Anna Kournikova (Computerwurm)
Anna Kournikova | |
---|---|
Name | Anna Kournikova |
Aliase | Vbs.OnTheFly |
Bekannt seit | 2001 |
Herkunft | Sneek, Niederlande |
Typ | E-Mailwurm |
Weitere Klassen | Skriptwurm |
Autoren | Jan de Wit Pseudonym: „OnTheFly“ |
Dateigröße | 2510 Bytes |
Speicherresident | nein |
Verbreitung | E-Mail-Anhang |
System | Windows |
Programmiersprache | Visual Basic Script |
Info | Wurde erstellt mit dem Toolkit VBS Worm Generator |
Der Computerwurm Anna Kournikova sorgte bei seinem Ausbruch am 11. Februar 2001 für zahlreiche überlastete E-Mail-Server und Systemstörungen.[1]
Benannt ist der Wurm nach der damals noch aktiven russischen Tennisspielerin Anna Kurnikowa. Die schädliche Datei war als AnnaKournikova.jpg.vbs
beschriftet.
Anna Kournikova war in Visual Basic Script geschrieben und verschickte sich automatisiert als Mail-Anhang. Das Skript wurde von dem damals zwanzigjährigen niederländischen Studenten Jan de Wit geschrieben.[1]
Aliasse
Der Autor des E-Mail-Wurms verwendete das Pseudonym OnTheFly. Das Wurm-Programm nannte er selbst Vbs.OnTheFly, was für „Visual Basic Script von OnTheFly“ steht.[1]
In der Presse und im Sprachgebrauch etablierte sich aber noch am Tag der Infektionswelle der Name Anna Kournikova, manchmal auch ohne Leerzeichen, AnnaKournikova. Sehr häufig wurde und wird der Wurm auch fälschlich als Anna Kournikova Virus bezeichnet.
Versionen und Derivate
In der Folge gab es mehrere Abkömmlinge des Anna Kournikova Wurms.
Einer der bekanntestem Nachahmer versprach ein angebliches Nacktfoto der Sängerin und Schauspielerin Jennifer Lopez. Dieser Wurm geriet etwa vier Monate später in Umlauf. Der Wurmcode ist aber kein wirkliches Derivat des Anna-Kournikova-Wurms, wie in den Medien aufgrund der ähnlichen Verbreitung teils berichtet wurde. Stattdessen basiert er auf dem Code von Loveletter, hat aber teilweise einen veränderten Payload. Der Lopez-Wurm konnte befallene Rechner zusätzlich mit dem CIH-Virus infizieren. Unter Windows-9x-Betriebssystemen brachte CIH die Gefahr von Datenverlusten, und in selten Fällen auch Firmwareschäden mit sich.[2]
Fast zur selben Zeit wie Anna Kournikova, ab dem 15. Februar 2001, kursierte in Deutschland der T-Online-Wurm, der von der Funktion her quasi identisch mit Anna Kournikova ist. Er gab aber vor, eine Textdatei zu sein, und köderte mit einem angeblichen Angebot der Telekom, das günstigere Internetgebühren versprach. Auch er ist keine Variante des Anna-Kournikova-Wurms, wie in der Presse teilweise behauptet wurde. Die VB-Skripte unterscheiden sich größtenteils deutlich.[3]
Aufbau und Funktion
De Wit verwendete das Toolkit VBS Worm Generator zum Erstellen des Wurms.[4] Das Kit ist nur 38 KByte groß und verfügt über mehrere Funktionen zum Erstellen und Überarbeiten von Visual-Basic-Würmern. Zu diesem Zeitpunkt war das Tool noch frei verfügbar und online erhältlich.[1]
Der Entwickler des VBS Worm Generator war ein damals achtzehnjähriger Programmierer aus Buenos Aires. Als sein Tool und sein Pseudonym [K]Alamar im Zusammenhang mit dem Kournikova-Wurm im Fernsehen genannt wurden, entfernte er das Programm von seiner Website. Zuvor hatte er es zum freien Download zur Verfügung gestellt.
