Quo Vadis Virus
E-Mail-Verbreitung als neuer Trend?
Copyright (C) 05/2000 by Howard Fuhs
Computerviren sind nicht gerade die neueste Erfindung des Computerzeitalters. Auf Basis von Intel-Rechnern gibt es sie bereits seit der zweiten Hälfte der 80er Jahre und man sollte meinen, dass die Anwender in der Zwischenzeit wirksame Vorkehrungen gegen Viren getroffen haben. In der Anfangszeit waren es nur relativ einfache Dateiviren und Bootsektorviren, die sich mittels Diskettentransport von Computer zu Computer hangelten. Alle weiteren modernen Plagen wie Würmer, Trojaner oder Backdoors waren damals nur als theoretisch denkbar in entsprechenden Fachkreisen diskutiert und von ganz wenigen Ausnahmen abgesehen nicht existent. Das erste böse Erwachen aus dem Dornröschenschlaf kam Ende 1995 als Microsoft eine leistungsfähige Script-Sprache in WinWord implementierte und diese Script-Sprache zum Schreiben von Viren missbraucht wurde. Es entstanden die Macro-Viren. Bedingt durch die vielfachen Möglichkeiten eine Script-Sprache für Virenzwecke zu missbrauchen, was eigentlich nur deren Leistungsfähigkeit unter Beweis stellt, gab es nicht nur eine ware Flut von Macro-Viren binnen kurzer Zeit, sondern die unterschiedlichen Funktionskonzepte der Viren und die unterschiedlichen Plattformen, auf denen sie liefen, zwangen die Fachwelt nunmehr von "Malware" zu reden. Die Leistungsfähigkeit der Script-Sprachen erlaubte nun auch die einfache Erstellung von Würmern, Trojanischen Pferden und die E-Mail-Funktionalität des Internet trug das Ihre dazu bei, die Malware binnen kürzester Zeit weltweit zu verbreiten.
Auch die sogenannten Hoaxes sollen an dieser Stelle erwähnt werden, denn es gibt Anhaltspunkte, die aus einem Hoax mehr als nur einen harmlosen Streich machen, sondern ihn auch in direkte Verbindung mit Schlagwörtern wie "Malicious Code" (Malware) und "Social Engineering" bringen. Internet Hoaxes sind nichts anderes als über Datennetze verbreitete Nachrichten, deren Inhalt vor technisch oftmals nicht möglichen oder nicht vorhandenen Gefahren warnen sollen. Ziel dieser Hoaxes ist es dabei, technisch nicht versierte Computernutzer zu verunsichern, zu einer bestimmten Reaktion zu bewegen oder gar in Panik zu versetzten, was dann wiederum fast automatisch Schaden nach sich zieht.
Als ob das nicht schon ausreichen würde, wurde in einem Feature-Wahn der letzten Jahre jedem noch so kleinen und scheinbar unwichtigen Programm die Funktionalität zum automatischen Ausführen aktiver Inhalte implementiert, bis hin zu so zweifelhaften Dingen wie dem Windows Scripting Host, der seit Windows 98 standardmäßig mit dem Betriebssystem installiert wird. Für den Endanwender sind die Möglichkeiten der ungewollten Manipulation seines Computers geradezu unüberschaubar, selbst als Fachmann wird es langsam schwierig. Nimmt man den Standard-PC unter Windows 98 mit Zugang zum Internet, so ergeben sich unter anderem folgende Möglichkeiten:
Über den Browser kann mit Java, JavaScript, ActiveX und HTML manipuliert werden. E-Mail Programme arbeiten u.a. mit der Funktionalität des Windows Scripting Host. Unter Windows selbst kann u.a. mit ActiveX gearbeitet werden. Und dazu kommen dann noch die ganzen Script Sprachen einzelner Applikationen wie z.B. Visual Basic for Applications (VBA), wobei die Aufzählungen keinerlei Anspruch auf Vollzähligkeit erheben. Ob der Endanwender diese geballte Funktionalität überhaupt braucht, sei stark bezweifelt, jedenfalls hält sie die ganze Datensicherheitsbranche am Leben, denn seit 1997 ist eine starke Zunahme an Malware zu verzeichnen, die nicht mehr nur auf die einfachen Konzepte der frühen Computerviren setzt. Die Tendenz hin zu Malware, die außer dem virentypischen Verhalten auch die Funktionalität von Würmern, Trojanern und Backdoors hat, ist in den letzten Jahren unverkennbar.
Nehmen wir das aktuellste Beispiel aus dem Malware-Bereich. Das Visual Basic Script "Loveletter".
Mit diesem Liebesbrief besonderer Art wurden wieder einmal die Mailserver in Deutschland erfolgreich überlastet und heruntergefahren. Der Visual Basic Script (VBS) Makrovirus Loveletter überschwemmte fast lawinenartig das Internet und die daran angeschlossenen E-Mail Systeme. Einige große Unternehmen wurden so stark von dem Script-Virus betroffen, dass sie zeitweise sogar ihre E-Mail Server herunterfahren mussten um das Problem in den Griff zu bekommen.
Doch trotz aller Medienreaktion auf den Virus darf nicht vergessen gehen, dass er nicht der erste seiner Art ist, hier sei nur an den W97M/Melissa Virus erinnert, der die gleichen Auswirkungen weltweit hatte, nur halt einige Jahre früher. Darüber hinaus nutzen diese Viren keine direkte Sicherheitslücke sondern vielmehr nur die vom Betriebssystem/Anwendungssoftware zur Verfügung gestellte Funktionalität.
VBS/Loveletter nutzt eine seit dem W97M/Melissa bekannte Verbreitungsmethode: der Virus verteilt sich selbst als E-Mail-Anhang. Diese E-Mails haben den Betreff "ILOVEYOU" und enthalten die Textzeile: "kindly check the attached LOVELETTER coming from me." Als Attachment mit dem Namen "LOVE-LETTER-FOR-YOU.TXT.vbs" ist der eigentliche Virus angefügt. Wurde der E-Mail Anhang ausgeführt, aktivierte man den Virus und dieser versuchte dann noch von einer Web-Seite eine ausführbare Datei nachzuladen, die einen Sniffer zum Ausspionieren von Passwörtern enthält. Wer sich die Virenanalysen durchliest, die kurze Zeit später von Virenspezialisten im Internet veröffentlicht wurden, der wird sicher bemerken, welche verschiedenen Funktionalitäten in diesen doch recht einfachen aber wirkungsvollen Virus eingebaut wurden, damit er sich auf möglichst vielen Systemen verbreiten kann.
Zwar waren bereits einen Tag nach der Entdeckung von den führenden Antiviren-Softwarefirmen entsprechende Updates erhältlich, doch das eigentliche Problem ist die Tatsache, dass es jederzeit wieder geschehen kann und die Schäden durch solche Viren für einzelne betroffene Unternehmen in die Millionen gehen können.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 05/2000 by Howard Fuhs