Anna Kournikova (Computerwurm)
| Anna Kournikova | |
|---|---|
| Name | Anna Kournikova |
| Aliase | Vbs.OnTheFly |
| Bekannt seit | 2001 |
| Herkunft | Sneek,  Niederlande
|
| Typ | E-Mailwurm |
| Weitere Klassen | Skriptwurm |
| Autoren | Jan de Wit Pseudonym: „OnTheFly“ |
| Dateigröße | 2.510 Bytes |
| Speicherresident | nein |
| Verbreitung | E-Mail-Anhang |
| System | Windows |
| Programmiersprache | Visual Basic Script |
| Info | Wurde erstellt mit dem Toolkit VBS Worm Generator |
Der Computerwurm Anna Kournikova sorgte bei seinem Ausbruch am 11. Februar 2001 für zahlreiche überlastete E-Mail-Server und Systemstörungen.[1]
Benannt ist der Wurm nach der damals noch aktiven russischen Tennisspielerin Anna Kurnikowa. Die schädliche Datei war als AnnaKournikova.jpg.vbs beschriftet.
Anna Kournikova war in Visual Basic Script geschrieben und verschickte sich automatisiert als Mail-Anhang. Das Skript wurde von dem damals zwanzigjährigen niederländischen Studenten Jan de Wit geschrieben.[1]
Aliasse[Bearbeiten | Quelltext bearbeiten]
Der Autor des E-Mail-Wurms verwendete das Pseudonym OnTheFly. Das Wurm-Programm nannte er selbst Vbs.OnTheFly, was für „Visual Basic Script von OnTheFly“ steht.[1]
In der Presse und im Sprachgebrauch etablierte sich aber noch am Tag der Infektionswelle der Name Anna Kournikova, manchmal auch ohne Leerzeichen, AnnaKournikova. Sehr häufig wurde und wird der Wurm auch fälschlich als Anna-Kournikova-Virus bezeichnet.
Versionen und Derivate[Bearbeiten | Quelltext bearbeiten]
In der Folge gab es mehrere Abkömmlinge des Anna-Kournikova-Wurms.
Einer der bekanntestem Nachahmer versprach ein angebliches Nacktfoto der Sängerin und Schauspielerin Jennifer Lopez. Dieser Wurm geriet etwa vier Monate später in Umlauf. Der Wurmcode ist aber kein wirkliches Derivat des Anna-Kournikova-Wurms, wie in den Medien aufgrund der ähnlichen Verbreitung teils berichtet wurde. Stattdessen basiert er auf dem Code von Loveletter, hat aber teilweise einen veränderten Payload. Der Lopez-Wurm konnte befallene Rechner zusätzlich mit dem CIH-Virus infizieren. Unter Windows-9x-Betriebssystemen brachte CIH die Gefahr von Datenverlusten und, in selten Fällen, auch Firmwareschäden mit sich.[2]
Fast zur selben Zeit wie Anna Kournikova, ab dem 15. Februar 2001, kursierte in Deutschland der T-Online-Wurm, der von der Funktion her quasi identisch mit Anna Kournikova ist. Er gab aber vor, eine Textdatei zu sein, und köderte mit einem angeblichen Angebot der Telekom, das günstigere Internetgebühren versprach. Auch er ist keine Variante des Anna-Kournikova-Wurms, wie in der Presse teilweise behauptet wurde. Die VB-Skripte unterscheiden sich größtenteils deutlich.[3]
Aufbau und Funktion[Bearbeiten | Quelltext bearbeiten]
De Wit verwendete das Toolkit VBS Worm Generator zum Erstellen des Wurms.[4] Das Kit ist nur 38 KByte groß und verfügt über mehrere Funktionen zum Erstellen und Überarbeiten von Visual-Basic-Würmern. Zu diesem Zeitpunkt war das Tool noch frei verfügbar und online erhältlich.[1]
Der Entwickler des VBS Worm Generator war ein damals achtzehnjähriger Programmierer aus Buenos Aires. Als sein Tool und sein Pseudonym [K]Alamar im Zusammenhang mit dem Kournikova-Wurm im Fernsehen genannt wurden, entfernte er das Programm von seiner Website. Zuvor hatte er es zum freien Download zur Verfügung gestellt.