Benutzer anderer E-Mail-Programme als Outlook oder anderer Betriebssysteme als Windows (MacOS, Linux etc.) waren nicht betroffen. Das Ausführen des Anhangs hatte in diesem Fall keinen praktischen Effekt. Außerdem war die passende Laufzeitumgebung für VB-Scripte notwendig. Sie war aber auf zeitgemäßen Windows-Rechner standardmäßig installiert.
Vervielfältigung
Das VB-Skript verbreitete sich als Attachment per E-Mail. Die Betreffzeile einer solchen Mail lautete bei der Originalversion des Wurms: Here you have ,; 0)
Die Mail selbst enthielt den Text: Hi: Check This!
Die Datei im Anhang hatte den Namen: AnnaKournikova.jpg.vbs
Davon war aber bei den damals gebräuchlichen Betriebssystemen und üblichen Einstellungen aber nur AnnaKournikova.jpg
zu sehen. Die Dateiendungen von bekannten Dateien, in diesem Fall von einem Visual-Basic-Skript, wurden im Browser oder Mail-Client meist ausgeblendet.[1]
Social Engineering
Der Dateiname signalisierte aufgrund der Bekanntheit des JPG-Formates dem User, es handle sich um ein Foto der damals sehr bekannten Tennisspielerin Anna Kurnikowa. Infolgedessen klickten tausende von Usern auf den Anhang, um das vermeintliche Bild zu öffnen.
Die Anwendung Microsoft Outlook war das Mittel zur Verbreitung des Wurms. Öffnete ein E-Mail-Empfänger den Anhang und startete dadurch das Skript, erschien nicht das erwartete Bild von Kurnikowa. Stattdessen versendete sich der Wurm an alle im Microsoft Outlook-Adressbuch gespeicherten Adressen. Das Misstrauen beim Empfänger war daher eher gering, es handelte sich vermeintlich ja um einen bekannten Absender. Allgemein gelten JPEG-Dateien als relativ ungefährlich. Der Anna-Kournikova-Wurm nutzte also in erster Linie die soziale Komponente für seine Verbreitung. Die Effektivität dieser einfachen Trickserei war enorm.[5]
Payload
Der Wurm enthielt außerdem eine Funktion, die eine DoS-Attacke gegen die Webseite des niederländischen Computershops DynaByte durchführen konnte. Ausgelöst wurde sie nur, wenn der Wurm an einem 29. Januar aktiviert wurde. DynaByte als Ziel war mehr oder weniger wahllos, Jan de Wit hatte während dem Schreiben des Skripts zufällig eine Rechnung des Computershops auf seinem Schreibtisch liegen. Dieses Datum lag bei der ersten Freisetzung des Wurms noch ein knappes Jahr in der Ferne. Dass bis dahin noch eine ausreichende Anzahl Kopien des Schadprogramms in Umlauf waren, um eine effektive Attacke starten zu können, war völlig ausgeschlossen. Das war sicher auch dem Autor von Anna Kournikova bewusst gewesen. Sein Motiv für die Programmroutine ist nicht bekannt, vermutlich wollte er diesen sinnlosen Payload als Mahnung einbauen. Er wollte damit zeigen, dass der Wurm mit wenigen Modifikationen weit schlimmere Folgen haben könnte. Die Wahl der Webadresse Dynabyte war laut Jan de Wit zufällig. Er hatte keinen Bezug zu dieser Firma.[6]
Schutz und Entfernung
Der Wurm Anna Kournikova stellt keine zeitgemäße Gefahr mehr dar.
- Anna Kournikova hatte große Ähnlichkeit mit dem bereits seit August 2000 bekannten Wurmstamm VBS/SST@MM. Da es sich somit praktisch nicht um ein neues Programm handelte, sondern um eine Variante von bereits bekannten Würmern, konnten einige der damals aktuellen Antiviren-Scanner den Wurm bereits am Tag der Infektionswelle identifizieren und problemlos entfernen. Die schnelle Verbreitung des Wurms zeigt aber, dass IT-Schutzsoftware im Jahr 2001 noch keineswegs einen etablierten Standard darstellte.
- Aktuelle Betriebssysteme und Outlook-Versionen sind gegen den Wurm nicht mehr anfällig.
