Der Wurm, der nicht zu stoppen ist
Von Christoph Seidler
Die Zahl der Rechner, die mit dem Wurm Sircam infiziert sind, steigt von Tag zu Tag. Unmengen vertraulicher Dokumente wandern ungewollt durchs Netz. Nun soll die Herkunft von Sircam geklärt sein. Der Wurm kommt aus Mexiko.
Sircam: Nicht schnell, aber beharrlich
Hamburg - Er kämpft um Platz eins. Auf der Viren-Weltkarte des Herstellers Trend Micro, auf der die aktuelle Verbreitung der fiesen Schadprogramme angezeigt wird, liegt der Sircam-Wurm (noch) auf Platz zwei hinter dem I-Love-You-Virus. Doch auf den Warnlisten der meisten Anbieter steht das Programm inzwischen ganz oben. In den vergangenen Tagen hat Sircam eine beachtliche Karriere hingelegt.
Eine Besonderheit ist sicherlich der Grad seiner Verbreitung. Zwar fällt der Wurm, der Anfang vergangener Woche zum ersten Mal aufgetaucht war, nicht durch extreme Geschwindigkeit auf, wohl aber durch seine Beharrlichkeit. "Langsam aber gewaltig", so beschreibt Eric Chien, Leiter des europäischen Virenschutzlabors vom Antivirenhersteller Symantec im Gespräch mit SPIEGEL ONLINE das Auftreten des Daten-Schädlings. Ein wenig erinnert die Geschichte von Sircam langsam an die Story vom "Mann, der nicht zu hängen war".
"Normalerweise erreichen Würmer und Viren ihren höchsten Gefährdungsgrad innerhalb von 24 Stunden nach ihrem ersten Auftauchen", sagt Steve Gottwals vom Hersteller F-Secure gegenüber dem Internetdienst "Wired". "Ich kann mich nicht erinnern, dass ein Virus sich so stark ausgebreitet hat, obwohl es bereits seit einer Woche bekannt ist."
Nichts mit ausgefeilt - Würmer wie Sircam sind heutzutage "Standard"
Dabei handelt es sich bei Sircam nach Ansicht von Eric Chien um "einen ganz normalen E-Mail-Wurm. Absoluter Standard, heutzutage." Trotzdem steige die Zahl der gemeldeten Infektionen jeden Tag an, sagt der Antiviren-Experte. Mit einem sprunghaften Anwachsen rechnet er jedoch nicht, auch wenn das Maximum noch nicht erreicht sei.
Das flexible Erscheinungsbild von Sircam
Im Text infizierter Mails findet sich auf jeden Fall einer der folgenden Zeilen:
I send you this file in order to have your advice
I hope you can help me with this file that I send
I hope you like the file that I sendo you
This is the file with the information that you ask for
Te mando este archivo para que me des tu punto de vista
Espero me puedas ayudar con el archivo que te mando
Espero te guste este archivo que te mando
Este es el archivo con la información que me pediste
Ein Grund für den anhaltenden Erfolg von Sircam dürfte sicherlich sein wechselndes Erscheinungsbild sein. War der I-Love-You-Virus zum Beispiel noch an der verräterischen Betreffzeile "I LOVE YOU" zu entdecken, fällt diese Art der Identifikation bei Sircam schwer. Als Titel verwendet der Wurm immer den Namen der infizierten Datei, die er im Gepäck hat. Mal kann da "Happy Birthday" stehen, mal "Kurzbericht über meine Dienstreise" und mal "Infonet_manual_95". Deutlich unverfänglicher also, und schwerer zu bemerken. Auch für den Mailtext, jeweils in Englisch oder Spanisch, hat der Wurm einige Varianten parat (siehe Kasten).
Verräterisch ist allerdings der Name des Attachments zur infizierten Mail. Diese Datei trägt nämlich immer einen Dateinamen mit doppelter Endungen, also etwa ".doc.exe", ".zip.com" oder ".jpg.pif". "Sircam ist der erste Wurm, der sich über ein Dokument verbreitet, dass trotz der Infektion lesbar bleibt", sagt Eric Chien. Dadurch werde eine Infektion von Opfer möglicherweise erst spät bemerkt.
User, Du bist schuld!
Schuld an der Verbreitung des Wurms sind nach wie vor unvorsichtige User, die den verseuchten Dateianhang ohne langes Überlegen öffnen - eine Praxis, die Antivirenexperten die Haare zu Berge stehen lässt. "Sie würden ja auch keinen Keks essen, den ihnen ein fremder Mensch auf der Straße gegeben hat, bloß weil der ihnen verspricht, dass dadurch alle ihre Krankheiten geheilt werden. Also sollten sie es im Netz auch nicht tun", sagt Chien. Doch er ist optimistisch, dass "die Leute das langsam lernen."
Sorgen bereiten ihm Viren, die nicht mehr auf eine Unvorsichtigkeit des Benutzers angewiesen sind. "So wie im Moment Code Red könnten die Viren der Zukunft aussehen", sagt Chien. Der Wurm, der unter anderem das Pentagon dazu zwang, einen Teil seiner Webserver zeitweise vom Netz zu nehmen, verbreitet sich selbsttätig und dringt nur in den Arbeitsspeicher der von ihm befallenen Rechner ein, bleibt für klassische Antiviren-Software also unsichtbar.
Sitzt "Mr. Sircam" in Mexiko?
Mittlerweile scheint klar, woher der Sircam-Wurm stammt. Im Code habe man eine Zeile gefunden, die auf einen mexikanischen Programmierer hindeute, sagte Chien. Dort sei die Zeile [SirCam Version 1.0 Copyright 2001 2rP Made in/ Hecho en - Cuitzeo, Michoacan Mexico] versteckt. Allerdings könne man nicht mit absoluter Sicherheit sagen, ob der Autor des Programms tatsächlich aus dem mexikanischen Ort Cuitzeo stamme.
Dafür spricht nach Ansicht der "Wired"-Autoren, dass die spanischen Passagen der Viren-Mails allesamt fehlerfrei sind, während die englischen Sätze grammatikalische Patzer enthielten. Diese Fehler könnten dafür gesorgt haben, dass sich der Wurm in englischsprachigen Ländern nicht noch schneller verbreitet habe, mutmaßt Steve Gottwals von F-Secure.
