Wurm

Was ist ein Wurm?

Ein Wurm ist eine Form von Malware, die sich selbstständig über Netzwerke verbreitet – oft ohne Interaktion des Benutzers. Anders als ein Virus benötigt ein Wurm kein Wirtsprogramm zur Replikation, sondern nutzt eigenständig vorhandene Schwachstellen (z. B. SMBv1, RDP) oder unsichere Dienste, um sich von einem infizierten System aus weiterzuverbreiten.

Würmer scannen automatisiert nach weiteren angreifbaren Systemen und nutzen Exploits oder Standard-Credentials zur Kompromittierung. Sie werden über E-Mail-Anhänge, Netzlaufwerke oder USB-Geräte verbreitet und können Funktionen wie Backdoors, Datenverschlüsselung, Keylogger oder Botnet-Anbindung enthalten. Viele Würmer agieren als Initialvektor für komplexere Angriffe – etwa zur Vorbereitung von Ransomware-Kampagnen.

Wichtige Wurm-Eigenschaften

• Selbstreplikation & Verbreitung
  → Automatische Vervielfältigung ohne Nutzerinteraktion über Netzwerkprotokolle (SMB, RDP)

• Exploit-Nutzung
  → Bekannte Schwachstellen wie EternalBlue (MS17-010) oder PrintNightmare

• Verbreitungswege
  → E-Mail-Anhänge, Filesharing, USB-Geräte, Netzwerkfreigaben

• Schadensfunktionalität
  → Löschung von Dateien, Verschlüsselung (Ransomware), Botnet-Kommunikation

• Bekannte Beispiele
  → Morris Worm (1988), Blaster (2003), Conficker (2008), WannaCry (2017), Stuxnet (2010)

Anwendung in der Praxis

Ein produzierendes Unternehmen wird durch den WannaCry-Wurm lahmgelegt, der sich über eine ungepatchte SMBv1-Schwachstelle in Windows ausbreitet. Mehrere Fertigungsstraßen fallen aus, da Produktionsrechner verschlüsselt und vom Netzwerk isoliert werden. Die Incident-Response-Teams analysieren Logdaten und finden auffälligen SMB-Traffic mit wiederholten Zugriffsversuchen auf Port 445. Das Unternehmen segmentiert in der Folge seine Netzwerke, aktiviert IDS-Systeme zur Erkennung massenhafter Verbindungsversuche und führt verpflichtende Windows-Updates mit SMB-Deaktivierung ein.

Verwandte Begriffe

• Virus

• Trojaner

• Ransomware

• Endpoint Detection and Response

• Intrusion Detection System

• Patch-Management

• Security Incident

• Netzwerksegmentierung

• Malware

Beispiel aus der Praxis

Ein produzierendes Unternehmen wird durch den WannaCry-Wurm lahmgelegt, der sich über eine ungepatchte SMBv1-Schwachstelle in Windows ausbreitet. Mehrere Fertigungsstraßen fallen aus, da Produktionsrechner verschlüsselt und vom Netzwerk isoliert werden. Die Incident-Response-Teams analysieren Logdaten und finden auffälligen SMB-Traffic mit wiederholten Zugriffsversuchen auf Port 445. Das Unternehmen segmentiert in der Folge seine Netzwerke, aktiviert IDS-Systeme zur Erkennung massenhafter Verbindungsversuche und führt verpflichtende Windows-Updates mit SMB-Deaktivierung ein.