Ist der Instant Messaging-Wurm tot?

Einleitung

Dieser Artikel untersucht die Entwicklung von IM-Würmern seit Anfang 2005. Der Beitrag wurde vom europäischen Standpunkt aus geschrieben, das heißt er enthält keine Informationen über IM-Würmer, die in Europa nicht sehr weit verbreitet waren. Es wird ebenfalls nicht auf das Thema Malware für bestimmte IM-Clients wie etwa ICQ eingegangen, die in Europa nicht so häufig benutzt werden.

Obwohl der erste IM-Wurm bereits 2001 auftrat, ist diese Art von Schadprogrammen erst seit Anfang 2005 tatsächlich aktuell. Bei eingehender Betrachtung dieses Zeitraums wird klar, dass zwischen den einzelnen IM-Würmern, die zu verschieden Zwecken geschrieben wurden, differenziert werden muss.

Würmer wie z.B. Sumom verursachten einen großen Aufruhr, wodurch sie in den Fokus der Medien gerieten. Sumom wurde von Cybervandalen geschrieben, die daran interessiert waren, willkürlich Schaden anzurichten, um damit Aufmerksamkeit zu erzielen. Durch diese Art von IM-Würmern entstand der Eindruck, es handle sich dabei ausschließlich um eine Domäne geltungssüchtiger Cyber-Hooligans. Doch der Schein trog: Zwei der berüchtigtsten Wurm-Familien, Bropia und Kelvir, wurden ganz speziell zur finanziellen Bereicherung geschaffen.

Bropia, Kelvir und Prex betreten das Spielfeld

Der erste Entwicklungsschritt der IM-Würmer war die Bropia-Familie, die erstamals im Februar 2005 auftauchte. Obwohl Bropia aus Programmierersicht nichts besonderes darstellt, demonstrierte der Autor, dass er es ernst meinte, indem er einen bis dato unbekannten Packer wählte. Eine frühe Version von Bropia war mit PEspin 1.1 gepackt – zu einem Zeitpunkt, als noch kein bekannter Virusscanner Unterstützung für diesen Packer anbot. Als wir bemerkten, dass der Autor von Bropia weiterhin PEspin 1.1 benutzte, ergänzten wir unsere Datenbank rasch um eine entsprechende Entpack-Technologie.

Zwei Wochen nach Erscheinen der ersten Bropia-Version stieß man auf den ersten Vertreter der Kelvir-Familie. Diese beiden Familien sind sich sehr ähnlich, weisen jedoch einen entscheidenden Unterschied auf: Zwar enthalten beide ein IRCBot-Programm, und ihr Hauptzweck besteht in der Installation dieses Programms. Doch während Bropia als einzelne Datei auftritt, die den IM-Wurm mit dem eingebetteten IRCBot-Programm enthält, erscheint Kelvir üblicherweise als selbstextrahierendes RAR-Archiv mit zwei separaten Files: Dem IM-Wurm und dem IRCBot-Programm. Da die IRCBot-Programme meist zur Installation von AdWare verwendet werden, haben sich die Virenschreiber vermutlich eine goldene Nase verdient, da sie erhielten Zahlungen für jedes einzelne auf Opfer-Geräten installierte AdWare-Programm.

Bropia, Kelvir und Prex verbreiten sich via MSN Messenger als Links zu Dateien, die sich auf einem (HTTP)-Server befinden. Frühe Versionen von Bropia und Kelvir wurden regelmäßig auf niederländischen Servern platziert. Da die Holländer weltweit zu den eifrigsten MSN-Nutzern zählen und sich damals der von IM-Würmern ausgehenden Sicherheitsrisiken praktisch nicht bewusst waren, entstanden einige größere, lokale Ausbrüche.