- E-Mail-Anbieter prüfen Dateianhänge automatisch auf bekannte Malware und verweigern den Versand von kritischen Attachments.
- Antivirenprogramme erhielten noch in derselben Woche entsprechende Updates, um den Effekt des Anna-Kournikova-Wurms bei Echtzeitüberwachung zu unterbinden.
- Die Ausführungsrichtlinien für VB-Skripte wurden überarbeitet und sicherer.
- Eine Personal Firewall schützte nicht vor den Auswirkungen von Anna Kournikova. Outlook musste standardmäßig als Ausnahme zugelassen werden, um die gewünschten Funktionen zu ermöglichen. Zudem waren Personal Firewalls im Jahr 2001 im Privatgebrauch noch nicht etabliert.
Situation um 2001
Die Zeit von 2000 bis 2010 war die Goldene Ära der Computerwürmer. Anna Kournikova war nach Loveletter aus dem Jahr 2000 erst der zweite Wurm mit nahezu weltweiter medialer Aufmerksamkeit. Im Fahrwasser des Kournikova-Wurms machte in Deutschland der T-Online-Wurm einige Schlagzeilen. In diesem "Jahrzehnt der Würmer", folgte noch zahlreiche weitere bekannte und berüchtigte Malware, wie Sasser, Sobig.F, MyDoom, Netsky, Conficker oder Stuxnet. Vorfälle mit herkömmlichen Datei- oder Makroviren waren dagegen kaum ein Thema mehr in den Massenmedien.
Auswirkungen des Wurms
Am 11. Februar 2001 verbreitete de Witt gegen 15:00 Uhr den Wurm erstmals über eine Newsgroup. In der Folge grassierte er nahezu global.[1] Das Datum fiel auf einen Sonntag. Möglicherweise wollte Jan de Wit ausnutzen, dass dieser Tag von vielen Privatpersonen zum Surfen und für E-Mailverkehr genutzt wird.
Anna Kournikova ähnelte zwar dem Loveletter-Wurm, der ein Jahr zuvor im Jahr 2000 aufgetreten war, beschädigte jedoch keine Daten auf infizierten Computersystemen. Dennoch verursachte der Wurm den Versand von Millionen von E-Mails und verursachte dadurch zahlreiche Probleme bei IT-Anlagen und E-Mail-Servern.[1]
Da es sich um einen einfachen Skriptwurm handelte, konnte sich Anna Kournikova zwar automatisiert, aber nicht selbstständig auf andere Rechner verbreiten. Ausschlaggebend für die rasante Verbreitung waren ausschließlich E-Mail-Empfänger, die den Anhang der Mail öffneten. Dabei spielten mehrere soziale Komponenten eine Rolle. Der Absender der E-Mail war meist bekannt, die Neugier wurde geweckt und Bild-Dateien galten allgemein als eher ungefährlich. Ein JPEG des damals neunzehnjährigen Tennisstars und Fotomodels wirkte nicht weiter verdächtig. Dass es sich dabei in Wahrheit nicht um ein Foto, sondern um ein Visual Basic Script handelte, fiel in vielen Fällen nicht sofort auf.
Am Dienstag, den 13. Februar ging auf einer niederländischen Website ein kurzes Bekennerschreiben ein. Unter seinem Pseudonym OnTheFly gab de Wit an, er habe keinen Schaden anrichten wollen. Der Wurm sei eine Warnung an unvorsichtige Internetnutzer, die unbekannte Dateianhänge bedenkenlos öffnen.[7] Dass der Wurm durch seine lawinenartige Verbreitung auch Serverausfälle verursachen würde, habe er nicht für möglich gehalten, schrieb de Wit in seinem Bekennerschreiben.
Am Nachmittag des 14. Februar stellte sich Jan de Wit der niederländischen Polizei.
Der Autor
Der damals zwanzigjährige niederländische Student Jan de Wit war der Urheber des Wurm-Skripts. Malware war allgemein eines seiner Interessensgebiete, zudem war er ein Fan von Kurnikowa. Um den Wurm zu erstellen, benötigte er nach eigenen Angaben nur wenige Stunden.
