Spammails aus dem rechten Virenschreibersumpf
Rechte Propaganda via ferngesteuerter PCs
Die Mails, die seit Donnerstag früh bundesweit Emailpostfächer zu Tausenden überfluten - unter anderem auch mit Telepolis-Emailadressen -, kommen wie gewöhnlicher Spammüll ins Haus. Ihre Absenderangaben sind wie bei solchem Werbemüll allgemein üblich gefälscht. Doch im Gegensatz zum sonstigen Werbemüll, der die elektronischen Postfächer zum Überlaufen bringt, wollen diese Mails ihren Empfängern keine materiellen Güter, sondern "nur" eine Botschaft verkaufen - eine Botschaft allerdings der ganz besonderen, der rechtslastigen Art. Dabei deutet vieles darauf hin, dass die Verbreiter der "rechten" Gesinnung eng mit den Programmierern des Sober-Email-Wurms zusammenarbeiten.
"Auslaendergewalt: Herr Rau, wo waren Sie?" heißt es beispielsweise in einer der Betreffzeilen, mit denen diese Mails verschickt werden. Im Nachrichtentext dieser Mail wird ein Artikel der rechtslastigen Online-Publikation "Unabhängige Nachrichten" aus dem Jahre 2001 im Wortlaut wiedergegeben, Artikelüberschrift "Mordversuch wegen 'falschem' Hemdaufdruck". Die Betreffzeile einer anderen Mail mit braunem Inhalt lautet: "Geschrieben von Margrit am 07. April 2004". Der Nachrichtentext dieser Mail enthält neben antisemitischen Tiraden einen Hetzartikel mit der Überschrift: "Ich wurde von 7 TUERKEN gleichzeitig vergewaltigt". Eine dritte von etlichen weiteren möglichen Betreffzeilen enthält den Satz: "Wer an ein Tabu ruehrt, muss und darf vernichtet werden". Im zugehörigen Nachrichtentext steht lediglich der Hinweis "Lese selbst", gefolgt von einem Link zu einem Europawahlartikel der stramm rechtsorientierten "Jungen Freiheit".
Die vielen unterschiedlichen Betreffzeilenvarianten und Nachrichtentexte sind mit Bedacht gewählt und sollen offenbar suggerieren, dass es sich hierbei um Mails aus unterschiedlichen Quellen handelt. Dass dies nicht der Fall ist, zeigen einige Eigenarten dieser Mails. So folgt auf jeden Betreffzeilentext eine Schlüsselnummer, die darauf hindeutet, dass hier professionell gearbeitet wurde. Eine spezielle Schlüsselnummer steht jeweils für einen ganz speziellen Nachrichtentext nebst passender Betreffzeile. Die Mail mit dem Betrefftext "Auslaendergewalt." besitzt beispielsweise den Schlüssel "Key:5665", die Mail mit dem Link zum Artikel der "Jungen Freiheit " hat den Schlüssel "Key 4198". Diese Schlüsselnummern lassen darauf schließen, dass die Verbreitung dieser Mails zentral erfolgt, gut durchorganisiert ist und außerdem automatisiert wurde. Auch der Zeitpunkt für die massenhafte Verbreitung dieser Mails - am Sonntag ist Europawahl - wurde offenbar mit Bedacht gewählt.
Rechtes Massenmailing ist nichts Besonderes und auch kein neues Phänomen. Es existieren diverse Newsletter aus dem rechtsradikalen Online-Sumpf, die ihre strammen Botschaften gezielt oder wahllos unters deutsche Email-Volk zu bringen versuchen. Die jetzt kursierenden Mails unterscheiden sich jedoch grundsätzlich von solchen herkömmlichen Massenmails. Vieles deutet darauf hin, dass die Verbreiter des rechten Spammülls erstens mit professionellen Spammermethoden arbeiten und zweitens mit versierten Virenprogrammierern gemeinsame Sache machen.
Die Wurm- und Virenschreiberszene professionalisiert sich
Wurm- und Virenschreiber schicken ihre Schadprogramme längst nicht mehr nur aus "Spaß", aus Geltungssucht oder gar aus dem "edlen Motiv" auf die Reise durchs Netz, um User vor vermeintlichen Netzgefahren zu schützen. Die Szene professionalisiert und kriminalisiert sich längst. Virenschreiber arbeiten immer öfter mit Cyberkriminellen oder kommerziellen Spamversendern zusammen. Sie konstruieren ihre Schadprogramme so, dass die von ihnen per Email oder direkt übers Internet verbreiteten Viren und Würmer Systemhintertüren öffnen und das Nachladen von Trojanern ermöglichen.
