Neuer Wurm Novarg - neue globale Epidemie

Eine solch ausbruchartige Aktivität einer Malware deutet mit ziemlicher Sicherheit darauf hin, dass sich die Viren-Autoren gut vorbereitet haben. Die Vorbereitung umfasste auch die Erstellung eines Netzwerks von infizierten Rechnern. Sobald eine 'kritische Anzahl' infizierter Rechner erzielt worden war, erging ein zentralisierter Befehl an dieses Netzwerk zum Versand von Novarg. Eine solche Technologie wurde bereits früher vom eMail-Wurm Sobig.F verwendet. Eine genaue Analyse des Verbreitungsgebiets läßt darauf schließen, dass Novarg in Russland geschrieben worden ist. Prophylaxe, Diagnose und Schutz Novarg verbreitet sich auf zwei Arten über das Internet; via eMail sowie über das P2P-Netzwerk KaZaA. Die infizierten eMails haben eine zufällig gewählte Absenderadresse, 8 Varianten des Betreffs, 4 Varianten des Textkörpers, 18 mögliche Dateinamen sowie 5 Varianten der Erweiterungen der angehängten Dateien. Zudem verbreitet sich der Wurm mit ziemlicher Wahrscheinlichkeit über eMails mit einer zufälligen sinnlosen Abfolge von Zeichenen in Betreff, Textkörper sowie Namen der angehängten Datei. Diese Variabilität in den äußerlichen Erkennungsmerkmalen erschwert den Anwendern eine eindeutige Identifikation von infizierten eMails. Im KaZaA-Netzwerk treibt Novarg unter verschiedenen Namen (z.B. winamp5, icq2004-final) und verschiedenen Erweiterungen (bat, exe, scr, pif) sein Unwesen. Wenn der Anwender unvorsichtig genug war, eine infizierte Datei zu starten, die er in einer eMail erhalten oder vom KaZaA-Netzwerk heruntergeladen hatte, beginnt der Wurm seine Prozedur zum Eindringen in den Rechner und zu seiner weiteren Verbreitung. Gleich nach dem Starten öffnet Novarg die Anwendung Notepad und läßt eine Zufallsabfolge von Zeichen erscheinen. Gleichzeitig erstellt er im Windows-Systemverzeichnis zwei Dateien unter den Namen TASKMON.EXE (Wirtsdatei des Wurms) sowie SHIMGAPI.DLL (Trojaner-Komponente zur unautorisierten entfernten Verwaltung des Rechners) und registriert sie Im Windows-Startverzeichnis. Dadurch wird die Malware bei jedem Neustart des Rechners aktiviert. Novarg startet dann die Prozedur zu seiner weiteren Verbreitung. Zum Versand über eMails durchsucht er die Festplatte (Dateien mit den Erweiterungen HTM, WAB, TXT u.a.) nach eMail-Adressen und verschickt, vom Besitzer des Rechners unbemerkt, infizierte eMails an diese. Außerdem überprüft der Wurm, ob der Rechner an das KaZaA-Netzwerk angeschlossen ist und kopiert sich in das öffentlich zugängliche File-Share-Verzeichnis. Novarg verfügt über sehr gefährliche Payloads. Erstens installiert er auf dem infizierten Rechner ein Proxy-Server-Modul, das später Übeltäter zum Versand von Spam oder zur Installation neuer Malware-Versionen nutzen können. Zweitens wird ein Backdoor-Programm (Utility zur unautorisierten entfernten Verwaltung) auf dem Rechner installiert. Dadurch erlangen die Viren-Autoren eine vollständige Kontrolle über den Rechner und können Daten ausspionieren, löschen und verändern, Programme installieren usw. Drittens ist in Novarg eine Funktion zur Durchführung von DoS-Attacken auf die Web-Seite www.sco.com angelegt. Die Funktion wird vom 1.-12. Februar 2004 aktiv. In diesem Zeitraum verschicken alle infizierten Rechner Anfragen an diese Web-Seite, was zu deren Zusammenbruch führen kann. "Die Gefahr einer Kombination von Viren- und Spam-Technologien sowie die Erstellung eines gemeinsamen zweckgerichteten Netzwerks von Cyber-Verbrecher wird Realität. In den ersten beiden Tagen dieser Woche haben wir gleich zwei Schadprogramme entdeckt, welche diese Technologie einsetzen," meint Eugene Kaspersky, Leiter der Anti-Viren-Forschung von Kaspersky Labs. "Bereits in nächster Zukunft kann dieses Problem eine neue Etappe in der Computer-Viren-Forschung bedeuten, welche im Zeichen von immer tückischeren und häufigeren Epidemien steht."