Interview: Zehn Jahre »I Love You« Virus:
Wie der erste Supervirus die IT-Welt veränderte

von Lars Bube (lars.bube@crn.de)

Share
31.05.2010

Vor zehn Jahren sorgte »I Love You« als erstes Computervirus für weltweites Aufsehen und Infektionen. Im Interview mit InformationWeek-Redakteur Lars Bube erzählt Virenexperte Paul Fletcher, heute Chief Software Architect bei Symantec Hosted Services, wie er den Ausbruch damals erlebte und was sich mit diesem ersten Superschädling in der Welt der Viren und Würmer verändert hat.

Keine Beiträge im Forum. » Diskussion starten!

Paul Fletcher war einer der Männer der ersten Stunde beim Ausbruch von I Love You vor zehn Jahren.

Herr Fletcher, können Sie sich noch erinnern, wann wo und wie Sie das erste Mal von »I Love You« hörten? War das eher im privaten Umfeld, oder war der Virus für Sie von Anfang an eher ein berufliches Problem?

Fletcher: Die ersten Informationen über den Virus habe ich damals direkt erhalten, als ich am 4. Mai 2000 mein Büro betrat. Unser hauseigener Virenscanner bei MessageLabs (heute Symantec Hosted Services [1]) »Skeptic« hatte über Nacht automatisch eine ganze Reihe von Kopien eines neuen Virus geblockt, der uns bis dahin völlig unbekannt war. Deshalb konnte der Scanner auch auf keinerlei vorhandene Signaturen zurückgreifen und musste den Schädling alleine anhand der Verhaltensanalyse identifizieren. Es zeigte sich, dass hier ein böser Schädling unterwegs war, der später als »I Love You« Virus oder »LoveBug« bekannt wurde. Nur wenig später begannen wir, unsere Kunden, andere Antiviren-Hersteller, sowie andere wichtige Unternehmen und Partner sofort telefonisch und per Email vor dem Virus zu warnen.

Wo kam dann der Name »I Love You« her – sicherlich liebte niemand diesen Virus?

Fletcher: Das »I Love You« war schlicht und einfach die Betreffzeile der Emails, die den Virus enthielten und verbreiteten. In vielen Ländern wurde die Zeile deshalb auch gleich als Name für den Virus benutzt. Wir nannten ihn allerdings »LoveBug« [Red.: etwa: LiebesFehler], da es einfacher auszusprechen ist und außerdem ein nettes Wortspiel beinhaltet (da »bug« neben einem Computerfehler auch ein umgangssprachliches Wort für biologische Viren ist). Der name »LoveBug« war spontan entstanden, als ein Journalist jemanden aus unserem Team nach dem Namen des neuen Virus fragte – dem als erstes dieses Wortspiel einfiel.

Nie dagewesene Infektionsrate

Wie lange dauerte es, bis Ihrem Expertenteam klar wurde, das man es hier mit einer völlig neuen Bedrohungslage zu tun hatte?

Fletcher: Uns war innerhalb von nur rund 30 Minuten klar, dass dies ein bis dato unerreicht massiver Virusangriff werden würde. Damals waren 30 Minuten die übliche Zeit zwischen den geplanten Updates des täglichen Viren-Zählers auf unserer Homepage. Und alleine in dieser Zeitspanne übertraf die Zahl der geblockten Angriffsversuche schon die Menge, die wir sonst an einem ganzen Tag hatten. Zu diesem Zeitpunkt wussten wir zwar noch nicht, was der Virus auf befallenen Systemen alles anstellen konnte, aber alleine die Geschwindigkeit mit der er sich verbreitete, verursachte bei Unternehmen und öffentlichen Einrichtungen riesige Probleme; Mailserver und Netzwerke auf der ganzen Welt ächzten unter der Last.

Als wir den Virus dann genauer analysierten, um sein Verhalten zu entschlüsseln, fiel uns auf, dass er außerdem eine ganze Menge Dateien überschrieb und sie damit im Endeffekt zerstörte.

War Ihnen damit auch gleich klar, dass dies nur der erste Vertreter einer wahren Flut neuer Viren- und Malware-Attacken auf Computer in aller Welt sein würde?

