Pikachu (Computerwurm)
Pikachu | |
---|---|
Name | Pikachu |
Aliase | Pokey |
Bekannt seit | 2000 |
Herkunft | USA |
Typ | E-Mailwurm |
Dateigröße | 32.800 Bytes |
Speicherresident | nein |
Verbreitung | |
System | Windows 9x mit MS Outlook |
Programmiersprache | Visual Basic 6.0 |
Info | Erste Malware die Kinder als Zielgruppe hatte |
Pikachu ist ein Computerwurm aus dem Jahr 2000. Er war die erste bekannte Malware, deren soziale Komponente auf die Verbreitung durch Kinder ausgerichtet war.
Der Wurm hatte einen schädlichen Payload, er konnte Datenverluste verursachen, die in erster Linie darauf abzielen, das Betriebssystem unbrauchbar zu machen.[1][2]
Benannt ist der Wurm nach einem der namensgebenden Wesen der Anime-Serie Pokémon, dem mausartigen Elektro-Pokémon Pikachu.
Schadensberichte kamen überwiegend vom amerikanischen Kontinent, da sich der Wurm vergleichsweise langsam ausbreitete. Europa und Asien blieben weitgehend von den Auswirkungen verschont.
Aliasse
[Bearbeiten | Quelltext bearbeiten]Der Wurm wurde von den meisten Herstellern von Antivirus-Software Pokey genannt.[3]
Aufgrund des E-Mail-Textes, der Gestaltung des Anhangs und dem Pikachu-Bild etablierte sich in der Öffentlichkeit und in der Presse aber umgehend der Name Pikachu, seltener auch Pokemon-Wurm oder als Kurzform Pokewurm.
Fälschlich wurde der Wurm in den Medien oft als Virus bezeichnet, meist als Pokevirus, Pikachu-Virus oder Pokémon-Virus. Die Begriffe „Malware“, „Trojanisches Pferd“ und „Computerwurm“ waren im Jahr 2000 in der Öffentlichkeit noch nahezu unbekannt. „Computervirus“ war damals noch die etablierte Bezeichnung für Malware aller Art. Bekannt war beispielsweise der Vorfall mit Michelangelo, der 1993 eine Medienpanik ausgelöst hatte und 1999 war Melissa weltweit ein Thema in den Nachrichten. Daher verwendete die Presse damals noch überwiegend die unkorrekte Bezeichnung „Virus“.
Funktion
[Bearbeiten | Quelltext bearbeiten]Pikachu ist ein E-Mail-Wurm mit dem Bild der gleichnamigen Pokémon-Figur als Icon. Der Wurm kommt in E-Mails mit der Betreffzeile:
Pikachu Pokemon
Der Akzent im Wort „Pokémon“ fehlt.
Der Text in der E-Mail selbst lautet:
Great Friend! Pikachu from Pokemon Theme have some friendly words to say. Visit Pikachu at http://www.pikachu.com See you.
- Übersetzung: Lieber Freund! Pikachu aus der Pokémonwelt hat ein paar freundliche Worte zu sagen. Besuche Pikachu unter http://www.pikachu.com Bis später.
Es ist eine ausführbare Datei namens pikachupokemon.exe
angehängt. Das 32,8 Kilobyte große Attachment ist in Wahrheit der Wurm. Als Icon verwendet die Datei ein grob gezeichnetes Bild der Pokemon-Figur Pikachu.[4][5]
Der Antivirenhersteller Symantec gab in einer Pressemitteilung bekannt, dass es sich um die erste Malware mit der Zielgruppe Kinder handle. Weil er eine kleine Pokémon-Animation enthalte, könnten manche Kinder einem Doppelklick darauf unbedachterweise nicht widerstehen. Das Pokémon-Fandome, insbesondere die zugehörigen Computerspiele, hat aber auch zahlreiche ältere Anhänger.
Die Ausführung des Programms aktiviert die Verbreitungs-Routine und den Payload. Währenddessen wird ein Bild von Pikachu angezeigt.
Verbreitung
[Bearbeiten | Quelltext bearbeiten]Wird das Wurm-Programm ausgeführt, versendet es sich per E-Mail an alle Adressen im Outlook-Adressbuch. Pikachu ist dabei auf eine Laufzeitbibliothek von Visual Basic 6 angewiesen, die Datei MSVBVM60.DLL
.
Mittels Outlook Express kann der Wurm sich nicht weiter versenden.[1][4]
Payload
[Bearbeiten | Quelltext bearbeiten]Wird das schädliche Programm ausgeführt, verändert es zuerst die Datei autoexec.bat
, sodass beim nächsten Systemstart die Dateien im Windows- und Windows\System32-Verzeichnis gelöscht werden.
Da der Autor des Wurms dafür die Befehle del C:\WINDOWS
" and "del C:\WINDOWS\system32
verwendete, wird vor dem Ausführen noch eine Sicherheitsabfrage ausgeführt. Wird diese vom User nicht bestätigt, kann der Payload abgewehrt werden.
Bei der alternativen Verwendung von del c:\windows\*.* /y
und del c:\windows\system32\*.* /y
wäre eine manuelle Bestätigung nicht nötig gewesen. Der Wurm hätte dann vermutlich deutlich höhere Schäden angerichtet. Diese Einschränkung wurde teils als Programmfehler gedeutet, kann vom Autor des Pikachu-Wurms aber auch beabsichtigt gewesen sein.
Auswirkungen
[Bearbeiten | Quelltext bearbeiten]Eine solch verheerende Wirkung wie kurze Zeit zuvor der Wurm Loveletter erzielte der Wurm nicht annähernd. Pikachu verbreitete sich deutlich langsamer, was wohl vor allem an der Zielgruppe lag. Im Jahr 2000 wurde Kindern der Zugang zum Internet von ihren Eltern häufig nicht gestattet, unter anderem weil preisgünstige Flatrates damals noch nicht etabliert waren. Die Altersgruppe, die sich mit Pokémon befasste, interessierte sich zudem primär für Computerspiele und hatte selten Verwendung für Outlook. Die Hersteller von Antiviren-Software hatten damit ausreichende Zeit zu reagieren, bevor der Wurm größere Schäden verursachen konnte.
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ a b computerwoche.de Computerwoche.de: Achtung Kinder - Pikachu Wurm löscht Windows
- ↑ security-insider.de Security-Insider.de: Evolution der Malware
- ↑ fortiguard.com Threat Encyclopedia W32/Pokey.A!tr
- ↑ a b trojaner-info.de Trojaner-Info.de: W32 Pokeyworm
- ↑ hoax-info.tubit.tu-berlin.de TU-Berlin: Virus/Wurm:W32/Pokey (Pikachu, Pokemon-Worm)