Melissa (Computervirus)
Melissa ist ein Makrovirus und war die erste bekannte Malware, die sich mit automatisierten Vorgängen per E-Mail verbreitete.
Melissa | |
---|---|
Name | Melissa |
Aliase | Mailissa |
Bekannt seit | 1999 |
Erster Fundort | USA |
Virustyp | Makrovirus |
Weitere Klassen | E-Mailvirus |
Autoren | David L. Smith Pseudonym: „Kwyjibo“ |
Wirtsdateien | MS Office Dokumente |
Stealth | nein |
Speicherresident | nein |
System | Windows 9x oder NT mit MS Outlook |
Programmiersprache | Visual Basic Makro |
Das Virus erlangte weltweite Bekanntheit, als es im Jahr 1999 durch massenhaften Versand von E-Mails unzählige IT-Systeme überlastete. Melissa hält bis heute den Rekord für die schnellste Verbreitung eines Computervirus, erreichte dabei aber nicht annähernd so hohe Zahlen wie einige der Computerwürmer, die in den nächsten fünf Jahren ausbrachen.
Aliasse
Angeblich wurde Melissa vom Autor des Virus selbst so genannt. Der Name soll von einer Stripperin aus seinem Bekanntenkreis stammen[1].
Melissa ist auch als W97M.Mailissa.A oder W97M.Melissa.A bekannt. Die zahlreichen Derivate des Virus haben ähnliche Namen.
Versionen und Derivate
Der Code des Makro-Virus wurde mehrfach verändert und erneut ausgesetzt. Aufgrund der einfachen Programmiersprache Visual Basic und der Bekanntheit von Melissa war dieser Effekt naheliegend. Es gibt mindestens 43 bekannte Derivate von Melissa. Viele davon wurde auch mit einem schädlichen Payload ausgestattet. Ein Ausmaß wie die Urversion konnte aber nicht annähernd mehr erreicht werden. Etwa ein Jahr später wurden keine neuen Variationen von Melissa mehr entwickelt, vermutlich da aktuellere Vorfälle, wie zum Beispiel der Computerwurm Loveletter, interessanter wurden.
Funktionen
Melissa hat keinen relevant schädlichen Code als Payload und verursachte keine beabsichtigten Datenverluste auf betroffenen Rechnern. Die lawinenartige Verbreitung per E-Mail hatte allerdings zahlreiche überlastete Systeme zur Folge. Der Ausbruch von Melissa hatte somit den Nebeneffekt einer ziellosen DoS-Attacke. Das führte zu vereinzelten Datenverlusten und Ausfällen von Web- und vor allem Mailservern. Beschädigungen verursachte das an den Rechnern aber nicht.[2]
Melissa war unter allen 1999 gebräuchlichen Windows-Version lauffähig, sofern die entsprechenden Office-Anwendungen installiert waren.[3]
Programmiert wurde das Makro mit Visual Basic.
Vervielfältigungs-Routine
Als Wirtsdatei diente ein MS Office Dokument. Wurde es geöffnet, aktivierte sich das Makro. Da man 1999 noch keine nennenswerten Schutzfunktionen entwickelt hatte und die meisten Anwender automatische Makros bevorzugten, war das einfach umzusetzen. Durch die Aktivierung wurde die Vervielfältigung ausgelöst. Das Virus verschickte über Outlook weitere infizierte Dokumente an die ersten 50 Einträge im Adressbuch, egal ob es eine Person oder eine Gruppe betraf. In der Registry hinterließ Melissa einen Eintrag als Markierung. War diese Markierung vorhanden, wurden bei einem zweiten Auslösen des Makros keine Mails mehr verschickt.
Die Mails hatten den Betreff Important Message From, xxx, wobei xxx für den Absender stand. Der Inhalt der Mail lautete Here's that document you asked for. Don't show anyone else ;).
Als Anhang war der Mail eine Datei namens list.doc hinzugefügt. Die Datei enthielt neben einer Reihe Links zu Porno-Seiten auch das schädliche Makro.
Über das Template Normal.dot
kann Melissa auch andere Dokumente auf dem System infizieren. Das ist eigentlich der typischere Verbreitungsweg eines Makrovirus. Für automatisierten Versand per Email sind eher Computerwürmer bekannt und nicht die klassischen Viren. In dieser Hinsicht ist Melissa ein Exot.
