Hype um den NT-Remote Explorer

Aktienkurs der Entdecker Network Associates steigt um 20 Prozent. Kritik an NAI-Informationspolitik. Erster Makro-Virus wartet schon auf MS-Office 2000

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Genau eine Woche, nachdem die Schreckensmeldung "Cyberterrorismus" via CNN verbreitet wurde, gibt es keinerlei Anzeichen dafür, dass der in den Status eines weltbedrohenden NT-Supervirus erhobene "Remote Explorer" jemals in freier Wildbahn unterwegs war. Alle bekannten Fakten weisen vielmehr darauf hin, dass sich sein Wirkungsradius auf das interne Netz von MCI-Worldcom (= UUnet) beschränkt hat. Die Spuren des ersten öffentlichen Hinweises in der newsgroup alt.comp.virus auf die Existenz des Virus führen gleichfalls zum weltgrössten Provider zurück.

Zur allgemeinen Mystifikation beigetragen hat die Informationspolitik von Network Associates International (NAI), deren Tochterfirma McAfee von MCI-Worldcom zu Hilfe gerufen wurde. Anstatt, so wie in der Community der Virenforscher üblich, sofort Informationen über den Remote Explorer auszutauschen, hielt man diese tagelang zurück, um dann eine PR-Offensive loszulassen, die nicht nur Russ Cooper, Moderator der gewöhnlich sehr gut informierten NTBugtraq Mailing-List, als "schwer verdaulichen Hype" empfand.

Der oder die Verfasser des in Microsoft C++ geschriebenen, selbst- reproduzierenden Programms, das auf NT-Netzwerken EXE-Dateien durch Zippen vorübergehend unbrauchbar macht, müssen jedenfalls nicht nur über "sehr guten NT-Background" verfügen, sondern auch ebensogute Kenntnisse in Unix haben, meint Josef Pichlmayr, Geschäftsführer des österreichischen Virenschutzherstellers Ikarus.

Wegen der restriktiven Weitergabepolitik von NAI - auch Microsoft musste sich schriftlich verpflichten, den Virus niemand auszufolgen - sei es, so Pichlmayr, nicht auszuschliessen, dass der 125 Kb starke Remote Explorer auch fähig ist, sich selbsttätig im Internet zu verbreiten. Wahrscheinlich ist dies nicht, zumal der Virus schon mehrere Wochen sein Unwesen im internen Netz von MCI-Worldcom getrieben haben muss. So lautet jedenfalls der Common Sense unter den Experten, die den Programmieraufwand mit etwa 200 Mensch- Stunden einschätzen. Dies und die "Arbeitszeiten" des Remote Explorer, der sich nur in der Nacht und an den Wochenenden aktiviert, haben Russ Cooper zu der gar nicht so kühnen These veranlasst, dass ein für Netzwerk-Administratoren gedachtes Tool nachträglich zum Virus umgeschrieben wurde:

"Solange, bis wir eine sinnvolle Aufgabe für dieses Programm gefunden haben, nennen wir es einen Virus."

Vielleicht sei es auch so gewesen, fügt Cooper nicht ohne Bosheit hinzu, dass NAI selbst nach einer Methode gesucht habe, um die eigenen Anti-Virenprogramme in Netzwerken selbsttätig upzudaten...

Mittlerweile bieten auch die Mitbewerber Virex, Symantec und andere Patches für den Remote Explorer an, der überhaupt keinen Schock darstelle, sondern ein längst erwarteter NT- Service-Virus sei, zumal er die selben NT-Schwachstellen wie der im Frühsommer 98 erstmals aufgetauchte Trojaner "Netbus" nutzt. Die Aktienkurse von Network Associates, die nach Bekanntgabe "des ersten Falls von Cyberterrorismus" am vergangenen Montag senkrecht in die Höhe schossen, gewannen im Lauf der Weihnachtswoche fast zwanzig Prozent an Wert.

Die Spassguerilla Narkotic Network bietet zum Jahreswechsel bereits den ersten Makro-Virus für das noch nicht ausgelieferte Office 2000 an.

nach oben