Wikipedia "verbreitet" Wurmprogramm
Perfekt durchorganisierte Attacke
Die Organisatoren der Wurmattacke via Wikipedia gingen offenbar gut vorbereitet zu Werke. Sie hatten nicht nur eine gefälschte Wikipedia-Downloadseite einschließlich eines Schadprogramms gehostet, sondern auch eine wohldurchdachte Massenmail parat, die dem Wikipedia-Stil täuschend ähnlich nachempfunden worden war. Gleichzeitig nahmen sie sich den Wikipedia-Artikel zum MS-Blaster-Wurm vor und ergänzten ihn mit ihren Inhalten.
„Schonzeit vorbei“
Unter der Überschrift „Die Schonzeit ist vorbei“ konnte der geneigte Wikipedia-Nutzer dort ein Zusatzkapitel zu aktuellen Entwicklungen beim MSBlaster-Wurm entdecken. Der Wurm, der im August 2003 in der Windows-Welt rund um den Globus für Furore sorgte, habe am 29. Oktober 2006 nun endlich seine wirkliche Schadensroutine aktiviert. „Die Download-Server und die Windows-Update-Site von Microsoft sind daher schon zum jetzigen Zeitpunkt nur noch sporadisch erreichbar“, heißt es in dem manipulierten Wikipedia-Artikel weiter. Der Ansturm auf die Microsoft-Server „dürfte in den kommenden Stunden stark zunehmen, wenn weitere Kontinente die Datumsgrenze überschreiten“, behauptet der Artikelschreiber.
Gefährliche Sicherheitspatches
Da Microsoft nicht mehr erreichbar sei, habe sich Wikipedia „nach Absprache mit Microsoft Deutschland dazu entschlossen, die zum Stopfen des Sicherheitslochs benötigten Dateien auf dem eigenen FTP-Server zu spiegeln, um eine Nicht-Erreichbarkeit der Microsoft-Server mit den Patches zumindest ansatzweise auszugleichen“. Es folgt eine Aufzählung der betroffenen Windows-Systeme. Die anschließend im Artikel angegebenen Links führten zur Seite wikipedia-download.org/win/. Hier sollten angeblich die versprochenen Patches lagern.
Gefälschte Wikipedia-Mail
Der manipulierte Wikipedia-Artikel stand gerade im Netz, als die Massenmail-Kampagne zur Wurmverbreitung gestartet wurde. „Wikipedia schlägt Alarm. Neue Variante des W32.Blasters im Umlauf. Wurm-Fix zum Download“, hieß es in der Mail, die zum Teil unter einer gefälschten Wikipedia-Adresse verbreitet wurde und optisch dem Wikipedia-Stil nachempfunden worden war. Im Nachrichtentext der gefälschten Mail wurde anschließend vor dem „neuen“ Wurm gewarnt. Das Schadprogramm nutze eine bekannte Sicherheitslücke in verschiedenen Windows-Systemen aus. „Seien Sie vorsichtig. Lassen Sie MSBlaster sich nicht weiter verbreiten!“, warnte die Mail und verwies anschließend auf die manipulierte Wikipedia-Seite.
Artikelversion blieb gespeichert
Findige Wikipedia-Autoren hatten die Änderungen im MSBlaster-Artikel offenbar recht schnell bemerkt. Sie entfernten das gerade angefügte Kapitel. Der Artikel war in seiner neuen Version nun wieder korrekt und um die Manipulation bereinigt. Doch die Wikipedia-Software Mediawiki speichert zu Dokumentationszwecken sämtliche Versionen eines Artikels ab. Der manipulierte Artikel war also weiterhin öffentlich zugänglich. Und gerade auf diese Version hatten die Schadprogrammverbreiter in ihren Mails verlinkt – ein weiteres Indiz dafür, wie gut die ganze Attacke geplant worden war. Die Gefahr war erst vorüber, nachdem sich Wikipedia dazu entschlossen hatte, die betroffene Artikelversion zu löschen.
Schadprogramm wird analysiert
Heise online zufolge wurde das fragliche Schadprogramm mit zwanzig Virenscannern getestet – ohne Ergebnis. Es handelte sich offenbar um einen brandneuen Schädling, für den noch keine Signaturen existieren. Eine erste Analyse des Programms hat allerdings bereits ergeben, dass es sich bei ihm tatsächlich um einen Schädling handelt. Welche Schadfunktionen er besitzt und was seine Verbreiter mit ihm planten, ist derzeit noch nicht bekannt.
Zurück zur News-Übersicht