Payload
Melissas eigentlicher Payload wird selten ausgelöst und hat verhältnismäßig harmlose Auswirkungen. Er kann nur einer bestimmten Minute pro Stunde ausgelöst werden. Das Datum der Infektion entspricht dabei der Minute, in der der Payload getriggert werden kann. Wurde die Datei z. B. am 29. Juli infiziert, aktiviert sich der Payload in der 29. Minute jeder Stunde. Wenn eine infizierte Datei in dieser Minute geöffnet oder geschlossen wird, fügt Melissa folgenden Text in das Dokument ein:
Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here.
Der Text ist ein Zitat von Bart Simpson, als dieser in der Folge Bart wird ein Genie (orig. Bart the Genius) mit seiner Familie Scrabble spielt. Er legt das selbsterfundene Wort „Kwyjibo“ auf das Spielbrett, mit der Definition, dies sei „ein dicker, fetter, blöder, nordamerikanischer Affe, der die Haare verliert“ – womit er auf seinen Vater Homer anspielt.
Situation 1999
Am 26. März 1999 wurde das Virus freigesetzt. Durch das Schneeballsystem mit dem sich Melissa verbreitete, kam es innerhalb weniger Stunden zu Auswirkungen. Das Makro versandte unzählige E-Mails was zu Überlastungen führte. Viele Firmen, darunter auch große IT-Konzerne wie IBM und Microsoft, mussten ihre Netzwerke zeitweise abschalten.
Innerhalb von drei Tagen mussten geschätzt 100.000 Systeme abgeschaltet werden, da die Auswirkungen von Melissa nicht unter Kontrolle gebracht werden konnten
Laut einigen Quellen versandte Melissa mehrere Milliarden E-Mails. Dabei handelt es sich aber um massive Übertreibungen. Pro betroffenem Rechner wurden einmalig 50 Mails verschickt, folglich müsste Melissa auf 20 Million Computern mit Outlook aktiviert werden, um auch nur eine Milliarde Mails zu erzeugen. Allerdings konnte man bei Outlook nicht nur für einzelne Personen einen Eintrag erstellen, sondern auch für Gruppen. Das erhöhte die Gesamtsumme der Mails noch einmal etwas. Die Anzahl der geöffneten Dokumente liegt nach realistischeren Schätzungen wohl eher zwischen 400.000 und 800.000 Stück weltweit. Eine Weiterverbreitung war aber nur bei einem Teil der Rechner möglich, da dafür das Betriebssystem Windows mit installiertem Outlook die Voraussetzung war.
Zum ersten Mal seit der Michelangelo-Hysterie von 1992 war ein Computervirus zum Medienstar geworden. In Fachzeitschriften war der CIH-Virus zwar durchaus ein Thema, der Mainstream nahm davon aber keine Kenntnis. Derartige Auswirkungen wie die von Melissa waren eine völlig neuartiges Phänomen. Bisher hatte sich Malware immer schleichend ausgebreitet. Das Internet begann im Jahr 1999 langsam zu einem Standard zu werden und begünstigte die Verbreitung von Viren und Trojanern. Das war vor Melissa praktisch aber eher für unvorsichtige Anwender von Bedeutung, die Downloads aus dubiosen Quellen nutzen. Der Infektionsweg über Filesharing war 1999 noch nicht verbreitet.
Eine so spontane und explosionsartige, weltweite Infektionswelle mit einem Computervirus hatte es bisher nie gegeben. Auf Viren bezogen gab es ein solches Ausmaß auch nie wieder (Stand 2020). Übertroffen wurde Melissa mittlerweile zwar schon mehrfach von anderen Schadprogrammen, allerdings handelte es sich dabei immer um Würmer und nicht um klassische Viren.
Der verursachte Schaden wurde von einem US-Gericht auf rund 80 Millionen Dollar geschätzt[4]. Auch das entsprach bisher nie dagewesenen Dimensionen. Einzelne Quellen im Internet sprechen von Schäden in Höhe von unrealistischen 1,1 Milliarden US-Dollar.
Europa war weniger betroffen als die USA, da dort Melissas Auswirkungen noch zur Arbeitszeit starteten. In Europa grassierte die Welle erst ab Freitag, wodurch zumindest Firmenrechner vorerst verschont blieben. Am folgenden Montag waren die meisten dann schon durch die Pressemeldungen gewarnt.
Kaum ein Anwender war 1999 auf einen solchen Vorfall vorbereitet. Das Misstrauen gegenüber Mailanhängen war damals auch noch keine Selbstverständlichkeit. Zudem war der Absender ein Bekannter, dadurch hatte Melissa den großen Vorteil einer Social-Engineering-Komponente auf seiner Seite. Malware als globales Phänomen war unbekannt. Die großen Mail-Anbieter richteten wegen solcher Vorfälle später Schutzsysteme ein, die derartige Malware-Aktivitäten erkennen konnten und dann den Versand blockierten. Zudem lassen sich, vor allem seit DSL sich etabliert hat, auch problemlos einzelne Mail-Ports durch den Anbieter sperren. Vollständig verhindern ließ sich der massenhafte E-Mail-Versand durch Malware bisher aber nicht.
