Email-Wurm sucht nach Kinderpornographie

Entdeckt der VBS-Wurm verdächtige Dateien auf einem infizierten Computer, benachrichtigt er die Polizei

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Nach dem Linux-Wurm "Cheese", der nach Linux-Servern sucht, die von dem Lion-Wurm befallen sind, in diese eindringt und sie dann repariert, gibt es neuerdings einen weiteren Wurm, der möglicherweise mit guten Absichten geschrieben und losgeschickt wurde. Der Visual-Basic-Wurm "Noped" kommt wie die anderen VBS-Würmer als Anhang in einer Email und durchforstet, wenn aktiviert, die Festplatte von Rechnern mit dem Betriebssystem Windows nach Dateien mit Kinderpornographie.

Für die Suche verwendet der Wurm "VBS.Noped.A@mm" offenbar, wie Symantec meldet, eine Liste mit Dateinamen, die für den Virenschreiber auf Bilddateien mit Kinderpornographie hindeuten. Hat der Wurm eine solche verdächtige jpg-Datei entdeckt, dann benachrichtigt er eine zufällig ausgewählte Polizeidienststelle auf einer Liste. Überdies versendet er sich wie die anderen Würmer auch an alle Adressen, die im Outlook-Adressbuch des infizierten Computers vorhanden sind.

Problematisch ist, dass der Wurm natürlich "dumm" ist und nicht wirklich erkennt, ob die Dateien mit einem bestimmten Namen tatsächlich Kinderpornos enthalten. Bislang sei der Wurm allerdings noch nicht weit verbreitet, zumal die Email, mit der er verschickt wird, vermutlich die Neugier der Empfänger auch nicht so sehr weckt wie manche der Vorgänger, z.B. der ILOVEYOU-, der Matcher- oder der Kournikova-Virus.

In der Betreffzeile steht: "FWD: Help us ALL to END ILLEGAL child porn NOW". Der Email-Text soll lauten: "Hi, just a quick e-mail. Please read the attached document as soon as you can. Thanks." Die Datei im Anhang heißt: named "END ILLEGAL child porn NOW.TXT" . Nicht notwendigerweise muss auch die Endung .vbs dabei stehen.

Freundlicherweise öffnet der Wurm Notepad, um einen längeren Text zum Thema Kinderpornographie und Gesetze darzustellen. Aufgeklärt wird über die Geschichte des Verbots der Kinderpornographie in den USA seit 1977 bis hin zum Child Pornography Prevention Act von 1996, der Kinderpornographie auch auf Darstellungen erweitert, die nur so erscheinen, als wären dort Minderjährige in sexuellen Handlungen abgebildet. Das Verbot betrifft auch simulierte Bilder, auf denen keine wirklichen Kinder abgebildet sind.

Hat Noped verdächtige Bilder gefunden, dann wird folgender Text an die Polizei geschickt: "Hi, this is Antipedo2001. I have found a PC with known Child Pornography files on the hard drive. I have included a file listing below and included a sample for your convenience."

Möglicherweise haben die Virenschreiber ihr soziales Gewissen entdeckt und wollen jetzt das, was sie sowieso tun, wenigstens mit einem guten Zweck ausstatten. Schon im März dieses Jahres ist während der Auseinandersetzungen zwischen propalästinensichen und pro-israelischen Hackern ein harmloser Wurm mit dem Namen "Injustice" ausgeschickt worden (Ein Virus mit mehrfachen Entschuldigungen). Er hatte sich nur an 50 Adressen weitergeschickt, Emails an Adressen der israelischen Regierung gesendet, einige palästinensische Websites geöffnet, keine Dateien zerstört und sich gleich beim Benutzer des infizierten Systems entschuldigt: "PLEASE ACCEPT MY APOLOGIES FOR DISTURBING YOU."

nach oben