| |
Home / Weblog
Analytiker-Tagebuch
|
In der ersten Maiwoche traf ein gewichtiger Teil der Antiviren-Community im sonnigen Budapest zusammen. Der erste Punkt auf der Tagesordnung war der dritte, jährlich stattfindende CARO Workshop, an dem mehr als Hundert Virenforscher aus aller Welt teilnahmen. Im Anschluss an diesen Workshop wurde eine Konferenz der AMTSO Mitglieder abgehalten. Diese Zusammenkunft mit rund vierzig Personen fand in deutlich kleinerem Kreis statt, darunter auch Dennis Nazarov und ich als Vertreter von Kaspersky Lab. In unserem Gepäck hatten wir den Plan, über folgende vier Dokumente abstimmen zu lassen:
- Best Practices für die Validierung von Samples,
- Best Practices für Testverfahren bei In-the-Cloud Security-Produkten,
- Analyse von Bewertungsprozessen und
- Themen rund um das Erstellen von Schadprogrammen für Testzwecke
Nach einer Prüfung entschieden die Teilnehmer, dass der Text Themen rund um das Erstellen von Schadprogrammen für Testzwecke noch nicht ausgereift genug für eine Abstimmung sei. Hierbei handelt es sich um das bei weitem umstrittenste Dokument, das von der AMTSO ausgearbeitet wird.
Die Kluft zwischen denjenigen, für die das Modifizieren/Entwickeln von Malware für Testzwecke kein Problem darstellt und anderen, die lieber darauf verzichten möchten, ist enorm. Bis vor wenigen Jahren noch waren derartige Malware-Entwicklungen sowohl auf Grund technischer als auch wegen ethischer Bedenken ein absolutes Tabu. Inzwischen jedoch steigt die Anzahl der Personen, sich für diese Vorgehensweise aussprechen, unter der Voraussetzung, dass die entsprechenden Sicherheitsmaßnahmen sichergestellt sind.
Immerhin wurden die drei anderen Dokumente für abstimmungsreif erachtet und wurden zur Abstimmung vorgelegt. Alle Texte wurden angenommen. Das Dokument über die Sample-Validierung nimmt Bezug auf das wichtige Thema, dass sämtliche Dateien in einer Testreihe gültig sein müssen, d.h., dass keine Datenkorruption vorliegt.
Da in immer mehr Produkte sogenannte „Cloud-Funktionen“ integriert werden, stellt sich die Frage nach angemessenen Testverfahren für diese Produkte. Mit einer sich ständig verändernden Cloud ist das Reproduzieren von Testergebnissen keine adäquate Lösung. Unser Dokument enthält einige wichtige Anregungen zu diesem Thema.
Der Text mit den sicherlich größten Auswirkungen ist die Analyse von Bewertungsprozessen. Er liefert die Richtlinien, die die AMTSO bei der Analyse von veröffentlichten Testberichten beachten muss.
Ein Sonderausschuss wird Testberichte auf Basis der grundlegenden AMTSO Prinzipien für Testverfahren prüfen, um festzustellen, ob sie diesen entsprechen. Zwar arbeiten wir immer noch daran, einige der anderen betroffenen Prozesse effizienter zu gestalten, trotzdem sind wir alle von diesem Projekt schon jetzt restlos begeistert.
Die kürzlich veröffentlichten Dokumente können hier eingesehen werden.