De Wit veröffentlichte am 13. Februar zwei Bekennerschreiben im Internet. Einer der Onlinedienste gab am nächsten Tag an, dass man OnTheFly identifiziert habe. Einem Pressebericht nach, soll auch David L. Smith – Autor des 1999er-Virus Melissa – bei der Überführung von de Wit geholfen haben.[8] Bevor es zu einer Verhaftung kam, stellte sich de Wit aber selbst den Behörden. Er meldete sich am 14. Februar 2001 bei der Polizei in seiner Heimatstadt Sneek. Darin gab er zu, den Wurm mithilfe eines Toolkits erstellt zu haben, und erläuterte seine Beweggründe, um festzustellen, ob die IT-Community nach früheren Malwareinfektionen ihre Lektion zur besseren Sicherheit von Systemen gelernt hatte.[9]
Neben seinem Bedauern machte er die Arglosigkeit vieler Computerbesitzer für das Ausmaß der Verbreitung verantwortlich. Er bezeichnete auch seinen Bauerntrick mit dem angeblichen Foto als idealen Köder. Im Gegensatz zum Virus Melissa und dem E-Mailwurm Loveletter, die rein auf die Neugier der Mail-Empfänger setzten, nutzte de Witt auch noch Kurnikowas attraktives Aussehen als Mittel zur effektiveren Verbreitung seines Wurms.[10]
In der Presse wurde er teilweise als talentierter junger Mann, anderseits aber auch als Scriptkiddie bezeichnet. Sieboldt Hartkamp – Bürgermeister von de Wits Heimatstadt Sneek – gehörte zu den Leuten die sich eher beeindruckt zeigten. Er bot de Wit einige Tage nach dem Vorfall eine Stelle in der IT-Abteilung der örtlichen Verwaltung an.[11]
Die juristischen Folgen
De Wit wurde in Leeuwarden vor Gericht gestellt und beschuldigt, Daten in einem Computernetzwerk verbreitet zu haben, um Schaden zu verursachen. Dieser Straftatbestand wird in den Niederlanden als Verbrechen gewertet und konnte mit einer Höchststrafe von vier Jahren Gefängnis und einer Geldstrafe von 100.000 Gulden (41.300 US-Dollar) geahndet werden. De Wits Anwälte forderten die Abweisung der Anklage gegen ihn und argumentierten, dass der Wurm nur minimalen Schaden angerichtet habe, und das wegen fahrlässiger Fehleinschätzung. Das FBI legte dem niederländischen Gericht einige Ermittlungsergebnisse vor. Laut der US-Behörde hatte der Wurm Schäden in Höhe von insgesamt 166.000 US-Dollar verursacht. De Wit bestritt jede böswillige Absicht.[12]
Der Wurm-Autor konnte dem Gericht glaubhaft versichern, dass er keinen Schaden verursachen wollte. Allerdings wurde ihm nicht abgenommen, dass er die Konsequenzen im Vorfeld völlig falsch eingeschätzt habe. Da er in einem Computerladen arbeitete und sich privat intensiv mit Malware beschäftigte, hätte ihm die theoretischen Auswirkungen eines E-Mail-Wurms völlig klar sein müssen. Er wurde nach einer Berufungsverhandlung rechtskräftig zu 150 Stunden gemeinnütziger Arbeit verurteilt.[1][13][14][15]
Wurm oder Virus
Von der Presse wird der Anna-Kournikova-Wurm oft fälschlich als Virus bezeichnet. Ein Virus ist ein nicht-eigenständiger Programmcode, der sich dadurch verbreitet, dass es sich in Dateien oder Systembereiche einnistet. Diese Definition erfüllt der Anna-Kournikova-Wurm aber nicht, da er keine Dateien infiziert, sondern ein eigenständiges Programm ist.[16][17] Die E-Mail selbst, die der Wurm zur Verbreitung benutzt, zählt nicht als Wirtsdatei. Das Anna-Kournikova-Skript versendet sich selbst als Attachment.
Die häufigen Vergleiche von Anna Kournikova mit dem 1999er-Virus Melissa haben die in beiden Fällen lawinenartige Verbreitung per E-Mail als Hintergrund. Melissa verbreite sich aber über eine infizierte Textdatei als E-Mail-Anhang, während der Anna-Kournikova-Wurm selbst der Anhang war.