Gleichzeitig hat beinahe jedes Schadprogramm eine eigene SMTP-Maschine im Gepäck. Deren vorrangiger Zweck ist es, das Überleben und die weitere Verbreitung der Schadprogramme zu gewährleisten. Sie sorgen dafür, dass sich die Schadprogramme an alle Emailadressen verschicken können, die sie auf dem befallenen PC vorfinden. Der unbedarfte User merkt davon in aller Regel nichts. Über die SMTP-Maschine lassen sich nicht nur die Schadprogramme selbst, sondern auch Spammails verschicken. Der infizierte PC wird zu einer ferngesteuerten Spamschleuder umfunktioniert, die auf Befehle von außen mit der Spam-Verbreitung beginnt.
Virenschreiber und Spamversender kooperieren
Dass Virenschreiber und Spamversender zusammenarbeiten, ist kein Geheimnis mehr. So war es alles andere als ein Zufall, dass beispielsweise der Massenmailwurm Mimail.D von seinen Schöpfern einen ganz besonderen Auftrag mit auf den Weg bekommen hatte. Er sollte im Oktober letzten Jahres die Domains von Antispam-Organisationen massenhaft mit Datenmüll zuschütten und dadurch ausschalten. Unter den attackierten Webseiten befanden sich die Internetpräsenzen von SpamCop , SPEWS (Spam Prevention Early Warning System) und das Spamhouse Project. Gernot Hacker von der Antivirenfirma Sophos wertete diese Denial-of-Service-Attacken als einen gezielten Versuch, "die Quellen für Antispam-Tools im Internet auszuschalten."
Im Februar dieses Jahres gelang dem Computermagazin c't erstmals der konkrete Nachweis für eine Zusammenarbeit zwischen Virenschreibern und Spammern. Wie die c't in ihrer Ausgabe vom 23.2.2004 berichtete, gelang es einem Informatik-Studenten in Zusammenarbeit mit der c't-Redaktion, die Urheber eines Computervirus aufzuspüren. Die c't-Redaktion trat anschließend mit den Virenverbreitern in Kontakt und gab vor, ihnen IP-Adressen infizierter Rechner abkaufen zu wollen. Dabei wurde einer der Virenverbreiter in Großbritannien lokalisiert. Sämtliches Material wurde deshalb an Scotland Yard weitergeleitet. Dieser Fall von Cyberkriminalität sei erst der Anfang, hieß es damals von Scotland Yard. Virenschreiber hätten erkannt, "wie viel Geld hier leicht zu ergaunern ist."
Offenbar geht es manchen Virenschreibern nicht nur um Geld, sondern auch um die Verbreitung der "rechten" Gesinnung. Es spricht nämliches Etliches dafür, dass ein direkter Zusammenhang zwischen den Verbreitern der jüngsten rechtslastigen Massenmails und den Programmierern des Internetwurms Sober besteht.
Sober-Wurm spricht Deutsch
Sober tauchte Ende Oktober letzten Jahres erstmalig im Netz auf. Er verbreitete sich insbesondere im deutschen Sprachraum recht schnell, da ihm seine Programmierer auch deutschsprachige Betreffzeilen verliehen hatten. Die Namen der Dateianhänge, über die sich Sober verbreitete, wählte sich das Wurmprogramm aus einem Pool von ca. vierzig verschiedenen Namen, darunter auch der Name "Odin_Worm.exe". Sober tauchte anschließend in verschiedenen Variationen auf. Die letzte Version des Sober-Wurms (Sober.G) wurde erst kürzlich entdeckt.
Die Sober-Würmer zeichnen sich durch besonders reißerische Betreffzeilen und Nachrichtentexte aus. So verunsicherte beispielsweise Sober.C deutschsprachige Emailempfänger mit Betreffzeilen wie "Ermittlungsverfahren wurde eingeleitet", "Ich zeige Sie an" oder "Sie sind ein Raubkopierer". Im Nachrichtentext schlachtete Sober.C genüsslich die Diskussion über Musik- und Filmtauschbörsen aus und drohte den Mailempfängern: "Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 67.245.89.119 erfasst wurde. Der Inhalt Ihres Rechners wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingeleitet.". Grund: illegales Filesharing.
