ILOVEYOU-Virus Informationen
1. Der Virus und seine Varianten
Klicke hier, um zu einer Übersicht aller bekannten Varianten zu gelangen
2. Die Geschichte des Virus
4. Mai, 12 Uhr: Der als VBS-Attachment getarnte Virus erreicht Deutschland, nachdem er in den USA schon beträchtliche Schäden angerichtet hat. Über Groß Britannien gelangte das Virus via MS Outlook nach Deutschland. Durch das Öffnen des VBS-Attanchments wurde der Virus aktiviert und versandt sich automatisch an alle im Adressbuch aufgeführten Adressaten. In Groß Britannien legte ILOVEYOU 30% des Email-Verkehrs lahm, in Skandinavien sogar bis zu 80 Prozent.
4. Mai, 15 Uhr: Erste Tools, die das Virus entschärfen, sind von einem deutschen sowie russischen Unternehmen verfügbar. Bis 17 Uhr halten sich die großen Software-Hersteller bedeckt – auf keiner der einschlägigen Web-Sites ist eine Virus-Warnung zu lesen.
8. Mai: In der philippinischen Hauptstadt Manila orten Ermittler des National Bureau of Investigation einen ersten Verdächtigen – einen Studenten des Mendoza Aguila Computer College – und durchsuchen seine Wohnung. Auf seine Spur gelangten die Behörden durch im Virus enthaltene Hinweise. Gleichzeitig stehen eine philippinische Studentin und ein deutscher Austauschschüler unter Verdacht. In Manila setzt die Polizei drei Verdächtige fest: Ein Ehepaar und die Schwester der Frau. Derweil sind in den USA rund 600.000 Computer von dem Virus befallen.
9. Mai: Die philippinische Polizei nimmt den 28jährigen Bankangestellten Reomel Ramones fest. Er wird verdächtigt, ILOVEYOU in die Welt gesetzt zu haben. Gleichzeitig überprüfen die Behörden zehn weitere Studenten des Mendoza Aguila College, die sich hinter dem Code-Namen verbergen. Inzwischen gibt es Dutzend Varianten des ILOVEYOU-Virus.
10. Mai: In Manila wird der Bankangestellte Reomel Ramones wieder feigelassen.
11. Mai: Es kommt das Gerücht auf, der philippinische Informatik-Student Onel de Guzman könnte das Virus aus Ärger über die Ablehnung seiner Diplomarbeit geschrieben haben. Er räumt ein, ein VBS-Script programmiert zu haben, das dem Email-Wurm ähnlich sei. In seiner Diplomarbeit befasste er sich mit dem Diebstahl von Passwörtern im Internet. Die Diplomarbeit war von seinem Betreuer abgelehnt worden, weil er den Inhalt für Illegal hielt. Guzman sagte aus, er könne sich nicht erinnern, wo er am tag des ersten Auftauchens des „Liebesbriefvirus“ gewesen sei.
16. Mai: Microsoft kündigt ein Virus-Patch für MS Outlook 98 und 2000 an, welches ab dem 22. Mai auf der Website ist.
17. Mai: Das philippinische National Bureau of Investigation beschlagnahmt in der Wohnung von Onel de Guzman eine Diskette mit weiteren Abarten des ILOVEYOU-Virus. Weitere 40 Personen werden der Urheberschaft verdächtigt, da sie auf der Diskette als Co-Autoren genannt sind. Inzwischen werden die weltweiten Schäden auf zehn Milliarden US-Dollar geschätzt. Die Computerschule hat angekündigt, ein Disziplinarverfahren gegen Guzman einzuleiten. Er und die anderen Schüler gehören einer Hackergruppe namens Grammersoft an. Diese Name taucht auch im Programmcode des ILOVEYOU-Virus auf. Guzman fiel am 5. Mai nach der Ablehnung seines Diplomvorschlags durch die Abschlussprüfung.
Verhaftung eines 23jährigen Philippinen
Das philippinische Justizministerium hat die Anklage gegen den mutmaßliche Urheber des Computervirus ILOVEYOU"fallengelassen. Als Begründung gaben die Staatsanwälte an, dass zum Zeitpunkt der Tat im Mai dieses Jahres noch keine ausreichende Gesetzgebung gegen Computerkriminalität bestanden habe und somit auch keine rechtliche Handhabe in der Angelegenheit besteht.
3. Was macht der Virus?
Der Virus greift nur Email-Programme des Softwareherstellers Microsoft an, die unter
"Windows" laufen - darunter das Produkt "Outlook". Bei Apple Deutschland hieß es, das
"Outlook"-Programm für Apple-Computer sei nicht betroffen.
