(SZ vom 31.7.2001) - Es ist ein altes Sprichwort: An jedem Morgen steht ein neuer Dummkopf auf. Und tatsächlich gelingt es den Programmierern von digitalen Schädlingen immer wieder, Schwachstellen von Mensch und Software für ihre Zwecke einzuspannen. Nicht nur Fahrlässigkeit hat zur rasanten Ausbreitung der beiden Würmer "Code Red" und "SirCam" geführt. Beide beeindrucken mit einer neuen Qualität. Experten sprechen bereits von einer "Renaissance der Würmer".
Würmer gehören genau genommen nicht zu den Computerviren - weil sie keinen "Wirt" für ihre Verbreitung benötigen. Sie erzeugen Kopien von sich selbst und schicken diese über Datenleitungen an andere Rechner. "Code Red" nutzt dazu eine schon seit mehreren Wochen bekannte Sicherheitslücke in der Software "Internet Information Server (IIS)" von Microsoft, die auf Servern mit den Betriebssystemen "Windows NT" oder "2000" läuft. Obwohl Microsoft umgehend eine Fehlerbehebung (einen "patch") zur Verfügung gestellt hat, wurden hunderttausende von Servern befallen. "Viele Netzwerkadministratoren verfahren nach dem Prinzip Never touch a running system", erklärt der Virenjäger Christoph Fischer von der Universität Karlsruhe. Er spielt damit auf die vielen Folgefehler an, die man sich mit den "Patches" einfangen kann.
Hat der Wurm die Schwachstelle ("IIS 4 oder 5 an Port 80") gefunden, schickt er zunächst ein kleines Datenpaket an den Webserver. Dieses fungiert sozusagen als "Türöffner" für den Wurm, der sich sodann im Hauptspeicher des Servers festsetzt. Da er keine Spuren auf der Festplatte hinterlässt, können ihn die klassischen Antivirenprogramme nicht aufspüren. "Unsere Netzwerk-Software kann ihn aber beim Eindringen erkennen und abblocken", behauptet Toralf Dirro, Virenexperte der amerikanischen Software-Firma Network Associates.
Jede der weltweit rund 200.000 Kopien des 4,5 Megabyte großen Wurms versucht, ungefähr 100 weitere Infektionspartner zu finden. "Ich habe in einer Nacht 28 Eindringversuche gehabt", erklärt Christoph Fischer. Ihm konnte der Wurm nichts anhaben. "Bei mir läuft ein Linux-System mit Apache-Webserver." Der Karlsruher Virenjäger möchte aber für die Zukunft nicht ausschließen, dass eine Variante von "Code Red" auch Linux-Rechner angreifen kann. Zurzeit habe der Wurm noch Fehler, aber bereits die nächste Generation könnte in der Lage sein, Schwachstellen auf den zentralen Knotenrechnern des Internets ausfindig zu machen. "Dann hätte man eine globale Stalinorgel, mit der man das WWW still legen könnte", befürchtet Fischer.
Die von "Code Red" befallenen Server warten als so genannte Zombies auf ihren Einsatz, um vom 20. bis 28. jeden Monats die Web-Seite des Weißen Hauses in Washington mit massenhaften Anfragen in die Knie zu zwingen. In dieser Zeit lässt der Wurm alle anderen Rechner in Ruhe. Am ersten August, so befürchten die Experten, drohe eine neue Infektion.
Peinliche Post
Im Gegensatz zu "Code Red" gelangt "SirCam" - eine Kombination aus Wurm und Virus, per E-Mail auf die Festplatte. Man erkennt den Angreifer bereits an der Betreffzeile mit der Allerweltsfloskel "Hi! How are you?" oder der spanischen Variante "Hola como estas?". Die Nachricht selbst enthält ebenfalls Belanglosigkeiten in englischer und spanischer Sprache. Wie bei dieser Art Viren üblich, nimmt das Unheil erst dann seinen Lauf, nachdem das Opfer aus Neugierde eine der Mail angehängte Datei geöffnet hat. "SirCam" startet lauter hässliche Operationen: Er versteckt sich zum Beispiel im Windows-Papierkorb, um den Virenscannern zu entgehen. Auch verändert er die zentralen Registrierungsdateien, um bei jedem Programm- und Systemstart aktiv zu werden. Zudem kann er alle Daten auf der Festplatte löschen. Und er verschickt sich an alle E-Mail-Adressen, die er auf dem System findet.
Im Unterschied zu den berüchtigten Vorgängern Melissa und Loveletter sind jedoch zum ersten Mal nicht nur die Benutzer des Mail-Programms "Outlook" betroffen. Es kann praktisch jeden treffen, denn "SirCam" hat seinen eigenen "Mailserver" gleich mitgebracht. Besonders heimtückisch: Der digitale Erreger verschickt die Mail zusammen mit einem Dokument, das er scheinbar wahllos aus dem Ordner "Eigene Dateien" holt. Dadurch kann es zu äußerst peinlichen E-Mails kommen, weil kompromittierendes Material in die falschen Hände gelangen kann.