Ein Schadprogramm unbekannter Herkunft hat zahlreiche Computersysteme, die auf US-Flughäfen bei der Einreisekontrolle benutzt werden, für mehrere Stunden lahm gelegt. Besonders betroffen waren die Flughäfen in Miami, New York, San Francisco, Los Angeles, Houston und Dallas. Auf dem Miami International Airport kam der Auslandsreiseverkehr für insgesamt fünf Stunden völlig zum Erliegen. Ausgangspunkt der Störung soll ein Datenbankserver in Virginia gewesen sein. Bereits in der vergangenen Woche war es auf Grund des Zotob-Wurms, der die von Microsoft kürzlich gestopfte Plug&Play-Schwachstelle in Windows 2000 ausnutzt, bei einigen US-Medienunternehmen zu Computerproblemen gekommen. Zotob und Konsorten sorgen auch sonst für Aufregung. Virenexperten befürchten mittlerweile einen neuerlichen Krieg der Würmer.
Einreisekontrollen lahm gelegt
Dass sich auf dem Miami International Airport (MIA) vor den Einreiseschaltern lange Schlangen bilden, ist nichts Neues. Der Flughafen im sonnigen Florida gilt als einer der langsamsten Flughäfen der USA. Während die Einreisekontrollen auf anderen Flughäfen im Durchschnitt 30 bis 40 Minuten pro Flugzeug dauern, müssen Passagiere in Miami mindestens zehn Minuten länger warten – im Durchschnitt wohl gemerkt. Erheblich längere Wartezeiten sind die Regel. Schuld sei nicht, dass die Terroristen- und Verbrecherjagd auf dem MIA besonders gründlich betrieben werde, heißt es. Hauptursache sei die personelle Unterbesetzung. Hinzu komme, dass der MIA zu denjenigen Flughäfen gehört, der die meisten Einreisenden zu kontrollieren und abzufertigen hat – mehr als New York, Los Angeles, Honolulu, Newark und San Francisco. Der fünfstündige Ausfall der Computersysteme, die zur Identitätskontrolle der einreisenden Passagiere eingesetzt werden, wog hier deshalb ganz besonders schwer. 4.000 bis 5000 Reisende durften den Sicherheitsbereich des Flughafens nicht verlassen und mussten stundenlang in den Abfertigungsschlangen ausharren.
Wurm oder Virus als mögliche Ursache
Ursache sei ein Schadprogramm gewesen, das über einen zentralen Datenbankserver in die Computersysteme der Flughäfen eingedrungen sei, erklärte Russ Knocke, Sprecher der US-amerikanischen Heimatschutzbehörde (Department of Homeland Security). Nähere Einzelheiten wurden aus Sicherheitsgründen nicht bekannt gegeben. Der zentrale Datenbankserver in Virginia, der als Ausgangspunkt der Schadprogrammverbreitung genannt wurde, wird bei der Einreisekontrolle automatisch abgefragt. Sein Datenbestand soll verhindern, dass Terroristen, Kriminelle oder sonstige missliebige Personen in die USA einreisen können. Die Flughäfen verfügen zwar über ein Backup-System, über das die Einreisekontrolle bei Ausfall des zentralen Servers trotzdem weiter durchgeführt werden kann. Allerdings arbeitet dieses Backup-System wesentlich langsamer. Ausweisnummern müssen hier beispielsweise per Hand eingegeben werden.
Zotob, der Plug&Play-Wurm
Ein Zusammenhang mit dem kürzlich aufgetauchten Wurm Zotob, der über die so genannte Plug&Play-Lücke in ungepatchte Windows-2000-Systeme eindringt, besteht offenbar nicht. Zotob hatte am 17. August in den USA zu größeren Rechnerausfällen geführt. Die befürchtete Zotob-Epidemie ist allerdings ausgeblieben. Ursache dürfte erstens sein, dass Microsoft die Plug&Play-Lücke bereits während seines Patch-Tages am 9. August per Sicherheitsupdate verschloss und nach Auftreten des Wurmprogramms erhebliche Anstrengungen unternahm, um der Ausbreitung des Schadprogramms entgegenzuwirken. Zweitens sind von Zotob nur Rechner betroffen, auf denen Windows 2000 installiert ist. Windows 2000 wird hauptsächlich in größeren Unternehmen eingesetzt. Privatanwender nutzen demgegenüber in der Regel Windows XP.
Kalt erwischt
Zu Zotob-Opfern wurden demgemäß hauptsächlich US-amerikanische Unternehmen, auf deren Rechnern der von Microsoft angebotene Sicherheitsflicken nicht installiert worden war. Betroffen waren insbesondere US-Medienunternehmen wie die New York Times sowie die Fensehsender CNN und ABC. Zu Produktionsausfällen soll es auch bei Kraft Foods und bei der Chrysler Group gekommen sein. „Wir waren in der ungewöhnlichen Situation über einen Virus zu berichten, während wir verzweifelt versuchten ihn abzuwehren“, beschrieb CNN-Präsident Jon Klein die Lage. Offenbar war der Microsoft-Sicherheitsflicken auf den Windows-2000-Rechnern bei CNN noch nicht installiert.
