Loveletter

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Loveletter
Name Loveletter
Aliase I-Love-You, Love Bug
Bekannt seit 2000
Herkunft Philippinen
Typ E-Mailwurm
Weitere Klassen Netzwerkwurm, Skriptwurm
Autoren Onel de Guzmán
(Pseudonym: "Spider")
Dateigröße 10 KByte
Speicherresident nein
Verbreitung E-Mail, Netzwerkdienste, IRC
System Windows 9x, NT, 2000
mit MS Outlook
Programmiersprache Visual Basic

Loveletter ist ein Computerwurm, der sich am 4. Mai 2000 und den folgenden Tagen explosionsartig per E-Mail verbreitete. Die Betreffzeile lautete „ILOVEYOU“.

Er war der erste Computerwurm, über den weltweit in den Massenmedien berichtet wurde.

Der Wurm verursachte weltweit Schäden in Höhe von geschätzten 10 Milliarden Dollar.[1] Damit hat Loveletter nach MyDoom und Sobig.F den dritthöchsten Malware-Schaden der Geschichte angerichtet (Stand August 2020).


Aliasse[Bearbeiten | Quelltext bearbeiten]

Der Autor des Wurms verwendete im Progammkopf die Bezeichnung -loveletter(vbe).

Loveletter wurde in der Presse und der Allgemeinheit oft auch I-love-you genannt. Häufig wurde der Wurm auch fälschlich als I-Love-You-Virus bezeichnet. Computerviren waren der Öffentlichkeit um die Jahrtausendwende bereits ein Begriff, während Würmer damals nur in Fachkreisen bekannt waren. Vor allem in den USA war auch die Bezeichnung Love Bug geläufig.

Versionen und Derivate[Bearbeiten | Quelltext bearbeiten]

Da der Wurm aus einer Skript-Datei besteht, die mit jedem gewöhnlichen Editor bearbeitet werden kann, gibt es mehr als 100 Varianten. Oft handelt es sich nur um kleine Veränderungen, wie ein alternativer E-Mail- oder IRC-Text oder andere Dateinamen.[2] Einige dieser Trittbrettfahrer konnten ausgeforscht und verhaftet werden.[3]

Funktion[Bearbeiten | Quelltext bearbeiten]

Verbreitung[Bearbeiten | Quelltext bearbeiten]

Screenshot der ersten Variante des Loveletterwurms

Neben dem Neugier erweckenden Betreff versuchte „ILOVEYOU“ gezielt, die Empfänger in falscher Sicherheit zu wiegen – er verschickte sich an Einträge aus dem persönlichen Adressbuch, so dass die Empfehlung „Öffnen Sie keine Mailanhänge von fremden Personen“ nicht griff. Außerdem hieß der Anhang LOVE-LETTER-FOR-YOU.TXT.vbs, so dass sich viele Empfänger an „.txt-Dateien sind harmlos“ erinnerten, da die richtige Erweiterung .vbs in einer Standard-Windowsinstallation nicht angezeigt wird.

Während Loveletter mit beliebigen E-Mail-Programmen empfangen und ausgeführt werden kann, braucht er zum Versenden von E-Mails Microsoft Outlook, das er über OLE-Automatisierung fernsteuert. Dadurch konnte er auch von Personal Firewalls lange Zeit nicht erkannt werden, weil diese nur die Kommunikation von Outlook mit dem Mailserver registrierten.

Des Weiteren ersetzt er auf der Festplatte des befallenen Rechners und in der Microsoft-Netzwerkumgebung Dateien mit bestimmten Typen durch eine Kopie von sich selbst. Wenn diese Datei danach von einem anderen Computer aus ausgeführt wurde, wurde dieser PC ebenfalls infiziert.

Zu guter Letzt konnte er sich über das IRC-Netz per DCC verbreiten. Dazu durchsuchte er die Festplatte nach dem IRC-Client mIRC und überschrieb die Datei script.ini. Sie enthält ein Skript, das Loveletter an alle schicken soll, die einen Channel betreten, in dem sich der bereits infizierte User aufhält.

Auf Grund seiner exponentiellen Verbreitung hatte der Wurm bereits in den ersten Stunden viele Mailserver überlastet. Die folgende Rechnung veranschaulicht das: Unter der Annahme, dass jeder infizierte Benutzer Outlook verwendet und 20 Einträge in seinem Adressbuch hat, und die Hälfte der Empfänger den Anhang öffnen:

Ebene neu infiziert neu versendete Mails
1 1 20
2 10 200
3 100 2.000
4 1.000 20.000
5 10.000 200.000

Payload[Bearbeiten | Quelltext bearbeiten]

Der Wurm löschte auf infizierten Rechnern alle Dateien mit den Dateiendungen .jpg, .jpeg, .vbs, .vbe, .js, .jse, .css, .wsh, .sct und .hta und legte eine gleichnamige Kopie von sich selbst mit der Dateiendung .vbs an. Außerdem wurden alle Dateien mit den Endungen .mp2 und .mp3 als versteckt markiert und wiederum eine gleichnamige Kopie des Wurms mit der Endung .vbs angelegt.

Autor[Bearbeiten | Quelltext bearbeiten]

Identifiziert wurde der Virusautor durch einen Kommentar in den ersten beiden Zeilen des Skripts:

rem barok -loveletter(vbe) <i hate go to school> 
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Philippines

Der Urheber, Onel de Guzmán, wurde nicht verurteilt.[1]

Man konnte de Guzmán nach philippinischer Rechtslage vom Jahr 2000 keinen Prozess machen. Gesetze für Cyberkriminalität gab es noch nicht und Sachbeschädigung war nur bei Vorsatz strafbar. De Guzmán gab vor Gericht an, den Wurm aus Versehen freigelassen zu haben. Damit wurden alle Anklagen fallengelassen. Bereits zwei Monate später erließ man ein Gesetz gegen das Programmieren von Malware. 2019 räumte de Guzmán ein, dass er damals durchaus im Sinn gehabt hatte, Passwörter zu stehlen.

Reaktion der Öffentlichkeit[Bearbeiten | Quelltext bearbeiten]

Auf Grund seiner schnellen und weiten Verbreitung sowie der Höhe des entstandenen Schadens wurde die Thematik von den Massenmedien aufgegriffen und in das öffentliche Bewusstsein gerückt. Auf diese Weise wurden viele Computernutzer in Europa gewarnt, lange bevor die Antivirenprogramm-Hersteller ihre Signaturen aktualisiert hatten.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. a b http://www.spiegel.de/netzwelt/web/a-89973.html I love you!-Prozess – Onel de Guzman ist frei!, Spiegel Online, 21. August 2000
  2. http://hoax-info.tubit.tu-berlin.de/virus/loveletter.shtml Information über Varianten
  3. Niederösterreicher wegen Verbreitung von Loveletter Variante verhaftet

Weblinks[Bearbeiten | Quelltext bearbeiten]