Auch Wurmbruder Sober.B wusste, wie man Mailempfänger zum Klicken auf die Dateianhänge motivieren kann, z. B. durch Betreffzeilen wie diese: "Fwd: Der Kannibale von Rotenburg". Der Nachrichtentext wurde noch deutlicher:
Entschuldigen Sie bitte diese überaus deutliche Betreffzeile! Aber ein neuer Dialer macht mit dieser Überschrift unzählige User zu Opfern. Die User werden mit dem versprechen gelockt, sich das äusserts abscheuliche Tat-Video anzuschauen zu dürfen. Stattdessen aber, installiert sich ein sehr teurer Dialer und ein Virus auf dem PC. Da aber unzählige User auf diese Finte hereinfallen, haben wir mit Zustimmung des Bundeskriminalamtes BKA, eine Web-Seite erstellt, wo einige dieser äusserts brisanten Fotos und Videos einzusehen sind, um den Leuten die Neugier zu nehmen. Natürlich sind diese Videos und Fotos leicht zensiert worden. Um auf diesen Web-Server zu gelangen, müssen Sie zuerst bestätigen, dass Sie das 18 Lebensjahr bereits vollendet haben. Wir bitten sie ausdrücklichst, keine Kinder diese Seite einsehen zu lassen.
I.A.: Dieter BXXXXn ----- MultiMedia AG München ia. BKA (ORG. Rund-Mail V6.02) ----- Geschäftsführer: Michael LXXXXXXxn (xxxxxxx) FAX: xxxxxx.
Originaltext einschließlich aller Rechtschreib- und Zeichensetzungsfehler
Braune Propaganda verbreitet sich via Sober.G
Die jetzt verschickten Propaganda-Mails weisen in mehrfacher Hinsicht enge Beziehungen zu den Programmierern der Sober-Würmer auf. Etliche der "rechten " Gesinnungs-Mails enden beispielsweise explizit mit einem "Kommentar des Sober Autors". "Hallo Frederike", heißt es beispielsweise in jener Mail mit der Überschrift "Muslimische Jugendbande fiel ueber Schuelerin Friederike (16) her", "ich hoffe das Du anstaendige Verwandte oder Bekannte hast, die die Taeter mal richtig durch die Mangel nehmen. Selbstjustiz muss in unserem Land langsam aber Sicher eingefuehrt werden."
Eine andere Mail kommentiert der "Sober Autor" mit dem Satz: "Wenn drei leicht angetrunkene Bundeswehr Soldaten mit A. H. Gruß durch die Stadt laufen, ist die Presse mit groesstem Eifer dabei, unsere eigenen Leute nieder zu machen!!!"
Ein Großteil des rechten Mailmülls wird nach derzeitigem Erkenntnisstand tatsächlich von Windows-PCs verbreitet, die sich mit Sober.G infiziert haben. Diese PCs sind derzeit offenbar nur noch mit dem automatischen Versand der Massenmails beschäftigt. Das Wurmprogramm selbst breitet sich deshalb kaum noch aus. Ein weiteres Indiz für die Verbreitung der braunen Mailpropaganda durch Sober.G-infizierte Rechner ergibt sich daraus, dass das Wurmprogramm in befallenen Systemen automatisch eine Datei namens "NoSpam.readme" installiert. Diese Datei enthält eine Botschaft des Wurmprogrammschreibers an die "lieben Antivirenhersteller". Der Autor erklärt, er sei "einige Jahre über 30", im Übrigen kein Hacker und verkaufe seine "eroberten Rechner" auch nicht an Spammer. Unterschrieben ist die Nachricht mit "Odin alias Anon". Derselbe Name war bereits in einer Nachrichtentextvariante von Sober.A aufgetaucht. Hier hieß es:
Programmer of the -Sobig Worm-
Congratulations!! Your Sobig Worms are very good!!!
You are a very good programmer!
Yours faithfully
Odin alias Anon
Im Übrigen überhöht sich die rechtsradikale Szene gern mit Namen, die der nordischen Götter- und Sagenwelt entliehen sind. Odin, der Name des obersten Gottes der Germanen, belegt hier einen Spitzenplatz.