Fizzer-Virus offenbar gehackt
Programmierern ist es wohl gelungen, den neuen Wurm W32/Fizzer zu entschärfen, aber Virusexperten warnen vor weiteren Gefahren.
Virusexperten des britischen Unternehmens IC5 Networks und der "Fizzer Task Force", einem Zusammenschluss von rund 50 IRC-Netzwerkern, ist es offensichtlich gelungen, den Wurm W32/Fizzer zu entschärfen. Fizzer treibt seit dem 8. Mai sein Unwesen, installiert auf den befallenen Systemen unter anderem eine IRC-Backdoor und nimmt Kontakt zu einer Website auf den Geocities-Servern auf, um von dort neue Instruktionen herunterzuladen.
Diesen Umstand machten sich die Sicherheitsexperten zu Nutze: IC5 Networks übernahm die Geocities-Website und präparierte sie mit Code, der den Wurm von dem infizierten System entfernt. Will Fizzer sein subversives Werk beginnen, zerstört er sich selbst. Software-Entwickler der Antiviren-Firma Trend Micro wollten dieser für Anwender einfachen und eleganten Lösung genauer auf den Grund gehen, "aber als wir auf die Geocities-Website zugriffen, konnten wir die modifizierte Datei nicht finden", sagt Rommel Ramos von Trend Micro. IC5 Networks war bis jetzt für eine Stellungnahme nicht erreichbar.
Einen Virus zu entschärfen sei prinzipiell erst einmal eine gute Sache, meint Cary Nachenberg, Chefentwickler bei Symantec, jedoch könne man damit auch mehr Schaden als Nutzen anrichten, solange man nicht wisse, wie der Wurm genau funktioniert. Der "One-Half-Virus" von 1999 zum Beispiel verschlüsselte auf einem infizierten System sämtliche Daten, enthielt aber auch den Dekodierungsschlüssel, also die Lösung des Problems. Hätte man damals den Virus einfach von befallenen Rechnern entfernt, wären die verschlüsselten Daten für immer verloren gewesen. Der richtige Weg bestand vielmehr darin, erst den Dekodierungcode zu sichern, dann den Virus zu entfernen und schließlich seine Daten wieder herzustellen.
Die Lösung von IC5 Network mache es den Anwendern zu einfach und erziehe nicht zu sicherheitsbewußtem Verhalten, meint Joe Hartman, Direktor der Entwicklungsabteilung von Trend Micro. Bereits vorhandene Virenscanner seien in der Lage, Fizzer zu stoppen, und Benutzer mit befallenen Systemen würden sich nicht ausreichend um Sicherheitsmaßnahmen kümmern, ergänzt Hartmann. Auf lange Sicht sei daher der Ansatz, Antiviren zu schreiben, die dann den ursprünglichen Virus attackieren und zerstören, keine gute Idee. (ku)