Weihnachtliche Frühlingspost |
|
Heute ist der 23. Mai, seit Weihnachten ist also fast ein halbes Jahr vergangen. Bis zum nächsten Weihnachtsfest verbleibt also demnach noch mehr Zeit – 7 Monate genau. Das scheint allerdings kein Hinderungsgrund zu sein, Weihnachten nicht zum Spammen zu nutzen, denn Jahr für Jahr ist kein Thema einträglicher als dieses. Warum sollte man es dann nicht im Februar, März, April und schließlich auch im Mai Ertrag bringend einsetzen? Hier zwei Beispiele von Weihnachtspost, die wir am 27. März und am29. April erhalten haben: 
Als ich diese Spam-Mail erhielt, die im Februar Bezug aufs Weihnachtsfest nimtm, dachte ich zunächst, die Spammer hätten einfach vergessen, den Hinweis aufs Christfest und das Geschenkversprechen zu löschen. Derselbe Gedanke kam mir im März. Im April wich dieser Gedanke einer gewissen Verunsicherung. Heute, nachdem mir wieder 12 Viagra-Tabletten kostenlos als Weihnachtsgeschenk angeboten wurden, wurde mir klar, dass die Spammer bereits weit im Voraus planen und sich schon im Sommer auf Weihnachten vorbereiten. 
Könnte es nicht sein, dass die Spammer damit ausdrücken wollten: „Kaufen Sie jetzt eine Packung Viagra und erhalten Sie dann überraschend eine weitere zum nächsten Weihnachtsfest!“? Doch versteh einer die Spammer! Wie auch immer – auch das Thema kostenloser Krams ist nicht neu.
Selbst ist der User: Trojan-Ransom.Win32.Krotten entfernen |
|
Der nächste typische Vertreter seiner Art ist der Trojaner Trojan-Ransom.Win32.Krotten (gemäß der Klassifizierung von DrWeb auch bekannt als Trojan.Plastix). Im Gegensatz zu den SMS-Erpressern, die den Systemstart blockieren ohne das System dabei zu beschädigen, richten die Vertreter dieser Erpresserfamilie reichlich Schaden im System selbst an, so dass die Anwesenheit des Trojaners und sein Autostart daraufhin schon nicht mehr wichtig sind. Andererseits sind die Schäden durchaus reparabel, da die meisten durch eine Modifizierung der System-Registry hervorgerufen werden. Der übliche Preis für die „Rettung des Systems“ beträgt $10. Nehmen wir als Beispiel für eine typische Variante den Trojan-Ransom.Win32.Krotten.hu einmal genauer unter die Lupe. Die ausführbare Datei des Schadprogramms ist 139 KB groß. Das Icon der Datei ähnelt dem eines RAR-Archivs. Wird der betreffende Schädling gestartet, führt er eine Reihe von Operationen durch, die charakteristisch für die gesamte Krotten-Familie sind:
- Das Programm erstellt eine Policy zur eingeschränkten Nutzung des Programms (Schlüssel der Registry [Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun\]), blockiert den Start aller Anwendungen außer thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe und WINZIP32.EXE.
- Es blockiert den Start von UsbStor (ein wichtiger Systemtreiber, der Treiber für alle USB-Speichermedien), und verhindert somit die Arbeit mit Flash-Speichern.
- Es treibt Unfug mit den Explorer-Einstellungen (unterdrückt insbesondere die Darstellung des Menüs „Start“ > „Ausführen“).
- Es erstellt eine Unmenge Sicherheits-Policys für Zugangsbeschränkung der Anwender zu den Systemeinstellungen und beschneidet nahezu alle Browser-Funktionen.
- Es ändert die Startseite des Internet Explorers (und ersetzt diese durch einen Link auf die Website poetry.rotten.com) sowie die Überschrift im Fenster des IE (und ersetzt diese durch derbe Flüche).
- Es deaktiviert das Kontextmenü in den Systemverzeichnissen.
- Es löscht den Ordner „Gemeinsame Dokumente“ aus dem „Arbeitsplatz“ (physisch wird der Ordner nicht gelöscht, es erfolgt lediglich ein Löschen{59031a47-3f72-44a7-89c5-5595fe6b30ee} aus dem Registry-Schlüssel [SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\]).
- Aktiviert die Ausgabe von Benachrichtigungen über zu geringen freien Festplattenraum. Normalerweise erscheint diese Mitteilung nur dann, wenn weniger als 1% des Festplattenraums auf der HDD verfügbar ist. Aufgrund der Aktivität von Krotten wird diese Mitteilung immer ausgegeben.
- Verhindert die Darstellung von Desktop-Wallpapers.
