Melissa (Computervirus)
Melissa ist ein Makrovirus und war die erste bekannte Malware, die sich mit automatisierten Vorgängen per E-Mail verbreitete.
| Melissa | |
|---|---|
| Name | Melissa |
| Aliase | Mailissa |
| Bekannt seit | 1999 |
| Erster Fundort | USA |
| Virustyp | Makrovirus |
| Weitere Klassen | E-Mail-Virus |
| Autoren | David L. Smith Pseudonym: „Kwyjibo“ |
| Wirtsdateien | MS Office Dokumente (Word 97 und Word 2000) |
| Stealth | nein |
| Speicherresident | nein |
| System | Windows 9x oder NT mit MS Outlook |
| Programmiersprache | VB for Applications |
Das Virus erlangte weltweite Bekanntheit, als es im Jahr 1999 durch massenhaften Versand von E-Mails unzählige IT-Systeme überlastete. Melissa hält bis heute (Stand 2021) den Rekord für die schnellste Verbreitung eines Computervirus, erreichte dabei aber nicht annähernd so hohe Infektionszahlen wie einige der Computerwürmer, die in den nächsten fünf Jahren ausbrachen.
Aliasse Bearbeiten
Angeblich wurde Melissa vom Autor des Virus selbst so genannt. Der Name soll von einer Stripperin aus seinem Bekanntenkreis stammen.[1] Das Virus hat allerdings auch zahlreiche Bezüge zu einer Folge der Serie Die Simpsons, in der ebenfalls ein Nebencharakter namens Melissa vorkommt.
Melissa ist auch als W97M.Mailissa.A oder W97M.Melissa.A bekannt. Die zahlreichen Derivate des Virus haben ähnliche Namen.
Versionen und Derivate Bearbeiten
Der Code des Makro-Virus wurde mehrfach verändert und erneut ausgesetzt. Aufgrund der einfachen Programmiersprache Visual Basic for Applications und der Bekanntheit von Melissa war dieser Effekt naheliegend. Es gibt mindestens 43 bekannte Derivate von Melissa. Viele davon wurden auch mit einem schädlichen Payload ausgestattet. Ein Ausmaß wie die Urversion konnte aber nicht annähernd mehr erreicht werden. Etwa ein Jahr später wurden keine neuen Variationen von Melissa mehr entwickelt, vermutlich da aktuellere Vorfälle, wie zum Beispiel der Computerwurm Loveletter, interessanter wurden.
Funktion Bearbeiten
Melissa hat keinen relevant schädlichen Code als Payload und verursachte keine beabsichtigten Datenverluste auf betroffenen Rechnern. Die lawinenartige Verbreitung per E-Mail hatte allerdings zahlreiche überlastete Systeme zur Folge. Der Ausbruch von Melissa hatte somit den Nebeneffekt einer ziellosen DoS-Attacke. Das führte zu vereinzelten Datenverlusten und Ausfällen von Web- und vor allem Mailservern. Beschädigungen verursachte das an den Rechnern aber nicht.[2]
Melissa war unter allen 1999 gebräuchlichen Windows-Versionen lauffähig, sofern die entsprechenden Office-Anwendungen installiert waren.[2] Programmiert wurde das Makro mit Visual Basic for Applications.
Vervielfältigungs-Routine Bearbeiten
Als Wirtsdatei diente ein MS-Office-Dokument. Wurde es geöffnet, aktivierte sich das Makro. Da man 1999 noch keine nennenswerten Schutzfunktionen entwickelt hatte und die meisten Anwender automatische Makros bevorzugten, war das einfach umzusetzen. Durch die Aktivierung wurde die Vervielfältigung ausgelöst. Das Virus verschickte über Outlook weitere infizierte Dokumente an die ersten 50 Einträge im Adressbuch, egal ob es eine Person oder eine Gruppe betraf. In der Registry hinterließ Melissa einen Eintrag als Markierung. War diese Markierung vorhanden, wurden bei einem zweiten Auslösen des Makros keine Mails mehr verschickt.
Die Mails hatten den Betreff Important Message From, xxx, wobei xxx für den Absender stand. Der Inhalt der Mail lautete „Here’s that document you asked for. Don’t show anyone else ;)“.
Als Anhang war der Mail eine Datei namens list.doc hinzugefügt. Die Datei enthielt neben einer Reihe Links zu Porno-Seiten auch das schädliche Makro.
Über das Template Normal.dot kann Melissa auch andere Dokumente auf dem System infizieren. Das ist eigentlich der typischere Verbreitungsweg eines Makrovirus. Für automatisierten Versand per E-Mail sind eher Computerwürmer bekannt und nicht die klassischen Viren. In dieser Hinsicht ist Melissa ein Exot.
