Editorial: Nochmal Glück gehabt

Ohne Zweifel ist Lovsan alias RPC.Blaster alias RPC.MSBlast einer der gefährlichsten Computerwürmer überhaupt. Schon wenige Stunden nach dem ersten Auftreten gab es hunderttausende, wenn nicht gar Millionen von infizierten Internet-Rechnern, die Statistiken der Viren-Warner weichen hier voneinander ab. Fast ebensooft kam und kommt es auch zu unvermittelten Rechnerabstürzen. Wer das Internet benutzt, ist folglich gezwungen, zu Abwehrmaßnahmen zu greifen, sei es durch die Aktivierung einer persönlichen Firewall, oder (besser) durch die Installation eines Microsoft-Patches.

Glück im Unglück aber ist, dass der Wurm selber nicht allzuviel Schaden anrichtet. Er löscht anscheinend keine Daten auf den befallenen Rechnern. Er lässt sich relativ einfach durch das Löschen von ein paar Dateien und Registrierungseinträgen wieder entfernen. Und er verhält sich derart rüpelhaft, dass er die befallenen Systeme wiederholt zum Absturz bringt. Dadurch wird das Vordringen des Wurms schnell für jedermann offensichtlich.

Das Problem ist, dass Windows 2000 und Windows XP zwar beide für den Wurm angreifbar sind, sich jedoch in ein paar Details unterscheiden. Als Folge braucht der Wurm verschiedene so genannte Offsets, um ein System zu attackieren. Probiert der Wurm aber nun den Windows-XP-Offset für ein Windows-2000-System oder umgekehrt, stürzt der Zielrechner ab. Offensichtlich versucht der Wurm nicht, zunächst herauszufinden, welches Betriebssystem er vor sich hat, bevor er einen Rechner attackiert, sondern schlägt blindlings drauflos. Besonders ungünstig: Auch dann, wenn ein Rechner bereits befallen ist, kann es zu solchen ungewollten Abstürzen kommen. Der Wurm behindert sich damit letztendlich selbst, und er macht intensiv auf sich aufmerksam.

Zwar gibt es Theorien, dass Lovsan zumindest mittelbar an dem großen Stromausfall in Nordamerika beteiligt war. So könnte er Abstürze bei zentralen Steuerungsrechnern bewirkt haben. Doch dieses ist derzeit nicht mehr als Spekulation.

Ebenfalls Glück im Unglück ist, dass das Sicherheitsloch schon seit knapp vier Wochen bekannt war, bevor der Wurm erstmalig auftrat. Experten konnten somit sofort die Lage richtig einschätzen und wertvolle Tipps geben, wie man sich gegen den Wurm schützt. Manche Experten hatten sogar förmlich auf den Wurm gewartet. Teile des Wurms waren schon vorab in einschlägigen Sicherheits-Mailinglisten verbreitet worden, was ebenfalls bei der Analyse half.

Nicht auszudenken, was passiert wäre, wenn der Wurm unbekannte Sicherheitslöcher genutzt hätte, und nicht durch massenhafte Rechnerabstürze auf sich aufmerksam gemacht hätte. Auf "leisen Sohlen" hätte er sich dann weitgehend unbemerkt über das Netz ausbreiten können. Einige Stunden (und nicht erst einige Tage, wie bei Lovsan) nach dem Freilassen hätte der Wurm dann geballt zuschlagen können, um zum Beispiel per DoS-Angriff große Teile des Internet lahm zu legen. Diesen dann wieder loszuwerden könnte Tage dauern - denn wie will man die notwendigen Patches über ein Internet verbreiten, das nicht mehr funktioniert?