internet Der stille Krieg der Netzpiraten

Zwei anonyme Gruppen bekämpfen sich online und sorgen für eine Flut von E-Mail-Viren

Mikko Hyppönen stößt an seine Grenzen. „Entschuldigen Sie bitte“, sagt der Computervirenexperte aus Helsinki, nachdem ihm der Telefonhörer aus der Hand gefallen ist. „Wir schlafen in letzter Zeit sehr wenig. Die machen uns fertig.“

Die, das sind zwei bislang anonyme Programmierergruppen, die seit Ende Januar das Internet mit einer beispiellosen Flut von Computerviren überschwemmen. Nicht nur bei der Softwarefirma F-Secure, in der Hyppönen als Leiter der Antiviren-Abteilung arbeitet, herrscht seit Wochen Alarmstufe Rot. In allen Unternehmen im Bereich der Computersicherheit sind seit Ende Januar Überstunden und Nachtschichten angesagt, denn mehr infizierte E-Mails als je zuvor verstopfen die digitalen Postfächer aller Nutzer, die am weltweiten Datennetz hängen.

1200 neue Computerschädlinge verzeichneten die Antiviren-Experten des Softwareunternehmens TrendMicro allein im März. „Wir hatten noch nie so viele Viren mit so hohem Verbreitungsgrad wie im Monat März“, sagt Frank Felzmann, Virenexperte des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn. Im Februar waren 925 neue Viren und Würmer entdeckt worden, 400 waren es noch im Dezember des vergangenen Jahres.

Hintergrund für die Schädlingsflut ist ein Virenkrieg, der im Verborgenen tobt. Außer den vielen mit Computerviren oder -würmern infizierten Mails in seinem Briefkasten bekommt der normale PC-Nutzer kaum etwas davon mit. „Doch der Virenkrieg ist keine verrückte Idee, er findet wirklich statt“, sagt der niederländische Virenspezialist Righard Zwienenberg von Norman Defense Data.

Der Kampf der Computerwürmer begann im Januar 2004, als bislang Unbekannte mit Netsky einen ungewöhnlichen Schädling in Umlauf brachten. Er schlich sich in Computer ein und neutralisierte, wenn er sie vorfand, zwei andere Computerviren: MyDoom und Bagle. Die sabotierten Saboteure schossen anschließend zurück, in der folgenden Woche machten Bagle-Viren Jagd auf Netsky-Programmcodes. Fast täglich rasen seitdem neue Varianten von Bagle, Netsky oder MyDoom auf der Suche nach feindlichen Codes durch die Netze. „Im Pingpong-Verfahren werden ständig neue, gefährliche Varianten der Viren gestreut“, sagt Michael Hoos, Technischer Leiter beim Softwarehersteller Symantec in Ratingen.

Als Abwehrexperten von Antivirusunternehmen die Codes der ersten Schädlinge untersuchten, entdeckten sie Erstaunliches. „Wir fanden verschlüsselte Botschaften, die sich die Virenautoren untereinander schicken“, sagt der Computervirenforscher Zwienenberg. Mittlerweile werden die virtuellen Gegner sogar auf eingebetteten Grafiken beschimpft.

Die Botschaften verraten den Antivirenexperten viel über die Hintergründe der Auseinandersetzung. „Die Motivation der Gruppen ist sehr unterschiedlich“, sagt Mikko Hyppönen. „Die Autoren von Netsky halten sich für die guten Jungs, weil sie Viren zerstören, die andere benutzen, um schmutzige Geschäfte zu machen.“ Die Netsky-Schöpfer, die nach eigenen Angaben von Russland aus arbeiten, verbreiten, in wüstem Englisch, unter anderem folgende Botschaft: „An F-Secure und so weiter, wir wollen nicht eure Systeme zerstören, wir wollen nur verhindern, dass Bagle sein schmutziges Geschäft weiter betreiben kann. Wenn Bagle und Mydoom verlieren, wollen wir unsere Aktivität einstellen.“

Schmutzige Geschäfte machen die MyDoom- und Bagle-Virenautoren in der Tat. Ihre Viren installieren so genannte Trojanische Pferde auf ungeschützten Computern. Diese Hacker-Software erlaubt es, Maschinen aus der Ferne für eigene Zwecke umzufunktionieren, ohne dass es ihr Eigentümer merkt. Bagle öffnet auf infizierten Rechnern eine Hintertür, durch die sich das Programm Geobot auf die Festplatte schleicht.

Auf diese Weise sind regelrechte Schattennetzwerke auf einigen tausend gekaperten Computern entstanden. Das haben Sicherheitsexperten inzwischen nachgewiesen. Die verborgenen Netze bestehen aus jeweils 10000 bis 50000 gekaperten Computern, erklärt Dennis Zenkin, Sprecher des Antivirusexperten Kapersky Labs in Moskau.

Skrupellose Computerexperten nutzen sie unter anderem, um im Auftrag anderer Spam-E-Mails zu verschicken. Nach Angaben von Zenkin und anderen Virenjägern bringt es zwischen 5000 und 10000 Euro ein, eine Million unerwünschte Werbe-Mails zu verschicken. Die Computerbesitzer ahnen nicht einmal, dass ihre Rechner Teil dieser Pirateninfrastruktur sind. Ein weiterer Trick, um mit Viren Geld zu verdienen, ist das Aufsetzen gefälschter Webshops, von denen es derzeit rund 50 im Internet gibt. Wer auf Websites wie londonsoft.biz oder xml-soft.info in der Hoffnung auf Schnäppchenware seine Kreditkartennummern eingibt, ahnt nicht, dass er gar nicht mit einem Online-Shop kommuniziert, sondern mit einer Lockvogelseite. Die gestohlenen Kreditkartennummern werden weiterverkauft, zum Beispiel, um sie für internationale Telefonate zu nutzen. Auch diese Datenfallen laufen im Hintergrund infizierter Privat-PCs, ohne dass es die Eigentümer der Rechner merken.

Dass die Netsky-Programmierer gänzlich uneigennützig diesen Geschäften einen Riegel vorschieben wollen, glaubt kaum ein Sicherheitsexperte. „Es geht um viel Geld. Wir haben es hier auf allen Seiten mit einem kriminellen Hintergrund zu tun“, sagt der Moskauer Denis Zenkin.

Selbstjustiz über die Köpfe der Computerbesitzer hinweg will die Antivirus-Gemeinde nicht hinnehmen – oder gar die Virenautoren als Bundesgenossen akzeptieren. Erst recht nicht, seit man entdeckt hat, dass auch Netsky Hintertüren auf den Rechnern öffnet. In der vergangenen Woche nutzen dessen Urheber erstmals eine Flotte gekaperter Rechner, um einige Internetseiten mit einer Flut sinnloser Anfragen lahm zu legen. Doch das war erst ein Probelauf, glaubt Mikko Hyppönen: „Noch kann keiner mit Sicherheit sagen, was die Netsky-Programmierer wirklich mit den Rechnern anstellen wollen, die sie unter ihre Kontrolle gebracht haben.“ Sicher ist dagegen, dass das Schlafdefizit des F-Secure-Experten noch weiter anwachsen wird.