| |
Anfang Mai 2000 hatten viele Grund zur Freude als sie eine
Liebesnavhricht im Posteingang fanden. Doch diese Freude verblasste nach dem öffnen der Mail.
Statt der Liebesbotschaft bekam man einen Wurm, der innerhalb von 3 Tagen mehr als eine halbe Million
Systeme lahm legte. Innerhalb einer Woche stieg die Zahl bereits auf mehrere Millionen. Darunter
auch E-mail-Server des Pentagon, des Britischen Parlaments und der NASA.
Der "I love you"-Wurm heißt eigentlich „VBS Love Letter“ und ist ein in Visual Basic Script
geschriebener Wurm, also ein netzwerkfähiger Virus. Auch er verteilt sich nach dem gleichen Schema
wie Melissa (siehe unten). Weiters kopiert er sich in das Verzeichnis Windows/System, wird dann beim
Start von Windows ausgeführt. Dann veranlasst er den Internet Explorer den Trojaner "WIN-BUGSFIX.exe"
vom Internet downzuloaden. Dieser erspäht Passwörter und horcht das System aus. Schließlich und endlich
sucht "I love you" noch nach Dateien mit den Endungen vbs, vbe, js, jse, css, wsh, sct, hta, mp3, mp2,
jpg und jpeg. Diese werden dann überschrieben oder "versteckt".
|
|
| |
Ende März 1999 warnten Computerspezialisten vor einem Makro-Virus, das sich
schneller ausbreiten würde, als alle bisher bekannten Viren. "Melissa" verbreitete sich über Email mit dem
Betreff "Important Message from <ABSENDER>" und beinhaltete eine Word97-Datei und den Text "Here is
that document you asked for... don't show anyone else ;-)"
Hat man die Datei erstmals geöffnet, deaktiviert "Melissa" die Word "Makro-Viren-Kontrolle" und versendet sich
an die Empfänger der letzen 50 gesendeten Emails.
Das Virus versendet sich nur unter Outlook Express. Bei andern Email-Clients wird es nicht weiterversendet,
jedoch bleiben die Word-Dateien infiziert.
Obwohl man anfänglich keine schweren Schäden erkennt, sind durch den erhöhten Emailverkehr Mailserver von großen
Firmen wie wie Boeing, INTEL oder Compaq lahmgelegt worden. Microsoft schaltete sein Server ab, um ein weiteres
Ausbreiten des Virus zu verhindern.
Bereits im April konnte der Autor von "Melissa" verhaftet werden. Es handelte sich dabei um den Amerikaner
David L. Smith. Er benutzte den AOL-Account eines gewissen Scott Steinmetz, der mit dem Virus nichts zu tun hatte, von dem aus er das Virus an die Usenet-Gruppe
Usenet-Gruppe alt.sex hierarchy schickte. Von dort aus verbreitete sich der Virus.
Aufgrund der Kooperation mit der Polizei und weil er "die Tat bedaure und nicht ahnte, was der Virus anrichten konnte",
wurde er von Richter Joseph Greenaway nur zu einer Geldstrafe von 5.000 Dollar und eine Freiheitsstrafe von 20 Monaten verurteilt
(Höchstrafe 5 Jahre sowie eine Geldstrafe in Höhe von maximal 250.000 US-Dollar).
Da er auch des Computerdiebstahls (Höchststrafe 10 Jahre) beschuldigt wurde, diese Strafe jedoch nicht die des Bundesgerichts überschreiten
sollte, wurde er insgesamt zu 42 Monaten Haft verurteilt, die zur Bewährung ausgesetzt wurde. Als Bewährungsauflage verhängte der Richter
ein Internet-Nutzungsverbot.
|
|
| |
Dieser Wurm infizierte Sommer 2000 Rechner mit Windows-NT- und 2000-Systemen mit
dem Microsoft Internet Information Server (IIS) 4.0 oder 5.0. auf dem der von Microsoft
bereitgestellte Patch für den Indexing Service nicht installiert war. Bei infizierten Seiten
findet man "HELLO!" im title und "Hacked by Chinese!" im body.
Die Rechner werden über eine direkte TCP/IP Verbindung auf Port 80 überfallen. Der Wurm schreibt
sich nicht auf die Festplatte. Er bleibt nur im Speicher, womit er Virenscanner umgeht, jedoch kann man ihn
aufgrund dieser Eigenschaft sehr leicht manuell löschen.
Es gibt einen Patch von Microsoft, mit dem man die Sicherheitslücke schließen hätte können. Jedoch
haben viele diesen Patch nicht installiert gehabt(Auch der Update-Server von Microsoft selbst wurde
infiziert).
Nach der Verbreitung wurde um eine gewisse Uhrzeit ein Distibuted-Denial-Of-Service-Angriff auf die
Webseite des Weissen Hauses gestartet. JEdoch wurde die IP-Adresse rechzeitig geändert, sodass der Angriff
ohne Erfolg blieb.
|
|