Benutzer anderer E-Mail-Programme als Outlook oder anderer Betriebssysteme als Windows (MacOS, Linux etc.) waren nicht betroffen. Das Ausführen des Anhangs hatte in diesem Fall keinen praktischen Effekt. Außerdem war die passende Laufzeitumgebung für VB-Scripte notwendig. Sie war aber auf zeitgemäßen Windows-Rechner standardmäßig installiert.
Vervielfältigung[Bearbeiten | Quelltext bearbeiten]
Das VB-Skript verbreitete sich als Attachment per E-Mail. Die Betreffzeile einer solchen Mail lautete bei der Originalversion des Wurms: Here you have ,; 0)
Die Mail selbst enthielt den Text: Hi: Check This!
Die Datei im Anhang hatte den Namen: AnnaKournikova.jpg.vbs
Davon war aber bei den damals gebräuchlichen Betriebssystemen und üblichen Einstellungen aber nur AnnaKournikova.jpg zu sehen. Die Dateiendungen von bekannten Dateien, in diesem Fall von einem Visual-Basic-Skript, wurden im Browser oder Mail-Client meist ausgeblendet.[1]
Social Engineering[Bearbeiten | Quelltext bearbeiten]
Der Dateiname signalisierte aufgrund der Bekanntheit des JPG-Formates dem User, es handle sich um ein Foto der damals sehr bekannten Tennisspielerin Anna Kurnikowa. Infolgedessen klickten tausende von Usern auf den Anhang, um das vermeintliche Bild zu öffnen.
Die Anwendung Microsoft Outlook war das Mittel zur Verbreitung des Wurms. Öffnete ein E-Mail-Empfänger den Anhang und startete dadurch das Skript, erschien nicht das erwartete Bild von Kurnikowa. Stattdessen versendete sich der Wurm an alle im Microsoft-Outlook-Adressbuch gespeicherten Adressen. Das Misstrauen beim Empfänger war daher eher gering, es handelte sich vermeintlich ja um einen bekannten Absender. Allgemein gelten JPEG-Dateien als relativ ungefährlich. Der Anna-Kournikova-Wurm nutzte also in erster Linie die soziale Komponente für seine Verbreitung. Die Effektivität dieser einfachen Trickserei war enorm.[5]
Payload[Bearbeiten | Quelltext bearbeiten]
Der Wurm enthielt außerdem eine Funktion, die eine DoS-Attacke gegen die Website des niederländischen Computershops DynaByte durchführen konnte. Ausgelöst wurde sie nur, wenn der Wurm an einem 29. Januar aktiviert wurde. DynaByte als Ziel war mehr oder weniger wahllos, Jan de Wit hatte während des Schreibens des Skripts zufällig eine Rechnung des Computershops auf seinem Schreibtisch liegen. Dieses Datum lag bei der ersten Freisetzung des Wurms noch ein knappes Jahr in der Ferne. Dass bis dahin noch eine ausreichende Anzahl Kopien des Schadprogramms in Umlauf waren, um eine effektive Attacke starten zu können, war völlig ausgeschlossen. Das war sicher auch dem Autor von Anna Kournikova bewusst gewesen. Sein Motiv für die Programmroutine ist nicht bekannt, vermutlich wollte er diesen sinnlosen Payload als Mahnung einbauen und damit zeigen, dass der Wurm mit wenigen Modifikationen weit schlimmere Folgen haben könnte.[6]
Schutz und Entfernung[Bearbeiten | Quelltext bearbeiten]
Der Wurm Anna Kournikova stellt keine zeitgemäße Gefahr mehr dar.
- Anna Kournikova hatte große Ähnlichkeit mit dem bereits seit August 2000 bekannten Wurmstamm VBS/SST@MM. Da es sich somit praktisch nicht um ein neues Programm handelte, sondern um eine Variante von bereits bekannten Würmern, konnten einige der damals aktuellen Antiviren-Scanner den Wurm bereits am Tag der Infektionswelle identifizieren und problemlos entfernen. Die schnelle Verbreitung des Wurms zeigt aber, dass IT-Schutzsoftware im Jahr 2001 noch keineswegs einen etablierten Standard darstellte.
- Aktuelle Betriebssysteme und Outlook-Versionen sind gegen den Wurm nicht mehr anfällig.
- E-Mail-Anbieter prüfen Dateianhänge automatisch auf bekannte Malware und verweigern den Versand von kritischen Attachments.