Die dritte hier erwähnte Familie, Prex, basiert auf einem Bropia/Kelvir-Code. Laut Virusklassifizierung von Kaspersky Lab handelt es sich bei solchen Programmen nicht um Würmer, sondern um Trojaner. Da Prex sich über einen Link zu einem IRCBot-Programm verbreitete, wurden diese Schadprogramme ursprünglich nicht als IM-Würmer, sondern als Trojaner-IM klassifiziert. Da Dateien auf Webservern jedoch jederzeit modifizierbar sind, entschied man sich schließlich, dieses Schadprogramm als IM-Wurm einzustufen. Die Debatte darüber, ob ein Schadprogramm, dass sich via IM verbreitet, tatsächlich ein Wurm ist oder eher ein Trojaner, hält jedoch an.

Bropia, Kelvir und Prex ähneln einander sehr, so dass es mithilfe der Kaspersky-Signatur IM-Worm.Win32.Prex.d gelang, einige Dutzend Vertreter dieser Familien zu enttarnen.

Eine gesellschaftliche Revolution – IM-Würmer und Social Engineering

Die ersten IM-Würmer verwendeten primitive Tricks und nutzten einfach gehaltene Methoden des Social Engineering, um Anwender zu veranlassen, einen mitgeschickten Link anzuklicken. Meist handelte es sich um Dateinamen mit einer .scr- oder .pif-Erweiterung. Die Datei, beziehungsweise der Link, suggerierten humorvolle oder erotische Inhalte, gern bedienten sich die Virenschreiber dabei beispielsweise der Person von Paris Hilton.

Die von Kaspersky Lab gesammelten Daten belegen ganz eindeutig, dass Würmer mit einer .pif-Erweiterung wesentlich stärkere Ausbrüche verursachten, als solche mit einer .scr-Erweiterung. Dies könnte darauf zurückzuführen sein, dass viele User diese Dateien als Grafik-Dateien mit gif- oder tiff-Erweiterung missdeuteten. Die Virenschreiber verwendeten also bewusst .pif-Erweiterungen, da diese eine höhere Effizienz versprachen. Würmer mit .scr-Erweiterungen verschwanden dennoch nicht vollständig. Immer mehr und stärkere Ausbrüche hatten eine sinkende Effizienz der IM-Würmer zur Folge, da sich die Nutzer der Gefahren mehr und mehr bewusst wurden und Infektionen zu vermeiden wussten. Also waren die Angreifer gezwungen, sich neue Social-Engineering-Tricks auszudenken.

Die Virenschreiber begannen, die Links zusätzlich mit Botschaften zu verschicken, um sie wahrheitsgetreuer erscheinen zu lassen. Dies erwies sich als sehr effektiv, wie die steigende Zahl von Berichten betroffener Nutzer zeigte. Noch wirksamer war jedoch ein weiterer Schritt der Virenschreiber: Im April 2005 entdeckte Kaspersky Lab die ersten Kelvir-Versionen, die sich über einen Link verbreiteten, der zu einem serverunterstütztem PHP-Script führte. PHP wird hauptsächlich zum Erstellen dynamischer Webinhalte und serverseitiger Applikationen eingesetzt. In diesem Fall kann jedoch ein Client – hier der ahnungslose Nutzer – dem Server Daten zur Verarbeitung zuleiten.

Beispiel:

[server]/pictures.php?email=[Email-Anschrift]

Pictures.php ist in diesem Beispiel das auf dem Server laufende PHP-Script. Die Angaben nach dem Fragezeichen sind die Daten, die durch das PHP-Script bearbeitet werden sollen. Was dann passiert, hängt davon ab, was im Script hinterlegt wurde. Bei IM-Würmern werden üblicherweise die E-Mail-Adressen für weiteren Spamversand in einer Datenbank gespeichert und der Nutzer erhält einen .exe-Datei-Download – den eigentlichen IM-Wurm.

In unserem Beispiel verbreitet sich Kelvir.k als Link an [server]/pictures.php?email=[Email-Anschrift des Empfängers]. Auch hier kommen also Social Engineering-Techniken zum Tragen. Denn erstens sieht dieser Link gar nicht wie ein ausführbares Programm aus – der Empfänger ist also eher geneigt, den Link anzuklicken. Durch dieses Anklicken wird es möglich, die E-Mail-Adresse des Empfängers zu speichern – auch dann, wenn dieser das zum Download angebotene Programm gar nicht ausführt. Zweitens wird die Nachricht durch die E-Mail-Adresse personalisiert, was der Schlüssel zum erfolgreichen Social Engineering ist. Drittens führt der Link scheinbar zu einer Fotogalerie auf dem Server.

