c't ENTHÜLLT: VIRENSCHREIBER LIEFERN SPAM-INFRASTRUKTUR

Die Spam-Mafia Teil 1

Von Burkhard Schröder

Die aktuelle Ausgabe der c't, Ausgabe 5/2004, enthält einen gut recherchierten Artikel: "Ferngesteuerte Spam-Armeen". Thema: Viren-Programmierer liefern die Infrastruktur für Spam - unerwünschte Werbung. Da der Artikel aber für Computer-Laien eher unverständlich ist, fassen wir hier die wichtigsten Aussagen volkstümlich und pädagogisch wertvoll zusammen. Und ein paar klitzekleine Links sollten bei einem Internet-Thema auch nicht fehlen.

Wie bringt man als Viren-Programmierer einen fremden Rechner in seine Gewalt? Ganz einfach: man verschickt Attachments, Anhänge von E-Mails. Die übergroße Mehrheit aller Internet-NutzerInnen ist absolut beratungsresistent, wenn es um Sicherheit geht. Man öffnet Attachments, wenn nur der vermeintliche Inhalt interessant genug erscheint. Britney_Spears_Blowjob_movie.exe, als Dateianhang versandt, lässt den männlichen User offenbar automatisch das Gehirn abschalten und sich einen/etwas herunterholen. Und dann exekutiert die exe den Rechner. Deswegen heisst sie auch so.

Beispiel im oben erwähnten Artikel: ein Rechner war vom Virus BDS/IRCBot.V befallen. Die Datei, die den Rechner manipulierte, hieß netd32.exe. Es handelte sich um den W32/Sluter-BWurm: "...fungiert W32/Sluter-B als IRC-basierter Backdoor-Trojaner, der einem Remote-Eindringling uneingeschränkten Zugriff auf den betroffenen Rechner gibt." Der Virus arbeitet als so genannten IRC-Bot.

Das hört sich kompliziert an - und ist es auch. Aber trotzdem kann jeder verstehen, wie das Prinzip funktioniert: ein "trojanisches Pferd", das einem Virus entschlüpft ist, erlaubt den Zugriff von aussen. Das "Pferd" muss nur vorher ein paar Türen öffnen. Jeder Computer hat davon viele - für jede Art der Datenübertragung (englisch: protocol). Im World Wide Web werden die Bits und Bytes anders transportiert als etwa im Internet Relay Chat. Unser böses "Pferd" ist auf IRC spezialisiert: es kommuniziert mit einem fremden Rechner, einem IRC-Server, und meldet sich dort unter einem vorprogrammierten Namen in einem bestimmten "Kanal" (channel) an. Der Inhaber des channels kann jetzt mit bestimmten Befehlen alle Dateien auf den infizierten Rechner überspielen.

Zweiter Schritt: das trojanische "Pferd" startet einen Angriff auf einen weiteren Rechner, dessen genaue Adresse (IP-Adresse) es kennt - eine so genannten SYN-Flooding-Attacke. Das geht - bildlich gesprochen - so: Der Einbrecher klingelt an der Tür. Das Opfer öffnet die Tür und sagt "hallo". Aber der Einbrecher hat sich versteckt - und das Opfer lässt die Tür geöffnet.

In Computer-Chinesisch (1): "Der Angreifer-Client sendet SYN, der Opfer-Server antwortet mit SYN-ACK, aber der Client bestätigt nicht mit ACK. Solange diese Bestätigung fehlt, ist die Verbindung also halboffen. Bei einer gewissen Anzahl von halboffenen Verbindungen ist der Server nicht mehr in der Lage, neue Verbindungen anzunehmen." Diese Art Angriff auf fremde Rechner ist eine Teilmenge der Denial-of-Service-Attacken, die fremde Computer so mit Anfragen überfluten, dass diese irgendwann ihren digitalen Geist aufgeben.

Jetzt geht es richtig los. Nachdem die Tür nicht mehr geschlossen wird, kann der Einbrecher auch ins Schlafzimmer. Der Bot oder das "Pferd" lädt die Datei winsock32.exe. Der Besitzer des Rechners merkt von alledem gar nichts. Die sehr böse executable installiert einen so genannten "offenen Socks-Proxy". Socks-Proxies wirken wie eine Tarnkappe: sie leiten alle Arten von Daten (alle IP-Protokolle) weiter, verraten aber nicht, an wen und auch nicht dessen IP-Adresse.

Wenn es also einem Spammer, einem Versender unerwünschter Werbe-Mails, gelänge, einen derartigen Proxy zu installieren, könnte er den fremden Rechner nutzen, also über alle Arten der Datenübertragung verfügen, aber der Weg zu ihm selbst wäre nicht nachzuvollziehen. Erschwerend kommt hinzu, dass der Besitzer des infizierte Rechners keine Ahnung davon hat, wozu sein Gerät missbraucht wird. Um das zu tun, müssen die Einbrecher natürlich immer darüber Bescheid wissen, welche IP-Adresse der übernommene Rechner gerade zugeweisen bekommen hat. Auch hier enthielt der im c't-Artikel analysierte Virus ein Skript, das zunächst die aktuelle Adresse in eine Datei schrieb und diese dann versendete. Der Zielrecher hatte einen DynDNS-Namen, wechselte seine IP-Adresse daher ständig. Der Rechercheur der c't loggte sich per Telnet in den Rechner ein und fand schnell heraus, dass der Host zeitweilig über 11000 fremde Computer infiziert, also in seiner Gewalt hatte. Damit hätte man eine Denial-of-Service-Attacke starten können, die die Mehrheit der Server im Internet ins Nirwana geschickt hätte.

Teil II.

(1) Die beste Erläuterung ist beim BSI zu finden: " Syn Flooding: Zu Beginn eines Verbindungsaufbaus wird in TCP/IP basierten Netzen ein sogenannter Handshake durchgeführt. Dabei werden so genannte SYN - und ACK -Datenpakete ausgetauscht. Bei einem SYN-Flooding-Angriff werden an ein Computersystem sogenannte SYN-Pakete geschickt, die anstatt der eigenen Absenderadresse eine gefälschte im Internet erreichbare IP-Adresse tragen. Das angegriffene Computersystem versucht nun auf die SYN-Pakete mit SYN-ACK-Paketen zu antworten. Aber weil die Absenderadresse des ersten Paketes gefälscht war, kann das System unter dieser Adresse nicht den Computer erreichen, der eine Verbindung zu ihm aufbauen wollte. Erst nach einer gewissen Zeit werden die Verbindungsversuche von Seiten des angegriffenen Systems aufgegeben. Wenn nun eine große Anzahl von gefälschten SYN-Paketen eintrifft, verbraucht der angegriffene Rechner alle seine Verbindungskäpazitäten auf das hoffnungslose Versenden von SYN-ACK-Paketen und ist somit von anderen Systemen aus nicht mehr zu erreichen."

---------------------------------------------------------------------------------------

BURKS ONLINE 26.02.2004
Alle Rechte vorbehalten.
Vervielfältigung nur mit Genehmigung des BurksVEB.