Gut bekannter Absender
■ Ein bösartiges Computerprogramm schleicht sich ins Vertrauen von Mail-Empfängern. Dann löscht es wertvolle Daten und verschickt sich selbst an das nächste Opfer
Warnungen vor Computerviren aus dem Internet sind so alt wie das Internet selbst. Mit schöner Regelmäßigkeit lösen sie entnervte Reaktionen aus. Mit einer E-Mail, so pflegen die alten Hasen zu belehren, könne man nun mal keine Festplatte löschen und all den anderen Unfug treiben, der in den mehr oder weniger witzigen Virenwarnungen beschrieben wird. Auch „Melissa“ konnte das nicht, der Mail-Virus, der im Frühjahr für Schlagzeilen sorgte. Er verschickte nur massenhaft Porno-Adressen an ahnungslose Empfänger.
Inzwischen ist aber auch den Profis das Lachen vergangen. Letzten Donnerstag stellte der Prozessorhersteller Intel seinen Mailverkehr mit dem Nahen Osten und Europa ein; ein neuer Virus war entdeckt worden. Das Firmennetz werde möglicherweise „mehrere Tage“ stillgelegt, sagte ein Firmensprecher. Den Alarm ausgelöst hat ein Windows-Programm, das „ExploreZip“ heißt. Es gehört zur Gruppe der „Worm“ genannten Viren, die zwar darauf verzichten, sich in fremde Dateien einzunisten, dafür als selbstständig lauffähige Programme versuchen, Kopien ihrer selbst über Netzwerke zu versenden.
Würmer enthalten meist nur Scherznachrichten, dieser aber lehrt das Grausen. Er filzt sämtlichen Laufwerke nach Dateien mit den Endungen „.doc“, „.xls“, „.ppt“, „.h“, „.c“, „.cpp“ und „.asm“, um ihren Inhalt zu löschen. Der Schaden fällt erst auf, wenn die Datei geöffnet wird, und ist dann kaum noch reparabel.
Die Liste der Formate, denen ExploreZip den Garaus macht, gibt einen gewissen Hinweis auf die Motive des Programmierers: „.doc“, „.xls“ und „.ppt“ sind die Standardendungen der Word-, Excel- und Powerpoint-Dateien, betroffen sind damit die Anwender des Office-Pakets von Microsoft. Die Zentrale in Redmond verschickte umgehend eine Erklärung an die Weltpresse: „Wir arbeiten mit der Anti-Viren-Community zusammen, um sicherzustellen, daß Anwender über die Situation aufgeklärt werden.“
Doch der Autor von ExploreZip hat keineswegs nur an Microsofts Kunden gedacht. Die Endungen „.h“, „.c“, „.cpp“ und „.asm“ stehen für Quellcodes von Programmen der Sprachen „C“, „C++“ und „Assembler“. Wie schon der noch aggressivere „Tschernobyl“-Virus könnte auch ExploreZip der Racheakt eines frustrierten Programmierers sein. Doch der Tschernobyl-Killer steckte zunächst in Raubkopien gängiger Software und verbreitete sich daher nur langsam ausnahmsweise über das Netz. Ganz anders ExploreZip. Der Chef des Antiviren-Spezialisten McAffee glaubt, daß schon Zehntausende von Computern befallen sind.
Was die Branche so außergewöhnlich alarmiert, ist die Methode, mit der ExploreZip sich über das Internet ausbreitet. Sie setzt auf die Gewohnheiten selbst erfahrener Netznutzer. Post völlig unbekannter Absender stieße bei ihnen auf Mißtrauen, doch der Wurm umgeht diese erste Hürde, indem er jeden ankommenden Brief automatisch beantwortet. Der Besitzer des infizierten Computers bemerkt davon nichts, noch wichtiger aber ist, daß auch der Empfänger keinen Verdacht zu schöpfen braucht: Die Rückantwort enthält völlig korrekt die „Betreff“-Zeile, mit der er seinen Brief abgeschickt hatte. Stutzig machen könnte ihn erst die kurze Notiz, die ExploreZip schreibt – bislang nur auf englisch: „Hallo, ich habe deine Mail erhalten und werde sobald wie möglich darauf antworten. Schau dir bis dahin doch schon mal die angehängten Dokumente an.“
Das Attachment heißt „zipped-files.exe“. Offenbar ein ausführbares Programm, der Name jedoch wie auch die Briefnotiz lassen fast zwingend darauf schließen, daß es sich um eines jener harmlosen, sich selbst entpackenden Archive handelt. Schritt für Schritt hat ExploreZip die psychologischen Widerstände abgebaut, die sonst jeden auch nur halbwegs vernünftigen Computerbesitzer daran hindern, irgendein ihm völlig unbekanntes Programm laufen zu lassen. Dieses hier hat ihm ein gut bekannter Absender geschickt.
Der arglose Mausklick auf das ausführbare Attachment führt zu der wiederum keineswegs außergewöhnlichen Fehlermeldung, das Zip-Archiv sei beschädigt oder aus sonst einem Grund nicht zu öffnen. Wenn sie auf dem Bildschirm erscheint, hat der Wurm bereits ein Programm namens „explore.exe“ in das Systemverzeichnis kopiert und in die Konfigurationsdatei „win.ini“ geschrieben, daß ebendieses Programm schon beim Starten des Computers ausgeführt werden soll. Es enthält die Killer-Routine für Office-Dateien und Quellcodes und besetzt die Schnittstelle von Windows, über die übliche Mailprogramme, allen voran Microsofts „Outlook Express“, ihre Post verschicken. Jetzt wird auch dieser Computer jeden eingehenden Brief mit dem Killerprogramm beantworten. Einmal entdeckt, läßt es sich leicht löschen. Wahrscheinlich ist der Schaden dann aber schon eingetreten, denn weitere Symptome sind zuvor nicht erkennbar.
Warnungen vor Netzviren müssen fortan wohl ernster genommen werden. Mit ExploreZip wird zum erstenmal die systematische Zerstörung von Daten über das Internet zu einer realen Gefahr, wenn auch nicht unmittelbar, so doch über das raffiniert erschlichene Vertrauen der Windows-User. James Love, Mitarbeiter des Verbraucheranwalts Ralph Nader und Leiter der Lobbygruppe „Consumer Project on Technology“ in Washington, verweist dabei auf das Monopol von Microsoft. „Wenn wir nur eine einzige Getreidesorte hätten, müßten wir verhungern, wenn sie an einer Krankheit einginge“, sagte Love. Er selbst habe den Virus übrigens auch zugeschickt bekommen. Geschadet habe er ihm aber nicht – Love arbeitet nur mit Linux und Word Perfect. Niklaus Hablützel
