------------------------------------------------------------------------
BURKS ONLINE 26.02.2004
Alle Rechte vorbehalten.
Vervielfältigung nur mit Genehmigung des BurksVEB.
|
