Der Böse, der eigentlich nur Gutes programmieren wollte

09. Mai 2004 Alfred Krüger

Sasser-Programmierer in Deutschland gefasst

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Der mutmaßliche Programmierer des berüchtigten Internetwurms Sasser wurde am Freitagabend in Deutschland festgenommen. Es handelt sich um einen 18-jährigen Schüler aus dem kleinen Dorf Waffensen nahe der niedersächsischen Kreisstadt Rotenburg/Wümme. Der Tatverdächtige, ein Computerfreak, der noch bei seinen Eltern wohnt, hat noch während der Hausdurchsuchung ein Geständnis abgelegt und zugegeben, dass er auch für etliche Wurmvarianten aus der Netsky-Familie verantwortlich ist. Offenbar wollte der junge Mann einen "guten" Antiwurm kreieren.

Der Wurm aus der Lüneburger Heide

Internetwurm Sasser , der sich derzeit noch immer in vier Variationen durch das Internet schlängelt, hatte weltweit für Aufregung gesorgt. Millionen Computer wurden von dem Wurm verseucht, der zu seiner Verbreitung eine an sich bereits gepatchte Schwachstelle in den Microsoft Betriebssystemen Windows XP und 2000 ausnutzt. Infolgedessen kam es insbesondere in den Netzwerken großer Unternehmen zu erheblichen Störungen und Ausfällen, von der beträchtlichen Zunahme des weltweiten Datenverkehrs einmal ganz abgesehen.

Dass Sassers Urheber gerade aus der tiefsten deutschen Provinz stammen soll, kommt überraschend. Für Virenexperten wenig überraschend ist allerdings, dass der Sasser-Autor einer Presseerklärung des LKA Niedersachsen zufolge vermutlich auch für verschiedene Versionen des Netsky-Wurms verantwortlich zu machen ist. Denn im Quellcode von Netsky.AC hatte sich der Wurmprogrammschreiber direkt an die Antivirenfirmen (av firms) gewandt und sich als Urheber beider Würmer geoutet:

Hey, av firms, do you know that we have programmed the sasser virus?!?. Yeah thats true! Why do you have named it sasser? A Tip: Compare the FTP-Server code with the one from Skynet.V!!! LooL! We are the Skynet...

Der "gute" Wurm von der Netzpolizei "Skynet"

Netsky zeichnete sich dadurch aus, dass seine noch immer unbekannten Urheber ihn als eine Art "guten" Wurm konzipiert hatten. Netsky verbreitete sich per Email. Wurde das Schadprogramm im Emailanhang aktiviert, legte Netsky eine Datei namens winlogon.exe im Windows-Systemverzeichnis an. Gleichzeitig verewigte sich der Wurm in der Windows-Registry, sodass er bei jedem Systemstart ebenfalls gestartet wurde. Weiterhin löschte Netsky mehrere Registrierungsschlüssel. Dabei handelte es sich um Schlüssel, die die Würmer Mydoom.A , Mydoom.B sowie Mimail.T angelegt hatten.

Netsky gehörte somit zur nicht minder gefährlichen Gattung der "guten Würmer", die einen oder mehrere andere Würmer auszuschalten versuchen. Hintertüren, die MyDoom und Bagle auf Computern mit Windows-Betriebsystemen weit aufgerissen hatten, wurden von ihm ebenfalls verschlossen. Sein Ziel war offensichtlich Netzhygiene, die konsequente Reinigung wurmverseuchter Computersysteme durch einen wackeren Gegenwurm.

Gute Würmer - schlechte Würmer

Seinem Selbstverständnis nach wähnte sich der Netsky-Programmierer auf der "guten" Seite. Die Bösen waren die anderen. Offenbar wollte er Usern, deren PCs mit Bagle oder Mydoom infiziert waren, einen Dienst erweisen, dies allerdings, indem er verseuchte oder noch nicht infizierte Systeme mit seiner eigenen Wurmkreation heimsuchte - eine äußerst fragwürdige, letztlich naive Strategie. Denn Wurm bleibt Wurm. "Gute" Würmer gibt es nicht.

Wie jedes andere Wurmprogramm auch schlichen sich die "guten" Netsky-Würmer heimlich durchs Netz, infizierten Systeme und begannen mit ihren Aktivitäten, ohne dass der Nutzer etwas davon wusste, geschweige denn, seine Zustimmung gegeben hatte. Zudem ist auch bei "guten" Würmern letztlich gar nicht sicher, ob der vermeintliche Wurmpolizist im System des Users nicht doch absichtlich oder unabsichtlich Schaden anrichtet oder Programmfunktionen enthält, die ein späteres Nachladen von Schadprogrammen erlauben.