- Antivirenprogramme erhielten noch in derselben Woche entsprechende Updates, um den Effekt des Anna-Kournikova-Wurms bei Echtzeitüberwachung zu unterbinden.
- Die Ausführungsrichtlinien für VB-Skripte wurden überarbeitet und sicherer.
- Eine Personal Firewall schützte nicht vor den Auswirkungen von Anna Kournikova. Outlook musste standardmäßig als Ausnahme zugelassen werden, um die gewünschten Funktionen zu ermöglichen. Zudem waren Personal Firewalls im Jahr 2001 im Privatgebrauch noch nicht etabliert.
Situation um 2001[Bearbeiten | Quelltext bearbeiten]
Die Zeit von 2000 bis 2010 war die Goldene Ära der Computerwürmer. Anna Kournikova war nach Loveletter aus dem Jahr 2000 erst der zweite Wurm mit nahezu weltweiter medialer Aufmerksamkeit. Im Fahrwasser des Kournikova-Wurms machte in Deutschland der T-Online-Wurm einige Schlagzeilen. In diesem "Jahrzehnt der Würmer" folgten noch zahlreiche weitere bekannte und berüchtigte Malware, wie Sasser, Sobig.F, MyDoom, Netsky, Conficker oder Stuxnet. Vorfälle mit herkömmlichen Datei- oder Makroviren waren dagegen kaum ein Thema mehr in den Massenmedien.
Auswirkungen des Wurms[Bearbeiten | Quelltext bearbeiten]
Am 11. Februar 2001 verbreitete de Wit gegen 15:00 Uhr den Wurm erstmals über eine Newsgroup. In der Folge grassierte er nahezu global.[1] Das Datum fiel auf einen Sonntag. Möglicherweise wollte Jan de Wit ausnutzen, dass dieser Tag von vielen Privatpersonen zum Surfen und für E-Mailverkehr genutzt wird.
Anna Kournikova ähnelte zwar dem Loveletter-Wurm, der ein Jahr zuvor im Jahr 2000 aufgetreten war, beschädigte jedoch keine Daten auf infizierten Computersystemen. Dennoch verursachte der Wurm den Versand von Millionen von E-Mails und verursachte dadurch zahlreiche Probleme bei IT-Anlagen und E-Mail-Servern.[1]
Da es sich um einen einfachen Skriptwurm handelte, konnte sich Anna Kournikova zwar automatisiert, aber nicht selbstständig auf andere Rechner verbreiten. Ausschlaggebend für die rasante Verbreitung waren ausschließlich E-Mail-Empfänger, die den Anhang der Mail öffneten. Dabei spielten mehrere soziale Komponenten eine Rolle. Der Absender der E-Mail war meist bekannt, die Neugier wurde geweckt und Bild-Dateien galten allgemein als eher ungefährlich. Ein JPEG des damals neunzehnjährigen Tennisstars und Fotomodels wirkte nicht weiter verdächtig. Dass es sich dabei in Wahrheit nicht um ein Foto, sondern um ein Visual Basic Script handelte, fiel in vielen Fällen nicht sofort auf.
Am Dienstag, den 13. Februar ging auf einer niederländischen Website ein kurzes Bekennerschreiben ein. Unter seinem Pseudonym OnTheFly gab de Wit an, er habe keinen Schaden anrichten wollen. Der Wurm sei eine Warnung an unvorsichtige Internetnutzer, die unbekannte Dateianhänge bedenkenlos öffnen.[7] Dass der Wurm durch seine lawinenartige Verbreitung auch Serverausfälle verursachen würde, habe er nicht für möglich gehalten, schrieb de Wit in seinem Bekennerschreiben.
Am Nachmittag des 14. Februar stellte sich Jan de Wit der niederländischen Polizei.
Der Autor[Bearbeiten | Quelltext bearbeiten]
Der damals zwanzigjährige niederländische Student Jan de Wit war der Urheber des Wurm-Skripts. Malware war allgemein eines seiner Interessensgebiete, zudem war er ein Fan von Kurnikowa. Um den Wurm zu erstellen, benötigte er nach eigenen Angaben nur wenige Stunden.
