News 18.04.2001, 09:45 Uhr

Der (un-)heimliche Hybris-Virus-Erfolg

Der Virus, der seit Monaten von «hahaha@sexyfun.net» eintrifft oder anonym mit Beilagen mit achtstelligen Dateinamen (TOWEUTPW.EXE, PBVCKSDF.EXE usw.) daherkommt, heisst Hybris und gehört zu den Top-Five in der Virus-Hitparade.
Sachte, ganz sachte hat es im November 2000 angefangen mit Hybris [1]. Die Antivirus-Hersteller publizierten die ersten Beschreibungen dieses Internet-Wurms. In freier Wildbahn wurden hauptsächlich UseNet-Benutzer einer internationalen Antivirus-Newsgroup darauf aufmerksam, als sie plötzlich Messages sahen, die aus Stapeln von wirrem Buchstabensalat bestanden. Bald war klar, dass diese Messages vom Erfinder dieses Internet-Wurms stammten. Dieser lud so genannte verschlüsselte Plugins in exakt diese Virenbekämpfer-Gruppe. Seine Kreation - Hybris - war dazu programmiert, ausgerechnet dort nach Updates zu suchen. Eines dieser Updates bewirkte beispielsweise, dass ein Teil der infizierten PCs eine schwarz/weisse Spirale auf dem Desktop angezeigten.
Die Weihnachtsfeiertage kamen und gingen, andere Bedrohungen, wie der zweite Millenium-Bug, der MTX-Wurm und natürlich AnnaKournikova geisterten in den Mailboxen und den Zeitungen herum. Hybris fristete ein Schattendasein, obwohl sich dieser inzwischen zu einem echten Erfolg-Virus entwickelt hatte. Sogar Experten hatten diesem Wurm anfangs kaum Chancen gegeben, weil er eigentlich jedem Benutzer hätte auffallen sollen: Wer öffnet schon Beilagen von einem Absender wie "hahaha@sexyfun.net"? Wer öffnet denn überhaupt Beilagen, wenn nicht einmal ein Absender oder ein plausibler Mail-Text drinsteht? Diese Merkmale schreien doch "Finger weg!". Trotzdem haben sich viele - leider viel zu viele - User dazu verleiten lassen.
Das Erfolgsrezept von Hybris ist vielschichtig: Ist ein PC angesteckt, passiert diesem rein gar nichts. Die Programme laufen wie gewohnt und Abstürze sind in der Regel nicht häufiger als vorher. Allerdings verschickt dieser PC eifrig Mails (inklusive Hybris-Beilage) an jede Adresse, die der Benutzer nur schon liest - auf Webseiten, im UseNet oder im Verteiler eines schlecht konfigurierten Newsletters. Da Hybris für den Mail-Versand nicht Outlook oder Outlook Express verwendet, werden die Empfänger dieser unwissentlich versandten Mails niemals herausfinden, wer der Absender ist. Entweder steht gar kein Absender drin, oder dann der gefälschte Absender "hahaha@sexyfun.net", der kaum Aufschluss über die Herkunft geben kann. Die Folge: Benutzer infizierter PCs werden nicht gewarnt und bewegen sich über Monate hinweg im Web, versprühen unwissentlich den zweifelhaften Viren-Charme, ohne jemals zu merken, dass ein fleissiger Mistkäfer im System sitzt, der genüsslich seine Mail-Kugeln rollt.
Wir haben von Benutzern gehört, die mehrmals täglich ein Hybris-Exemplar erhalten. Diesen können wir nur empfehlen, sich den Header der betreffenden Mail anzuschauen (bei Outlook über ANSICHT/OPTIONEN). Dem darin erwähnten Provider ist eine Mail zu senden, die eine Kopie des kompletten Headers enthält und eine Bitte, den infizierten Benutzer zu warnen. Ob die Provider dieser Bitte nachgehen, steht auf einem anderen Blatt.
Die gute Nachricht ist aber, dass jedes Antivirus-Programm den Hybris-Wurm sofort erkennt, sofern es in den letzten drei Monaten einmal aktualisiert wurde. Wer kein Antivirus-Programm besitzt, sollte sich umgehend eines zulegen und dessen Updates gewissenhaft pflegen. Wer sich keines leisten kann, wird mit dem kostenlosen InoculateIT Personal Edition [2] zumindest die gröbsten Virenbescherungen abwenden oder beseitigen können. Eine weitere Alternative ist der Online-Scan, den Sie direkt ab Webseite zweier Antivirus-Hersteller (TrendMicro [3] oder Panda [4]) durchführen können.
Die Lage ist ernst. Auch wenn Sie denken, Hybris-frei zu sein: Bitte überprüfen Sie Ihr System trotzdem - Ihren Mitmenschen zuliebe.



Kommentare
Es sind keine Kommentare vorhanden.