Loveletter

Bei Loveletter, oft auch "I-love-you-Virus" genannt, handelt es sich um einen Computerwurm, der sich am 4. Mai 2000 und den Folgetagen explosionsartig per E-Mail verbreitete. Die Betreffzeile lautete "I love you".

Auf Grund seiner schnellen und weiten Verbreitung sowie der Höhe des entstandenen Schadens wurde die Thematik von den Massenmedien aufgegriffen und in das öffentliche Bewusstsein gerückt. Auf diese Weise wurden viele Computernutzer in Europa gewarnt, lange bevor die Antiviren-Hersteller ihre Signaturen aktualisieren hatten. Allerdings führte das auch dazu, dass sich eine Vielzahl von Nachahmern fand, die mit so genannten "Baukasten-Viren" ihr vermeintliches Können unter Beweis stellen wollten.

Nach kurzer Zeit gab es erste Berichte, über ein Profil des Täters: Es handele sich um einen frustrierten Schüler von den Philipinen. Quelle dieser Informationen war der Kommentar in den ersten beiden Zeilen des Skripts:

rem barok -loveletter(vbe) <i hate go to school> 
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila, Philippines

Diese beiden Kommentarzeilen stützen die Aussagen des Autor Onel de Guzman, dass der Wurm versehentlich freigesetzt wurde. Der Informatik-Student Guzman hatte im Vorfeld vergeblich versucht, eine Hausarbeit (oder seine Diplomarbeit?) mit dem Thema "E-Mail Password Sender Trojan" einzureichen, die ILOVEYOU sehr ähnlich ist.

Neben dem Neugier erweckenden Betreff versuchte „I love you“ gezielt, die Empfänger in falscher Sicherheit zu wiegen: Er verschickte sich an Einträge aus dem persönlichen Adressbuch, so dass die Empfehlung Öffnen Sie keine Mailanhänge von fremden Personen nicht griff. Außerdem hieß der Anhang LOVE-LETTER-FOR-YOU.TXT.vbs, so dass sich viele Empfänger an .txt-Dateien sind harmlos erinnerten, da die richtige Erweiterung ".vbs" in einer Standard-Windowsinstallation nicht angezeigt wird.

Während ILOVEYOU mit beliebigen E-Mail-Programmen empfangen und ausgeführt werden kann, braucht er zum Versenden von E-Mails Microsoft Outlook, das er über OLE-Automatisierung fernsteuert. Dadurch wurde auch von deutlich später in Mode gekommenen Personal Firewalls lange Zeit nicht erkannt werden, weil diese nur sahen, dass Outlook mit dem Mailserver kommunizieren möchte.

Desweiteren ersetze auf der Festplatten des befallenen Rechners und in der Microsoft Netzwerkumgebung Dateien mit bestimmten Typen durch eine Kopie von sich selbst. Wenn diese Datei danach von anderen Computer aus ausgeführt wurde, wurde dieser PC ebenfalls infiziert.

Zu guter Letzt konnte er sich über das IRC-Netz per DCC verbreiten. Dazu durchsuchte er die Festplatte nach dem IRC-Client mIRC und überschrieb die Datei script.ini. Sie enthält ein Skript, dass ILOVEYOU beim Betreten eines Channels an alle dort anwesenden Personen schicken soll.

Der Autor versuchte normale Anwender vom Löschen des Skriptes abzuhalten, indem die Datei mit einer gefährlichklingenden Warnung beginnen ließ:

[script]
; mIRC Script
; Please dont edit this script... mIRC will corrupt, if mIRC will
; corrupt... WINDOWS will affect and will not run correctly. thanks"

(Übersetzt inklusive Grammatikfehler: Bitte bearbeiten Sie dieses Skript nicht... mIRC wird beschädigt, wenn mIRC beschädigt wird... wird WINDOWS betroffen und nicht mehr korrekt funktionieren. danke.)

Der Wurm löscht auf infizierten Rechnern alle Dateien mit den Dateiendungen .JPG, .JPEG, .VBS, .VBE, .JS, .JSE, .CSS, .WSH, .SCT und .HTA und legte eine gleichnamige Kopie von sich selbst mit der Dateiendung .VBS an. Außerdem wurden alle Dateien mit den Endungen .MP2 und .MP3 als versteckt markiert und wiederum eine gleichnamige Kopie des Wurms mit der Endung .VBS angelegt.

Auf Grund seiner exponentiellen Verbreitung hat er in den ersten Stunden viele Mailserver überlastet. Die folgende Rechnung veranschaulicht das: Unter der Annahme, dass jeder infizierte Benutzer 20 Einträge in seinem Adressbuch hat und die Hälfte der Empfänger den Anhang öffnen:

• http://www.heise.de/newsticker/meldung/9357 Die betreffende Warnung im Heise-Newsticker vom 4. Mai 2000 12:28 Uhr