Malware-Programmierer: Virengrüße aus Moskau

Einmal lockten die Virenautoren mit einem vermeintlichen Youtube-Video© Rainer Mersmann

Die E-Mail ist offensichtlich für jemanden anderes bestimmt - ein Irrläufer - und sie enthält Auftragsnummer, Benutzername und Passwort für eine Webseite mit Klingeltönen zum Herunterladen. Wen juckt es nicht in den Fingern, sich dort mal eben einzuloggen?

Die Neugier, in fremden Accounts, Fotos oder Videos zu stöbern, darauf setzt die Zhelatin-Gruppe - russische Viren-Programmierer und Spam-Versender. Sie hat es darauf abgesehen, die Computer unvorsichtiger Surfer unter ihre Kontrolle zu bringen. Benannt ist die Gruppe nach dem Virus, das sie verbreitet und von dem es inzwischen mehr als 40 Varianten gibt: W32/Zhelatin.gen!eml.

Auch bei der angeblichen elektronischen Grußkarte sollte zunächst ein Programm installiert werden© Rainer Mersmann

Ein Klick auf den Link in der E-Mail führt aber nicht zum erhofften Klingelton-Download. Stattdessen landet der Surfer auf einer Seite, die ihm mitteilt, auf dem Rechner müsse Microsoft Data Access installiert sein, damit er sich einloggen könne. Wenn der Download nicht innerhalb von 15 Sekunden automatisch begänne, könne er "hier" klicken, um ihn per Hand zu starten. Beim Internet-Explorer 6 und 7 startet der Download auch automatisch - sofern nicht die neuesten Sicherheits-Updates von Microsoft installiert sind. Dafür sorgen ein Javascript und eine weitere versteckte Datei auf der Seite, die Download und Installation unauffällig im Hintergrund erledigen - ohne dass der Surfer etwas merkt. Benutzer des Internet-Explorers mit aktuellen Updates und von Firefox, Opera und anderen alternativen Web-Browsern werden aufgefordert, selbst Hand anlegen. Sie müssen auf den Link klicken, um die angeblich benötigte Datei "msdataaccess.exe" herunterzuladen. Und da steckt der Wurm drin.

Grüße von Susi und Familie

Natürlich funktioniert so eine Masche nicht ewig - und auch nicht jeder fährt auf Klingeltöne ab. Und so änderten die Zhelatins bereits zwei Tage später ihre Taktik: Über Postkarten aus fernen Ländern - und seien es nur elektronische - freut sich doch jeder. Statt Benutzername und Passwort wurden nun ePostcards verschickt, im Namen von Familienangehörigen, Freunden oder von Susi & Co. Zwar stimmten auch hier die Empfänger-Adressen der E-Mails nicht mit der eigenen überein, aber da kommt dann wieder die Neugier ins Spiel. Nun, so ganz haben die Zhelatins ihre Taktik nicht geändert - zum Ansehen der ePostkarten wird immer noch Microsofts Data Access benötigt. Praktischerweise auch hier mit Link zum Download - in dem immer noch der Wurm steckt.

Schlüpfrige Fotos und peinliches Video

"Sex sells" war die neue Taktik der Wurm-Verteiler - und alle zwei Tage eine neue Masche. Der Mailtext "Hey Du Schwachkopf, schau mal, was ich mit deiner Freundin gemacht habe" verwies angeblich auf Fotos bei Flickr und "Ich glaub's nicht, dass Du das Video hochgeladen hast - Dein Gesicht ist voll zu erkennen. Grins." auf ein Youtube-Video. Da es sich um einen Irrläufer handelt und der Leser der E-Mail ja nicht betroffen ist, schauen sich Mann oder auch Frau doch gerne die Fotos und das Video an. Aber die aufgekommene Schadenfreude wird erst einmal ausgebremst: Zum Betrachten der Fotos fehle ein kleines Zusatzprogramm (ein Applet), YouTube habe seine Videos umgestellt und benötige einen neuen Codec (Dekodierer für die Filme). Um es dem wissbegierigen Surfer möglichst einfach zu machen, kann er sich Applet und Codec mit einem einfachen Mausklick gleich auf den Rechner holen - sofern der Internet Explorer das nicht schon automatisch erledigt hat. Natürlich steckt in den heruntergeladenen Dateien "applet.exe" und "video.exe" was drin? Genau...

Verfeinerungstaktik noch nicht ausgereift

Erstmals tauchte W32/Zhelatin Anfang Juli auf, und zwar als Massen-Mail mit angehängtem Wurm in täglich neuen Varianten. Aber auch die Hersteller von Antivirus-Software schlafen nicht - durch vorausschauende Analyse machten die Virenscanner auch bisher unbekannte Varianten ausfindig. Es wurde ruhig um W32/Zhelatin - bis Mitte August. Da tauchten dann die erwähnten E-Mails mit Links auf Klingeltöne, ePostkarten, Fotos und Videos auf. Anfangs waren es Mails im Textformat mit Links, die nur aus einer IP-Adresse in der Form "http://63.175.127.196/" bestanden. Die Foto- und Video-Mails waren professioneller im HTML-Format verfasst - für die meisten Leser stellte sich der Link als echter Verweis auf Flickr oder Youtube dar. Wer allerdings seinen E-Mail-Empfang auf Textdarstellung eingestellt hatte oder einen Blick in den Quellcode der Mail warf, erkannte, dass wieder nur eine IP-Adresse hinter dem Link steckte. Auch waren die Seiten, die der Surfer nach einem Klick auf den E-Mail-Link sah, mit einem Flickr- oder Youtube-Logo aufgepeppt worden. Trotzdem machten die Seiten immer noch einen recht stümperhaften Eindruck - das kann jeder Homepage-Bastler besser.

Was macht der Wurm eigentlich

Was macht denn nun der Wurm W32/Zhelatin.gen!eml? Zunächst einmal schaltet er die vorhandene AntiVirus-Software aus - na ja, nicht ganz, denn die Viren, Würmer und Trojaner der lästigen Konkurrenz sollen ja weiter erkannt werden. Dabei scheint er mit dem AntiVirus-Programm der Firma Kaspersky Schwierigkeiten zu haben: Im Quellcode der Seite und des Wurms findet sich nämlich in etwa der Satz "Kaspersky ist doof" (um es mal jugendfrei zu übersetzen).

Als nächstes bohrt er ein "Wurmloch" in die Firewall - sofern eine installiert ist - damit er ungehindert seine Verwandtschaft auf den Rechner holen kann. Und die besteht aus einem weiteren Virus, das sich so tief im System einnistet, dass es nur schwer zu entdecken und entfernen ist ( ein so genanntes Rootkit). Hinzu kommen noch ein Programm zum massenhaften Versenden von Spam-Mails und eine weitere Software, mit der fremde Rechner angegriffen und außer Gefecht gesetzt werden können. Damit wird der PC zum ferngesteuerten Zombie. Und je nach Wunsch der Klienten, die diese Zombie-Rechner für teures Geld mieten, werden weitere kundenspezifische Programme installiert.

So ganz verborgen bleibt das ganze Geschehen dem unglücklichen Besitzer eines solchen Zombies allerdings nicht. Mitten im schönsten Ballerspiel hakt der PC auf einmal, mit der Folge, dass nicht der Spiele-Gegner, sondern das virtuelle Pendant des Spielers sein Leben aushaucht. Oder Word hinkt beim Tippen eines Textes immer einige Worte hinterher. Das Versenden Tausender Spam-Mails kostet halt Prozessorleistung und Arbeitsspeicher. Spätestens dann sollte der Besitzer dieses PCs über ein Update seines Virenscanners nachdenken.