De Wit veröffentlichte am 13. Februar zwei Bekennerschreiben im Internet. Einer der Onlinedienste gab am nächsten Tag an, dass man OnTheFly identifiziert habe. Einem Pressebericht nach soll auch David L. Smith – Autor des 1999er-Virus Melissa – bei der Überführung von de Wit geholfen haben.[8] Bevor es zu einer Verhaftung kam, stellte sich de Wit aber selbst den Behörden. Er meldete sich am 14. Februar 2001 bei der Polizei in seiner Heimatstadt Sneek. Darin gab er zu, den Wurm mithilfe eines Toolkits erstellt zu haben, und erläuterte seine Beweggründe, um festzustellen, ob die IT-Community nach früheren Malwareinfektionen ihre Lektion zur besseren Sicherheit von Systemen gelernt hatte.[9]
Neben seinem Bedauern machte er die Arglosigkeit vieler Computerbesitzer für das Ausmaß der Verbreitung verantwortlich. Er bezeichnete auch seinen Bauerntrick mit dem angeblichen Foto als idealen Köder. Im Gegensatz zum Virus Melissa und dem E-Mail-Wurm Loveletter, die rein auf die Neugier der Mail-Empfänger setzten, nutzte de Wit auch noch Kurnikowas attraktives Aussehen als Mittel zur effektiveren Verbreitung seines Wurms.[10]
In der Presse wurde er teilweise als talentierter junger Mann, anderseits aber auch als Scriptkiddie bezeichnet. Sieboldt Hartkamp – Bürgermeister von de Wits Heimatstadt Sneek – gehörte zu den Leuten, die sich eher beeindruckt zeigten. Er bot de Wit einige Tage nach dem Vorfall eine Stelle in der IT-Abteilung der örtlichen Verwaltung an.[11]
Die juristischen Folgen[Bearbeiten | Quelltext bearbeiten]
De Wit wurde in Leeuwarden vor Gericht gestellt und beschuldigt, Daten in einem Computernetzwerk verbreitet zu haben, um Schaden zu verursachen. Dieser Straftatbestand wird in den Niederlanden als Verbrechen gewertet und konnte mit einer Höchststrafe von vier Jahren Gefängnis und einer Geldstrafe von 100.000 Gulden (41.300 US-Dollar) geahndet werden. De Wits Anwälte forderten die Abweisung der Anklage gegen ihn und argumentierten, dass der Wurm nur minimalen Schaden angerichtet habe, und das wegen fahrlässiger Fehleinschätzung. Das FBI legte dem niederländischen Gericht einige Ermittlungsergebnisse vor. Laut der US-Behörde hatte der Wurm Schäden in Höhe von insgesamt 166.000 US-Dollar verursacht. De Wit bestritt jede böswillige Absicht.[12]
Der Wurm-Autor konnte dem Gericht glaubhaft versichern, dass er keinen Schaden verursachen wollte. Allerdings wurde ihm nicht abgenommen, dass er die Konsequenzen im Vorfeld völlig falsch eingeschätzt habe. Da er in einem Computerladen arbeitete und sich privat intensiv mit Malware beschäftigte, hätten ihm die theoretischen Auswirkungen eines E-Mail-Wurms völlig klar sein müssen. Er wurde nach einer Berufungsverhandlung rechtskräftig zu 150 Stunden gemeinnütziger Arbeit verurteilt.[1][13][14][15]
Wurm oder Virus[Bearbeiten | Quelltext bearbeiten]
Von der Presse wird der Anna-Kournikova-Wurm oft fälschlich als Virus bezeichnet. Ein Virus ist ein nicht-eigenständiger Programmcode, der sich dadurch verbreitet, dass es sich in Dateien oder Systembereiche einnistet. Diese Definition erfüllt der Anna-Kournikova-Wurm aber nicht, da er keine Dateien infiziert, sondern ein eigenständiges Programm ist.[16][17] Die E-Mail selbst, die der Wurm zur Verbreitung benutzt, zählt nicht als Wirtsdatei. Das Anna-Kournikova-Skript versendet sich selbst als Attachment.
Die häufigen Vergleiche von Anna Kournikova mit dem 1999er-Virus Melissa haben die in beiden Fällen lawinenartige Verbreitung per E-Mail als Hintergrund. Melissa verbreite sich aber über eine infizierte Textdatei als E-Mail-Anhang, während der Anna-Kournikova-Wurm selbst der Anhang war.