- Erstellt eine nicht standardisierte Maske zur Zeitformatierung in den regionalen Einstellungen, was unter anderem dazu führt, dass anstelle der Uhrzeit anstößige Bemerkungen angezeigt werden und behindert die Funktion aller Programme, die die Uhrzeit gemäß der Systemeinstellungen der Formatierung anzeigen.
- Erstellt eine Mitteilung, die während des System-Neustarts angezeigt wird: Überschrift: DANGER, Text: Erpressung von $10 oder 500 für die Wiederherstellung der Funktionsfähigkeit des PC.
- Blockiert durch Policys den Start des Registry-Editors und des Task-Managers.
- Versucht Kopien seiner ausführbaren Datei unter den Namen
C:\WINDOWS\Provisioning\Schemas\lsass.exe
Und
C:\WINDOWS\WinSxS\Manifests\explorer.exe zu erstellen.
- Macht durch die Zerstörung des Registry-Schlüssels [regfile\shell\open\command] den Import von REG-Dateien unmöglich.
- Verhindert die Darstellung und das Öffnen von Festplatten im Explorer.
- Erstellt leere Ordner auf der Festplatte C mit den Namen DOS und VISTA. Dabei installiert es für die Ordner „Dokumente und Einstellungen“, „Programmdateien“ und WINDOWS die Attribute Verborgen und System.
Nach Ausführung der beschriebenen Operationen öffnet der Trojaner ein Fenster mit seiner „Lösegeldforderung“: 
Nach dem Neustart sieht der befallene Computer folgendermaßen aus: Das Hintergrundbild auf dem Desktop ist nach links verschoben, auf dem Desktop befinden sich keine Icons mehr, das Menü Eigenschaften des Desktop funktioniert nicht, das Startmenü wurde buchstäblich auf Null reduziert, der Registry-Editor und der Taskmanger sind blockiert, im Explorer wird die HDD nicht dargestellt und während des Neustarts öffnet sich ein Fenster mit der Lösegeldforderung (in der sowohl die geforderte Summe als auch eine Kontakt-E-Mail angegeben sind). Trotz allem ist es nur halb so schlimm und die Funktionsfähigkeit des Systems lässt sich wiederherstellen. Zunächst einmal kann man den Explorer entweder über das Menü starten, das aufgerufen wird, wenn man mit der rechten Maustaste auf die Schaltfläche Start klickt, oder durch das gleichzeitige Drücken der Tasten Win+E. Zwar erhält man von hier aus keinen Zugriff auf die Festplatte, doch es ist im Prinzip möglich, ein Programm mit erlaubten Namen (s. Punkt 1 oben) zu starten. Um allerdings den Namen nicht erraten zu müssen (die Zusammenstellung der erlaubten Programme kann je nach Trojaner-Modifikation variieren und das Laden des benötigten Programms kann zum Problem werden), muss man lediglich die folgenden Schritte ausführen:
- Das System im „geschützten Modus aus der Befehlszeile“ starten.
- In dem sich nach dem Laden öffnenden Fenster die folgenden Befehle auswählen:
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
REG DELETE
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- Nach jedem Befehl muss die Enter-Taste betätigt werden. Nun muss das Löschen der einzelnen Registry-Schlüssel mit der Y-Taste bestätigt werden.
- Desweiteren kann der Explorer auch durch Ausführen des Befehls explorer.exe gestartet werden. Da für den Explorer dabei keine Einschränkungen wirksam werden, kann aus dem Explorer jede beliebige Anwendung gestartet und jede beliebige Festplatte geöffnet werden.
