Report: Der Sturmwurm – die Evolution der Malware

DoS-Attacken zur Verteidigung

Das Storm-Konzept stellt die Anti-Virus-Industrie vor zahlreiche Herausforderungen. Da die zentralen Server fehlen und jeder infizierte Rechner ein Kommandoknoten werden kann, reicht es nicht, einzelne Storm-Rechner zu identifizieren und vom Netz zu nehmen. Das System organisiert sich in diesem Fall einfach neu. Auch fallen infizierte Rechner nicht so leicht auf, da Storm versucht, möglichst versteckt zu bleiben.

Eine weitere Besonderheit ist die Payload, also der eigentlich übertragene Schadcode. Laut Mikko Hyppönen, Chef-Anti-Virenforscher bei F-Secure, verändert sich die Payload ständig. Sowohl Inhalte als auch Prüfsummen unterscheiden sich, was eine Signatur-basierte Erkennung erschwert. Um ein Muster zu erkennen, benötigen die Forscher also möglichst viele Pakete mit dem Schadcode. Wenn sie allerdings zu viele Pakete herunterladen, schlägt Storm zurück

Denn die einzelnen Knoten können erkennen, von welcher IP die Payload geladen wird. Kommen zu viele Anfragen von dieser Adresse, vermutet der Client ein Anti-Virus-Labor hinter dem Downloader und leitet, ebenfalls einzigartig, direkte Gegenmaßnahmen ein. Der Bot-Rechner startet eine Denial-of-Service-Attacke gegen den Downloader. Schlimmer noch: Er teilt die Information allen mit ihm verbundenen Bots mit, die nun ihrerseits ebenfalls DoS-Angriffe gegen die IP fahren. Auf diese Weise sorgte Storm beispielsweise im September 2007 dafür, dass Sicherheits-Webseiten wie 419eaters.com, Scamwarners oder spamhouse.org nicht mehr erreichbar waren.