Kaum Schäden durch Nyxem
Bei der Verbreitung verschätzt
Emailwürmer sind auch nicht mehr das, was sie einmal waren – zumindest wenn sie Nyxem heißen und von der Antivirenindustrie voreilig mit reichlich “Vorschusslorbeeren” bedacht werden. Die Gefährlichkeit dieses Wurmprogramms, das Mitte Januar dieses Jahres ins Internet entlassen worden war, steht völlig außer Frage. Nyxem ist so programmiert, dass er jeweils am dritten Tag eines Monats Dateien und Archive mit populären Dateiendungen wie .doc, .pdf, .rar oder .zip unbrauchbar macht. Doch bei seiner Verbreitung haben sich die Antivirenfirmen offenbar gewaltig verschätzt. Ursache ist jene Webseite, mit der der Wurm programmgemäß Kontakt aufnehmen sollte, sobald er einen neuen Rechner infiziert hatte. Der dort installierte Zähler zeigte Millionen infizierte Rechner an, war aber ganz offensichtlich manipuliert worden, was die Antivirenfirmen jedoch nicht daran hinderte, dem Wurm eine hohe Verbreitung und eine noch höhere Verbreitungsgeschwindigkeit zu unterstellen.
Zähler durch Botnetze manipuliert
„Die Antivirenindustrie hat sich blamiert“, gesteht Graham Cluley von der britischen Antivirenfirma Sophos selbstkritisch ein. Die Berichte über den Nyxem-Wurm seien übertrieben gewesen. Die reißerischen Meldungen der großen Antivirenfirmen hätten der Glaubwürdigkeit der gesamten Branche geschadet – zumal man es eigentlich besser gewusst habe. Denn der hohe Zählerstand auf der fraglichen, von Nyxem „besuchten“ Webseite sei nicht durch den Wurm selbst, sondern durch Zählermanipulationen entstanden. Sophos habe herausgefunden, dass ganze Armeen von Zombiecomputern auf diese Webseite zugegriffen hätten. Wer diese Botnetze gesteuert habe, sei nicht bekannt.
Rund 300.000 infizierte Rechner?
Mittlerweile werden die realen Verbreitungszahlen des Wurms mit den vielen Namen (Nyxem, Kama Sutra, MyWife u. a.) bekannt. Der US-amerikanische Sicherheits- und Emailspezialist MessageLabs geht davon aus, dass der Schädling sich besonders in Indien und in den USA ausgebreitet habe. In Indien habe man rund 5.000 „infizierte“ IP-Adressen ermittelt, in den USA rund 1.200. Demgegenüber sei Europa kaum betroffen. Lediglich Italien habe unter Nyxem zu „leiden“ gehabt. Hier habe man rund 380 „infizierte“ IP-Adressen ermittelt. Hinter einer einzelnen IP-Adresse können natürlich ganze Netzwerke von Rechnern stecken, sodass die exakte Zahl der tatsächlich infizierten Einzelrechner weitaus höher sein kann. MessageLabs schätzt, dass weltweit rund 300.000 Rechner, die unter rund 20.000 IP-Adressen betrieben werden, infiziert sind bzw. infiziert waren. Denn eines haben die reißerischen Meldungen der Anitivirenfirmen offenbar doch bewirkt: Viele Anwender haben die angebotenen Nyxem-Entfernungswerkzeuge genutzt, um ihre Rechner von Nyxem wieder zu befreien.
Schäden durch Nyxem
Störungen bzw. Schäden, die durch Nyxem verursacht wurden, werden derzeit nur aus Italien gemeldet. In der norditalienischen Stadt Mailand waren Zeitungsberichten zufolge rund 10.000 Rechner der Stadtverwaltung mit Nyxem infiziert. Um Schäden zu vermeiden waren diese Rechner am Freitag, dem 3. Februar, vorsorglich abgeschaltet worden. Insgesamt ist die Gefahr, die von Nyxem ausgeht, noch nicht vorüber. Der Emailwurm verbreitet sich weiter im Netz. Entwarnung für den 3. März, dem nächsten Termin, an dem die Nyxem-Schadroutine Dateien unbrauchbar machen könnte, kann deshalb nicht gegeben werden.
Zurück zur News-Übersicht