Im Fahrwasser von Melissa kam es am 1. April 1999 zu einem Hoax, der vor der neuen Variante Tuxissa warnte. Tuxissa existierte in Wahrheit nicht.
Der Autor
Der Programmierer, David L. Smith, wurde fünf Tage später verhaftet und im Dezember 1999 schuldig gesprochen. Am 1. Mai 2002 wurde das Strafmaß verkündet, er wurde zu 20 Monaten Haft und 5000 US-Dollar Strafe verurteilt[5][6] Dazu kamen weitere 2500 US-Dollar Strafe aus erster Instanz[7].
Man konnte ihn überführen, da er Melissa mit dem Pseudonym Kwyjibo signierte. Indem man Word-Dokumente mit derselben globalen Kennung verglich, konnte man ermitteln, dass Kwyjibo identisch mit zwei anderen, bereits auffällig gewordenen Makro-Autoren ist. Mit diesen Hinweisen gelang es, Smith ausfindig zu machen, da er unter den bereits länger bekannten Namen genug Spuren im Internet hinterlassen hatte.
Das Pseudonym Kwyjibo stammt aus der Fernsehserie Die Simpsons und kommt in der Folge Bart wird ein Genie vor.
Virus oder Wurm
Von der Presse und von Unkundigen wurde Melissa einige Jahre später oft als Wurm bezeichnet.[8] Das hat den Hintergrund, dass Würmer ab 2003 vermehrt die Nachrichten beherrschten und sich das Virus rasant über das Internet verbreitete, wie man es sonst nur von Würmern kennt.[9] Allerdings hat Melissa nur ähnliche Fähigkeiten wie ein E-Mail-Wurm, ist aber eindeutig keiner. Ein Wurm ist ein eigenständiges Programm, was auf Melissa nicht zutrifft. Ein Virus dagegen verbreitet sich selbst, indem er sich in Dateien oder Systembereiche einnistet. Diese Definition erfüllt Melissa, da das Makro Word-Dokumente infiziert und als Wirtsdatei benutzt.[10][11] Im Unterschied zu geläufigen anderen Viren erstellt Melissa die Wirtsdateien aber auch selbst, und verbreitet diese dann automatisiert per Email.
Einzelnachweise
- https://www.crn.com/news/security/18823668/virus-writers-senders-rarely-face-jail.htm CRN.com: Virus writers rarely face jail
- https://www.welivesecurity.com/deutsch/2018/11/13/malware-90er-michelangelo-melissa/ WeLiveSecurity.com: Malware der 90ger: Michelangelo und Melissa
- https://www.welivesecurity.com/deutsch/2018/11/13/malware-90er-michelangelo-melissa/ WeLiveSecurity.com: Malware der 90ger: Michelangelo und Melissa
- https://www.securityfocus.com/news/230 SecurityFocus.com: Justice delayed for Melissa author
- https://www.spiegel.de/netzwelt/web/viren-schoepfer-des-melissa-virus-muss-hinter-gitter-a-194464.html Spiegel: Schöpfer des Melissa Virus muss hinter Gitter
- https://www.manager-magazin.de/digitales/it/a-194784.html Manager Magazin: Es hätten auch fünf Jahre werden können
- https://www.cbsnews.com/news/melissa-creator-gets-2nd-jail-term/ CBSNews.com: Melissa creator gets second jail term
- https://www.virenschutz.info/Melissa-Wurm-Grundwissen_Virenschutz+Tutorials-Tutorials_110.html Virenschutz.info: Melissa-Wurm
- https://www.pcgameshardware.de/Retrospektive-Thema-214694/News/Der-Melissa-Wurm-ueberflutet-das-Netz-PCGH-Retro-26-Maerz-679834/ PCGamesHardware.de: Der Melissa-Wurm überflutet das Netz
- https://www.giga.de/extra/malware/specials/was-ist-ein-computer-virus-unterschied-zum-wurm-trojaner-erklaert/ Giga.de: Was ist ein Computervirus - Unterschied zum Wurm
- https://www.kaspersky.de/resource-center/threats/viruses-worms Kaspersky: Computerviren und Computerwürmer
Weblinks
- Spiegel.de: Zehn Jahre Computerwurm Melissa von Annette Schneider, 24. März 2009
- FBI.gov: Melissa Virus - 20th Anniversary