Zeitung Heute : Kampf der Hacker

Kai Kolwitz

Wie sich zwei befeindete Programmierer-Gruppen gegenseitig hochschaukeln – zu Lasten aller Internet-Nutzer

Mydoom, Netsky, Bagle, Nachi – im Februar und März erlebte das Internet eine Virenflut von kaum gekanntem Ausmaß. Wie sich erst im Lauf der Zeit herausstellen sollte, handelte es sich bei dem Massenausbruch um einen Kampf zwischen verschiedenen Programmierern. Auch der am Wochenende gefasste Schüler Sven J. mischte dabei wohl mit. Eine Chronologie der Ereignisse:

Ende Januar erscheint Mydoom auf der Bildfläche. Der Wurm verbreitet sich vor allem als E-Mail-Anhang. Die infizierten Rechner sollen dazu genutzt werden, so genannte Denial-of-Service-Attacken auf die Websites von Microsoft und SCO auszuführen – die Computer sollen ab einem bestimmten Zeitpunkt ständig die Seiten aufrufen, so dass sie für Außenstehende nicht mehr erreichbar sind. Während Microsoft ein traditionelles Angriffsziel für Hacker darstellt, hat sich das US-Unternehmen SCO dadurch unbeliebt gemacht, dass es Teile des freien Betriebssystems Linux für sich reklamiert und versucht, Lizenzgebühren einzutreiben. Die SCO-Site ist mehrere Tage nicht erreichbar, der Windows-Hersteller kann den Angriff dagegen ins Leere laufen lassen.

Die große Verbreitung von Mydoom ruft Nachi auf den Plan, einen Wurm, der am 12. Februar entdeckt wird. Das Programm versucht, den Vorgänger zu löschen und von der Microsoft-Site Reparaturprogramme herunterzuladen. Vier Tage später wird die erste Netsky-Variante dokumentiert, für die der Deutsche Sven J. verantwortlich sein soll. Netsky versucht, Mydoom zu entfernen, ersetzt ihn aber durch eigenen Code. Einen Tag später wirft der vierte Spieler seinen Hut in den Ring: Auch Bagle versucht, die große Verbreitung von Mydoom für seine Zwecke zu nutzen. Am 18. Februar erscheint die neue Variante Netsky.b . Da sie sich als zip-Datei verschickt, gelingt es ihr, Virenscanner zu täuschen. Ihre große Verbreitung scheint den Ehrgeiz der Mydoom-Fraktion angestachelt zu haben. Am 20. des Monats wird Mydoom.f entdeckt. Diesmal ist die Website der Vereinigung der US-Musikindustrie RIAA Ziel einer erfolgreichen Attacke.

Während des folgenden Wochenendes haben die Viren-Autoren dann offenbar anderes zu tun. Erst am 24. fällt Netsky.c auf, der den Nutzern durch eine Reihe von Pieptönen anzeigt, dass ihr Rechner infiziert ist. Bagle.c, der am 27. auf den Plan tritt, versteckt sich hinter Word- und Excel-Symbolen. Innerhalb von zwei Tagen erscheinen noch fünf weitere Bagle-Varianten, die Jagd auf Mydoom und Netsky machen. Auch von Netsky werden zwei neue Versionen gefunden. Der Konflikt ist endgültig eskaliert.

Mydoom reagiert zunächst mit Flüchen. Im Quellcode spricht der Autor der anderen Seite auf Englisch das Recht ab, den Namen netsky für ihr „beschissenes Programm“ zu benutzen. Von Netsky tauchen neue Varianten teils im Stundentakt auf, auch der Bagle-Programmierer arbeitet anscheinend auf Hochtouren. Die Kommunikation der Parteien via Quelltext hat inzwischen unterstes Niveau erreicht. Nur der Netsky-Autor versucht, neue Freunde in der realen Welt zu finden und schlägt ein Treffen der Fraktionen in den USA vor.

Daneben versuchen die Konrahenten mit allen Tricks, möglichst viele Infektionen zu erzeugen: Viren-Mails werden mit „Virenfrei“-Signaturen großer Hersteller versehen, immer mehr unterschiedliche Betreffzeilen pro Wurm tauchen auf, teils wird der Code nicht mehr als Anhang verschickt, sondern die Mails werden mit Links versehen. Wer unter alldem am meisten leidet, sind die Nutzer: Auch die, deren Rechner vor den Viren geschützt sind, stöhnen unter den Massen von Mails im Posteingang, die es mühsam machen, die erwünschte Post dazwischen herauszufinden. Und Entwarnung kann noch immer nicht gegeben werden.

Hintergründe und Expertisen zu aktuellen Diskussionen: Tagesspiegel Causa, das Debattenmagazin des Tagesspiegels.

Hier geht es zu Tagesspiegel Causa!