- AVZ, AVPTool oder Kaspersky Internet Security starten und in ihnen das folgende Skript ausführen:
var
i : integer;
Begin
For i := 1 to 9 do
ExecuteRepair(i);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\UsbStor',
'Start', 1);
RegKeyStrParamWrite('HKCU', 'Control Panel\International', 'sTimeFormat',
'H:mm:ss');
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters',
'DiskSpaceThreshold');
RegKeyCreate('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpac
e\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}');
ExecuteWizard('TSW', 2, 3, true);
DeleteDirectory('%SysDisk%\DOS');
DeleteDirectory('%SysDisk%\VISTA');
ExecuteFile('attrib -R -S -H "'+NormalFileName('%WinDir%')+'"', '', 1, 10000, true);
ExecuteFile('attrib -R -S -H "'+NormalFileName('%PF%')+'"', '', 1, 10000, true);
ExecuteFile('attrib -R -S -H "'+NormalFileName('%ProfileDir%')+'"', '', 1, 10000,
true);
RebootWindows(true);
end.
Das Ergebnis: Die Funktionsfähigkeit Ihres Computers ist wiederhergestellt und die Folgen der Infizierung mit Trojan-Ransom.Win32.Krotten wurden beseitigt.
Spammer warnen vor sich selbst |
|
Die erste Maihälfte bot Spammern in der russischen Hauptstadt viele Ereignisse, so dass sie reichlich zu tun hatten. Kaum waren die Böllerschüsse zum Tag des Sieges am 09.05. – einem wichtigen russischen Feiertag - verklungen, stand schon das Finale des Eurovision Song Contest in Moskau ins Haus. Und wenn das kein Anlass ist, Spam zu versenden, was dann?! Also hatten die Spammer die Eurovision ins Visier genommen. Und wie lässt sich am offensichtlichsten mit diesem Ereignis Geld verdienen? Natürlich mit dem Verkauf von Eintrittskarten, und zwar ganz egal, ob man tatsächlich welche zu verkaufen hat oder nicht. Die ersten „Eintrittskarten“ wurden im russischen Internet bereits Mitte Februar angeboten, einen Monat vor dem offiziellen Vorverkaufsbeginn. Die Tickets wurden äußerst aggressiv beworben und derartiges Spam überflutete die Postfächer russischer User. Dabei kostete eine Eintrittskarte durchschnittlich das Anderthalbfache bis Doppelte der im offiziellen Vorverkauf angebotenen Tickets. 
Dabei waren die Verkäufer, die echte Billets zum dreifachen Preis verkaufen wollten, noch nicht einmal das Schlimmste. Im schlimmsten Fall hat man nämlich das Dreifache für ein gefälschtes Ticket gezahlt. Die offiziellen Tickets sind mehrfach geschützt, daher ist eine qualitativ gute Fälschung ebenso schwer herzustellen wie Falschgeld. Hinzu kommt, dass längst nicht alle Betrüger jemals eine echte Eurovisions-Eintrittskarte gesehen oder gar in den Händen gehalten haben. Daher konnte sich ein Imitat nicht nur inhaltlich, sondern auch formal stark vom Original unterscheiden. Darauf, dass die Tickets gut geschützt sind, wiesen auch die Spammer selbst hin, beispielsweise in der unten stehenden Mail - mit einem von den Spammern frei erfundenen Eurovisions-Logo. 
„Nehmen Sie sich in Acht vor Fälschungen!“ lautet der letzte Satz im russischen Mail-Text. Und in diesem seltenen Fall kann ich den Spammern nur aus vollstem Herzen zustimmen. Nehmen Sie sich in Acht vor Fälschungen, meine Damen und Herren, und fallen Sie bitte auch nicht auf den Versuch der Spammer rein, den Eindruck seriöser Verkäufer zu erwecken, die echte Tickets anzubieten haben.
