Im Nu rund um die ganze Welt
Eine vermeintlich amouröse Botschaft brauchte nur Stunden für eine Infektion des Cyberspace.
Von Matthias Schüssler
Seit gestern ist per E-Mail versandten Liebesschwüren besonderes Misstrauen entgegenzubringen: Das Virus «Loveletter» sorgt durch seine rasante weltweite Verbreitung wohl weniger für heisse Ohren und Frühlingsgefühle als vielmehr für verstopfte Mailserver und für viel Arbeit bei Systembetreuern. Das E-Mail kommt mit dem dem Betreff «I love you» und enthält den folgenden Text: «kindly check the attached loveletter coming from me» («Bitte sei so freundlich und lies meinen angehängten Liebesbrief»). Bei dem Attachment mit dem Dateinamen «Love-letter-for-you.txt.vbs» handelt es sich leider nicht um eine frohe Botschaft, sondern um ein aggressives Virenscript. Doppelklickt der Benutzer auf das Script, veranlasst dieses das Mailprogramm, den vermeintlichen Liebesbrief an alle E-Mail-Adressen zu versenden, welche es im Adressbuch des Benutzers findet.
Auf diese Weise entstehen innert kurzer Zeit wahre E-Mail-Lawinen. «Loveletter» brauchte nur Stunden, um sich von den Philippinen, seinem mutmasslichen Ursprungsort, nach Europa und den USA und innerhalb der Kommunikationssysteme grosser Firmen zu verbreiten. Mit dem gleichen Trick hat sich vor einem Jahr «Melissa» innert zweier Tage weltweit verbreitet und einen Schaden von geschätzten 350 Millionen Franken angerichtet. Im Gegensatz zu «Melissa» blockiert das Loveletter-Virus mit seiner epidemieartigen Verbreitung aber nicht nur den Mailverkehr, sondern beschädigt auch Windows-Installationen. Das Virus befällt die Datenbank des Betriebssystems, die «Registry», infiziert allfällig vorhandene Scriptdateien und überschreibt digitale Sounddateien im MP3-Format mit dem Virencode. Auch JPEG-Grafiken werden auf diese Weise befallen. Besonders fatal ist das, wenn es sich beim betroffenen Rechner um einen Webserver handelt: Auch die darauf gespeicherte Homepage wird mit dem Virus infiziert. Laut Quellen im Internet soll das gestern mehrfach vorgekommen sein. Ausserdem bringt das Programm die Interneteinstellungen durcheinander und versucht offenbar, weitere Programme von einem philippinischen Server herunterzuladen.
Schnelle Reaktion
Betroffen vom Loveletter-Virus sind Computer mit Windows 98. Linux- und Apple-Macintosh-Systeme sind dagegen immun – sie unterstützen die verwendeten Programmschnittstellen nicht. Das Virus macht sich eine Windows-Technologie zu Nutze, mit der sich Abläufe automatisieren lassen. Die so genannten «Visual Basic Scripts» enthalten Befehlsfolgen, mit denen das Betriebssystem und Anwendungsprogramme gesteuert werden können. Dies ist für Computerprofis nützlich, ermöglicht aber auch Attacken von grosser Durchschlagkraft. Auf diese Weise kann eine reine Textdatei genauso schädlich sein wie ein Virenprogramm.
Die Hersteller von Antiviren-Software reagierten schnell: Von den wichtigsten Produkten waren noch im Lauf des Donnerstags Updates zu erhalten, die das Loveletter-Virus bekämpfen können – auch wenn die Seiten im Internet wegen des grossen Andrangs oft lange nicht zu erreichen waren. Wer einen Virenscanner installiert hat, sollte unbedingt dessen Datenbank aktualisieren. Im Übrigen gilt die dringende Empfehlung, ein E-Mail-Attachment nur dann zu öffnen, wenn plausibel ist, weshalb es der Absender abgeschickt hat. Liebesbotschaften von Geschäftsfreunden ist ebenso skeptisch zu begegnen wie englischen Nachrichten von Mailfreunden, denen man normalerweise in Zürichdeutsch schreibt. Im Zweifelsfall ist es allemal besser, das Mail zu löschen und es sich, wenn es denn wirklich eine reguläre Meldung war, nochmals zuschicken zu lassen.
Falls der Computer bereits befallen ist, empfehlen die Experten, sofort das E-Mail-Programm zu beenden, notfalls durch «Abschiessen» im Task-Manager, damit der Versand der verseuchten Nachrichten sofort unterbunden wird. Dass der ungebetene Gast sich auf dem Computer eingenistet hat, zeigt sich am Vorhandensein der Dateien «Win32dll.vbs» im Windows- und «MSKernel32.vbs» im Systemverzeichnis. Als Sofortmassnahme sollte man diese löschen. Auch weitere Dateien mit der Endung «vbs» sollten vorsichtshalber von der Festplatte entfernt werden.