Auch wenn der mußmaßliche Viren-Autor gefaßt ist, so bedroht sein Werk doch weiterhin die Windows-Welt. Der Makrovirus `Melissa´ ist an sich zwar nicht bösartig, hat aber eindrucksvoll belegt, daß die Vorsichtsmaßnahmen allerorten ungenügend sind. Gefährlichere Varianten dürften nicht lange auf sich warten lassen.
Die Melissa-Epidemie demonstriert, daß noch immer etliche Anwender zu sorglos im Umgang mit EMail-Anlagen (Attachments) und Office-Dokumenten sind. Der Word-Virus hatte sich Ende März in wenigen Tagen über die gesamte Welt verbreitet. Hauptinfektionsweg waren EMails, in denen sich Melissa per Microsoft Outlook im Namen seiner Opfer selbständig an deren Bekannte verschickt.
|
So sieht eine Melissa-EMail aus. Die Datei im Anhang ist diejenige, die den Rechner des Absenders infiziert hat und trägt den Makrovirus in sich. |
Öffnet der Empfänger die infizierte Word-Datei in der EMail und erlaubt dabei die Ausführung von Makrocode, so wird auch sein System infiziert und versendet - Outlook vorausgesetzt - wiederum 50 Melissa-EMails. Dieser Schneeballeffekt hat die immense Infektionsgeschwindigkeit ermöglicht und etliche Mail-Server in die Knie gezwungen. Ein Anti-Virus-Experte berichtete in CNET von einem einzelnen System, das mehr als eine halbe Million infizierte EMails verzeichnete. Auch in Deutschland melden die Virenlabors reichlich Infektionen.
Erstaunlich ist die rasante Ausbreitung, weil Melissa - selbst ohne auf Anti-Viren-Software zu stoßen - einige Hürden nehmen muß, um ein System zu infizieren: Zunächst muß der Anwender, der eine Melissa-EMail empfängt, die Word-Datei im Anhang öffnen. Obwohl die Nachricht von einem bekannten Absender stammt, sollte doch der Text `Here is the document you asked for ...´ stutzig machen, wenn man eben nicht um die Zusendung einer Word-Datei gebeten hatte - um so mehr, wenn man eigentlich deutsch miteinander spricht.
Auch nach einem Doppelklick auf die Anlage, der üblicherweise Word startet, ist noch nicht alles zu spät: In den Standardeinstellungen von MS Word 97 ist der sogenannte `Makro-Virus-Schutz´ aktiviert. Dabei handelt es sich um eine Warnung, die darauf hinweist, daß ein geöffnetes Dokument Programmcode enthält - die Dialogbox warnt ausdrücklich vor den Gefahren durch Makroviren. Erst wenn der Anwender dennoch die Ausführung von Makros gestattet (wozu ein simples `Return´ nicht genügt), kann Melissa zuschlagen. Einmal aktiv, schalten allerdings etliche Makroviren - so auch Melissa - die Warnhinweise aus.
Die unmittelbaren Auswirkungen des Virus sind zwar sehr lästig, aber nicht wirklich gefährlich - wenn auch ein gewisses Risiko besteht, daß Melissas Massen-Mails vertrauliche Dokumente versenden. Eine andere Bedrohung ist viel größer: Melissas Code ist frei verfügbar. Erste Abwandlungen sind bereits wenige Tage später aufgetaucht: `Papa´ befällt beispielsweise Excel-Tabellen statt Word-Dateien und produziert noch mehr EMails als Melissa.
Es lohnt sich also, weiterhin vorsichtig zu sein. Auch wenn man ein Anti-Virus-Programm einsetzt, denn das schützt im wesentlichen gegen bekannte Gefahren.
Nach Melissa muß man mit Vorwarnzeiten von wenigen Stunden rechnen: Bereits einen Tag nach dem ersten Auftreten am Freitag, dem 26. 3. 99, waren nach Angaben von Anti-Virus-Softwareherstellern Zehntausende Computer in den USA befallen, besonders in großen Firmen wie Boeing, Compaq, Intel und Microsoft. Selbst das FBI sah sich genötigt, eine Virenwarnung herauszugeben, in der auch von infizierten Rechnersystemen bei Regierung und Militär zu lesen war. Trotz unverzüglicher Alarmmeldungen erfaßte Melissa an den folgenden Tagen Australien, Europa und Afrika.
Die Voraussetzung für die Epidemie ist eine weitverbreitete Microsoft-`Monokultur´ - besonders in Firmennetzwerken. Der Virus nistet sich in der Textverarbeitung MS Word 97 oder 2000 (auf Windows und Macintosh) ein und nutzt zudem das EMail-System MS Outlook (Version 98 oder 2000, nicht Outlook Express), das ebenfalls zum Office-Paket gehört, um sich selbständig weiterzuverbreiten.
Es gehört nicht viel Können dazu, den Quelltext eines Makrovirus zu modifizieren, um den Text der verschickten EMails zu verändern (etwa ins Deutsche zu übersetzen), andere EMail-Programme als Träger zu verwenden und eine bösartige Schadensroutine einzubauen (bis hin zur Formatierung der Festplatte).
Virenautoren drohen allerdings empfindliche Strafen. Das FBI soll gegen den Melissa-Urheber 350 000 US-Dollar Geldbuße sowie fünf bis zehn Jahre Haft beantragt haben; dazu kommen noch die Schadensersatzansprüche der Betroffenen. Ganz so drakonisch sähe es in Deutschland zwar nicht aus, aber auch hierzulande kann die Verbreitung von Computerviren bis zu zwei Jahre Haft und unabsehbare Schadensersatzverpflichtungen nach sich ziehen. (nl)
[1] Anti-Viren-Schwerpunkt in c't 7/99, S. 140-155
[2] Office-Viewer, Download-Seiten
[3] F-Prot-Shareware, Download[#anfang Seitenanfang]
Wer einige grundlegende Vorsichtsmaßnahmen beachtet, hat von PC-Parasiten kaum etwas zu befürchten:
Seien Sie ausführbaren Dateianhängen (.exe, .doc, .xls usw.) in EMails gegenüber mißtrauisch, auch wenn sie von Bekannten stammen.
Öffnen Sie Office-Dokumente aus dem Internet (WWW, EMail usw.) nicht mit den jeweiligen Office-Applikationen, sondern mit sogenannten `Viewern´, die keinen Programmcode ausführen (die Viewer gibt es kostenlos im Internet [2]).
Achten Sie auf aktivierte Makrowarnungen in den Office-Applikationen; gestatten Sie die Ausführung von Makrocode nur in begründeten Ausnahmenfällen.
Prüfen Sie Ihre Festplatte regelmäßig mit einem Viren-Scanner [[#lit1 1]]. Verwenden Sie bei erhöhtem Risiko einen Hintergrund-Virenwächter (F-Prot von Frisk ist für private nichtkommerzielle Anwendung kostenlos [3]).
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-286970
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