Die menschliche Sicherheitslücke |
|
Stefan TanaseHallo aus dem Nahen Osten! Ich befinde mich derzeit in Kuwait City, wo ich einen Vortrag anlässlich des Kuwait ICT Security Forums halte. Worüber ich sprechen werde? Über Web 2.0 Angriffe natürlich – derzeit das am meisten diskutierte Thema überhaupt. Einer der wichtigsten Punkte in Zusammenhang mit Web 2.0 Bedrohungen ist die Bedeutung von Social Engineering oder, wie ich es lieber nenne, „der menschlichen Sicherheitslücke“ bei der Infizierung von Computern unschuldiger Nutzer. Sozialmanipulation ist ein schon seit jeher bekanntes Phänomen und existierte lange vor irgendwelchen Social Network-Plattformen, aber da heutzutage geradezu jedermann Websites wie Facebook, Twitter, etc. nutzt, scheint mir beides inzwischen untrennbar miteinander verbunden zu sein. Social Engineering, Social Networking – die Gemeinsamkeiten sind ziemlich offensichtlich, oder? Kürzlich konnten wir einen massiven Anstieg bei Pishing-Angriffen auf die Login-Seite von Facebook beobachten. Die Angreifer versendeten über das interne Facebook-Nachrichtensystem Kurznachrichten, mit denen die Teilnehmer auf „fbaction.net” umgeleitet wurden, einer Website, die in der Absicht erstellt wurde, die Login-Maske von Facebook zu kopieren. So, und warum wollen diese bösen Kerle Facebook-Passwörter stehlen? Die Antwort ist einfach: Über Social Network-Plattformen verbreiteter Schadcode ist für eine erfolgreiche Infizierung von Computern 10 mal effektiver als via E-Mail verbreitete Schadsoftware. Die Wahrscheinlichkeit, dass der Nutzer einen von einem zuverlässigen Freund (oder dem Freund eines Freundes!) erhaltenen Link anklickt, ist ungleich höher als bei einem Link, der in einer zufälligen Spam-Nachricht aufscheint. Lassen Sie sich nicht zu einem Opfer degradieren: Legen Sie ein Lesezeichen für die Login-Seite an oder tippen Sie www.facebook.com direkt in die Adresszeile des Internet-Browsers ein. Noch besser ist es, HTTPS zu verwenden, insbesondere, wenn Sie sich von einem öffentlichen Netzwerk einloggen: https://www.facebook.com. Diese Ratschläge gelten natürlich nicht ausschließlich für Facebook. Sie helfen dabei, unbeschwert Kontakte zu knüpfen! Oder sollte ich besser sagen...sicher Kontakte zu knüpfen?
Spammer heilen jede Krankheit! |
|
Spammer lieben Panik, denn sie lässt sich äußerst gut zu ihren Zwecken ausnutzen. Derzeit versetzt die Schweinegrippe die Gesellschaft in panikartige Stimmung. Das ist kein Geheimnis und die Spammer erkannten sehr schnell, wie sie sich diese Panik am besten zu Nutze machen können: Sie boten eine Impfung gegen die gefährliche Krankheit an, und schon quollen die Postfächer über vor kurzen Mitteilungen der folgenden Art: New medicine to prevent swine flu http://....com Diese Mitteilung bietet lediglich ganz neutral ein Mittel gegen die Schweinegrippe an. Es gibt allerdings auch Mails, die die Panik noch weiter schüren: Stop risk of being killed by swine flu! http://kp....com/ „Beseitigen Sie das Risiko, an der Schweinegrippe zu sterben!“ lautet der oben stehende Text. Doch folgt man dem Link, so sieht man, dass Spammer auf alle Leiden dieser Welt nur eine Antwort kennen. 
Ich habe auf dieser Seite ernsthaft nach irgendetwas gesucht, das auch nur ansatzweise etwas mit einer Impfung gegen die Schweinegrippe zu tun haben könnte. Doch außer Viagra, Cialis und den üblichen Mittelchen gegen Erkältung konnte ich nichts entdecken. Und das ist auch besser so, denn jedes von Spammern angebotene Mittel wäre zweifellos ein Fake – wie die meisten von ihnen feil gebotenen Artikel.
