Der e-Mail-Virus/Wurm "ILOVEYOU"

Am Donnerstag, den 04.05.2000 ging eine e-Mail mit dem Betreff "ILOVEYOU" um die Welt. Doch statt der erwarteten Liebesgrüße enthielt sie einen bösen Wurm, der gleichzeitig ein Virus ist.

Wer dumm genug ist und für seine e-Mail die Microsoft-Programme Outlook oder Outlook Express verwendet, bei dem genügt es bereits, die e-Mail zu lesen, und das Virus tritt in Aktion: Es verschickt sich selbst an alle Einträge im Adreßbuch, trägt sich in mehreren Schlüsseln der Registry ein, versucht mittels des Microsoft Internet Explorers einen weiteren Virus herunterzuladen und überschreibt sämtliche erreichbaren Dateien mit folgenden Endungen mit sich selbst: .vbs, .vbe, .js, .jse, .css, .wsh, .sct, .hta, .jpg, .jpeg, .mp2 und .mp3. Dabei wird an den Dateinamen zusätzlich .vbs angehängt (aus song.mp3 wird song.mp3.vbs). Die Dateien werden physikalisch überschrieben und können nicht gerettet werden!

Ebenso betroffen sind alle Nutzer des Chatprogramms mIRC, hier wird eine infizierte HTML-Datei an alle Einträge in der BuddyList verschickt.

Außerdem kommt es zur Querinfektion: Egal, ob das Virus mit mIRC oder Outlook (Express) empfangen wurde, es verbreitet sich über beide Programme weiter.

Wer ein anderes Mailprogramm als Outlook (Express) verwendet, ist zumindest teilweise außer Gefahr: Das Virus tritt nicht bereits beim Lesen der Mail in Aktion, sondern erst beim Aufrufen des Attachements (Dateianhangs). Auch ist eine Weiterverbreitung nur mit Outlook (Express) und mIRC möglich. Alle Dateien mit den oben angegebenen Dateiendungen sind jedoch dennoch infiziert und können nicht wiederhergestellt werden!

Betroffen sind nur Nutzer der Windows-Betriebssysteme von Microsoft, bei denen der Windows Scripting Host installiert ist (was bei Windows 98 immer der Fall ist, auch bringen alle Versionen des Internet Explorer 5.x dieses Programm mit).

Der durch das Virus verursachte Schaden wird auf mehrere Milliarden DM weltweit geschätzt. Zu dieser Summe zählen unter anderem:

Übertragungsgebühren: Zwar zahlen wir normalen Surfer zeitabhängig, aber die Provider unter sich rechnen nach Datenvolumen ab, und davon hat das Virus jede Menge erzeugt!
Verlorene Daten: Zum einen konnten viele e-Mails durch Server- und Netztzusammenbrüche am Donnerstag überhaupt nicht zugestellt werden, zum anderen löscht das Virus ja eine ganze Reihe Dateien.
Arbeitsausfälle: Die Mittelbayerische Zeitung in Regensburg konnte am Freitag nur in einer Notausgabe erscheinen, da viele Daten verloren waren und das gesamte Computernetztwerk außer Betrieb war. Bei ZDF in Mainz kam die gesamte elektronische Kommunikation zum Erliegen, das Fernsehprogramm war allerdings nicht betroffen. Einige Parlamente, z. B. das britische Unterhaus, waren ebenfalls stark betroffen, auch einige deutsche Bundes- und Landesministerien. In den USA waren unter anderem der Kongreß, das Verteidigungsministerium, die Zentralbank und die Küstenwache betroffen. Japan hatte Glück: Wegen mehrerer Feiertage waren die meisten Behörden und Firmen geschlossen.
Kosten für Virensoftware: Am Neuen Markt in Frankfurt und an der NASDAQ in New York erzielten Aktien der großen Antivirensoftwarehersteller Kursgewinne bis zu 8%. Die Internetseiten dieser Firmen, von denen man sich teilweise schon am Donnerstag Schutz vor ILOVEYOU herunterladen konnte, waren hoffnungslos überlastet, der Download der Schutzsoftware war höchst selten von Erfolg gekrönt.