Fletcher: Zu dieser Zeit waren Viren hauptsächlich das Werk von so genannten »Skript-Kiddies« - es gab nur einige wenige Leute, die wirklich neue Angriffs-Techniken und -Methoden entwickelten; aber dafür gab es eine Menge andere Leute mit bedeutend weniger Fachwissen, die sich einfach schnappten was sie an (Schad)Code finden konnten, ihn modifizierten und dann weiter verteilten. Somit war uns zumindest sofort klar, dass es nur einige Tage dauern würde, bis auch von diesem Virus erste Varianten auftauchen würden. Dabei hatte sich der LoveBug so erfolgreich und schnell weiter verbreitet und solch eine große Aufmerksamkeit erzeugt, dass klar absehbar war, dass andere die ebenfalls auffallen wollten schnell aufspringen würden.

Wir wussten, dass die Welt sich verändert hatte. Obwohl »LoveBug« nicht der erste Email-Virus war, so war er doch einer der ersten und zu diesem Zeitpunkt definitiv derjenige, der sich am schnellsten verbreitete. Damit zeigte er uns allen deutlich, wie schnell und effektiv sich so etwas weltweit verbreiten lässt. Alleine in den ersten 10 Stunden nach seinem ersten Auftauchen hatte sich der Virus so weit verbreitet, dass jede 28. versendete Email damit infiziert war. Das war schlicht und einfach zu attraktiv für all jene, die nach schnellem zweifelhaftem Ruhm strebten.

Was wir bis dahin allerdings noch nicht bedacht hatten, war, dass es auch sehr interessant für die kriminellen Kreise war, die von diesem »Erfolg« inspiriert sehr schnell begannen, die Methoden dieses Angriffs auch für ihre Zwecke zu missbrauchen.

Das Versagen der Signaturen

Viele der verseuchten Mails bedienen sich noch heute des gleichen Prinzips und setzen auf vertraute Absender und Botschaften. (Bild: Gina Sanders, Fotolia.de)

Kannten Sie selbst ein paar Leute, deren Rechner betroffen waren?

Fletcher: Da unser System der damaligen MessageLabs alle Kopien sofort automatisch stoppte, waren keine unserer Kunden betroffen. Dennoch hatten wir aber zu dieser Zeit einen Reseller-Partner, der unseren Service selbst nicht benutzte. Wir hatten zwar bereits mehrfach versucht, ihn davon zu überzeugen, unseren Service auch selbst einzusetzen; und sei es nur um bessere Verkaufsargumente zu haben, wenn man dem Kunden zeigen kann, dass man die Lösung selbst nutzt. Unser Partner hatte an diesem Tag mit einem enormen Ausbruch des Virus zu kämpfen und schon am nächsten Tag hatte auch er sich entschieden, nun doch auf unser Angebot zu wechseln.

Was waren die ersten Gegenmaßnahmen, die Ihr Unternehmen plante und anging? Und warum hatte ausgerechnet MessageLabs einen Vorteil gegen diese neue Art von Angriffen?

Fletcher: Die heutige Symantec Hosted Services erkannte den Virus proaktiv und fing ihn automatisch ab, ohne das ein menschliches eingreifen nötig war. Das war nur durch unseren »in-the-cloud« Ansatz der Antiviren-Filterung möglich, mit dem wir damals schon Vorreiter waren. Das erlaubte es unserer (bereits erwähnten) Lösung Skeptic, auch solche Daten auszuwerten, mit denen andere Antivirenlösungen nichts anfangen konnten. Zum Beispiel ist es während eines Ausbruchs möglich, die weltweiten Ausbreitungsmuster von Schadcodeinfektionen zu erkennen, einschließlich von wo, wie viele und zu welcher Zeit sie versendet werden. Das erlaubt es Skeptic die Risiko-Bewertung eines verdächtigen Verhaltens automatisch anzupassen, wodurch sogar Malware erkannt und blockiert werden kann, die anderen Antivirus-Lösungen noch unbekannt sind.

Die traditionellen Antiviren-Systeme können nur auf Malware reagieren, die sie über die eingespielten Signaturen kennen, wobei der Schutz auf den PC beschränkt ist, auf dem die Software installiert wurde. Das schränkt ziemlich deutlich den Blickwinkel ein, weshalb es von Vorteil ist, das Antivirus-System an das Unternehmens-Gateway anzudocken, so dass es alle eingehenden Gefahren für die Firma schon vor dem Eintritt ins Netzwerk herausfiltern kann. In ähnlicher Weise erlaubt es die komplette Auslagerung in das Netzwerk des Internetanbieters (ISP), nicht nur die Gefahren für ein Unternehmen, sondern noch effektiver für viele mehr zu analysieren und blockieren. Symantec Hosted Services (ehemals MessageLabs) arbeitet über viele ISPs und Zeitzonen hinweg, wodurch neue und bisher unbekannte Gefahren über mehrere Länder und Kontinente hinweg sofort registriert werden können.

