Neuer Virenalarm "Sadmind" - droht die "globale Stalinorgel"?

Das CERT warnt dringend vor einem neuen Virus, das anscheinend seit dem 8. Mai kursiert: "Sadmind" ist eine wahre Zeitbombe, die Unix- und Microsoft-Systeme befällt. Das Virus vervielfältigt sich ohne menschliches Zutun - Webmasters Albtraum.


Da hilft nur noch Abschalten: "Sadmind" ersetzt Inhalte durch ein permanentes "Testbild"

Da hilft nur noch Abschalten: "Sadmind" ersetzt Inhalte durch ein permanentes "Testbild"

Experten haben ein neuartiges Computer- Virus entdeckt, das Internet-Server infiziert und sich ohne menschliches Zutun explosionsartig verbreitet. Der so genannte Wurm "Sadmind" könnte nach Einschätzung des Virenexperten Christoph Fischer vom Micro-BIT Virus Center der Universität Karlsruhe schon am Wochenende erhebliche Schäden im Internet anrichten. "Der Wurm könnte sich zu einer globalen Stalinorgel entwickeln", sagte Fischer.

Und weiter: "Das ist kein Virus oder Wurm, wie wir ihn bereits kennen. Das hat eine neue Dimension."

Das Virus benutzt eine Schwachstelle in Unix- und Windows-NT-Rechnern und verteilt einen Sabotagecode dann ohne menschliches Zutun auf vielen weiteren Servern. "Bei allen bislang bekannten Viren war für die Verbreitung ja zumindest ein Mausklick auf einen Datei-Anhang nötig", sagte Fischer. "Sadmind" erreiche dagegen eine höhere "Eskalierungsstufe". Der Sabotage-Code könnte unter Umständen alle Daten auf den Servern löschen. Bedroht wären prinzipiell alle Internet-Seiten. Fischer: "Wir wissen nicht genau, warum es noch nicht zum Flächenbrand gekommen ist. Momentan schwelt es."

"Sadmind" setzt auf einer seit langem bekannten Sicherheitslücke im Unix-Betriebssystem auf. Es infiltriert das System und beginnt, sich an andere empfängliche Unix-Systeme zu verteilen. Parallel dazu beginnt das Virus, von den Unix-Systemen aus - betroffen sind Sun Solaris-Server inklusive Sun Solaris 7 - Microsoft-Systeme im Web zu attackieren, die auf Microsoft IIS basieren.

Bisher hatte es einen solchen Fall erst einmal gegeben: Erst im März war vereinzelt ein Virus namens "Lion" aufgetreten, das ebenfalls auf der seit zwei Jahren bekannten Sicherheitslücke im Unix-basierten Solaris-Betriebssystem von Sun Microsystems aufsetzte und ebenfalls Windows IIS-Systeme attackierte - mit vergleichsweise geringem Erfolg.

"Sadmind" scheint ungleich effektiver und fährt bis zu 2000 Attacken, bevor es daran geht, auch den Solaris-Server "abzuschießen".

Direkter Effekt der Angriffe: Betroffene Webserver werden "defaced" und zeigen nur noch die Nachricht

"fuck USA Government
fuck PoizonBOx".

Doch die Wirkung des Virus könnte darüber hinaus gehen. Fischer: "Bei der Infektion wird auf dem Windows-Rechner ein Programm abgelegt. Das könnte durchaus ein System sein, das auf Kommando eine Denial-of-Service-Attacke von dem infizierten Rechner aus startet. Das wäre das absolute worst-case-szenario, weil man dann nicht zehn oder fünfzig Rechner hat, die einen solchen Angriff starten, sondern vielleicht Tausende."

Das Virus taucht zeitparallel zu einem von Seiten chinesischer Hacker einseitig erklärten "Waffenstillstand" im seit Anfang April schwelenden "Cyberwar" zwischen China und den USA auf. Ein Zusammenhang ist dennoch möglich: "PoizonBOx" ist die amerikanische Hackergruppe, die mit aller Wahrscheinlichkeit den "Hackerkrieg" begonnen hatte.

Auch die zweite Möglichkeit steht in direktem Zusammenhang mit den Aktivitäten von "PoizonBOx". Die Gruppe gilt als Urheber des "Lion"-Virus, dem es im März gelang, von Solaris-Systemen aus Windows-Webserver zu attackieren. Auch hier fand ein "Defacement" statt, das zum Beispiel die Inhalte mehrerer britischer Regierungs-Webseiten mit einem "PoisonBOx"-Logo ersetzte. Mehr Schäden entstanden damals nicht, es blieb beim vergleichsweise harmlosen "Defacement".

Jetzt treten offensichtlich "PoisonBOx"-Gegner auf, die zeigen wollen, dass sie es "besser" können: "Sadmind" ist erheblich aggressiver als "Lion" und darauf ausgerichtet, echte Schäden zu verursachen.

Für Christoph Fischer sind Fragen nach der Urheberschaft im Augenblick nicht drängend: "Das ist Kaffeesatzleserei". Noch sei Zeit, etwas zu unternehmen.

Doch von Seiten der Virenschutz-Softwareunternehmen passiert bisher so gut wie nichts. Sophos etwa verweist auf die IT-Sicherheit-Koordinierungsstelle CERT und kündigt an, Sophos-Software werde das Virus in seinen Versionen "ab Juli 2001" erkennen. Fischer: "Die Antivirenhersteller schätzen das zu Problem lasch ein."

Glück im Unglück: Sowohl Microsoft, als auch Sun Microsystems bieten zumindest Patches gegen die Sicherheitslücken an, die "Sadmind" für sich ausnützt. CERT veröffentlicht auf ihren Seiten Auszüge aus System-Logfiles, mit deren Hilfe man den Befall feststellen kann. Eine Reparatur "von Hand" sollte so möglich sein - so lang "Sadmind" sein Zerstörungswerk nicht begonnen hat.



© SPIEGEL ONLINE 2001
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.