Der Weg des Virus
Fallstudie: Rückverfolgung einer Infektionskette
Copyright (C) 1995 by Howard Fuhs
Wenn man so manche Schreckensnachricht über Computerviren vernimmt, dann stellt sich dem außenstehenden Beobachter immer wieder die Frage wie sich ein Computervirus innerhalb einer kurzen Zeitspanne relativ weit verbreiten kann. Ich möchte hier ein Beispiel geben, welches auf einer wahren Begebenheit beruht. Ausgangspunkt ist das Rhein-Main Gebiet. Nennen wir die Firma "Unternehmen A".
Montag, 9.00 Uhr
Beim Scannen einer Diskette hatte ein Antiviren-Programm einen Bootsektor-Virus entdeckt. Diese Diskette enthielt für das Unternehmen A wichtige Daten, deshalb wurde dieser Warnung sofort nachgegangen. Da sich diese Diskette erst wenige Stunden im Unternehmen A befand wurde sofort versucht den Weg der Infizierung nachzuvollziehen da es nachgewiesenermaßen nur diese eine infizierte Diskette gab.
Montag, 12.30 Uhr
Als erstes wurde die Firma besucht, welche die Diskette mit Daten zur Verfügung gestellt hatte. Diese Firma B ist im Rhein-Neckar Gebiet beheimatet. Bei dieser Firma B konnte zwar auf keinem der Computer der Virus entdeckt werden, allerdings waren von der infizierten Diskette noch weitere 27 Kopien mit unterschiedlichen Datensätzen angefertigt worden und an andere Unternehmen in ganz Deutschland weiterverteilt worden. Durch diese Kopieraktion wurde der Virus innerhalb von nur einem Tag an insgesamt 28 Unternehmen und praktisch gesehen über ganz Deutschland verteilt.
Montag, 13.30 Uhr
Jetzt begann die große Rückrufaktion in welcher vor der vireninfizierten Diskette gewarnt wurde. Unternehmen im Umkreis von 250km wurden persönlich besucht und die Diskette wieder in Empfang genommen. Gleichzeitig damit wurde ein Gegenmittel innerhalb von weiteren 13 Stunden allen betroffenen Firmen zur Verfügung gestellt.
Montag 15.00 Uhr
Da diese verteilende Firma B von dem Virus ebenfalls nicht unmittelbar betroffen war blieb die Frage woher dieser Virus wohl stammte. Weitere Nachforschungen ergaben, daß eine Masterdiskette mit Daten von einem Geschäftspartner zur Verfügung gestellt wurde, dessen Unternehmen C im Stuttgarter Raum ansäßig ist. Wir sind jetzt bereits beim dritten Unternehmen in einer Kette.
Montag, 16.00 Uhr
Auch dieses Unternehmen C war nicht unmittelbar von dem Virus betroffen. Es stellte sich dann heraus, daß diese Masterdiskette von einer Niederlassung in Rußland angefertigt und per Expressboten nach Deutschland geschickt worden war, wo sie nun von Unternehmen C wiederum an verschiedene Firmen weitergeleitet wurde.
Dienstag, 7.00 Uhr
Wir versuchten nun die Spur in Rußland weiterzuverfolgen was etwas problematisch war, da die in Rußland ansässige Niederlassung von diesem Virus infiziert worden war und dadurch die genaue Infektionsfolge nicht mehr nachvollzogen werden konnte.
Dienstag, 10.45 Uhr
Uns wurde mitgeteilt, das die Daten auf der Diskette aus anderen GUS Staaten stammen, die Masterdiskette gerade zwei Tage alt war, wiederum mehrfach kopiert worden war und an Unternehmen in anderen GUS Staaten verschickt worden ist.
Nach allen Daten die bei diesem Fall gesammelt wurden kann davon ausgegangen werden, daß der Virus von dem Moment der Infektion der Masterdiskette zwei, höchstens jedoch vier Tage benötigte um sich über mehrere GUS Staaten, Polen und Deutschland zu verbreiten. Es kann im Moment davon ausgegangen werden, das infizierte Disketten an insgesamt 87 Unternehmen in den jeweiligen Staaten verschickt worden sind.
Trotz der sehr frühen Erkennung in Unternehmen A kamen beträchtliche Unkosten auf Unternehmen B und Unternehmen C zu um den Schaden durch eventuelle Infektionen bei Geschäftspartnern so gering wie möglich zu halten.
Um die Anonymität der betroffen Firmen zu gewährleisten, können in diesem Artikel nur die geographischen Regionen angegeben werden.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 1995 by Howard Fuhs