Polit-Virus Attacke gegen FBI-Schnüffler

Ein unbekannter Hacker hat es offenbar auf das umstrittene amerikanische Schnüffel-Programm Echelon abgesehen. Das "VBS/LoveLet-CL"-Virus soll die Überwachungs-Software lahm legen.

"VBS/LoveLet-CL" ist - man ahnt es - eine weitere Variante des "I Love You"-Virus vom letzten Jahr - und dazu eine außergewöhnlich erfolglose. Kein Grund zur Panik also. Allein in den Chefetagen des Pentagons, des FBI und vieler anderer Behörden und Ministerien, die sich unter anderem der Überwachung des Webs verschrieben haben, wird das Virus wohl heiß diskutiert.

Denn "VBS/LoveLet-CL" wäre Schnüfflers Alptraum - wenn er funktionieren würde.

Zum ersten Mal taucht im Internet ganz frei - die Virenschutz-Fachleute nennen das "in the wild" - ein Virus auf, das offensichtlich aus einer politisch-aktionistischen Motivation heraus geschrieben wurde und Überwachungs-Software im Web torpedieren will. "VBS/LoveLet-CL" zielt auf die Überwachung des E-Mail- und Datenverkehrs und versucht offenbar, die Schnüffelsoftware der Fahnder und Überwacher in aller Welt in einer Datenflut zu ertränken.

Das ist in diesem Fall nicht gelungen, tatsächlich aber relativ einfach: Ähnlich wie Napster basiert auch die Suche der selbst ernannten Web-Überwacher von "Echelon" oder "Carnivore" auf Filtern. Die setzen an den Knotenpunkten des Webs an und durchsuchen den Datenverkehr nach Stichworten.

Hier setzt "VBS/LoveLet-CL" mit seinem Attachment "echelon.vbs" an. Auch dieses Virus basiert auf einer Verteilung per E-Mail und einem VBS-Skript, das vor allem für die Vervielfältigung und weitere Verbreitung des Virus sorgt. Nutzer von Microsoft Outlook Express, die die Virenmail öffnen, werden zum Verteiler: Das Virus kopiert sich selbst und versendet sich an alle Adressen, die es im Adressbuch von Outlook findet. Heraus kommt der nun schon sattsam bekannte "Kettenbrief-Effekt".

Im Code des Virus finden sich zahlreiche Schlagworte wie "Sabotage", "Bombenfalle", "Terrorismus" oder "Attentat", die offenbar darauf zielen, von den Überwachungsfiltern der Polizei und anderer Behörden gefunden zu werden. Der Virenautor muss sich vorgestellt haben, dass diese - wenn das Virus Erfolg gehabt hätte - die Kapazitäten der betreffenden "Schnüffelstellen" schlicht überfordert hätten.

Die erste freiwillige Virusinfektion

Das ist (diesmal?) nicht passiert. Der Ansatz jedoch dürfte den Fahndern und Überwachern durchaus Sorgen machen. Zwar wäre es für sie kein Problem, selbst Millionen von solchen Nachrichten schlicht "auszublenden", solange diese Nachrichten gleichlautend sind. Doch schon der nächste Virenautor könnte darauf kommen, hier für Variationen zu sorgen: Schon hätten die Filter ein Problem.

Zudem erfreuen sich die Überwacher des Webs nicht gerade großer Beliebtheit. Gar nicht so unwahrscheinlich, dass das nächste "Anti-Echelon-Virus", das dann vielleicht wirklich funktioniert, noch in anderer Hinsicht zu einer Web-Premiere werden könnte: zum ersten Virus, mit dem sich User in aller Welt freiwillig selbst infizieren. Denn wenn es eine Sache gibt, die dem gemeinen Surfer mehr Sorgen machen dürfte als Viren im Web, dann ist das wohl "Big Brother". Der dürfte, so kann man wohl keck vermuten, inzwischen weit effektiver funktionieren als das inzwischen wirklich überholte Prinzip der VBS-Viren. Siehe "VBS/LoveLet-CL". Doch was kommt als Nächstes?

Tendenziell steigt die Zahl politisch motivierter Virenattacken. In den letzten Monaten war es wiederholt zur Verbreitung von VBS-Viren gekommen, die als "automatisierte Kettenbriefe" politische Botschaften verbreiten sollen. Bekannt wurden "VBS/Mawanella", ein Protestschreiben gegen anti-muslimische Übergriffe auf Sri Lanka, und "VBS/Staple-A", das mit pro-palästinensischen Botschaften versuchte, israelische Mailserver lahm zu legen.

"VBS/LoveLet-CL" erreicht den User als E-Mail mit der Betreffzeile "!!!" und dem Nachrichtentext ":-) MuCuX...". Angehängt ist die Datei "echelon.vbs". Virenexperten geben solch einer Art der Verbreitung weniger Chancen als etwa dem "naked woman" oder "Kurnikowa"-Virus: Appelle an die Sexualität seien allemal erfolgreicher als kryptische Nachrichten.

Ungefährlich ist "VBS/LoveLet-CL" trotzdem nicht. Es hält sich an die Funktionalität seines Vorbildes "I Love You" und zerstört unter anderem alle "JPG"- und "MP3"-Dateien, die es auf der Festplatte des betroffenen Rechners findet.

Link: Der Inhalt der Datei "echelon.vbs" im Volltext

Die Wiedergabe wurde unterbrochen.