Microsoft irrt sich

Sturm-Bots wachsen weiter und bleiben aktiv

Sicherheitsexperten können Microsofts Meinung, nach der das Storm-Botnetz besiegt sein soll, nicht nachvollziehen. Microsoft hatte behauptet, das Malicious Code Removal Tool hätte die Sturm-Bande zur Aufgabe gezwungen.

Jimmy Kuo, Vordenker des Anti-Malware-Teams von Microsoft, hat für sein Unternehmen den Anspruch erhoben, den so genannten Sturm-Wurm praktisch im Alleingang besiegt und die Betreiber des Sturm-Botnets zur Aufgabe gezwungen zu haben. Dem widersprechen Malware-Forscher anderer Unternehmen, etwa Paul Ferguson vom Antivirus-Hersteller Trend Micro. Die Sturm-Wurm-Bande habe ihre Aktivitäten aufgeteilt, um der Aufmerksamkeit zu entgehen und expandiere weiter.

Jimmy Kuo hatte angegeben, Microsofts Malware Removal Tool (MRT) habe von September bis Dezember 2007 mehr als eine halbe Million Zombie-PCs des Sturm-Botnets desinfiziert. Die Sturm-Wurm-Bande habe daher schließlich aufgegeben. Ferguson gesteht Microsoft zwar zu, einen gewissen Erfolg gegen das Sturm-Botnet erzielt zu haben, jedoch seien dessen Betreiber weit davon entfernt, aufzugeben. Man habe erst in den letzten Tagen wieder Spam-Kampagnen der Sturm-Wurm-Bande beobachtet, die dem Ausbau ihres Botnets dienten.

Jamz Yaneza, der den Sturm-Wurm seit Anfang 2007 verfolgt, ergänzt, das Sturm-Botnet sei zwar aktuell kleiner als noch 2007, dies sei jedoch nicht nur auf Microsofts MRT zurückzuführen, sondern eine bewusste Entscheidung der Botnet-Betreiber. Diese hätten ihre kriminellen Geschäfte diversifiziert, auf mehrere Botnets aufgeteilt, um der großen Aufmerksamkeit zu entgehen, die das Sturm-Botnet auf sich gezogen habe.

Im vergangenen Jahr sei das Sturm-Botnet ein riesiges Monster gewesen, meint Ferguson, das für vielerlei Zwecke, etwa Spam, DoS-Angriffe und Malware-Verbreitung, vermietet worden sei. Inzwischen habe die Gruppe die Taktik geändert, um das Aufmerksamkeitsradar zu unterfliegen. Einige der zurzeit aktivsten Botnets stünden in Verbindung zur Sturm-Wurm-Bande, so etwa "Kraken/Bobax", bei dem auch Mitglieder dieser Gruppe ihre Finger im Spiel hätten.

Es sei zwar letztlich kaum möglich, sicher festzustellen, wer hinter den einzelnen Botnets stecke. Die vielen Ähnlichkeiten bei den Methoden lassen jedoch nur den Schluss zu, dass die Sturm-Wurm-Bande weiterhin recht aktiv sei. Auch Jimmy Kuo von Microsoft hatte seine Ausführungen schon mit der Bemerkung eingeschränkt, die Sturm-Wurm-Bande habe vermutlich nur ihre Tätigkeit verlagert und sei weiterhin aktiv, sie verdiene nun womöglich mit einem anderen Botnet ihr Geld. (PC-Welt/mja)