Payload Bearbeiten
Melissas eigentlicher Payload wird selten ausgelöst und hat verhältnismäßig harmlose Auswirkungen. Er kann nur in einer bestimmten Minute pro Stunde ausgelöst werden. Das Datum der Infektion entspricht dabei der Minute, in der der Payload getriggert werden kann. Wurde die Datei z. B. am 29. Juli infiziert, aktiviert sich der Payload in der 29. Minute jeder Stunde. Wenn eine infizierte Datei in dieser Minute geöffnet oder geschlossen wird, fügt Melissa folgenden Text in das Dokument ein:
Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game’s over. I’m outta here.
Der Text ist ein Zitat von Bart Simpson, als dieser in der Folge Bart wird ein Genie (orig. Bart the Genius) mit seiner Familie Scrabble spielt. Er legt das selbsterfundene Wort „Kwyjibo“ auf das Spielbrett, mit der Definition, dies sei „ein dicker, fetter, blöder, nordamerikanischer Affe, der die Haare verliert“ – womit er auf seinen Vater Homer anspielt. Kwyjibo wurde vom Virusautor auch als Pseudonym gewählt.
Situation 1999 Bearbeiten
Am 26. März 1999 wurde das Virus freigesetzt. Durch das Schneeballsystem, mit dem sich Melissa verbreitete, kam es innerhalb weniger Stunden zu Auswirkungen. Das Makro versandte unzählige E-Mails, was zu Überlastungen führte. Viele Firmen, darunter auch große IT-Konzerne wie IBM und Microsoft, mussten ihre Netzwerke zeitweise abschalten.
Innerhalb von drei Tagen mussten geschätzt 100.000 Systeme abgeschaltet werden, da die Auswirkungen von Melissa nicht unter Kontrolle gebracht werden konnten.
Laut einigen Quellen versandte Melissa mehrere Milliarden E-Mails. Dabei handelt es sich aber um massive Übertreibungen. Pro betroffenem Rechner wurden einmalig maximal 50 Mails verschickt, folglich müsste Melissa auf mindestens 20 Millionen Computern mit Outlook aktiviert werden, um auch nur eine Milliarde Mails zu erzeugen. Allerdings konnte man bei Outlook nicht nur für einzelne Personen einen Eintrag erstellen, sondern auch für Gruppen. Das erhöhte die mögliche Gesamtsumme der Mails wiederum einmal etwas. Die Anzahl der geöffneten Dokumente liegt nach realistischeren Schätzungen wohl eher zwischen 400.000 und 800.000 Stück weltweit. Eine Weiterverbreitung war aber nur bei einem Teil der Rechner möglich, da dafür das Betriebssystem Windows mit installiertem Outlook die Voraussetzung war.
Zum ersten Mal seit der Michelangelo-Hysterie von 1992 war ein Computervirus zum Medienstar geworden. In Fachzeitschriften war der CIH-Virus im Jahr 1999 zwar gelegentlich ein Thema, der Mainstream nahm davon aber keine Kenntnis. Derartige Auswirkungen wie die von Melissa waren ein völlig neuartiges Phänomen. Bisher hatte sich Malware immer schleichend ausgebreitet. Das Internet begann im Jahr 1999 langsam zu einem Standard zu werden und begünstigte die Verbreitung von Viren und Trojanern. Das war vor Melissa praktisch aber eher für unvorsichtige Anwender von Bedeutung, die Downloads aus dubiosen Quellen nutzen. Der Infektionsweg über Filesharing war 1999 noch nicht verbreitet.
Eine so spontane und explosionsartige, weltweite Infektionswelle mit einem Computervirus hatte es bisher nie gegeben. Auf Viren bezogen gab es ein solches Ausmaß auch nie wieder (Stand 2020). Übertroffen wurde Melissa mittlerweile zwar schon mehrfach von anderen Schadprogrammen, allerdings handelte es sich dabei immer um Würmer und nicht um klassische Viren.
Der verursachte Schaden wurde von einem US-Gericht auf rund 80 Millionen Dollar geschätzt.[3] Auch das entsprach bisher nie dagewesenen Dimensionen. Einzelne Quellen im Internet sprechen von Schäden in Höhe von unrealistischen 1,1 Milliarden US-Dollar.
Europa war weniger betroffen als die USA, da dort Melissas Auswirkungen noch zur Arbeitszeit starteten. In Europa grassierte die Welle erst ab Freitag, wodurch zumindest Firmenrechner vorerst verschont blieben. Am folgenden Montag waren die meisten dann schon durch die Pressemeldungen gewarnt.