Zotob befällt ungepatchte Rechner
Diese Nachlässigkeit bei CNN ist kein Einzelfall. Einer Untersuchung der britischen Antivirenfirma Sophos zufolge verzichten zahlreiche Firmen immer noch darauf, die von Microsoft herausgegebenen Sicherheitsupdates rechtzeitig, d. h. so schnell wie möglich zu installieren. Ihre Systeme werden dadurch extrem verwundbar. Denn mit der Veröffentlichung eines Sicherheitsflickens informiert Microsoft in seinen Security Bulletins regelmäßig auch über die technischen Details der zu schließenden Sicherheitslecks. Diese Informationen helfen nicht nur den betroffenen Systemadministratoren, ihre Netzwerke zu warten, sondern versorgen auch die Schadprogrammschreiber mit den Informationen, die sie zur Ausnutzung der fraglichen Lücken benötigen. Entsprechende Exploits werden schon kurz nach Bekanntwerden eines Sicherheitslecks in Umlauf gebracht. Sicherheitsexperten weisen darauf hin, dass die Zeitspanne zwischen der offiziellen Veröffentlichung eines Sicherheitslochs und dem ersten Auftreten von Schadprogrammen, die exakt diese Lücke nutzen, immer kürzer wird. Im Falle der Plug&Play-Lücke in Windows 2000 verging nur knapp eine Woche, bis W32.Zotob.E auf den Markt für Schadprogramme geworfen wurde. Systeme, die innerhalb dieser Wochenfrist nicht gepatcht wurden, waren für den rechnerhungrigen Zotob-Wurm, der sich nicht per Email, sondern ähnlich dem Sasser-Wurm direkt von PC zu PC verbreitete, ein gefundenes Fressen.
Microsofts Wurmkur
Wie wichtig Microsoft den neuen Wurm und seine mittlerweile zahlreichen Varianten nimmt, lässt sich insbesondere daran ablesen, dass die Redmonder Sicherheitsabteilung bereits kurze Zeit nach Auftreten des Zotob-Wurms außer der Reihe eine neue Version ihres „Malicious Software Removal Tool“ (MSRT) zum Download bereitstellte. Normalerweise erfährt dieses kostenlose Entwurmungsprogramm einmal im Monat ein Update und wird zusammen mit den üblichen Sicherheitsupdates am monatlichen Patch-Tag bereitgestellt. Die nun veröffentlichte Version 1.7.1 soll die Zotob-Varianten A bis E sowie fünf weitere ähnliche Wurmprogramme, die die Plug&Play-Lücke nutzen, erkennen und unschädlich machen können. Daneben informiert Microsoft auf speziellen Webseiten ausführlich über den Wurm und das Sicherheitsleck in Windows 2000. Offenbar sind auch Softwarekonzerne lernfähig.
Kleinkrieg krimineller Würmer
Die derzeit im Netz kursierenden Zotob-Würmer und artverwandte Schadprogramme, die wie IRCbot, Bozori, Rbot, SDbot oder Codbot die Plug&Play-Lücke nutzen, haben das Ziel, die infizierten Einzelrechner unter ihre Kontrolle zu bringen und zu so genannten fernsteuerbaren Bot-Netzen zusammenzufassen. Deren vereinte Rechenkraft kann beispielsweise für das Versenden von Spam, für Distributed-Denial-of-Service-Angriffe oder für das Hosten manipulierter Webseiten genutzt werden. Die verschiedenen Wurmprogramme wurden von unterschiedlichen Schadprogrammschreibergruppen verfasst, zwischen denen derzeit offenbar eine Art Kleinkrieg entbrannt ist. Parallelen zu den letztjährigen Scharmützeln zwischen den Bagle- und MyDoom-Wurmautoren einerseits und dem deutschen NetSky-Schreiber Sven J. andererseits liegen auf der Hand. NetSky versuchte damals, die Konkurrenz außer Gefecht zu setzen. Im Quellcode ihrer Wurmgeschöpfe lieferten sich die verfeindeten Autoren heftige Wortgefechte. Ein ähnlicher Krieg der Würmer scheint auch jetzt wieder ausgebrochen zu sein.
Konkurrenzkampf um Bot-Netze
NetSky-Autor Sven J. verstand sich als eine Art Netzpolizist, der seine guten Würmer auf die bösen Wurmprogramme von der Konkurrenz angesetzt hatte. Bezeichnenderweise gibt es in der gegenwärtigen Auseinandersetzung keine Trennung zwischen „Gut“ und „Böse“. Die sich bekämpfenden Wurmautoren verfolgen offenbar allesamt kriminelle Ziele. „Wir haben es mit einem Krieg um Bot-Netze zu tun“, meint etwa Virenexperte Mikko Hypponen von der finnischen Sicherheitsfirma F-Secure. Er unterscheidet drei kriminelle Gruppen von Virenschreibern, die immer neue Varianten ihrer Programme in alarmierender Zahl ins Netz schicken. Varianten des Bozori- und IRCbot greifen bestimmte Zotob-, RDbot- und SDbot-Versionen an, löschen sie, sofern sie auf den angegriffenen Rechnern zu finden sind, und übernehmen anschließend die Kontrolle über den infizierten PC. Es sieht so aus, meint Hypponen, als kämpfen sie darum, das jeweils größere, schlagkräftigere Bot-Netz aufzubauen, das sich auf dem schwarzen Markt dann auch zu höheren Preisen verkaufen oder vermieten lässt.
Zurück zur News-Übersicht