Selbst ist der User: Trojan-Ransom.Win32.Blocker entfernen |
|
Oleg SaitzevDie Familie Trojan-Ransom.Win32.Blocker ist ein klassisches Beispiel für Erpressungs- und Betrugs-Malware. Bei der Installation auf dem Computer schreiben sich Schädlinge dieser Art in den Autostart, den Registry-Key [Software\Microsoft\Windows NT\CurrentVersion\Winlogon], Parameter "Userinit", wodurch der Start des Betriebssystems blockiert wird. Sobald die Schädlinge die Kontrolle über den Start des Betriebssystems erlangt haben, öffnet sich ein Fenster, in dem der Anwender aufgefordert wird, eine SMS mit einem bestimmten Text an eine bestimmte Kurznummer zu senden. Im Gegenzug wird dem User die Übermittlung eines Codes versprochen, mit dessen Hilfe das Schadprogramm unschädlich gemacht und der Start des Computers entblockt werden soll.  Der Schädling Trojan-Ransom.Win32.Blocker selbst lässt sich relativ problemlos mit Hilfe von AVZ, AVPTool oder manuell aus dem Registry-Editor entfernen. Es gibt da allerdings noch ein Problem: Der Start des Computers ist blockiert und der Anwender erhält weder Zugriff auf den Arbeitsplatz noch kann er irgendwelche Programme oder Tools starten. Auch der abgesicherte Modus von Windows ist blockiert. Ich wollte nun gern wissen, ob tatsächlich alles so aussichtslos ist und ob der Anwender nicht doch auch ohne Spezialwerkzeuge, Live CD und besondere technische Kenntnisse etwas unternehmen kann. Nach verschiedenen Versuchen zeigte sich ein recht einfacher Algorithmus:
- Drückt man gleichzeitig die Windows-Taste und U auf der Tastatur, so öffnet sich das Fenster des Hilfsprogramm-Managers. Wie sich zeigte, hat es hohe Priorität und der Trojaner kann ihm nichts anhaben.
- Startet man nun in diesem Fenster die Bildschirmlupe, so öffnet sich ein Informationsfenstern mit einem Link auf die Microsoft-Website. Klickt man auf den Link, so wird der Internet-Explorer gestartet.
- Mit Hilfe des IE kann man nun alle nötigen Programme, wie z.B. AVZ oder AVPTool herunterladen und diese von der Festplatte des PC starten.
Nach dem Start des IE sollte man zunächst die wichtigsten Dinge erledigen, und zwar den Rechner desinfizieren, Logs und Quarantäne nach den Regeln der Foren von Kaspersky Lab und VirusInfo machen und die Schädlinge löschen .
|
MariaAls Spam-Analyst kommen ganz unterschiedliche Kuriositäten aus der ganzen Welt zu Gesicht. Gerade heute fand ich eine Nachricht mit einem Standardtext („Dieser Link wurde Ihnen von [Name] zugeschickt”) und einem Link, der anscheinend zur Online-Ausgabe Bild.de der Boulevardzeitung führt. 
Wenn der Nutzer/die Nutzerin nun auf diesen Link klickt, kommt er oder sie zu einer Website, die in Aufmachung und Inhalt der Site Bild.de sehr ähnlich ist. Der Text des verlinkten „Zeitungs“-Artikels ist allerdings ziemlich Aufsehen erregend: Zunächst handelt er von der Finanzkrise (wieder einmal!), bevor er dann zu einem etwas originelleren Thema übergeht: Sex sells! 
Das mag vielleicht nicht gerade neu erscheinen, aber der Trick dabei ist, dass dem Leser nicht mitgeteilt wird, wo er Pornos kostenlos herunterladen oder anschauen kann. Die Links in dem gefälschten Artikel (s.o.) führen zu echten Berichten über die Wirtschaftslage auf Bild.de, zu einer Standard-Pornosite sowie zu der unten aufgeführten Website. 
