History of Hacks – Melissa verteilt Melissa

In den frühen Tagen des Internets war es problemlos möglich, durch einen einfachen und effektiven Mechanismus Server-Kapazitäten an ihre Limits zu bringen. Mit Melissa, einem Macro-Massen-Mailer, waren im Frühjahr 1999 plötzlich alle Mail-Server verstopft.

Die Begegnung

Als einer der studentischen Admins eines Linux Mails-Servers für die Studenten der Hochschule in Heilbronn, waren wir damals direkt betroffen von der Plage. Melissa wurde am 26. März 1999 zum ersten Mal gesichtet: bei Melissa handelte es sich um einen Microsoft Word Macro Virus, der als Anhang an eine E-Mail verschickt wurde. Wenn dieser Anhang list.doc geöffnet wurde, verschickte sich der Virus selbst an die 50 ersten Einträge des Microsoft Outlook Adressbuchs. Weil Melissa aber kein eigenständiges Programm war, sondern Word und Outlook zur Ausführung benötigt, ist es nur ein Massen-Mailer und kein klassischer Wurm. Benannt wurde Melissa angeblich nach einer exotischen Tänzerin aus Florida.

Der damals weit verbreitete Mail-Server sendmail lieferte einen Patch gegen Melissa: Ein Stück Konfigurationsdatei , das explizit auf das von Melissa verwendete Subject prüfte.

LOCAL_RULESETS
# Kludgey Melissa virus checking routine.
# Just need enough of a pattern to match.
# Instructional note:
# The format for the rule is
# RExactly the thing you want to quote
# No quote marks, no tabs, absolutely nothing in
# parentheses (like this, they're considered comments
# and will be removed before they get to the rules).
# After the exact thing, then a tab, and the $#error.
# Note, the $* matches anything, so it's useful for
# wildcarding. This also scans all messages with
# Subject: headers and invokes a rule, so there is
# a performance hit.

HSubject: $>Check_Subject
D{MPat}Important Message From
D{MMsg}This message may contain the Melissa virus.

SCheck_Subject
R${MPat} $* $#error $: 553 ${MMsg}
RRe: ${MPat} $* $#error $: 553 ${MMsg}

Sehr wichtig: Damit das funktioniert ist ein Tab-Zeichen zwischen „$*“ und „$#“ zwingend erforderlich.

Dass dieses Modell der Virenabwehr nicht skalierte, zeigt sich daran, dass durch Modifikation nur des Subjects der E-Mail eine neue Variante des Virus geschaffen werden konnte, die am Filter vorbei kam.

Die Strafe

Nach Aussage des FBI hat Melissa verheerenden Schaden in der Netzinfrastruktur des privaten und öffentlichen Sektors angericht. Im Nachhinein betrachtet, mit der Sicht was nachfolgende Generationen an Viren an Schaden verursacht haben, ein Witz. Denn außer der Arbeitszeit der betroffenen Administratoren wurde nichts zerstört. Das FBI kalkulierte den Schaden damals auf 80 Millionen Dollar. Mit Hilfe des Globally Unique Identifier in den Word-Dokumenten konnte David L. Smith als Urheber identifziert werden. Im Dezember 1999 plädierte Smith vor einem Gericht in Kalifornien auf schuldig und wurde zu 20 Monaten Gefängnis und 5000 Dollar Strafe verurteilt.

Das Geheimnis von Melissa

Auch wenn nur David L. Smith als Täter verurteilt wurde: Die Analyse des Sourcecode von Melissa durch Experten kam zu dem Ergebnis, dass es vermutlich das Werk von zwei Personen war: einem Hobby-Programmierer und einem offensichtlich sehr viel begabteren zweiten Programmierer. Dieser zweite, der die eigentliche, sehr effektive E-Mail-Schleife programmiert hat, war ein Profi und eigentlich der, der für den entstanden Schaden verantwortlich war. Dieser zweite Programmierer, der sich VicodinES nannte, wurde bis zur Festnahme von Smith als Haupttäter verdächtigt, da er mit einem anderen Hacker namens ALT-F11 schon zwei andere Word-Marco-Viren mit dem gleichen Globally Unique Identifier im Dokument erstellt hatte. Ob Smith und VicodinES die gleiche Person oder zwei unterschiedliche Personen waren, wird von der damals ermittelnden Staatsanwaltschaft verneint, konnt aber nie vollständig geklärt werden. Sowohl Smith als auf VicodinES waren Kunde eines kleinen lokalen Internet-Providers in New Jersey namens Monmouth Internet. Kannten sie sich oder sind sie doch die gleiche Person? Smith wurd auf jeden Fall dafür verurteilt, den Virus über einen Post in einer alt.sex message Newsgruppe in Umlauf gebracht zu haben.

Die Aktualität

Macroviren sind immer noch ein Problem. Als Verteil-Mechanismus für Ransomware haben sie ein echtes Revival erfahren und machen den Austausch von Dokumenten gefährlicher denn je.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *