Tuxissa
Tuxissa | |
---|---|
Name | Tuxissa |
Bekannt seit | 1999 |
Virustyp | Makrovirus |
Weitere Klassen | E-Mailvirus |
Autoren | Pseudonym: „Anonymous Longhair“ |
Wirtsdateien | MS Office Dokumente |
System | Windows 95, 98 oder NT mit MS Outlook und Office |
Programmiersprache | Visual Basic Makro |
Info | Tuxissa war ein Aprilscherz und existierte nicht wirklich |
Tuxissa ist ein fiktives Makrovirus, vor dem im Jahr 1999 mit Spam-E-Mails gewarnt wurde. Die Viruswarnung war ein Hoax und als Aprilscherz gedacht. Die Meldung verbreitete sich lawinenartig als Kettenmail über die ganze Welt.
Das Virus Tuxissa verbreitet sich laut dem Hoax angeblich per Mailanhang. Auf befallenen Systemen wird im Hintergrund eine Linuxdistribution heruntergeladen und heimlich installiert. Nach dem nächsten Systemstart ist das Windows-Betriebssystem gelöscht, stattdessen wird das neu installierte Linux gestartet. Tuxissa entfernt sich nach vollbrachtem Werk selbst.
Falsche Virenwarnung
[Bearbeiten | Quelltext bearbeiten]Die Grundidee von Tuxissa war keineswegs neu, der erste dokumentierte Computerviren-Hoax war im Jahr 1988 das 2400-Baud-Modem-Virus.[1] Die Idee, eine falsche Warnung vor einem Computervirus als Auslöser für Kettenmails zu nutzen, wurde erstmals 1994 umgesetzt. Damals warnte der Good-Times-Hoax vor einer angeblichen E-Mail, die beim Öffnen den kompletten Festplatteninhalt löscht. Der Hoax verbreitete sich mit der Zeit millionenfach und wurde von vielen Zeitungen und Fachinstitutionen aufgegriffen und veröffentlicht. In der Folge kam es zum Bad-Times-Virus, der ebenfalls nur ein Hoax war.[2]
Im Fahrwasser des Melissa-Vorfalls konnte sich die Tuxissa-Warnung deutlich rasanter als diese Vorgänger ausbreiten. Zudem waren Internet und E-Mail 1999 deutlich etablierter und verbreiteter, weswegen dieser Hoax einen deutlich größeren Nährboden zur Verfügung hatte.
Der oder die Urheber des Hoax nutzten bei ihrer E-Mailflut die Nachwehen des weltweiten Medienechos zum Ausbruch der ersten Massenmailer-Schadsoftware Melissa aus. Melissa hatte fünf Tage zuvor, am 26. März 1999, den bis dahin größten Virenausbruch der IT-Geschichte verursacht. Tuxissa wurde in den falschen Warnungen als neue Variante von Melissa ausgegeben.
Die Falschmeldung wurde ursprünglich auf der Internetplattform http://humorix.org
veröffentlicht. Obwohl die Webseite angab, dass es sich um eine Fake-Meldung handelt, verbreitete sich der Artikel nahezu weltweit. Böse Absichten lagen dem Hoax nicht zugrunde, die Meldung war nicht auf Phishing ausgelegt und enthielt keine Malware als Anhang. Der enthaltene Text riet den Empfängern nicht zu schädigendem Verhalten, wie z. B. dem Löschen wichtiger Dateien.
Der Hoax
[Bearbeiten | Quelltext bearbeiten]Am 1. April 1999 tauchte eine E-Mail mit einer angeblichen Pressemeldung auf, die behauptete, der Melissa-Virus wäre so verändert worden, dass in der Folge ein neues Virus namens Tuxissa entstanden ist. Tuxissa ist ein Kofferwort aus dem Virus Melissa und dem Pinguin Tux, dem Linux-Maskottchen. Der Hoax behauptete außerdem, dass die Infektionswelle durch Tuxissa am 29. März 1999 auf der Plattform comp.os.linux.advocacy
begonnen habe. In den letzten drei Tagen hatte sich Tuxissa zu einem der bedeutendsten Viren in der Computergeschichte entwickelt. Der Schöpfer des Virus verwendet das Handle „Anonymous Longhair“ und hatte ursprünglich keine bösen Absichten, das Virus sei vielmehr ein zu früh losgegangener Aprilscherz.[3]
Die Mail konnte von skeptischen Empfängern anhand mehrerer Indizien leicht als Aprilscherz erkannt werden:[4]
- Die Behauptung, dass ein Virus unbemerkt im Hintergrund Linux installiert, ist grundsätzlich skurril.
- Das Originaldatum der Mails ist der 1. April.
