Kommentar: Wie man mit so ziemlich jeder Art von Malware »Ich liebe Dich« sagen kann

Erinnern Sie sich noch an die inzwischen auch hierzulande populär gewordenen Valentinskarten für Schulfreunde und Schulfreundinnen? Ein harmloser Spaß, alljährlich zum Valentinstag im Februar. Im Teenager-Alter ändern sich die Texte hin zu schwärmerischen Liebesbotschaften. Die Valentinskarte bleibt. Unglücklicherweise kann die Liebe ein flüchtiges Unterfangen sein.

foto frosch ms freeCupidos Pfeil IT-Sicherheitsanalysten beobachten rund um den Valentinstag im Februar nicht selten Malware-Kampagnen, die alle mit dem großem Thema »Liebe« zu tun haben. Es ist ein bisschen so, als habe Cupidos böser Zwilling sich entschlossen, Pfeile in Richtung Festplatte abzuschießen statt wie üblich in erwartungsvolle Herzen.

Wie das funktioniert? Dazu bedarf es zunächst einmal einer entsprechend clever verfassten Betreffzeile, um das Interesse der in Liebesschmerz Schwelgenden zu erregen. Eine der wohl berüchtigtsten Malware-Kampagnen dieser Art und mit einem enormen Zerstörungspotenzial ausgestattet, war sicherlich die »ILOVEYOU«-Kampagne, besser bekannt als »The Love Bug«.

»ILOVEYOU« wird 15

Der Love-Bug geht auf den Mai des Jahres 2000 zurück und war ein sich selbsttätig fortpflanzender Wurm, der sich an E-Mails mit der Betreff-Zeile »ILOVEYOU« heftete. Zu dieser E-Mail gehörte ein Anhang, der mit »LOVE-LETTER-FOR-YOU« überschrieben war. Der Anhang tarnte sich als simple .txt-Datei, war aber in Wirklichkeit eine .vbs-Datei, die ausgeführt wurde, sobald man auf den entsprechenden Anhang klickte. Die doppelte Dateiendung machte sich dabei eine Eigenheit des Windows-Betriebssystems zunutze. Nämlich wie das System Dateinamen interpretiert, während es sie liest: Von links nach rechts und mit einem Stopp nach der ersten Endung. Dadurch wurde der zweite Teil der Endung wirkungsvoll verborgen und damit auch die wahre Natur der Datei verschleiert.

The Love Bug hatte es in sich. Einmal ausgeführt ersetzte er die Mehrzahl der Dateien auf dem infizierten Host durch Kopien seiner selbst. Er ging sogar soweit, sich im Windows Registry einzunisten, um sicherzustellen, dass er mit jedem Neustart des Systems wieder aktiviert wird. Und The Love Bug machte seinem Namen in negativer Hinsicht alle Ehre. Der Wurm verbreitete sich zusätzlich, indem er seine bösartige Fracht an jedem weiteren Kontakt sendete, den er in den entsprechenden Listen des infizierten Systems finden konnte. Dadurch konnte sich der Wurm innerhalb weniger Stunden rasend schnell vervielfältigen. Eine Schätzung ging davon aus, dass sich »ILOVEYOU« in wenigstens 20 verschiedenen Ländern verbreitete und einen Schaden von mehr als 15 Milliarden US-Dollar anrichtete.

Rasanter Technologiefortschritt – auch bei Würmern und Malware

Der Internetwurm als solcher hat sich allerdings seit diesen frühen Tagen weiterentwickelt. Das Konzept eines sich selbst fortpflanzenden Wurms basiert darauf, dass sich der Schädling via E-Mail verbreitet und so weitere Systeme infiziert. Das ist heutzutage nur eine von vielen weiteren Varianten. Heute kann ein Wurm angeschlossene Devices durchsuchen und sich über Netzwerkfreigaben tiefer und tiefer in die betroffenen Systeme arbeiten. Oder der Wurm kann sich – wie im Falle von Stuxnet – über Air-gapped Netzwerke verbreiten und hochspezialisierte industrielle Kontrollsysteme umgehen.

Es ist überraschend welchen Sprung die Technologie in nur 15 Jahren gemacht hat und welche Gefahrenpotenziale jetzt damit verbunden sind. Im Jahr 2000 waren Anti-Viren-Software und Firewalls für viele Nutzer noch Fremdwörter. Heute betrachtet man beide bestenfalls als Basismaßnahmen in punkto IT-Sicherheit und in den weitaus meisten Betriebssystemen sind sie bereits vorinstalliert.

Trotzdem sehen wir immer noch ähnliche Manipulationsversuche, die zu voreiligen Entscheidungen führen (sollen). Solche Attacken verbreiten sich beispielsweise ausgesprochen schnell über die sozialen Medien, aber sie bedienen sich auch nach wie vor der traditionellen Wege wie E-Mail oder infizierte Webseiten. Als The Love Bug die Runde machte, haben gerade mal 361 Millionen Menschen das Internet genutzt. Heute hat allein Facebook 1,23 Milliarden aktive Nutzer im Monat und geschätzte 3,1 Milliarden Menschen nutzen das Internet. Das ist schon rein demografisch betrachtet ein riesiges Potenzial. Jeder dieser Nutzer könnte auf den ersten Liebesbrief klicken, der ihm in den Posteingang flattert.

Darüber hinaus machen sich die Autoren von Malware jede neu entdeckte Schwachstelle unmittelbar zu nutze. Daher hat es nach wie vor oberste Priorität sich als Nutzer so weit als möglich zu schützen. Wenn irgendetwas zu schön klingt um wahr zu sein, dann ist es auch meistens so. Zu schön, um wahr zu sein. Wenn man den Absender einer E-Mail nicht kennt oder man nicht gerade eine derartige Nachricht erwartet, sollte man einmal mehr Vorsicht walten lassen und die Nachricht besser löschen. Es ist in Sachen IT-Sicherheit wichtiger denn je auf dem Laufenden zu bleiben und mit den möglichen Fallen einigermaßen vertraut zu sein.

Wenn jeder das beherzigt, hat das einen nicht zu unterschätzenden Einfluss auf die gesamte IT-Sicherheit. Damit jeder den Valentinstag genießen kann, statt Festplatten zu formatieren und gefährdete (Bank-)Konten zu überwachen.

Fred Touchette, AppRiver

 

 

Weitere Artikel zu