Viren-Folklore

Schneewittchen und die sieben Zwerge treiben zur Weihnachtszeit ihr Unwesen

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Schon vor Wochen warnte Declan McCullough auf der Politechbot-Mailingliste vor einem Wurm, der sich mittels Spam-Email verfielfältigt. Die Messages kommen meist mit der Subject-Zeile "Snow White and the Seven Dwarfs" und führen ein Attachment mit sich, das unter verschiedenen Namen auftreten kann, z.B. (aber nicht nur) als dwarf4you.exe, enano porno.exe, joke.exe, midgets.scr, sexy virgin.scr.

Der Text der Emails und die Dateinamen der Attachments legen den Verdacht nahe, dass das Attachment einen schmutzigen Witz enthält, was das Nahverhältnis zwischen Schneewittchen und den Sieben Zwergen betrifft. Dies ist natürlich höchst unzulässig im Sinne der Reinhaltung der überlieferten Märchentradition und wird von der Telepolis-Redaktion strikt abgelehnt. Doch leider scheint es Menschen zu geben, die für einen dreckigen Grinser vor nichts zurückscheuen und entgegen allen Warnungen besagtes Attachment anklicken. Damit machen diese fehlgeleiteten Individuen ihren Rechner zum Wirt für einen Wurm namens W95.Hybris. Laut Vireninformation auf der Symantec-Website wird von diesem die Datei WSOCK32.DLL modifiziert, betrifft also wieder einmal einzig Windows-User. Die Veränderung der WSOCK32.DLL gibt dem Wurm die Fähigkeit, sich als Attachment an alle ausgehenden Emails zu hängen.

Der Wurm würde laut Symantec auch versuchen, sich mit der Newsgroup alt.comp.virus zu verbinden, dort, sobald verbunden, eigene Plug-ins installieren, wonach die Subject-Zeilen der Messages nach einem bestimmten Format durchsucht werden. Wenn fündig, kann der Wurm neue Module herunterladen und damit sein Verhalten modifizieren und z.B. auch ZIP-Files infiltrieren. Darüber hinaus dürfte er keinen Schaden anrichten.

W95.Hybris oder auch die Varianten W32.Hybris.gen, W32.Hybris.22528.dr, W32/Hybris.gen@M und I-Worm.Hybris wurden erstmals im September 2000 entdeckt und verbreiteten sich zunächst nur langsam. Seit Anfang November ist aber ein starker Anstieg zu verzeichnen, so dass Symantec/Norton die Warnstufe auf 4 angehoben hat. Der Wurm wird als mäßig gefährlich eingestuft, ist mittlerweile bekannt und sollte daher mit neuen Versionen handelsüblicher Anti-Virensoftware erkannt und auch entfernt werden können. Man sollte auch annehmen, dass die Warnung an Windows-User, keine Attachments mit den Fileendungen .exe, .vbs und .scr zu öffnen, sich mittlerweile herumgesprochen hat. Das scheint aber leider nicht der Fall zu sein.

Denn nach einem ersten Höhepunkt im November gab es gerade in den letzten Tagen wieder eine neue Flut an solchen wie oben beschriebenen Messages, so dass "Snow White and the Seven Dwarfs" saisongemäß doch noch zu einem Erfolg zu werden scheint. Armes Schneewittchen, wer hätte gedacht, dass solches Schindluder mit dir getrieben wird, und das auch noch zur Weihnachtszeit! Doch die berechtigte moralische Entrüstung einmal beiseite, ist vor allem die Psychologie hinter solchen Email-Würmern interessant. Sie können sich nur verbreiten, wenn Leute den "Vorschlag", der in einer solchen Botschaft enthalten ist, interessant finden und jenen Mausclick tun, den sie später bereuen werden. Der ILOVEYOU-Wurm, Shooting-Star des Jahres 2000, hat das eindrucksvoll bewiesen. Gerade in der Vorweihnachtszeit flitzen viele (und oft nervig große) Attachments durch das Netz, wie in diesem Magazin kürzlich angemerkt wurde. In dieser Attachment-Hysterie findet "Snow White ..." seine computerbiologische Überlebensnische, obwohl seine Auslöschung rein technisch gesprochen keine Hexerei wäre.