Die Motive scheinen klar: Den kürzlich verhafteten mutmaßlichen Programmierern der Zotob-Würmer ging es eigenen Aussagen zufolge allein ums liebe Geld. Gleichzeitig werden Einzelheiten darüber bekannt, wie die beiden Verdächtigen mit ihren Wurmprogrammen finanziell absahnen wollten. Zotob sollte auf infizierten Rechnern Spionagesoftware sowie so genannte Adware installieren. Einem FBI-Statement zufolge sollen türkische Behörden im Zotob-Fall sechzehn weitere Verdächtige ermittelt haben. Weitere Verhaftungen gab es bisher allerdings noch nicht.
Weitere Verdächtige ermittelt
Letzten Donnerstag wurden die beiden mutmaßlichen Urheber der Zotob-Würmer in Marokko und in der Türkei verhaftet: der 18-jährige Marokkaner russischer Abstammung Farid Essebar, der im Internet unter dem Nicknamen „Diabl0“ auftrat, sowie der 21-jährige Türke Atilla Ekici, der sich das Pseudonym „Coder“ zugelegt hatte. Essebar wird beschuldigt, die Zotob-Würmer und einige Varianten des Mytob-Wurms geschrieben zu haben. Ekici soll der Auftraggeber gewesen sein. Die Marokkanischen Behörden vermuten, dass beide Verbindungen zur organisierten Internetkriminalität besaßen. Es wird vermutet, dass es sich dabei um eine kriminelle Organisation handelt, die mit groß angelegtem Kreditkartenbetrug Geld verdient. Louis Reigel von der Cyber Division des FBI erklärte nun, dass die türkischen Strafverfolgungsbehörden in diesem Fall sechzehn weitere Verdächtige identifiziert hätten. Verhaftungen fanden bisher allerdings noch nicht statt.
Geld verdienen mit Pop-Up-Werbung
Mittlerweile verdichten sich die Gerüchte, dass die beiden Verdächtigen insbesondere mit Spionagesoftware sowie Adware Geld verdienen wollten. Die Zotob- und Mytob-Würmer, die aus Essebars Feder stammten, waren in der Lage, Spy- und Adware-Programme aus dem Internet nachzuladen und im infizierten PC zu installieren. Die Spionagesoftware sollte das Userverhalten im Internet ausspionieren und die Ergebnisse an die Wurmautoren senden. Die installierte Adware sollte die Opfer anschließend mit zielgruppengenauer, personalisierter Pop-Up-Werbung eindecken. Pro Klick auf ein Pop-Up-Fenster floss Geld auf die Konten der Betrüger.
Kommissar Zufall hilft
Aufgedeckt wurden diese Machenschaften offenbar durch einen Zufall. Einem Eintrag im Sicherheitsweblog der US-amerikanischen Tageszeitung Washington Post zufolge bestand zwischen David Taylor, einem Sicherheitsspezialisten der US-Universität von Pennsylvania, und Farid Essebar ein zufälliger Chatkontakt via IRC. Taylor hatte eine Virenmail erhalten, die in ihrem Anhang eine Variante des gefährlichen Mytob-Wurms transportierte. Mytob ist in der Lage, Computer so zu konfigurieren, dass sie zu einem Internet-Relay-Chat-Server Kontakt aufnehmen, der von den Mytob-Urhebern kontrolliert wird. Hat sich ein infizierter Rechner mit diesem Server verbunden, wird er mit zusätzlicher Software versorgt, die sich anschließend automatisch installiert.
Chatten mit dem Diabl0
Um der Sache auf den Grund zu gehen, infizierte Taylor einen seiner Universitätsrechner zu Recherchezwecken mit dem Mytob-Wurm, den er per Email erhalten hatte. Dadurch wollte er versuchen herauszufinden, ob auch andere Rechner seiner Universität bereits infiziert wären. Als er keine Hinweise auf weitere Infektionen in seinem Zuständigkeitsbereich fand, entschloss er sich, den Administrator des IRC-Servers anzuchatten. Zu seiner Überraschung bekam er eine Reaktion. Eine Person mit dem Pseudonym „Diabl0“ antwortete ihm. Im Zuge dieses Chats gab „Diabl0“ oder Wurmprogrammierer Essebar unumwunden zu, die Mytob-Würmer nur programmiert zu haben, um damit Geld zu verdienen. Die Software, die die Wurmprogramme aus dem Internet nachluden, veränderten im Internet Explorer Sicherheitseinstellungen, sodass Pop-Up-Werbung nicht mehr unterdrückt wurde. Spionagesoftware und Adware sorgten dann für die entsprechenden Werbe-Pop-Ups. „Der Wurm sollte sich nur wegen Geld verbreiten“, erklärte Essebar im Chat. Im Übrigen sei es ihm völlig egal, ob der Wurm später entdeckt werden würde. „Es ist uns egal, ob ein User den Wurm wieder entfernt“, sagte Essebar. Die nachgeladene Software sei längst installiert und der Wurm habe damit seine Aufgabe erfüllt.
Diabl0-Graffitys im Quellcode
Dass Essebar tatsächlich sowohl die Zotob-Würmer als auch einige Versionen des Mytob-Wurms geschrieben hat, meint auch die Antivirenfirma Sophos. Eine hundertprozentige Sicherheit gebe es zwar noch nicht, doch alle Anzeichen sprächen dafür, meint Graham Cluley, Sicherheitsspezialist bei Sophos. Wurm- und Virenschreiber neigen dazu, sich in ihren Programmen mit ihren Pseudonymen zu verewigen, und den Namen „Diabl0“ habe man mittlerweile in den Quellcodes von über zwanzig anderen Wurmprogrammen, einschließlich einiger Mytob-Versionen, gefunden.
Quellcodes ähneln sich
Genaue Analysen hätten darüber hinaus ergeben, dass sich die Quellcodes beider Würmer ausgesprochen ähnlich sind. „Dem ungeübten Auge erscheinen die Mytob- und Zotob-Würmer ziemlich unterschiedlich: die eine Virengruppe reist via Email, die andere benutzt eine Windows-Sicherheitslücke“, führt Cluley aus. „Aber wenn sie von einem erfahrenen Virenspezialisten untersucht werden, treten die Ähnlichkeiten klar zu Tage. Es sieht so aus, als hätte derjenige, der Zotob geschrieben hat, Zugang zum Quellcode von Mytob gehabt, den Programmteil ‚Emailverbreitung“ aus Mytob herausgenommen und den Microsoft-Exploit anschließend einfach eingefügt.“
Zurück zur News-Übersicht