Kurz nach Kelvir.k wurde eine Kelvir-Version mit Chatbot-Funktion entdeckt. Dieser Wurm benutzte feste Redewendungen zum Small Talk mit dem potentiellen Opfer, bevor er den Link verschickte.

Die Methode, einen .php-Link zu verschicken, war und ist bei den IM-Wurm-Autoren jedoch nach wie vor die beliebteste, vermutlich deshalb, weil sie als die effektivste angesehen wird. Da php-Links eine Menge Variablen bieten, ist es für die Virenschreiber eine einfache und unter dem Gesichtspunkt des Social Engineering unerschöpfliche Methode.

Soweit zur fortgeschrittenen Nutzung des Social Engineering in der Entwicklung von IM-Würmern bei MSN.

AOL Instant Messenger

Im ersten Halbjahr 2005 zeigte sich, dass es die Virenschreiber in erster Linie auf MSN abgesehen hatten, da dadurch ein Maximum an Usern infiziert werden konnten. Aufgrund dieser Ausrichtung entwickelten sich Schadprogramme für andere IM-Clients weniger zielgerichtet, so dass die ersten zu erwartenden Entwicklungsschritte mehr oder weniger übersprungen wurden.

Ein bedeutender Faktor beeinflusste die Entwicklung von Malware für andere IM-Clients: Das HTML-Parsing (Syntaxanalyse). Clients wie AIM unterstützen HTML-Parsing grundsätzlich, was den Virenschreibern, die sich des Social Engineerings bedienen, eine Menge an Möglichkeiten eröffnet. So lässt sich aus HTML-Parsing sehr leicht Kapital schlagen, indem man falsche Links/URLs erstellt, die den Nutzer dazu verleiten, sie anzuklicken. Betrachtet man die große Anzahl der AIM-Nutzer insbesondere in den USA, haben sich die Virenschreiber damit ein ganz neues, potentiell enorm einträgliches Betätigungsfeld erschlossen.

Einer der drei Hauptgründe dafür, dass MSN vernachlässigt wurde und die Virenschreiber sich auf AIM verlegt haben, liegt wohl darin, dass MSN kein HTML-Parsing unterstützt. Ein weiterer Grund besteht darin, dass es nicht sehr viele Anwender gibt, die gleichzeitig MSN und AIM nutzen. Der dritte und unseres Erachtens entscheidende Grund ist aber wohl der, dass es für die Virenschreiber mittlerweile recht einfach ist, AIM-Nutzer auszutricksen, es gleichzeitig aber wesentlich schwieriger geworden ist, die Nutzer von MSN hinters Licht zu führen. Nicht etwa, weil die MSN-Nutzer-Community achtsamer geworden wäre, sondern weil MSN selbst einige durchschlagenden Schutzmaßnahmen in die Wege geleitet hat.

So blockiert MSN beispielsweise bereits auf Netzwerk-Ebene sämtliche Nachrichten mit .pif-Erweiterung. Dasselbe gilt für Nachrichten mit den Erweiterung „gallery.php“ oder „download.php“. Zusätzlich zu den genannten Sicherheitsmaßnahmen sind neuere Versionen des MSN-Messenger so aufgebaut, dass Dateien mit potentiell gefährlichen Erweiterungen wie .pif, .scr usw. abgewiesen werden.

Sicher gibt es weitere IM-Wurm-Familien, die darauf abzielen, das AIM-Netzwerk zu schädigen, doch sind diese gegenwärtig offensichtlich von geringerer Bedeutung. Dies trifft beispielsweise auf den IM-Wurm Win32.Opanki zu, der zwar recht weit verbreitet ist, dessen IRCBot-Funktionalität aber lediglich auf das Herunterladen von Dateien beschränkt ist.

