Die Art und Weise, wie sich ein Netzwerkwurm verbreitet, mit Hilfe welcher Methoden er seine Kopie an entfernte Computer weitergibt, verdeutlicht, wie sich die verschiedenen Netzwerkwürmer voneinander unterscheiden. Auch nach der Art der Installation auf dem infizierten Computer, nach der Eindring-Methode, sowie nach Merkmalen, die auch anderen Schadprogrammen zueigen sind: wie z.B. dem Polymorphismus und der 'Tarnkappen'-Methode kann man die Netzwerkwürmer klassifizieren.
Zu dieser Wurmkategorie gehören diejenigen Würmer, die sich über elektronische Post verbreiten. Dabei schickt der Wurm seine Kopie entweder als Anhang an den elektronischen Brief, oder einen Link auf seine Datei, die sich auf einer beliebigen Netzressource befindet (z.B. URL auf die infizierte Datei, die sich auf einer bereits attackierten oder gehackten Webseite befindet).
Im ersten Fall wird der Wurm-Code beim Öffnen Start) des infizierten Anhangs aktiviert, im zweiten - beim Klicken auf den Link, der zur infizierten Datei führt. In beiden Fällen ist der Effekt derselbe - es wird der Wurm-Code aktiviert.
Zum Absenden infizierter Nachrichten nutzen die Postwürmer verschiedene Methoden. Im Folgenden nennen wir die häufigsten:
den direkten Anschluss an den SMTP-Server, indem die in den Wurmcode eingebaute Post-Bibliothek benutzt wird,
Nutzung des MS-Outlook-Service
Nutzung der Windows-Funktion MAPI.
Für die Suche nach Postadressen, an die die infizierten Briefe verschickt werden, nutzen die Postwürmer verschiedene Methoden. Postwürmer:
senden sich selbst an alle Adressen, die Sie im MS-Outlook-Adressbuch gefunden haben,
zählen die Adressen der WAB-Adress-Datenbank,
scannen die 'passenden' Dateien der Festplatte und heben die Zeilen hervor, die E-Mail-Adressen darstellen,
senden sich selbst an alle Adressen, die sie in den Briefen aus der Mailbox gefunden haben (wobei einige der Postwürmer in der Mailbox gefundene Briefe 'beantworten').
Viele Würmer nutzen mehrere der aufgezählten Methoden zugleich. Es existieren darüber hinaus weitere Methoden der Suche nach E-Mail-Adressen.
Die bekannten Computerwürmer dieses Typs nutzen als einzige Verbreitungsmethode den Versand an die in der Kontaktliste aufgefundenen Kontakte, und zwar derjenigen Nachrichten, die einen URL auf eine Datei enthalten, die sich auf irgendeinem Webserver befindet - praktisch wird fast vollständig eine Methode wiederholt, die analog von Postwürmern angewendet wird.
IRC Worms - Würmer in den IRC-Kanälen
Dieser Wurm-Typ nutzt zwei Verbreitungsmöglichkeiten über die IRC-Kanäle, die den Postwürmern ebenfalls ähneln und oben bereits beschrieben sind. Das sind zum Einen das Absenden eines URL-Links auf die Wurmkopie, und zum Zweiten - der Versand der infizierten Datei an irgendeinen Internetanwender. Dabei muss der attackierte Anwender den Empfang der Datei bestätigen, sie dann auf der Festplatte speichern und anschließend öffnen (zum Starten der Ausführung des Wurms).
Es existieren weitere Methoden zur Infektion entfernter Computer, z.B.:
Kopieren des Wurms auf die Netzressourcen;
Eindringen auf den Computer über Schwachstellen im Betriebssystem und Dienstprogrammen;
Eindringen in die Netz-Ressourcen zur öffentlichen Nutzung;
Schaden bringen für andere Schadprogramme.
Die erste Methode bedeutet: der Wurm sucht entfernte Computer und kopiert sich in die Verzeichnisse, die zum Lesen und Schreiben geöffnet sind. Entweder sortiert der gegebene Wurm dabei die zugänglichen Netz-Verzeichnisse, indem er die Funktionen des Betriebssystems nutzt, und/oder er sucht nach Computern, die sich zufällig gerade im globalen Netz befinden, schließt sich an sie an und versucht, ihre Festplatten zum vollständigen Zugang zu öffnen.
Zum Eindringen entsprechend der zweiten Methode suchen die Würmer im Netz nach Computern, auf denen Programme installiert sind, die kritische Schwachstellen enthalten. Zur Infizierung der angreifbaren Computer schickt der Wurm ein spezielles Datenpaket oder ein Schwachstellen-Exploit, wodurch der Schadcode (oder ein Teil des Codes) in den Opfer-Computer eindringt. Wenn dieses Netzpaket nur einen Teil des Wurm-Codes enthält, so lädt dieser im Anschluss die Hauptdatei aus dem Internet und startet somit den Wurm zu seiner Ausführung.
Eine Extra-Kategorie bilden Würmer, die zu ihrer Verbreitung Web- oder FTP-Server nutzen. Die Infizierung erfolgt über zwei Etappen. Zuerst dringt der Wurm in die Computer-Server und modifiziert auf erforderliche Art die Dienstdateien des Servers (z.B. die statischen Webseiten). Danach 'wartet' der Wurm auf Besucher, die bestimmt Informationen vom infizierten Server abfordern (öffnen z.B. infizierte Web-Seiten), und so dringt der Wurm auf andere Computer im Netz.
Es gibt Netzwürmer, die parasitär auf andere Würmer und/oder remote Trojaner-Programme (Backdoors) wirken. Diese Würmer nutzen den Fakt, dass viele Backdoors zulassen, auf Kommando eine bestimmte Datei zu laden und diese dann auf der lokalen Festplatte zu starten. Dasselbe ist mit einigen Würmern möglich, die Backdoor-Prozeduren enthalten. Zur Infektion der entfernten Computer suchen die gegebenen Würmer im Netz andere Computer und schicken auf diese ein Kommando zum Herunterladen und Starten ihrer Kopie. Wenn der attackierte Computer schon durch einen 'passenden' Trojaner infiziert ist, dringt der Wurm in ihn ein und aktiviert seine Kopie.
Wir müssen anmerken, dass viele Computerwürmer häufig nicht nur eine Verbreitungsmethode sondern mehrere verschiedene Methoden anwenden.
Der Arbeitsmechanismus der Mehrheit dieser Würmer ist ziemlich einfach - zum Eindringen in ein P2P-Netz muss sich der Wurm lediglich in das Verzeichnis zum Datei-Austausch kopieren, das sich gewöhnlich auf der lokalen Maschine befindet. Alle andere Arbeit zur Verbreitung des Virus übernimmt das P2P-Netz: während der Suche nach Dateien im Netz benachrichtigt es die entfernten Anwender über diese Datei und stellt den gesamten erforderlichen Service zum Herunterladen der Datei vom infizierten Computer.
Es existieren komplizierte P2P-Würmer, die das Netz-Protokoll eines konkreten Datei-Austausch-Systems imitieren und auf Suchanfragen antworten - dabei bietet der Wurm seine eigene Kopie zum Herunterladen an.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt