Ich bin es ja gewöhnt, ständig komische Mails zu erhalten. Fast täglich versuchen mich irgendwelche Erotomanen auf ihre Sexseiten zu locken, die verdorben sein sollen wie nix anderes im Web. Firmen aus den USA bieten mir per Mail Schneidegeräte für Nasenhaare an. Freunde schicken mir immer wieder Kuriositäten, die sie im Netz gefunden haben. Und abermillionen Firmen bombardieren mich ungefragt mit ihren Pressemitteilungen die oft genug nur so strotzen vor Makroviren, die mir mein Norton Anti-Virus zum Glück gleich verbellt.
Also dachte ich auch an nichts Böses, als ich eine E-Mail von einer CD-Firma aus Mannheim bekam. »I love You« stand da im Topic der Mail. Ein Blick auf den Absender zeigte mir, dass die Nachricht tatsächlich von einer Frau kam, von der Pressesprecherin der Firma. Nun ja, dachte ich geschmeichelt, es kann ja sein, dass die gute Frau meine Rezensionen so toll findet, dass sie sich spontan in mich verliebt hat. Ich öffnete also die Mail mit meiner CompuServe-Software. Die führt Dateianhänge nicht aus, sondern zeigt sie allein im Textmodus an. Also las ich nur ein buntes Kuddelmuddel aus lauter unzusammenhängenden Wörtern und Sonderzeichen auf dem Bildschirm. Ich dachte noch, dass es wahrscheinlich eine HTML-Datei ist und hatte keine Lust, sie erst auf der Festplatte zu suchen und in den Browser zu laden. Also vergaß ich den Liebesbrief fürs Erste.
Stunden später rief ein Kumpel an und warnte mich. Es würde ein E-Mail-Virus namens »I love You« die Runde machen, der JPEG-Bilder und MP3-Dateien vernichtet, wenn er denn aufgerufen wird. Die entsprechende Datei würde die Extension VBS aufweisen und somit gut zu erkennen sein. Ich schaute beim Telefonieren in mein Postfach und tatsächlich, da war eine Loveletter-Datei. Nur mit einem TXT als Erweiterung statt einem VBS. Ich klickte doppelt auf die Datei, um mir den Text anzusehen und schon ging's los. Mein Dateimanager war dummerweise so eingestellt, dass er die Dateinamen nur bis zu einer bestimmten Länge anzeigen kann. Und prompt verschluckte er das ».VBS«, das der TXT-Erweiterung noch folgte. Zu dumm. Ich hatte mir das Virus gefangen.
In Sekundenbruchteilen machte sich das Virus auf meiner Festplatte breit. Es befiel Dateien mit etwa einem Dutzend ganz spezieller Erweiterungen. Sie wurden überschrieben und durch Kopien des Virus ersetzt. Die Dateinamen bekamen am Ende ein ».VBS« hinzugefügt. Im Nu war mein Download-Verzeichnis mit sämtlichen MP3-Dateien aus dem Internet (alles legale Kopien) futsch. Auch meine Screenshots im JPEG-Format verwandelten sich plötzlich in Viren. Zum Glück hatte ich gerade erst ein Backup aller wichtigen Dateien gemacht. Ein schrecklicher Gedanke: Was wäre gewesen, wenn der Virus Jagd auf INI-, DATund Microsoft-Office-Dateien gemacht hätte? Dann wäre wirklich die Hölle los gewesen auf der ganzen Welt. Den Verlust von MP3s und JPEGs kann ja schließlich fast jeder verschmerzen.
Eine merkwürdige Situation: Da hatte man plötzlich ein Virus auf der Platte, das so neu war, dass ihn noch kein Virenscanner melden konnte. Und jeder PC-Profi, den man anrief, hatte es sich bereits ebenfalls eingefangen. Wie vertrauensselig man doch trotz aller Warnungen ist! Wie unbedacht man doch Dateien öffnet, die über das Internet zu einem gelangen!
Nun, es half ja nichts. Zusammen mit meinem Kumpel Rainer Wagenhäuser versuchte ich, dem Virus auf die Schliche zu kommen, um es wieder zu beseitigen. Angesichts des Schadens, den das Virus anrichtete, ging das erstaunlich einfach. Ein simples Aufräum-Tool, das ansonsten Mülldateien löscht, wurde mit der Erweiterung VBS gefüttert. Und listete in der Folge an die 600 Kopien des Virus auf meiner Festplatte. Die konnte ich gleich per Tastendruck löschen. Dann bekamen wir mit, dass sich das Virus in den Internet Explorer und den Netscape Navigator einklinkt, um gleich nach dem Start der Browser eine ominöse Datei aus dem Internet herunterzuladen. Also starteten wir die Browser offline und tauschten die geänderten Startseiten wieder gegen eine andere, harmlose URL aus. Ein paar letzte Dateien aus dem Windows-Verzeichnis wurden gelöscht, die manipulierte Registry gegen eine saubere Sicherheitskopie ausgetauscht und schon war der Rechner wieder sauber. Der Spruch aus dem Fernsehen, dass der Love-Letter-Virus das gefährlichste der Welt sein sollte, war also Quatsch. Es lässt sich sehr gut entfernen.
Das Problem mit dem Loveletter-Virus ist allein, dass es sich selbstständig und im Geheimen an alle Personen verschickt, die im eigenen Outlook-Verzeichnis gespeichert sind. In der Folge erhält man den Virus nicht von einem Fremden, sondern von einer Person, die man kennt und ist nicht mehr so misstrauisch.
Am Donnerstagnachmittag trudelte das Virus noch ein Dutzend Mal bei mir per Mail ein. Viele große Firmen waren unter den Absendern. Ihnen kann man auch keinen Vorwurf machen: Gegen diesen Schneeballeffekt beim Verteilen war ja niemand gefeit.
Ein weiteres Problem ist, dass das Virus als VisualBasic-Skript vorliegt, das jeder Anwender öffnen und lesen kann. Klarer Fall, dass es unter all den vielen Tausend Infizierten auch genügend Hohlköpfe gibt, die sich nun einen Spaß daraus machen, das Virus einfach mit neuem Topic weiter zu verschicken inzwischen reicht es nicht mehr aus, nur nach der Überschrift »I love you« in einer Mail zu achten. Das Virus ist mittlerweile auch in ganz anderen Mails unterwegs etwa als Muttertags-Gruß. Noch schlimmer: Viele Anwender fühlen sich anscheinend befleißigt, selbst am VB-Code des Virus Veränderungen vorzunehmen, um es noch tückischer zu machen. Es liegen schon jetzt erste »Kinder« des Virus vor. Da werden die Hersteller der Virenscanner alle Hände voll zu tun haben, um up-to-date zu bleiben.
Apropos Virenscanner. Der Loveletter schlug in Deutschland ein wie eine Bombe. Mein Virenscanner machte derweil ein Nickerchen klar, er erkannte das Virus ja noch nicht. Am Nachmittag versuchte ich deswegen, ein erstes Signaturen-Update aus dem Netz zu ziehen, aber es gab keins. Am Abend noch einmal das Gleiche. Die Programmierer waren augenscheinlich nicht dazu in der Lage, ein so einfach strukturiertes Virus wie den Loveletter in die Datenbank aufzunehmen und rasch ein Update bereitzustellen.
Der erste Virenscanner, der uns noch am Donnestag abend zu Gesicht kam, nannte sich »I Love You Virenkiller« (www.redant.de) und stammte von der mir unbekannten Firma Red Ant. Der Scanner wurde auf der Homepage verschenkt und beseitigte zuverlässig alle Missstände, die das Virus auf der Festplatte angerichtet hat. Es folgte hier zu Lande ebenfalls noch am Donnerstag die Firma G-Data, die ganz schnell eine 30-Tage-Version ihres »Anti Viren Kit 9« (www.gdata.de) mit eingebautem I-love-you-Schutz ins Netz stellte. Und zusätzlich ein Outlook-Plugin verschenkte, dass das Virus gleich in allen eingehenden Mails verpetzt. Beiden Firmen gebührt unser Respekt für eine schnelle Arbeit, die auch sofort per Mail den wichtigsten Medien gemeldet wurde. Alle anderen Hersteller legten erst später ein Update vor oder machten es einfach nicht publik genug. Inzwischen wimmelt es in der Shareware-Szene von kleinen hochspezialisierten I-love-you-Killern, die sich meist kostenlos verwenden lassen. Wir stellen Ihnen die Download-Links im Anschluss zusammen. Vorher die große Frage: Was haben wir daraus gelernt? Die Antwort: Wir werden alle doch nicht in dem Maße geliebt, wie uns das die vielen Mails haben glauben lassen. Clean Love: Virus Removal 1.0
www.cornflakes.co.uk I Hate You Antivirus Software 1.0
http:/triadonline.cjb.net/ IloveYouCleaner 1.6
www.getvirushelp.com I-Worm LoveLetter Virus Cleaner 1.05
www.js-inc.com
Carsten Scheibe
Typemania@compuserve.com
