Viren haben im Ti·econet keine Chance

Anhand des Computervirus "WORM_FRETHEM.K" (alias "W32.Frethem.K@mm" oder "W32/Frethem.k@mm") möchten wir Ihnen exemplarisch zeigen, wie derartige Virenangriffe von uns abgewehrt werden.

Zur Einleitung möchten wir kurz die technischen Details und die Wirkungsweise dieses Virus erläutern. Er besitzt keine direkt destruktiven Eigenschaften (z.B. das Löschen von Dateien), sondern "beschränkt" sich auf seine Weiterverbreitung. Das heißt konkret:

- Aufruf durch Voransicht in Outlook: Die Aktivierung dieses Virus erfolgt bereits durch das Öffnen des eMails bzw. durch das Öffnen in der Voransicht von Outlook.
- Automatische Verbreitung: Der Virus besitzt einen eingebauten eMail-Server, mit dem er selbsttätig eMails an die in Ihrem Windows-Adressbuch gespeicherten Empfänger verschickt. So wird die Verbreitung sichergestellt.
- Automatischer Start beim Booten: Beim ersten Ausführen des Virusprogramms legt dieses seine Startdatei im Windows-Ordner ab und verändert außerdem die Windows-Registrierungsdatei, um beim Bootvorgang automatisch gestartet zu werden.
- Web-Site: Der Virus stellt Verbindungen über HTTP zu einer Serie von ca. 40 Web-Sites her und produziert somit unnötigen Datenverkehr.

TIWAG wurde über das Auftreten dieses Virus per SMS am 15.7.2002 um 12:14 Uhr informiert. Zu diesem Zeitpunkt war das Virusscanning-System der TIWAG bereits auf dem aktuellsten Stand (seit 12:00 Uhr, die Virenmuster werden vollautomatisch stündlich aktualisiert). Bereits kurz nach 12:00 Uhr gingen die ersten Warnungen bei uns ein, dass versucht wird, den Virus per eMail an unsere Kunden zu schicken, und der Virus daher vom System entfernt wurde. Seit dem Auftreten des Virus wurde seine Verbreitung über Ti·econet durch dieses System bereits über 200-mal verhindert.

Die nachstehende Grafik zeigt, dass der Virus praktisch nur zu Bürozeiten aktiv ist, da der Virus zu seiner Verbreitung in Outlook geöffnet werden muss. Auch zeigte sich dieser Virus äußerst kurzlebig, bereits seit dem 17.7. ist er nicht mehr aufgetreten.



         
Jene Kunden, die zusätzlich den Attachment-Filter von TIWAG nutzen, sind vor derartigen Viren bereits vor deren Bekanntwerden geschützt. Durch dieses System werden alle Attachments auf ihren Typ hin untersucht. Gleichzeitig existiert eine "Blacklist" mit den von Viren am häufigsten verwendeten Dateisuffixen. Wird ein entsprechendes Attachment entdeckt, wird es gelöscht und der Empfänger über diesen Vorgang informiert. So hilft dieses System dabei, die kurze Zeitspanne zwischen dem Bekanntwerden eines Virus und der Verfügbarkeit einer Lösung (also der Erkennung durch die Antivirus-Software) ohne einen möglichen Virenbefall zu überstehen.

Im konkreten Fall war die Aktualisierung des Virus-Pattern-Files schnell genug, um auch unsere Kunden ohne Attachment-Filterung vor der Verbreitung dieses Virus zu schützen.