Begriff
Worm (Computer Worm)
Warum wichtig?
Dieser Begriff ist ein Knoten im SengakujiWorks-Wissensnetz. Nutze Level 0 für die erste Einordnung, Level 1 für Praxis, Level 2 für technische Struktur und Level 3 für Grenzen, Fallstricke und Expertenkontext.
Ein Virus braucht einen Wirt. Er muss sich an eine Datei kleben (game.exe). Er verbreitet sich nur, wenn du die Datei kopierst.
Ein Wurm ist selbstständig.
Er braucht keinen Wirt und keinen Benutzer, der klickt.
Er kriecht durch das Netzwerkkabel.
Er scannt das Internet nach Schwachstellen ("Ist Port 445 offen?").
Wenn er eine Lücke findet, kopiert er sich selbst auf den fremden PC, startet sich, und scannt von dort weiter.
Das führt zu exponentiellem Wachstum (Schneeballsystem).
Merksatz: Ein eigenständiges Schadprogramm, das sich aktiv über Netzwerke verbreitet und vervielfältigt, ohne dass ein Benutzer eine Datei ausführen muss.
Du nutzt es hoffentlich nicht! Du schützt dich davor. Da Würmer Netzwerklücken nutzen, ist die beste Abwehr:
- Patchen: Sicherheitsupdates sofort installieren (damit die Lücke zu ist).
- Firewall: Unnötige Ports schließen (damit der Wurm nicht rein kann).
Berühmte Würmer:
- WannaCry (2017): Nutzte die "EternalBlue" Lücke in Windows. Verschlüsselte Hunderttausende PCs in Stunden.
- Morris Worm (1988): Der erste Internet-Wurm. Legte versehentlich 10% des damaligen Internets lahm, weil er sich zu aggressiv kopierte.
1. Propagation Strategies
Wie findet der Wurm Opfer?
- Random Scanning: Generiert zufällige IP-Adressen. (Langsam, aber unauffällig).
- Hit-List Scanning: Hat eine Liste von bekannten Zielen (z. B. alle Server einer Firma). (Extrem schnell -> "Flash WormWorm").
- Topological Scanning: Liest die
/etc/hostsoder Email-Kontakte des infizierten PCs und greift dessen Freunde an.
2. Payload vs. Carrier
Der Wurm selbst ist nur der Transporter (Carrier). Was er dabei hat (Payload), variiert:
- Nichts: Nur Rechenzeit verbrauchen (Morris Worm).
- Ransomware: Daten verschlüsseln (NotPetya).
- Botnet: PC fernsteuerbar machen (Mirai).
- Wiper: Festplatte löschen (Stuxnet - Sabotage).
3. Stuxnet (Cyberwarfare)
Der komplexeste Wurm aller Zeiten. Zielte nicht auf PCs, sondern auf Siemens-Steueranlagen (SCADA) im iranischen Atomprogramm. Er manipulierte die Drehzahl von Zentrifugen, damit sie kaputt gehen. Er verbreitete sich über USB-Sticks (Air-Gap Überwindung) und LAN.
1. Das "Autonome System" eines Wurms
Ein Wurm besteht technisch meist aus drei Modulen:
- Scanner-Modul: Sucht neue Ziele (IP-Targeting).
- Exploiter-Modul: Nutzt eine bekannte Lücke (z. B. Buffer Overflow), um den Admin-Zugriff zu erlangen.
- Payload-Injektor: Lädt den eigentlichen Schadcode nach und startet ihn. Ist dieser Prozess einmal gestartet, braucht er keine Verbindung mehr zum Hacker. Er ist ein Bot, der sich unaufhaltsam durch das Internet frisst, solange es ungepatchte PCs gibt.
2. Zero-Copy & Signature-less Detection
Da moderne Firewalls Signaturen (Fingerabrücke) von Würmern kennen, nutzen Hacker Metamorphe Würmer. Sie verschlüsseln ihren Code bei jeder Kopie neu. Sicherheits-Tools wie Falco oder modernste Endpoint-Protection (EDR) suchen daher nicht nach dem "Aussehen" des Wurms, sondern nach seinem Verhalten: "Warum versucht der Taschenrechner plötzlich, Port 445 im gesamten Firmennetzwerk zu scannen?" Diese Verhaltensanalyse ist die einzige Chance gegen neue, unbekannte Würmer.
3. Der "Weiße Wurm" (Konzept)
Es gab historisch Versuche, "gute" Würmer zu bauen (Nachi/Welchia). Der Wurm nutzte dieselbe Lücke wie der böse Wurm (Blaster), drang in PCs ein, installierte aber das Sicherheitsupdate, schloss die Lücke und löschte den bösen Wurm. Klingt gut, ist aber illegal und riskant: Auch ein "guter" Wurm kann Netzwerke durch pure Überlastung lahmlegen oder instabile PCs zum Absturz bringen. In der IT-Security gilt daher: Ungefragtes Eindringen ist immer schädlich.
Quick-Check
Unterschied Trojaner vs. Wurm?
Trojaner: Tarnt sich als nützliches Programm ("Gratis Bildschirmschoner"), muss vom User gestartet werden. Wurm: Kommt durchs Netzwerk, startet sich selbst.Fileless Worm?
Ein Wurm, der sich nie auf die Festplatte schreibt. Er lebt nur im RAM (Memory Injection). Startet man den PC neu, ist er weg. Aber bis dahin hat er sich längst weiterverbreitet.TTL (Time to Live)?
Manche Würmer haben ein Ablaufdatum einprogrammiert, damit sie sich nach X Tagen selbst löschen (um Entdeckung zu vermeiden oder den Angriff zu stoppen).