Kaum ein Anwender war 1999 auf einen solchen Vorfall vorbereitet. Das Misstrauen gegenüber Mailanhängen war damals auch noch keine Selbstverständlichkeit. Zudem war der Absender ein Bekannter, dadurch hatte Melissa den großen Vorteil einer Social-Engineering-Komponente auf seiner Seite. Malware als globales Phänomen war unbekannt. Die großen Mail-Anbieter richteten wegen solcher Vorfälle später Schutzsysteme ein, die derartige Malware-Aktivitäten erkennen konnten und dann den Versand blockierten. Zudem lassen sich, vor allem seit DSL sich etabliert hat, auch problemlos einzelne Mail-Ports durch den Anbieter sperren. Vollständig verhindern ließ sich der massenhafte E-Mail-Versand durch Malware bisher aber nicht.
Im Fahrwasser von Melissa kam es am 1. April 1999 zu einem Hoax, der vor der neuen Variante Tuxissa warnte. Tuxissa existierte in Wahrheit jedoch nicht.
Der Autor Bearbeiten
Der Programmierer, David L. Smith, wurde fünf Tage später verhaftet und im Dezember 1999 schuldig gesprochen. Am 1. Mai 2002 wurde das Strafmaß verkündet, er wurde zu 20 Monaten Haft und 5000 US-Dollar Strafe verurteilt[4][5] Dazu kamen weitere 2500 US-Dollar Strafe aus erster Instanz.[6]
Man konnte ihn überführen, da er Melissa mit dem Pseudonym Kwyjibo signierte. Indem man Word-Dokumente mit derselben globalen Kennung verglich, konnte man ermitteln, dass Kwyjibo identisch mit zwei anderen, bereits auffällig gewordenen Makro-Autoren ist. Mit diesen Hinweisen gelang es, Smith ausfindig zu machen, da er unter den bereits länger bekannten Namen genug Spuren im Internet hinterlassen hatte.
Virus oder Wurm Bearbeiten
Von der Presse und von Unkundigen wurde Melissa einige Jahre später oft als Wurm bezeichnet.[7] Das hat den Hintergrund, dass Würmer ab 2003 vermehrt die Nachrichten beherrschten und sich das Virus rasant über das Internet verbreitete, wie man es sonst nur von Würmern kennt.[8] Allerdings hat Melissa nur ähnliche Fähigkeiten wie ein E-Mail-Wurm, ist aber eindeutig keiner. Ein Wurm ist ein eigenständiges Programm, was auf Melissa nicht zutrifft. Ein Virus dagegen verbreitet sich selbst, indem er sich in Dateien oder Systembereiche einnistet. Diese Definition erfüllt Melissa, da das Makro Word-Dokumente infiziert und als Wirtsdatei benutzt.[9] Im Unterschied zu geläufigen anderen Viren erstellt Melissa die Wirtsdateien aber auch selbst, und verbreitet diese dann automatisiert per E-Mail.
Weblinks Bearbeiten
- Annette Schneider-Solis: Zehn Jahre Computerwurm Melissa. In: Spiegel.de. 24. März 2009.
- Melissa Virus. In: FBI.gov. 15. März 2019 (englisch).
Einzelnachweise Bearbeiten
- ↑ Martha Mendoza: Virus writers rarely face jail. In: CRN.com. 31. August 2003, abgerufen am 26. März 2024 (englisch).
- ↑ a b Malware der 90ger: Michelangelo und Melissa. In: WeLiveSecurity.com. 13. November 2018, abgerufen am 26. März 2024.
- ↑ Kevin Poulsen: Justice delayed for Melissa author. In: SecurityFocus.com. 10. September 2001, archiviert vom am 26. April 2012; abgerufen am 26. März 2024 (englisch).
- ↑ Viren: Schöpfer des „Melissa“-Virus muss hinter Gitter. In: Spiegel Online. 2. Mai 2002, abgerufen am 27. Januar 2024. Spiegel: Schöpfer des Melissa Virus muss hinter Gitter
- ↑ Virus-Urteil: Es hätten auch fünf Jahre werden können. In: manager-magazin.de. 3. Mai 2002, abgerufen am 29. Februar 2024.
- ↑ ‘Melissa’ creator gets second jail term. In: CBSNews.com. 1. Mai 2002, abgerufen am 26. März 2024 (englisch).
- ↑ Heiko Wohlgemuth: Melissa-Wurm. In: Virenschutz.info. Abgerufen am 26. März 2024.
- ↑ Henner Schröder: Der Melissa-Wurm überflutet das Netz. In: PCGamesHardware.de. 26. März 2012, abgerufen am 26. März 2024.
- ↑ Robert Schanze: Was ist ein Computervirus? Unterschied zum Wurm. In: Giga.de. 4. Mai 2018, abgerufen am 26. März 2024.
Was ist ein Computervirus bzw. ein Computerwurm? In: Kaspersky.de. 6. Dezember 2019, abgerufen am 26. März 2024.