Unsichtbare IM-Würmer

Zwar entdeckte Kaspersky Lab im Mai 2005 erstmals IM-Würmer, die sich der Rootkit-Technologie bedienten, um ihre Aktivität zu verschleiern, doch bezieht sich dieser Abschnitt auf ein etwas anderes Problem.

Einer der auffälligsten Unterschiede zwischen Schadprogrammen, die sich über MSN bzw. AIM verbreiten, besteht darin, dass der MSN-Wurm selbst üblicherweise eine separate Komponente oder Datei darstellt. Bei Schadprogrammen, die sich über AIM verbreiten, ist die Funktionalität in der Regel in das Schadprogramm integriert – die Ausbreitungsprozedur ist gegenüber der maximalen Payload häufig zweitrangig. Einige Schadprogramme, die sich über MSN verbreiten, verhalten sich ähnlich: So verfügen beispielsweise einige Mytob-Versionen über eine Komponente, die sich über IM ausbreitet und als Mytob aufgespürt wird. Dennoch verbreitet sich eine größere Anzahl an Schadprogrammen über AIM. Eine der markantesten Familien ist Backdoor.Win32.Aimbot, ein typisches Beispiel eines via AIM verbreiteten IRCBot-Programms.

Zudem existieren eine Menge SdBots und Rbots, deren Fähigkeit, sich über AIM zu verbreiten, lediglich eine Unterfunktion darstellt. Auch einige Trojaner-Programme der Klasse Downloader, wie etwa die Banload-Familie, verfügen über ähnliche Funktionen.

Aufgrund dieser Vermischungen ist es schwierig, sich ein genaues Bild über die Anzahl der Schadprogramme zu machen, die sich tatsächlich via AIM verbreiten. Eines jedoch ist klar: Sehr viel mehr der im Umlauf befindlichen Malware ist in der Lage, sich über AIM zu verbreiten, als es auf den ersten Blick scheinen mag.

Welche Überlegungen liegen dieser Differenzierung zugrunde?

Fast alle MSN-Wurm-Codes sind immer noch in Visual Basic erstellt, während die meisten via AIM verbreiteten Schadprogramme in C geschrieben sind. Codes in C können auch durch unerfahrene Virenschreiber sehr effektiv gekürzt und in einen Quellcode für ein IRCBot-Programm umgeschrieben werden, ohne ihre Funktionalität zu beeinträchtigen, da alle gängigen Open-Source-IRCBots in dieser Sprache geschrieben sind. Dieser Pool an fertigen Codes führt eben besagtem Anstieg an Schadprogrammen, die sich über AIM verbreiten.

Technische Entwicklung

Weiter oben haben wir bereits die technische Entwicklung von IM-Würmern angesprochen. Dabei sind jedoch einige weitere Aspekte von Interesse. So stellte Kaspersky Lab im Mai 2005 fest, dass einige IM-Würmer weitere Funktionen erhalten hatten: Bropia.ad verfügte nunmehr unter anderem über die Fähigkeit, sich über P2P zu verbreiten; das Paket des IM-Wurms.Win32.Kelvir.bm enthielt ein Rootkit.

IM-Wurm/Backdoor-Pakete wie Kelvir und Bropia sind allerdings nicht mehr so häufig, denn offenbar hielten es die Malware-Autoren aus einer Reihe von Gründen für notwendig, sie voneinander zu trennen.

Folgendes Szenario ist gegenwärtig realistisch vorstellbar: Ein Nutzer erhält über den Instant Messenger einen Link. Er klickt ihn an und gelangt entweder auf eine Webseite, die ein Exploit enthält, über den das Schadprogramm automatisch auf dem Gerät des Opfers installiert wird, oder er wird aufgefordert, eine .exe-Datei (das IRCBot-Programm) herunterzuladen und/oder es auszuführen. Wird das Backdoor-Programm ausgeführt, so lädt es den IM-Wurm entweder automatisch herunter oder es erhält einen Befehl via IRC-Channel, die Datei downzuloaden.