Trivia[Bearbeiten | Quelltext bearbeiten]
Der Anna-Kournikova-Wurm wurde in einer Folge der US-Sitcom Friends (Staffel 9, Episode 20 – Regen im Paradis – Teil Eins) angesprochen. Einer der Hauptcharaktere infiziert sichtlich den PC seines Freundes mit einer verseuchten E-Mail. In dieser wird ihm ein Nacktfoto von Kurnikowa versprochen. Der Wurm in der Serie zerstört aber auch alle Dateien auf der Festplatte.[1]
Weblinks[Bearbeiten | Quelltext bearbeiten]
- Heise.de: Internet-Wurm tarnt sich als Tennis-Starlet von Volker Zota, 13. Februar 2001
- Heise.de: Angeblicher Fan will den Kournikova-Wurm geschrieben haben von Florian Rötzer, 14. Februar 2001
- Heise.de: Autor von AnnaKournikova stellt sich von Jo Bager, 14. Februar 2001
- Heise.de: Der Autor von AnnaKournikova bedauert von Jo Bager, 14. Februar 2001
- Heise.de: Autor des Kournikova-Wurms muss vor Gericht von Wolfgang Stieler, 21. Juni 2001
- Heise.de: Sozialstrafe wegen Kournikova-Virus gefordert von Wolfgang Stieler, 14. September 2001
- PC-Welt.de: Virenbau leicht gemacht von Hans-Christian Dirscherl, 22. Februar 2001
- PC-Welt.de: Weitere E-Mail-Angriffe – I Love You von Woody Leonhard, 25. Mai 2011
- Computerwoche.de: Urheber des Kournikova-Wurms geht in Berufung von (ka), 6. Mai 2002
- ChannelPartner.de: Anna Kournikova lockt mit vielen E-Mails von (rw), 13. Februar 2001
- ITReseller.ch: Kournikova-Virus verbreitet sich rasend schnell von (iw), 13. Februar 2001
Einzelnachweise[Bearbeiten | Quelltext bearbeiten]
- ↑ a b c d e f g h i blog.to.com Blog.to.com: History of Hacks-Anna Kournikova Wurm
- ↑ Greg Sandoval: Virus dresses up as a naked Jennifer Lopez. 1. Juni 2001 news.zdnet.co.uk ( vom 10. März 2005 im Internet Archive)
- ↑ Vorsicht: T-Online-Wurm breitet sich rasant aus pcwelt.de ( des vom 10. Juni 2020 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- ↑ Details zum VBS Worm Generator V.2 von Hans-Christian Dirscherl, März 2001 pcwelt.de ( des vom 10. August 2020 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.
- ↑ Markus Pilzweger: Vorsicht, neuer Wurm im Umlauf! 13. Februar 2001 pcwelt.de ( des vom 10. August 2020 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis..
- ↑ Anna Kurnikowa-Virus: "Ich tue das nie wieder". In: Spiegel Online. 14. Februar 2001, abgerufen am 27. Januar 2024. Spiegel.de: Anna Kournikowa Virus ich tue das nie wieder
- ↑ Anna Kournikova sollte nur eine Warnung sein. In: Handelsblatt. 14. Februar 2001 ([1]).
- ↑ Court documents reveal that Melissa's author helped authorities catch other virus writers. 10. Mai 2009 sophos.com.
- ↑ Mutmaßlicher Urheber des Kournikova Virus stellt sich. In: Computerwoche. computerwoche.de.
- ↑ Wurm statt Warnung heise.de.
- ↑ Rober Blincoe: Kournikova Virus Kiddie gets 150 hours community service. 27. September 2001 theregister.com.
- ↑ Autor von Kournikova-Wurm verurteilt. 28. September 2001 tecchannel.de.
- ↑ John Mariotti: The Chinese Conspiracy. iUniverse Inc. 2010, ISBN 978-1-4502-5790-9.
- ↑ John Leyden: Anna Kournikova Virus Author stands trial. 14. September 2001 theregister.com.
- ↑ Joris Evers: Kournikova Virus Writer Found Guilty. 27. September 2001 pcworld.com ( vom 31. Januar 2013 im Webarchiv archive.today)
- ↑ Was ist ein Computervirus – Unterschied zum Wurm giga.de.
- ↑ Computerviren und Computerwürmer. kaspersky.de.