Trivia
Der Anna Kournikova Wurm wurde in einer Folge der US-Sitcom Friends (Staffel 9, Episode 20 – Regen im Paradis – Teil Eins) angesprochen. Einer der Hauptcharaktere infiziert absichtlich den PC seines Freundes mit einer verseuchten E-Mail. In dieser wird ihm ein Nacktfoto von Kurnikowa versprochen. Der Wurm in der Serie zerstört aber auch alle Dateien auf der Festplatte.[1]
Weblinks
- Heise.de: Internet-Wurm tarnt sich als Tennis-Starlet von Volker Zota, 13. Februar 2001
- Heise.de: Angeblicher Fan will den Kournikova-Wurm geschrieben haben von Florian Rötzer, 14. Februar 2001
- Heise.de: Autor von AnnaKournikova stellt sich von Jo Bager, 14. Februar 2001
- Heise.de: Der Autor von AnnaKournikova bedauert von Jo Bager, 14. Februar 2001
- Heise.de: Autor des Kournikova-Wurms muss vor Gericht von Wolfgang Stieler, 21. Juni 2001
- Heise.de: Sozialstrafe wegen Kournikova-Virus gefordert von Wolfgang Stieler, 14. September 2001
- PC-Welt.de: Virenbau leicht gemacht von Hans-Christian Dirscherl, 22. Februar 2001
- PC-Welt.de: Weitere E-Mail-Angriffe – I Love You von Woody Leonhard, 25. Mai 2011
- Computerwoche.de: Urheber des Kournikova-Wurms geht in Berufung von (ka), 6. Mai 2002
- ChannelPartner.de: Anna Kournikova lockt mit vielen E-Mails von (rw), 13. Februar 2001
- ITReseller.ch: Kournikova-Virus verbreitet sich rasend schnell von (iw), 13. Februar 2001
Einzelnachweise
- ↑ a b c d e f g h i blog.to.com Blog.to.com: History of Hacks-Anna Kournikova Wurm
- ↑ Greg Sandoval: Virus dresses up as a naked Jennifer Lopez. 1. Juni 2001 news.zdnet.co.uk (Memento vom 10. März 2005 im Internet Archive).
- ↑ Vorsicht: T-Online-Wurm breitet sich rasant aus pcwelt.de.
- ↑ Details zum VBS Worm Generator V.2 von Hans-Christian Dirscherl, März 2001 pcwelt.de
- ↑ Markus Pilzweger: Vorsicht, neuer Wurm im Umlauf! 13. Februar 2001 pcwelt.de.
- ↑ https://www.spiegel.de/netzwelt/web/anna-kurnikowa-virus-ich-tue-das-nie-wieder-a-117509.html Spiegel.de: Anna Kournikowa Virus ich tue das nie wieder
- ↑ Anna Kournikova sollte nur eine Warnung sein. In: Handelsblatt. 14. Februar 2001 ([1]).
- ↑ Court documents reveal that Melissa's author helped authorities catch other virus writers. 10. Mai 2009 sophos.com.
- ↑ Mutmaßlicher Urheber des Kournikova Virus stellt sich. In: Computerwoche. computerwoche.de.
- ↑ Wurm statt Warnung heise.de.
- ↑ Rober Blincoe: Kournikova Virus Kiddie gets 150 hours community service. 27. September 2001 theregister.com.
- ↑ Autor von Kournikova-Wurm verurteilt. 28. September 2001 tecchannel.de.
- ↑ John Mariotti: The Chinese Conspiracy. iUniverse Inc. 2010, ISBN 978-1-4502-5790-9.
- ↑ John Leyden: Anna Kournikova Virus Author stands trial. 14. September 2001 theregister.com.
- ↑ Joris Evers: Kournikova Virus Writer Found Guilty. 27. September 2001 pcworld.com (Memento vom 31. Januar 2013 im Webarchiv archive.today)
- ↑ Was ist ein Computervirus – Unterschied zum Wurm giga.de.
- ↑ Computerviren und Computerwürmer. kaspersky.de.