Diese Würmer sind Kelvir nach wie vor sehr ähnlich, allerdings mit einem entscheidendem Unterschied: Sie verbreiten sich nur auf Anweisung. Der Wurm verbreitet sich also nur dann, wenn der IRC-Operator (der Bot-Master) einen bestimmten Befehl im Channel oder an ein bestimmtes Opfer-Gerät erteilt. Dabei verbreitet sich der Wurm nicht als Link zu sich selbst, sondern zum Backdoor-Programm.

Diese Vorgehensweise bietet den Wurmschreibern mehrere Vorteile:

  • Wenn ein Download-Befehl über einen IRC-Channel erfolgt, so ist es nur noch eine Frage der Zeit, bis Sicherheitsexperten die Dateien erhalten. Diese kontaktieren dann den Provider der Website mit den schädlichen Dateien und bitten ihn, die Seite aus dem Netz zu entfernen. Sobald der Bot-Master erkennt, dass seine Webseite entfernt wurde, kann er die schädliche Datei auf einen anderen Server hochladen und den Download-Link verändern, mit dem die IRCBot-Programme gespeist werden. Damit kann das Botnet weiter wachsen.
  • Für die Antivirus-Hersteller wird es möglicherweise schwieriger, sich ein Muster des IM-Wurms zu beschaffen, wodurch sich Erstellen und Release von Signaturen eventuell verzögern.
  • Der wesentliche Grund aber ist, dass auf diese Weise die Größe eines Botnets kontrolliert werden kann. Frühere Kelvir-Versionen verbreiteten sich unkontrolliert. Werden nun aber nur ein oder zwei IRCBots instruiert, sich zu verbreiten, wird eine größere Epidemie, die die Antivirus-Unternehmen, Rechtsschutzorgane und Medien auf den Plan rufen könnte, mit hoher Wahrscheinlichkeit ausbleiben.

Einige Versionen von Kelvir und Opanki sind in der Lage, Dynamic Messages und/oder Download-Links zu versenden. Das heißt, der Botmaster hat die volle Kontrolle über die Inhalte, die der IM-Wurm versendet. Dies ist bereits mehr oder weniger Standard bei Backdoors, die sich über AIM verbreiten.

Im Januar 2006 entdeckte Kaspersky Lab schließlich IRCBot.lo.

Dabei handelt es sich nicht nur um ein Schadprogramm, das in der Lage ist, Links an eine große Zahl von IM-Netzwerken zu versenden, es ermöglicht zusätzlich auch eine variable Gestaltung der Nachricht und des Download-Links. Diese Funktionalität gilt als bisher höchste Entwicklungsstufe der Funktionalität von IM-Würmern.

Schlussfolgerungen

In den meisten Fällen ist ein IM-Wurm nicht als separates Schadprogramm zu sehen, sondern als Medium zur Verbreitung von IRCBot-Programmen. Seit dem ersten Auftreten von IM-Würmern gab es bedeutende Veränderungen hinsichtlich der Verbreitungsmethoden, der Ausgereiftheit der verwendeten Codes sowie der attackierten IM-Netzwerke. Dynamic Messages helfen zudem, den Lebenszyklus der Schadprogramme und der Botnets zu verlängern, während es den Malware-Autoren gelingt, durch eine kontrollierte Verbreitung unerwünschte Aufmerksamkeit zu vermeiden.

Das Auftreten von IRCBot.lo hat gezeigt, das IM einen Infektionsweg darstellt, der noch längst nicht ausgeschöpft ist. Zudem ist dieser Code leicht zu kopieren, was zu einem entscheidenden Anstieg von IRCBot-Programmen und damit zu einer massenhaften Verbreitung von Links quer durch alle wichtigen IM-Netzwerke führen kann. Es erscheint also wahrscheinlich, dass wir in der nahen Zukunft verstärkt von weiteren attackierten IM-Netzwerken hören werden.
Die Fähigkeit, sich über den Instant Messenger zu verbreiten, ist eine Funktion, die von den Malware-Autoren auch in Zukunft zweifellos als Teil eines Multifunktions-IRCBot-Programms benutzt werden wird. Langfristig gesehen, werden zielgerichtete Schadprogramme, die sich nur über IM verbreiten (also frühe Versionen von IM-Würmern), aber wohl nach und nach aussterben.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.