piwik no script img

Archiv-Artikel

Der Terror-Virus

Ein neuer Internet-Virus ködert seine Opfer mit einem angeblichen Handyvideo von den Anschlägen in London

Eine besonders arglistige Methode, die Aufmerksamkeit der Mail-Empfänger zu wecken, hat sich der Programmierer eines Virus einfallen lassen. Mit der Betreffzeile „TERROR HITS LONDON“ setzt er ganz auf die Neugier der Adressaten. Die Mail erscheint vertrauenswürdig, als Absender ist „breakingnews@cnnonline.com“ angegeben – der Newsletter des amerikanischen TV-Senders CNN. Aber die Absenderadresse ist gefälscht, die Domain gibt es nicht. Im kurzen Text steht, dass man sich ein mit einem Handy aufgenommenes Amateurvideo anschauen könne, das kurz nach der Explosion einer Bombe in der Londoner U-Bahn aufgenommen wurde. Zum Abspielen des Videos genüge ein Klick auf den Mail-Anhang.

Aber es ist kein Video angehängt, auch wenn genau das der Dateiname „London Terror Moovie.avi“ vermuten lässt, gefolgt von 124 Leerstellen und dem Hinweis „Checked By Norton Antivirus.exe“. Das ist bei Virenmails durchaus üblich: Die Leerstellen gehören zum Dateinamen und sollen ebenso wie der Verweis auf die bekannte Antivirensoftware davon ablenken, dass mit dem Klick auf den Anhang der Virus sofort aktiviert wird. Alles, was am Ende des Dateinamens „.exe“ heißt, kann auf Windows-Rechnern per Doppelklick gestartet werden. Das Gemeine dabei ist, dass – je nach Voreinstellung – viele Windows-Systeme die Erweiterung „.exe“ nicht anzeigen und daher Anwender in trügerischer Sicherheit wiegen.

Sobald auf den Viren-Anhang geklickt wird, kopiert sich der Schädling als „winlog.exe“ in den Windows-Ordner und modifiziert die Registry-Datenbank, so dass er mit jedem Neustart gleich wieder mit geladen wird. Der Trojaner – so nennt man einen Virus, der wie das trojanische Pferd vorgaukelt, etwas ganz anderes zu sein – installiert einen SMTP-Mailserver und beginnt klammheimlich damit, große Mengen an Spam-Mails an Adressaten zu versenden, die im Mailverzeichnis des Opfers stehen.

Der neue Schädling wurde bereits kurz nach dem ersten Auftauchen von der britischen Sicherheitsfirma MessageLabs mit einer selbst entwickelten Technik namens „Skeptic“ entdeckt. Durch den schnellen Warnhinweis sind alle Hersteller von Antivirenprogrammen in der Lage, unverzüglich Updates ihrer Produkte bereitzustellen. Die Verbreitung des Schädlings dürfte so relativ gering bleiben, ein regelmäßiges Update der jeweils verwendeten Antivirensoftware wird jedoch ohnehin empfohlen.

Firmen wie CNN würden unter keinen Umständen derartige Mails versenden. Aber in der allgemeinen Terrorpanik vergessen das wohl viele. Schon die Flut in Südostasien Ende 2004 wurde dazu benutzt, diverse Trojaner und Viren in die Welt zu setzen.DIETER GRÖNLING