Im Jahr 2019 wurde der Computer-Virus PlugX von seinem Autor um eine neue Funktionalität erweitert. Seitdem infiziert er auch USB-Laufwerke. Und darüber alle weiteren Systeme, an die diese externen Laufwerke oder USB-Sticks später angesteckt werden. PlugX ist daher per Definition ein Computerwurm. Die Schadsoftware repliziert sich nämlich selbstständig und heftet sich nicht an eine EXE-Datei.
Vor Jahren noch war es so, dass eine Schadsoftware – ganz egal ob Computervirus, Wurm oder Trojaner – die „böse Funktion“ zum Löschen von Dateien oder Stehlen von Daten einprogrammiert hatten. Auf dem infizierten System konnte der Virus daher unmittelbar Schaden anrichten – aber eben nur genau den Schaden, den der Programmierer von vorneherein vorgesehen hatte.
Heute ist das ein wenig anders. Je nach Schätzung sind etwa 50%-70% aller Computer weltweit online – also an das Internet angeschlossen. Viele Computerviren sind daher heute primär darauf spezialisiert, möglichst viele Systeme zu infizieren und dabei unbemerkt zu bleiben. Eine wirkliche Schadfunktion fehlt ihnen aber, sie sind nur die Hintertür ins System. Später kontaktieren sie dann einen Server im Internet, der ihnen Befehle gibt oder von dem die eigentliche Schadfunktion nachgeladen wird. Dieser Server wird C&C-Server genannt, was für Command und Control steht. Er ist typischerweise über eine oder mehrere IP- oder Web-Adressen erreichbar, die von den Hackern kontrolliert werden. Bei PlugX war das anders. Es war nur genau eine einzige IP-Adresse fest im Programmcode hinterlegt.
Und dann ist etwas passiert, was nicht passieren sollte. Die hinter dem Virus steckende Bande an Hackern – man vermutet eine Verbindung zum chinesischen Ministerium für Staatssicherheit – hat die Kontrolle der IP-Adresse des C&C-Servers verloren. Die Gründe dafür sind unbekannt. Heute hat eine Firma für IT-Sicherheit die Rechte an dieser IP-Adresse erlangt und die Sicherheitsforscher zählen jetzt, wie viele mit PlugX infizierte Rechner sich dort melden, um Befehle zu erhalten. Täglich kontaktieren etwa 90.000-100.000 Computer den vermeintlichen C&C-Server. In den letzten sechs Monaten waren es nahezu 2,5 Millionen unterschiedliche Systeme, die alle mit PlugX infiziert sind. Und es werden immer mehr. Der Wurm verbreitet sich weiter – allerdings ohne Schaden anzurichten.
Vielleicht fragen Sie sich jetzt, warum die Sicherheitsforscher die 2,5 Millionen Viren nur zählen und ihnen keinen Befehl zum Desinfizieren geben – also die Aufforderung an PlugX, sich selbst zu löschen. Schließlich könnten sie einen C&C-Server bauen, der diesen Befehl gibt und so den Virus ausrotten. Die Antwort ist ganz einfach. Es ist in vielen Ländern illegal, ohne Erlaubnis des Besitzers auf fremden Computern Daten zu verändern oder Dateien zu löschen. Auch Schadsoftware. Das wäre Hacken und das ist verboten.
Hallo Tobias, wie immer, sehr interessant, aber wenn ich das mit dem PlugX jetzt richtig verstanden habe: wir alle haben „ihn“ drauf und „er“ fragt jeden Tag nach ob „er“ uns etwas Gutes tun kann?
Die 2,5 Millionen sind jetzt prozentual nicht viel, aber doch ne beachtliche Zahl.
Also: nicht „alle“ haben ihn drauf. Aber bei denen, bei denen das zutrifft, fragt der regelmäßig nach, ob „Arbeit“ auf ihn wartet.
Hallo Tobias, danke für die schnelle Antwort. Aber wenn ich nicht zu den 2,5 Millionen ist es ja gut, wenn doch woher weiß ich das, wie bekomme ich das heraus und wie werde ich diesen Schmarotzer eventuell wieder los? Fragen über Fragen aber einer hat ja Antworten parat, unserer Tobias.
Praktisch jeder aktuelle Virenscanner wird die bekannten PlugX-Varianten erkennen und „unschädlich“ machen. Das ist m.E. die einfachste und einzig umsetzbare Methode für Normaluser. Wenn Du einen brauchst, kurze Info hier. Ich habe noch ein paar Lizenzen eines vernünftigen Anti-Virenprogramms rumliegen (3 Rechner, 1 Jahr).