Zum Inhalt springen

Fieses Virus Angst, Geiz, Gier

Eigentlich sollte das vergleichweise harmlose PC-Virus Sober.C längst unter Kontrolle sein. Doch die Virenflut nimmt kaum ab. Sober.C wird zum Paradebeispiel für die Machart eines erfolgreichen Virus der nächsten Generation.

Der Mechanismus ist immer derselbe: Da flattert eine E-Mail ins Postfach, die mit irgendetwas lockt. In den letzten Jahren war das oft Sex, Bilder, Filmchen, Zugangs-Passwörter oder Bildschirmschoner die gängigen Köder. Bei zu vielen wohl in der Regel männlichen Surfern hat sich in den letzten zehn Jahren ein fataler Reflex ausgebildet: Sie reagieren auf das Wort "Fick" mit einem "Klick".

Und schon rasiert wieder ein "LoveBug" die Festplatte, eine "Kurnikowa" und wie die inzwischen Tausende von Viren auch heißen mögen. Erst im Verlauf des letzten Jahres schien sich die Lage langsam zu bessern: Immer weniger Surfer fielen auf die immer gleichen alten Tricks herein. Selbst weit gehend testosterongetriebene Hormon-Enthirnte enthielten sich zunehmend dem Klick-Reflex. Die Zeit der Scriptviren, die zu ihrer Aktivierung die Mithilfe ihres Opfers brauchen, schien endlich zu Ende zu gehen.

Und dann kam Sober.C

Erstmals tauchte die Variante des vergleichsweise harmlosen Sober-Wurms kurz vor Weihnachten auf, und wie üblich reagierten die Virenschutz-Unternehmen schnell. Die Filter wurden gegen Sober geeicht, Tools zur Entfernung des digitalen Nervers zur Verfügung gestellt. Damit endet, das zeigt die Erfahrung, die Karriere eines kleinen PC-Virus gemeinhin recht schnell.

Nicht so bei Sober, und vor allem nicht in Deutschland. Nirgendwo ist der Schädling erfolgreicher als hier zu Lande. Während er weltweit keine Geige spielt, steht Sober.C in Teutonia auf Platz zwei der erfolgreichsten Viren.

Sein Erfolgsgeheimnis: Adrenalin und gute Storys

Sober kommt deutsch daher und zudem aggressiv. Die englische Variante funktioniert dagegen nicht, weil sie ihre Empfänger in einer Art unbeholfenen Bohlen-Englisch warnt ("I hope you know of me!").

Anders die deutsche Version. Mit Betreffzeilen von "Ihre IP wurde geloggt" über "du wirst ausspioniert", "Sie tauschen illegal Dateien aus", "Ich zeige sie an!", "Sie drohen mir!" bis hin zu "Ich hasse dich" oder "Ermittlungsverfahren wurde eingeleitet" appelliert die Virenmail direkt an die aktivsten Instinkte: Angst, Geiz und Gier.

Mit großem Erfolg. Einmal aktiviert sammelt Sober.C E-Mail-Adressen und verschickt sich selbst weiter, "leiht" sich dabei Absenderadressen aus dem Mail-Bestand des befallenen Rechners - und die Mail-Lawine rollt weiter.

Erfolgreich ist Sober vor allem, weil er auch im Locktext überzeugend daherkommt. Eine der hübschesten Varianten sieht so aus:

    Sehr geehrte Damen und Herren,

    das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.

    Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP xx.xx.xxx.xxx erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt. Die von uns gesammelten Daten unter dem Aktenzeichen #16263 sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.

Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit gemacht haben, wurde die Herkunft dieser Mail verschleiert.

Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf, Europa-Sonderkommission "Internet Downloads"

Es folgen die Telefonnummern der Kriminalpolizei Düsseldorf und der Kriminalpolizeilichen Beratungsstelle - und zwar die echten. Das ist perfide und bestens geeignet, Otto Normalsurfers Misstrauen restlos zu zerstreuen. Bei der Düsseldorfer Polizei gibt es übrigens keine Europa-Sonderkommission 'Internet Downloads', dafür aber seit dem 20. Dezember einen erhöhten telefonischen Beratungsbedarf.

Content is killer

Neu an Sober.C ist somit nur eines: Seine ungewöhnliche redaktionelle Qualität. Die Betreffzeilen der Virenmails fordern heraus, greifen an, locken, erschrecken. Drinnen geht es konsistent weiter, das Rollenspiel wird fortgeführt und ist immer auf die abschließende Pointe hingeschrieben: Das Öffnen des virenverseuchten Dateianhangs durch den Nutzer. Einmal abgesehen von diversen orthografischen und grammatikalischen Fehlern ist das alles ungewöhnlich gut.

Und es gemahnt sehr an social hacking. Gerade der Appell an aktuelle Ängste wie "Sie sind ein Raubkopierer" oder besser noch "Umfrage: Rente erst mit 80!" zeigt das Problem, dass hier entsteht: Bisher erkannte man Viren oft an ihrer Stupidität, man entwickelte eine Nase für Lockmails. Sober.C bedient dagegen gezielt Erwartungs- oder besser Befürchtungshaltungen und trifft damit ins Schwarze: Das ist fast so, als bekomme man Post, auf die man schon gewartet (oder die man befürchtet) hatte.

Statt mit virtuellen Bonbons zu locken, fordert das Virus sein Opfer zu einer Art Kommunikation heraus. Wer sich darauf einlässt, fängt sich den Schädling: E-Mail ist damit gerade wieder ein gutes Stückchen unsicherer geworden.

Bleibt zu klären, warum jemand so etwas in die Welt setzt. Die Antwort darauf ist auch im Falle Sober.C nicht intelligenter als gewöhnlich. Sein Autor will zeigen, was er kann: Er will nicht schaden, sondern imponieren. Die weltweite Mail-Lawine ist die Nebenwirkung eines virtuellen Sich-in-die-Brust-Werfens, jeder betroffene Rechner somit nur ein Kollateralschaden. Wie viele Viren ist auch Sober sogar signiert.

Eigentlich, lernen wir da, hat das Virus nur einen Adressaten:

    "Programmer of the -Sobig Worm-
    Congratulations!! Your Sobig Worms are very good!!!
    You are a very good programmer!
    Yours faithfully
    Odin alias Anon"

Frank Patalong