Viren und Internet-Attacken im Zeichen des Irak-Krieges

Die Sicherheitsberater in Sachen Internet haben, seit sich der Krieg gegen den Irak immer deutlicher abzeichnete, alle Hände voll zu tun: Fast täglich wurden gerade im Vorfeld des Feldzuges Seiten manipuliert oder abgeschossen, mehrere Viren waren explizit aus diesem Grund in Umlauf gebracht worden. Travis Witteveen, General Manager für die DACH-Region (Deutschland, Österreich und die Schweiz) des finnischen Sicherheitsexperten F-Secure, erklärte im Gespräch mit ZDNet die Hintergründe.

Herr Witteveen, welche Kriegsbedingten Viren hat Ihr Unternehmen bislang gefunden?

Bisher haben wir vier explizit auf den Krieg bezogene Erreger feststellen können. Natürlich werden uns täglich mehrere neue Viren gemeldet, nur diese vier sind aber unmittelbar auf die Auseinandersetzung im Irak gemünzt:

• Lioten, auch unter dem Namen Iraq_Oil bekannt, aufgetaucht am 17. Dezember 2002. Es handelt sich um einen Wurm, der sich über Shared Folders verbreitet und den verseuchten Anhang „iraq_oil.exe“ mit sich führt
• Prune, erstmals entdeckt am 12. März 2003. Der Autor bot Bilder aus dem Krieg an, in diesen versteckte sich jedoch ein Virus. Wie wir aus den USA erfahren haben, war diese Strategie dort sehr erfolgreich.
• Ganda, aufgetaucht am 17. März 2003. Ähnlich wie Prune nutzte der Wurm verschiedene E-Mail-Betreffzeilen und Nachrichtentexte, um Computer-Anwender zum Öffnen des Anhangs zu bewegen. Er ist wahrscheinlich in Schweden programmiert worden. Die Betreffzeilen lauten beispielsweise „Spy pics“, „GO USA !!!!“, „LINUX“, Nazi propaganda?“, „G.W Bush animation“ und „Is USA always number one?“. Der Autor sitzt mit ziemlicher Sicherheit in Schweden.
• Vote.D, das Original war bereits am 24. September 2001 als Reaktion auf den 11. September aufgetaucht. Die neue Version „.D“ wurde zu den Ereignissen im Zweistromland lediglich aktualisiert.

Welche kriegsbedingten Defacements sind Ihnen bislang bekannt?

Bereits in den Stunden des Ultimatums gegen Bagdad kam es zu mehr 200 Manipulationen von Websites, von denen die meisten direkt mit dem Irak-Konflikt in Verbindung stehen. Bis zum 21. März waren bereits an die 1000 Websites betroffen. Viele dieser Manipulationen bestehen aus Antikriegsbotschaften, einige von ihnen auch aus anti-amerikanischen oder anti-irakischen Botschaften. Als wichtigstes Ereignis würde ich aber den Abschuss des vermutlich besten Tracking-System für Defacement-Aktivitäten, Zone-h (www.zone-h.org; derzeit nicht erreichbar), bezeichnen. Es besteht der dringende Verdacht, dass die Regierung der USA die Site lahm gelegt hat.