- Im Inhalt der Mail wird gegen Ende der Nachricht deutlich auf einen Aprilscherz angespielt.
- Der angebliche Reporter, der die Warnung verfasst hat, nennt sich selbst „Humorix“.
- In der E-Mail wurden technische Informationen genannt, um dem Hoax Glaubwürdigkeit zu verleihen. Anwender mit entsprechenden IT-Kenntnissen erkannten diese leicht als fehlerhaft.
Am Ende der Mail wurde auf die Webadressen http://linuxtoday.com/stories/4463.html
und http://i-want-a-website.com/about-linux
für weitere Informationen verwiesen.
Aufgrund der angeblich hohen Gefahr durch das neuartige Virus hatte der Urheber des Hoax seine Meldung überwiegend reißerisch formuliert. Im Sinne des Scherzes war der Humor eher untergründig:
„That could spell trouble,“ one Slashdot expert told Humorix. „Slashdot could fall victim to the new 'Macro Virus Effect' if this virus continues to propogate at its present exponential growth rate.“ Red Hat's portal site, another site present on the virus' links list, seems to be quite sluggish right now…
„Das könnte Probleme verursachen“, sagte ein Experte des Internetkonzerns Slashdot gegenüber Humorix. „Slashdot könnte ein Opfer dieses neuen Makrovirus werden, wenn es sich mit seiner gegenwärtigen exponentiellen Wachstumsrate weiter ausbreitet. Die Website von Red Hat, die zu den Links in der Liste der Virusmail gehört, läuft derzeit deutlich verlangsamt…“
„Linus Torvalds, who just left for a two week vacation, was unavailable for comment at press time. We have a strong feeling that his vacation will be cut short very soon…“
„Linus Torvalds, der gerade zu einem zweiwöchigen Urlaub aufgebrochen ist, war bis zum Druckschluss unseres Verlages nicht für eine Stellungnahme zu erreichen. Wir haben die Vorahnung, dass er seinen Urlaub sehr bald wieder abbrechen wird…“
Die fiktive Virus-E-Mail
[Bearbeiten | Quelltext bearbeiten]Laut dem Hoax hatten die mit Tuxissa verseuchten Mails folgende Form:[3]
In der Betreffzeile steht: Important Message About Windows Security
Der in der Mail enthaltene Text lautet:
I want to let you know about some security problems I've uncovered in Windows 95/98/NT, Office 95/97, and Outlook. It's critically important that you protect your system against these attacks. Visit these sites for more information…
- Übersetzung: Ich möchte Sie über einige Sicherheitsprobleme informieren, die ich in Windows 95/98/NT, Office 95/97 und Outlook entdeckt habe. Es ist außerordentlich wichtig, dass Sie Ihr System vor diese Bedrohung schützen. Besuchen Sie diese Seiten für weitere Informationen…
Anschließend folgt eine Liste mit 42 Links zu Webseiten rund um Linux und freie Software, darunter angeblich die Seiten von Slashdot und Red Hat.
Das fiktive Virus
[Bearbeiten | Quelltext bearbeiten]Sobald Tuxissa das System infiziert hatte, begann das Virus mit einer eingebauten Suchroutine alle Seiten, die im Internet Explorer gebookmarkt waren, nach E-Mail-Adressen zu durchsuchen. Mittels Outlook sendet das Virus infizierte Dokumente an diese Adressen, um sich weiterzuverbreiten.
Im Anschluss wird, vom Anwender unbemerkt, die verhältnismäßig kleine Linuxdistribution Slackware als gepackte Slim-Edition heruntergeladen. Da es im Jahr 1999 kaum Breitbandverbindungen gab und 56K-Modems bzw. ISDN den Standard bei Internetverbindungen darstellen, machte dies den Hoax ein wenig glaubhafter. Nach dem Download wird das Archiv automatisch dekomprimiert.
Die Windows-Registry wird gelöscht und die Boot-Optionen in der Datei AUTOEXEC.BAT
entsprechend geändert, so dass nach dem nächsten Systemstart das Windows-Betriebssystem komplett entfernt und ohne jede weitere Erklärung gegen Linux ausgetauscht wurde.
Das Virus selbst zerstört sich nach ausgeführtem Payload selbst, um keine Spuren zu hinterlassen.[3]
Weblinks
[Bearbeiten | Quelltext bearbeiten]- anvari.org Text der originalen Hoax-Mail
- f-secure.com Eintrag zu Tuxissa
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ dementium2.com Was sind Virus Hoaxes
- ↑ sophos.com Eintrag zu Good Times
- ↑ a b c d e static.lwn.de Kopie der originalen Hoax-Mail
- ↑ sophos.com Eintrag zu Tuxissa