Der Virus behauptet von sich selbst, aus Manila, der Hauptstadt der Philippinen, zu stammen. Das entspricht allerdings vermutlich nicht den Tatsachen. In den USA hat das FBI bereits die Ermittlungen aufgenommen.

Inzwischen gibt es, wie zu erwarten war, Abarten des Virus (z. B. Betreff Joke, Attachement FunnyStuff.vbs). Nach dem ersten derartigen Wurm Melissa vor einem Jahr waren 2 Wochen nach Ausbruch etwa 40 Abarten in Umlauf, insgesamt kennt man heute über 60. Die meisten Varianten sind deutlich gefährlicher und aggressiver als die Ursprungsversion, also ist weiterhin Vorsicht geboten!

Hier geht es mir jedoch nicht um eine Warnung vor dem Virus, auch werde ich die Funktionsweise nicht kommentieren. Nur soviel: Es gibt bereits Abarten des Virus mit anderer Betreffzeile und noch gefährlicheren Löschaktionen (selbst eine Formatierung der Festplatte ist denkbar). Seid bitte äußerst vorsichtig, wenn ihr eine Mail mit Attachement erhaltet!

Wie schützt man sich nun gegen solche Attacken? Zunächst einmal durch die Wahl von halbwegs sicherer Internet-Software: Unter keinen ÄUmständen sollte man Outlook (Express) und mIRC benutzen oder auch nur auf seinem Rechner installiert haben, entsprechendes gilt für den Internet Explorer (Deinstallation ist bei Win98 mit einigen Tricks möglich). Dann sollte man zumindest für den Internetzugang ein sicheres Betriebssystem (also Linux, notfalls auch MacOS) verwenden.

Was mich wirklich nachdenklich stimmt, ist die Tatsache, daß bereits vor einem Jahr ein sehr ähnlicher Wurm, "Melissa", zu Millionenschäden geführt hat. Melissa selbst hat keine zerstörerischen Aktionen ausgeführt, die Schäden stammen lediglich aus dem hohen Datenaufkommen und den daraus resultierenden Netzwerkzusammenbrüchen durch die automatische Weiterverbreitung. Der mutmaßliche Programmierer, ein US-Amerikaner, steht inzwischen in den USA vor Gericht. Trotzdem hat Microsoft in diesem ganzen Jahr *nichts* getan, um die Sicherheit seiner Internet-Programme (und seines Betriebssystems) zu verbessern. Dort wiegelt man ab, der Nutzer könne ja die Sicherheitseinstellungen nach seinen Wünschen verändern, aber warum sind die Einstellungen nicht standardmäßig hoch? Der Grund dürfte darin liegen, daß es dann zu vermehrten Nachfragen käme, und die kosten Geld... Aber die eigentliche Frage lautet doch: Muß ein e-Mail-Programm oder ein Browser wirklich unbeschränkten Zugriff auf sämtliche Systemeinstellungen und alle Festplatten (inklusive gemappter Netzlaufwerke) haben? Oder handelt es sich hier etwa um eine bewußt eingebaute Hintertür? Ich kann nur empfehlen, einen weiten Bogen um die unsicheren Microsoft-Produkte wie Internet Explorer (mit dem sich Dateien auf der Festplatte des Surfers unbemerkt zum Server schicken lassen!), Outlook (Express), Word und Excel (Makro-Viren!) und die Windows-Betriebssysteme selbst (angreifbar und instabil) zu machen.

©2000 Martin Stricker. Alle Rechte vorbehalten! Jede Weiterverbreitung, Drucklegung und Verfügbarmachung (z. B. im Internet) ohne vorheriges schriftliches Einverständnis von mir untersagt! Der Link zu dieser Onlineversion darf frei verteilt und auf Internetseiten veröffentlicht werden.