Betrachtungen über das Kido/Conficker-P2P-Netzwerk |
|
Georg WicherskiDurch eine Verhaltensanalyse des Kido-Netzwerks waren wir in der Lage, ein Programm zu entwickeln, mit dem wir einen grundlegenden Einblick in die Kommunikationswege der Schadsoftware über das P2P-System gewinnen konnten. Dieses Netzwerk wurde von dem Schädling in den letzten Wochen dazu benutzt, sich selbst mit Updates zu unterhalten. Über einen Beobachtungszeitraum von 24 Stunden haben wir 200652 eindeutige betroffene IP-Adressen identifiziert, d.h. weitaus weniger als die ursprünglich erwartete Zahl an Infektionen. Diese niedrigere Zahl ist hauptsächlich darauf zurückzuführen, dass das Peer-to-Peer-Netzwerk lediglich aus den neuesten Varianten des Conficker-Wurms gebildet wird, und dass lediglich ein Bruchteil der mit früheren Varianten befallenen Knoten mit diesen neuen Varianten aktualisiert wurde. Die globale Verbreitung des Wurms entspricht durchaus dem Bild, das mit der ursprünglichen Einschätzung der Infektionszahl gezeichnet wurde. In Hinblick auf die Peer-Zahl heben sich Brasilien und Chile deutlich ab: 
Allerdings scheint keine einzige Region auf der Welt von Infektionen verschont geblieben zu sein. Aufgrund der unterschiedlichen Auflösung der verwendeten GeoLocation-Datenbanken für IP-Adressen ist die Punktdichte in einem Land jedoch nicht repräsentativ für die Anzahl an Infektionen: 
Bei einem genaueren Blick auf die USA stellt man fest, dass in deren östlichen Staaten mehr P2P-Knoten laufen als im westlichen Teil: 
Eine interessante Tatsache, die wir durch die Beobachtung des Netzwerks herausfinden konnten, ist, dass es wegen der Größe der von jedem Knoten betriebenen Peer Caches sehr schnell möglich ist, den Kern des Netzwerks (der gut vernetzt ist) auszumachen. Innerhalb der ersten zwanzig Minuten stellten wir fest, dass 10,4% der gesamten Peer-Population nicht das exponentielle Wachstum aufwies, wie es im Falle kleinerer Peer Caches erwartet worden wäre: 
Daher ist anzunehmen, dass ein Knoten stabile Verbindungen aufrecht halten kann, sobald er einen anderen infizierten Knoten, der bereits mit dem Netzwerk verbunden ist, gefunden hat, und dass eine Separation des Netzwerks unwahrscheinlich ist. Allerdings scheint das Auffinden dieses ersten Knotens für einige Hosts relativ schwierig zu sein: So haben wir eine ganze Reihe Knoten ausgemacht, die mit keinem anderen Knoten verbunden waren.
Twitter-Würmer nicht die einzige Bedrohung |
|
Eine wirkliche Überraschung sind diese Würmer wohl kaum, denn der Micro-Blogging Dienst Twitter war gerade in letzter Zeit mit einer ganzen Reihe von Sicherheitsproblemen in die Schlagzeilen geraten.
Bei der Ausnutzung von Sicherheitslücken geht der Wurm auch nicht besonders raffiniert vor. Der Autor? Ein gelangweilter 17-jähriger, der über Ostern einfach nichts Besseres zu tun hatte.
Eine Geschichte wie diese lässt unweigerlich Erinnerungen an die Malware-Landschaft, wie sie vor zehn Jahren aussah, aufkommen: Auch der aktuelle Schädling ist eher lästig und will Aufsehen erregen, als dass er tatsächlich eine Bedrohung darstellt, denn bisher sind keine sensiblen Nutzerdaten gestohlen worden.
Als ich gestern die Vorgänge bei Twitter beobachtete, „hörte“ ich eine Menge Tweets über TwitZap. In der Annahme, dass es sich um einen Wurm handelt, stellte ich ein paar Recherchen an und stellte fest, dass dies keineswegs der Fall ist. TwitZap ist ein gesonderter Dienst mit einem netten „Weiterempfehlen“-Button, mit dem Twitter-Teilnehmer ein Status-Update posten können, und der Dienst so weiterempfohlen wird.
Was man zur Aktivierung tun muss? Einfach nur den Button anklicken, und ein entsprechendes Update wird an das Twitter-Konto gesendet!
| |