Kleinkrieg der Wurmbastler

Die einander feindlich gesonnene Wurmbastlerlager lieferten sich heftige Wortwechsel, die sie in den Quellcodes ihrer jeweils jüngsten Wurm-Varianten gut sichtbar platzierten. Im Quelltext von Netsky.C hieß es beispielsweise:

we are the skynet - you can't hide yourself! - we kill malware writers (they have no chance!)

Solche Texte klangen, als hätten sich die Netsky-Macher wie eine Art private "Netzpolizei" gefühlt, die sich der Selbstjustiz gegenüber der "bösen" Konkurrenz verschrieben hat. Die Antwort der Allianz aus Mydoom und Bagle kam übrigens postwendend per Bagle.I-Quellcode zurück. Hier fanden sich die Zeilen:

Hey, NetSky, fuck off you bitch, don't ruine our business, wanna start a war?

Der ursprüngliche Netsky-Erfinder hatte mit der K-Version seines Schadprogramms genug von diesen Spielchen. In der Netsky.K-Variante kündigt er seinen Rückzug an.

Wir wollen das Malware-Business zerstören. Dies ist die letzte Version unseres Antivirus. Der Quellcode wird bald verfügbar gemacht.

Der "Böse", der im Grunde Gutes wollte

An dieser Stelle übernahm vermutlich der junge Mann aus der Lüneburger Heide das Netsky-Ruder. Kurz nach dem Rückzug des ursprünglichen Netsky-Autoren tauchten bereits die ersten Netsky.L- und Netsky.M-Versionen auf. Experten ordneten diese beiden Varianten sofort Trittbrettfahrern zu - vermutlich zu Recht, wie der junge Mann aus Waffensen jetzt gegenüber den Ermittlern des niedersächsischen LKA bekannte. Er gab zu Protokoll, dass er sich - ganz in der Tradition der ursprünglichen Netsky-Bastler - durch die im Umlauf befindlichen Würmer motiviert gesehen habe, einen Antiwurm zu programmieren. Angespornt durch Gespräche mit ebenfalls Computer begeisterten Klassenkameraden entwickelte der Rotenburger Schüler den Netsky-Wurm weiter.

Von diesem Schadprogramm bis hin zu Sasser war es offenbar für ihn kein allzu großer Schritt. Zwar wählte der Schüler für seine eigene Wurmkreation eine andere Verbreitungsmethode - Netsky wanderte als Email-Attachment durchs Netz, während Sasser sich als Internetwurm selbstständig von PC zu PC fortpflanzte. Entwickelt habe er den Rotenburger Wurm von der Wümme jedoch auf der Grundlage des Netsky-Virus, wie der Schüler jetzt den LKA-Beamten sagte.

Tatsächlich fällt auf, dass auch Sasser keine wirklich schwer wiegende Schadroutine besitzt. Er bringt befallene Windows-PCs lediglich zum Absturz. Seine weltweit zum Teil verheerende Wirkung konnte er im Grunde nur entfalten, weil eine große Zahl von Usern ihre Systeme nicht mit den Sicherheitsflicken gepatcht hatte, die Microsoft bereits seit Mitte April zum kostenlosen Download angeboten hatte.

Sachdienliche Hinweise kamen von Microsoft

Das LKA Niedersachsen ist dem tatverdächtigen Schüler aus der verschlafenen Lüneburger Heide offenbar durch Hinweise von US-Behörden auf die Spur gekommen. Frank Federau vom LKA Niedersachsen bestätigte ausdrücklich auch eine Zusammenarbeit mit Microsoft. Danach habe der US-amerikanische Softwarekonzern anonyme Hinweise aus dem näheren Umfeld des Schülers erhalten, die an das FBI sowie an die deutsche Polizei weitergeleitet worden seien.

Ob der tatverdächtige Schüler, der von LKA-Sprecher Federau als hochintelligenter Computerfreak beschrieben wird, für alle Sasser-Versionen verantwortlich zeichnet, stehe laut Federau noch nicht fest - ist aber im Hinblick auf die Frage relevant, mit welchen straf- und zivilrechtlichen Konsequenzen der Sasser-Schöpfer rechnen muss. Die Schadensersatzforderungen könnten möglicherweise astronomische Höhen erreichen.