Das bedeutet wiederum, dass die Menge der Informationen und Daten die Skeptic im Blick hat, so enorm groß ist, dass es es unmöglich wäre, Skeptic so zu verkleinern, dass es auf einem Desktop oder in einer einfachen Server-Umgebung betrieben werden könnte – aus diesen Gründen kann so ein Service nur aus der Cloud heraus erfolgreich betrieben und angeboten werden.

So können zum Beispiel Nutzer in Europa automatisch davon profitieren, wenn auf den Philippinen ein neuer Virus entdeckt wird, und sind geschützt, noch lange bevor sie aufstehen und Ihren Email-Client öffnen. Angriffswellen wie der LoveBug folgen oft dem Lauf dem der Sonne und je mehr Leute ihren Rechner starten und sich anmelden, desto mehr werden infiziert – wodurch wieder weitere Infektionen im Verlauf des Tages ausgelöst werden, wenn weitere Leute und Nationen online gehen.

Neue Gefahren durch die Sozialen Netze

In welcher Weise zeigten sich schon bei »I Love You«

a) die neuen Gefahren durch immer größere Netzwerke und deren Verbünde, sowie

b) auf der anderen Seite die neuen Möglichkeiten für Gegenmaßnahmen aus dem Web und der Cloud?

Fletcher: a) LoveBug hat sehr klar gezeigt, dass je mehr jemand vernetzt ist, desto mehr ist er auch solchen Gefahren ausgesetzt. Auch jeder einzelne Nutzer wird feststellen, dass man durch den Vorteil in den Adressbüchern vieler verschiedener Leute vertreten zu sein, auch wahrscheinlicher Ziel eines Angriffes dieser Art wird. Das Social Engineering Element bedeutet auch, dass sich viele Attacken hinter angeblichen Nachrichten von Freunden verstecken können, da sie den eigenen Kontakt dort aus dem Adressbuch ausgelesen haben, um sich automatisch weiter verbreiten zu können.

b) Ein neuer Virus, der auf den Philippinen ausbricht, hätte früher Tage, Wochen - oder gar noch länger - gebraucht, bis er sich nach Europa durchgeschlagen hätte. Aber durch das Internet und besonders die Email können sich Viren wie der LoveBug wesentlich schneller verbreiten; an ihrem Höhepunkt oft sogar innerhalb von Minuten oder Stunden.

Wie hat sich die Anti-Virus-Welt seit »I Love You« verändert?

Fletcher: Als der LoveBug ausbrach, war das ein Weckruf für die gesamte Antivirus-Industrie. Es zeigte uns sehr genau, wie veraltet die Herangehensweise über Signatur-basierte Technologien war, die täglich oder manchmal auch nur wöchentlich mit neuen Erkennungsmustern versorgt wurden. Moderne Antivirenprogramme benutzen zwar immer noch Signaturen, allerdings setzten sie darüber hinaus auch komplexere Methoden ein, zu denen etwa heuristische Verfahren, die Erkennung veränderter Varianten, sowie Reputationssysteme zählen. Oft wird die Antivirus-Software kontinuierlich upgedated, so dass sie stetig gegen die neuesten Gefahren schützen kann. Auch die Updates können dabei jetzt direkt an die Cloud ausgeliefert werden, so dass kein Kunde mehr ungeschützt sein kann, weil ihm ein Update fehlt.

Welche Veränderungen bedeutet das heute für die signatur-basierte Erkennung? Warum kann man sich nicht mehr alleine auf die Signaturen verlassen, so wie Früher?

Fletcher: Cloud-basierte Architekturen, wie sie von MessageLabs schon vor zehn Jahren als Vorreiter entwicklet wurden, finden sich heute in der vordersten Verteidigungslinie vieler Organisationen wieder, bis hin zur Endpoint Security als letzter Abwehrlinie. Auch in heiutigen Endpoint Security Tools gibt es Schwachstellen, die von den Malware-Autoren ausgenutzt werden können. Aber vor zehn Jahren war die signatur-basierte Abwehr meist noch die erste und einzige Verteidigung, besonders bei jenen, die dann Opfer des LoveBug wurden.

[1] http://www.symantec.com/de/de/business/theme.jsp?themeid=hostedservices

Verwandte Artikel