Man spricht Deutsch

Neun Uhr, irgendwo in Deutschland. Schon an der Eingangstür empfängt uns der Kollege von der IT-Sicherheit. Ein neuer Mail-Wurm geht mal wieder rum. Wir sollen vorsichtig sein. Nun gut, Windows ist schneller oben als gedacht, Outlook auf -- und wie nett, einen Patch verschicken die Leute auch noch gleich mit. Nanu, gleich dreimal im Postkasten und mit EXE-Anhang? War da nicht mal was bei der letzten Schulung gewesen? Ach, der Admin wird schon wissen, was er tut. Was Gefährliches kann es ja kaum sein, die Nachricht war ja auf Deutsch, "klick-klick" ...

Würmer sind aus dem Leben eines leidgeplagten Administrators kaum noch wegzudenken. Immer wieder versuchen die Virenautoren ihre unheilvollen Botschaften aufs Neue in Firmennetzwerke einzuschleusen und neben einer hohen Verbreitung oft noch weitere Schäden anzurichten. Nachdem die Firmen lange Zeit zögerten, überhaupt Mail-Virenscanner einzusetzen, bescherten Loveletter und Melissa geradezu einen Nachfrage-Boom bei den Anti-Viren-Herstellern. Das Geschäft brummt.

Aber die Zeitspanne zwischen Ausbruch und Signaturupdate wird kaum kleiner. Der Fall des in Deutschland beobachteten Ausbruchs des Win32/Sober.A macht dies wieder deutlich: Symantec brachte bereits am Tag der ersten Entdeckung (24. Oktober) ein Update heraus. Bei Trend Micro brauchte man immerhin bis zum 27. Oktober, obwohl die Verbreitung schon ziemlich stark zunahm. Gleiches gilt für die anderen Hersteller, deren Updates spätestens am 27. Oktober bereit standen - "gerade einmal" drei Tage nach den ersten Virenmeldungen. Geht doch noch, oder?

Einzig Network Associates lagen angeblich nicht genug Reports des Wurms vor, die ein vorgezogenes automatisches DAT-Update rechtfertigen würden. Daher hielt man lieber das übliche wöchentliche Release-Datum (jeden Mittwoch) ein und veröffentlichte erst am 29. Oktober ein Update. Selbst Warnungen des BSI, des deutschen CERTs, in TV-Nachrichtensendungen und in diversen Computerzeitschriften waren wohl nicht wichtig genug. Ebenso wenig zählten die Meldungen von der deutschen Firma H+BEDV oder der spanischen Panda Software, die den Virus auf Platz Eins der Neuinfektionen auflisteten. Nur für ein manuell herunterzuladendes und einzuspielendes Extra.Dat-Update reichte das. Das teure NAI-Virenlabor wird's schon besser wissen.

Herkömmliche Würmer versuchen, den Adressaten auf Englisch zum Doppelklick zu überreden. Aber immer weniger fallen darauf rein, wenn der deutsche Kollege auf einmal auf Englisch in einer Mail heiße Bilder anbietet. Sober ging hier anders vor: Deutet die Domain des Mail-Empfängers auf einen Deutschen, spricht er auch deutsch und warnt zum Beispiel vor einem angeblichen neuen Wurm; Scantool liegt bei; im Anhang - wie praktisch.

In den USA konnte sich der Wurm kaum verbreiten, denn solche Social Engineering-Attacken inklusive gefälschter Absenderadressen sind dort schon lange üblich und ziehen kaum noch. In Deutschland sind sie zwar auch nicht neu - man denke etwa an Würmer wie Yarner - aber lange genug war nichts passiert und schließlich hat man auch ein Virenschutzprogramm auf seinen PC. No risk, no fun.

Ähnliche lokale Phänomene waren schon bei vielen anderen lokalisierten Würmern zu beobachten, etwa bei Win32/Magold, der mit ungarischen Meldungen daherkam: Während US-Anti-Viren-Firmen keinerlei Reports hatten, kamen die Support-Mitarbeiter des lokalen Anbieters VirusBuster kaum zur Ruhe. Binnen weniger Stunden liefen dort tausende Anfragen auf. Die Updates kamen auch hier nur sehr träge heraus. Scheinbar verlassen sich die "großen" der Branche zu sehr alleine auf Meldungen aus der Heimat. Europa ist weit weg.

Andreas Marx

Andreas Marx arbeitet seit 1997 als unabhängiger Virenspezialist an der Entwicklung von Testverfahren zur Qualitätskontrolle von Antiviren-Lösungen. In Zusammenarbeit mit der Universität Magdeburg leitet er das Projekt AV-Test.de (ju)