Rootkit installiert BitTorrent...

...und startet Filmdownloads

Die Attacken auf Messenger-Nutzer werden ausgefeilter: noch vor den chattenden Würmern, die Anfang Dezember aufkamen, wurden Wurmattacken auf AIM-Nutzer aggressiver: der W32/Sdbot - Trojaner wurde im Oktober mit dem Lockx - Rootkit aufgebohrt, die Angreifer kamen vermutlich aus dem mittleren Osten. Mit dem AIM-Wurm konnte ein gigantisches Botnetz erzeugt werden.

Dass sich entsprechende Malware gelegentlich selbst updated, ist bekannt, womit, ist in diesem Fall jedoch außergewöhnlich. Auf infizierten Rechnern installierte der Wurm einen BitTorrent-Client nach, der prompt auch mit dem Download von Filmen startet: skurrilerweise einige Disney-Clips und den Mr Bean-Kinofilm. Vitalsecurity geht davon aus, dass es sich um einen Proof of Concept handelt, rechnet jedoch mit fantasievolleren (und schädlicheren) Einsatzzwecken der Methode. Die harmlosesten werden nur Bandbreite der User fressen - Files zu verbreiten, ohne auf eigene Bandbreite angewiesen zu sein, dürfte für viele Anbieter eine interessante Taktik darstellen.

Der Verschleierung der Angriffe kommt die Methode natürlich zugute: sich selbst updatende Würmer beziehen frischen Code häufig aus rückverfolgbaren Kanälen wie beispielsweise Webseiten. Das dezentrale Torrent-Netz bietet weitaus schlechtere Ansatzmöglichkeiten, um solche Funktionen der Malware zu bekämpfen. Aber auch das simple Verteilen weiteren Schadcodes über unverdächtig scheinende Files wird mit der Methode erleichtert: selbst, wenn das Rootkit gefunden und gelöscht ist. Auch über Mediafiles kann schon seit einiger Zeit Schadcode verbreitet werden. Den man sich eventuell bereitwilliger installiert, wenn man nicht ein frisch geladenes File öffnet, sondern eben ein auf der Platte gefundenes und vergessen geglaubtes Verzeichnis durchforstet.

Die spannendste Frage stellt sich natürlich angesichts der Kriminalisierung der Filesharer und der Frage, wo die Beweislast liegt. Die gerne vorgeschlagene Ausrede, der Rechner sei gehackt worden und man habe nichts von einer installierten Filesharing-Software gewußt, wird bislang in der Regel müde belächelt. Inzwischen existiert eine wirksame Attacke, die exakt dieses tut: unbemerkt einen Torrentclient installieren und ausgerechnet Filme zu laden.

• 10 Kommentare zum Artikel

• Das hört sich doch gut an. Und in Deutschland gilt immer noch: Im Zweifel für den Angeklagten.

  spencer2 am 21.12.2005 17:27

• Immerhin gitb es unfreiwillig mehr Quellen, hat auch was gutes. mfGr

  natbornkiller am 21.12.2005 17:47

• Zitat: Zitat von spencer2 Das hört sich doch gut an. Und in Deutschland gilt immer noch: Im Zweifel für den Angeklagten. Naja, wenn ich mir so die Geschichte mit dem Killerspiele Verbot anschaue...

  shakar am 21.12.2005 17:57

• Im Falle eines Sharers kann es doch zur Strafe kommen, denn eine größere Datenmenge kann nicht unbemerkt auf dem Rechner lagern. Trotzdem: Hoffen wir trotzdem mal auf Freispruch, denn es sollte ja nicht so schnell eine erdrückende Beweislast zustande kommen

  Pierce am 27.12.2005 11:23
• [...] Diskussion lesen oder Artikel kommentieren