Der Virus verschickt sich beim Öffnen der angehängten Datei automatisch an alle im Adressbuch aufgeführten Adressaten. Bei jedem Start des Rechners wird der Virus aufgerufen und überschreibt alle Dateien mit den Endungen css, .hta, .jpeg, .jpg, .js, .jse, .mp2, .mp3, .sct, .vbe, .vbs, und .vsh mit seinem eigenen Code. Dabei wird gegebenenfalls die Endung ".vbs" angefügt, so dass jeder Doppelklick, beispielsweise auf ein JPEG-Bild, den Virus erneut starten kann. Der Virus verwendet dazu die Microsoft-Programmiersprache Visual Basic. Darüber hinaus versucht er ein Programm namens WIN-BUGSFIX.EXE von einem philippinischen Server herunterzuladen, dass Passwörter ausliest und per E-Mail verschickt.
4. Wen hat der Virus besucht?
Der Virus legte die
Email-Kommunikation des Auswärtigen
Amtes und des Finanz- sowie Innenministeriums
lahm.
In Hamburg wurde unter anderem der Axel-Springer-Verlag von dem Virus
heimgesucht, sicherheitshalber hatte sich der Verlag auf Notausgaben
("Hamburger Abendblatt") eingestellt. Der Virus legte auch das Computernetz der
niedersächsischen Landesregierung teilweise lahm. Beim
baden- württembergischen Innenministerium gingen "Hunderte von E-Mails" des Virus-Typs
ein, auch die Landesregierungen in Niedersachsen sowie Bremen
klagten über Ausfälle; in Berlin wurde das
Auswärtige Amt von der Virenattacke heimgesucht. Beim Fernsehsender Pro7 in München konnten vier
Stunden lang keine Emails verschickt oder empfangen werden, bei Siemens waren nach Unternehmensangaben insgesamt 80.000 Computer betroffen, ein Server wurde für gut sieben Stunden heruntergefahren.
Ebenso blieben das ZDF in Mainz sowie Mannesmann
und der Terminkalender der Expo 2000 nicht verschont. Auch bei
Ford in Köln, bei Jenoptik in Jena sowie beim
Hamburger Flugzeugbauer DASA gingen Fluten von
Emails ein. Die Regensburger "Mittelbayerische
Zeitung" erschien wegen des Virus am Freitag nur in einer 18-seitigen Rumpfausgabe. Des
weiteren waren Lufthansa, Tchibo,
Otto sowie SAP
betroffen.
Meldungen über massenhafte Ausfälle kamen auch aus den USA, der Schweiz,
Spanien, Österreich und Skandinavien. Unter anderem meldete Dänemarks Parlament in
Kopenhagen, dass alle Abgeordneten die Mail bekommen hätten. Ebenso war
das dänische Umweltministerium betroffen. In der Schweiz befiel der Virus um 10.30 Uhr das
Email-System der Bundesverwaltung. In Asien gehörten die Finanznachrichtenagentur
Dow Jones Newswires und die Zeitung "The Asian Wall Street
Journal" zu den Betroffenen. In den Vereinigten Staaten waren betroffen die Computer des US-Verteidigungsministeriums (Pentagon),
des Weißen Hauses, des amerikanischen
Außenministeriums, der Küstenwache, der Zentralbank
sowie bei der Luftfahrtbehörde FAA, dem CIA
und der Bundespolizei FBI.
In Groß Britannien tauchte er im Londoner Unterhaus
auf. Die Abgeordneten konnten Emails weder senden noch empfangen. Nach Ansicht von Experten dürfte der Schaden durch vernichtete Daten und Reparaturbedarf weltweit
über 10 Milliarden Dollar betragen.
4. Wieso haben so viele Leute die .vbs Datei geöffnet?
5. Sonstiges
Zum ersten Mal verschickt wurde der Virus am Donnerstag, den 4. Mai durch zwei E-Mail-Adressen auf den Philippinen, wie das örtliche Internet-Zugangsunternehmen Supernet
mitteilte.
Im Quelltext des Virus stehen die Worte "Manila, Philippines" und "I Hate To Go To School".
Auch ein deutscher Austauschstudent war fälschlicher Weise in Verdacht geraten, Schöpfer des "ILOVEYOU"-Virus zu sein. Der schwedische IT-Experte Fredrick Bjorck, der bereits den Urheber des "Melissa"-Virus aufgespürt hatte, gab an, den jungen Mann namens Michael bereits drei Stunden nach den ersten Meldungen über die Verbreitung des Virus ausfindig gemacht zu haben. Der 18jährige "Michael" studiere in Australien und habe den Virus von den Philippinen aus aktiviert.
Hinweis: Testautomatisierung