Immer neue ILOVEYOU-Varianten

Nach der Attacke des E-Mail-Wurms ILOVEYOU beziehungsweise VBS/LoveLetter und ersten Ablegern, die mit anderen E-Mail-Subjects arbeiten, verbreiten sich immer neue Varianten des E-Mail-Wurms im Internet. Eine der inzwischen bekannten Versionen trägt den Titel "Muttertag". Sie ist noch gefährlicher als ILOVEYOU, da sie Dateien überschreibt, die der Computer nach dem Einschalten zum Starten benötigt, erklärten die Anti-Viren-Spezialisten von F-Secure. "Wenige Tage vor dem Muttertag ist diese Attacke ziemlich glaubwürdig", sagte F-Secure-Manager Mikko Hypponen.

Andere Abarten von ILOVEYOU geben sich als Warnmeldung aus und liefern dem Empfänger angeblich eine Datei, um sich gegen Manipulationen des Systems zu schützen. Tatsächlich installieren sie beim Öffnen aber den Virus. Eine anscheinend besonders fiese Variante sollte offensichtlich über Mailing-Listen verbreitet werden: Sie gibt sich unter dem Subject "Virus Alert!!!" als Mail von Symantec aus. Die Firma stellt auch Anti-Viren-Tools her. Im Text heißt es, man solle sich Updates der Software besorgen, als Sofortmaßnahme sei ein Visual Basic Script beigefügt, dass vor ILOVEYOU schütze. Das angehängte VB-Script ist tatsächlich aber eine Abwandlung von ILOVEYOU, die sich ebenfalls an alle Mail-Partner eines Anwenders aus dem Outlook-Adressbuch verbreitet; im Unterschied zu ILOVEYOU befällt der Wurm neben beispielsweise JPEG- und MP3-Dateien auch ausführbare Dateien mit der Endung .com sowie Batch-Files. Außerdem versucht er, die Startseite des Internet-Explorer auf Porno-Sites einzustellen und noch weitere Manipulationen an Microsofts Web-Browser vorzunehmen.

Angesichts solcher Ableger können wir nur unsere Warnung wiederholen: Es scheint eine große Versuchung darzustellen, die Verunsicherung der Anwender auszunutzen und hierüber selbst einen Virus oder ein Trojanisches Pferd zu verbreiten. Schutz-Programme sollte man bei einer bekannten vertrauenswürdigen Antivirus-Firma selbst vom Server holen, keinesfalls aber aus unsicherer Quelle (z. B. E-Mail, Hackerseiten, Newsgroups) oder von Autoren mit unsicherer Qualifikation beziehen, die wenig Erfahrung im Umgang mit Viren haben. c't empfiehlt außerdem dringend, prinzipiell keine ausführbaren Anhänge in E-Mails zu starten, die nicht explizit verabredet wurden. Auch wenn eine solche Mail von einem Bekannten stammt, so kann dieser doch selbst Opfer eines Wurms oder Virus geworden sein. (Siehe auch ILOVEYOU: Gegenmaßnahmen)

Ein amerikanischer Microsoft-Sprecher lehnte es trotz der zunehmenden Kritik und immer neuer ILOVEYOU-Varianten ab, die fraglichen Optionen aus den betroffenen E-Mail-Programmen Microsofts zu entfernen. Stattdessen sollten die Benutzer dessen eingebauten Warnfunktionen nutzen und die fraglichen Dateien vor dem Öffnen mit einem Anti-Viren-Programm untersuchen.

Der schwedische Virus-Experte Fredrik Björck, der schon an der Auffindung des Melissa-Autors beteiligt war, behauptet inzwischen, ein deutscher Austauschstudent in Australien namens "Michel" sei Urheber von ILOVEYOU. Er habe sich durch Spuren in Usenet-Gruppen verraten. "Michel" habe den E-Mail-Wurm auf den Philippinen aktiviert, was aber nicht unbedingt bedeute, dass er sich dort befunden habe. Mehrere andere Virus-Experten äußerten sich allerdings skeptisch über die Angaben Björcks zum Urheber von ILOVEYOU. Bislang gingen der philippinische Internet-Provider, über den der E-Mail-Wurm ursprünglich abgeschickt wurde, und das amerikanische FBI davon aus, dass es sich bei dem Urheber um einen Einwohner der Philippinen handle. (jk)