Der Fluch des Web: Spam macht E-Mail zunehmend unbrauchbarer
Echte Hacker sehen auf die Viren-schreibenden pubertären Skript-Kiddies nur hinab. Für sie scheidet sich die hackende Community in nur zwei ernst zu nehmende Lager: Die Hacker oder Whitehats auf der einen und die Cracker oder Blackhats auf der anderen Seite. Die einen sehen sich als die Helden von Digitalien, die anderen sind kriminell.
Das jedoch heißt nicht, dass sie keine Programme schreiben könnten, die Hackern wie IT-Sicherheitsexperten Respekt abnötigen. Bei "migmaf" etwa, sagte der IT-Experte Richard Smith der "PC World", habe er zunächst nur eines gedacht: "Wow! Das ist interessant!"
P2P-Spamnetz
Denn migmaf, scheinbar zunächst nicht mehr als einer der üblichen, vielen Hundert lästigen Trojaner, entpuppte sich schnell als etwas Außergewöhnliches.
Wahrscheinlich seit Anfang Juni ist der Schädling unterwegs und befiel seitdem nur einige Tausend Rechner. Das ist zunächst nicht viel - aber mehr will das Virus anscheinend auch gar nicht.
Denn migmaf kredenzt seinen Kontrolleuren - wahrscheinlich russischen Crackern - einen Zugang zum befallenen Rechner. Die vollenden dann die Installation eines für das Opfer kaum zu bemerkenden Proxy-Servers: Das Opfer wird zum Teil des Crack-Netzwerkes - und in den Augen vieler hundertausend danach bespamter E-Mail-Kontenbesitzer zum Täter.
Denn migmaf vollbringt eine alles andere als triviale Leistung: Er verteilt Spam-Mails über "sein" Netzwerk, die den User zu einer pornografischen Website führen sollen. Doch die hat zwar eine fixe Adresse, aber keinen "Ort" im Internet: Alle paar Minuten wechselt sie scheinbar die IP-Adresse.
Denn letztlich installiert migmaf nichts anderes als die kriminelle Karikatur eines P2P-Netzwerkes: Von einem zentralen Server aus "senden" seine Programmierer ihre Pornoseiten aus, die dann in stetem Wechsel über die
Durchgezählt: Spam-Mail-Aufkommen nach Kategorien
Damit baut migmaf nicht nur eine außerordentlich hohe Kapazität für den Versand von Spam auf, sondern verwischt auch relativ effektiv die Spuren zum wirklichen Verursacher.
Schutz vor Entdeckung
Doch es geht noch weiter. Um die Porno-Websites "wandern" lassen zu können, installiert migmaf ein kleines DNS-System auf den befallenen Rechnern. Keiner der gekidnappten Rechner "sendet" für mehr als zehn Minuten Pornoseiten aus - in diesem Takt wechseln sich die "Sender" ab. Solange es davon genug gibt, fällt der Mehrverkehr wahrscheinlich noch nicht einmal den Serviceprovidern auf, was in diesem Falle sogar wünschenswert wäre: Normalerweise kommt es bei massivem Mehrverkehr zu einer Warnung oder Verwarnung durch den Serviceprovider.
Sicherheitsexperten gehen davon aus, dass es bereits mehrere Versionen des Virus gibt, die großen Virenschutz-Entwickler arbeiten an Programmen, migmaf und ähnliche Programme zuverlässig erkennen zu können. Bis dahin bleibt nur die Mahnung vor allem an die Nutzer von DSL-Leitungen, diese nie ohne eine gut funktionierende Firewall zu betreiben. Die kann zumindest verhindern, das migmaf "auf Sendung" geht.
Denn zumindest die Frage, was all das für einen Sinn haben soll, war sehr schnell erklärt: migmaf leistet nichts anderes als den Aufbau eines P2P-Netzwerkes ausschließlich zur Verteilung von Spam. Und weil diese nicht von einem, sondern von Tausenden ständig wechselnden Servern verteilt werden, hat es die Spamfilter-Software schwer, mitzuhalten.
Pyrrhussieg
Sicherheistexperten des US-Unternehmens LURHQ gelang es Ende letzter Woche, das erste nachgewiesene migmaf-Netzwerk stillzulegen. Keine leichte Aufgabe: Die Experten berichteten, dass sie für IP-Rückverfolgungen, für die sie normalerweise wenige Minuten brauchten, satte sieben Tage gebraucht hätten. Selbst dann könnten sie sich nicht sicher sein, ob sie wirklich den "Master-Server" gefunden haben, oder nur das erste der Opfer in einer Kette von Tausenden.
Eines aber scheint klar: Prinzipiell lassen sich migmaf-Trojaner mit Hilfe jedes Virus ausliefern, und ungezählte migmaf-Spamnetze ließen sich parallel betreiben.
migmaf ist also die Antwort der Spam-Mafia auf die Versuche, dem Werbemüll endlich den Hahn abzudrehen. Sieht so aus, als würde das noch schwerer als gedacht: Schöne Aussichten sind das nicht.
Frank Patalong
Auf anderen Social Networks posten:
HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:
| alles aus der Rubrik Netzwelt | Twitter | RSS |
| alles aus der Rubrik Tech | RSS |
| alles zum Thema Computersicherheit | RSS |
© SPIEGEL ONLINE 2003
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH
Wetter
