JPG-Virus Düstere Zeiten

"Perrun" - das erste Virus seiner Art: Es befällt Bild- und andere, bisher unverdächtige Dateien. Und das, ohne dass der User die Virenmail auch nur öffnet.

"W32.Perrun" ist so etwas wie ein Vorgeschmack auf kommende, düstere Zeiten: Das Virus etabliert ein neues Bauprinzip, das sich als enorm bissig erweisen könnte. Perrun selbst ist das nicht: Die Hersteller von Virenschutz-Software haben ihre Produkte bereits gegen die neue Bedrohung "hochgerüstet". Doch Perrun ist aller Wahrscheinlichkeit auch kein Virus, das auf die Netzwelten losgelassen wurde, um echte Schäden zu verursachen. Hier wollte wohl ein Virenautor demonstrieren, was dem Web in unmittelbarer Zukunft droht - oder zeigen, was er kann.

Und diese Drohung hat es in sich. Im Gegensatz zu den Skript-Viren - der bei weitem gebräuchlichste Typus mit Vertretern in der Tradition von "I Love You" - ist es bei Perrun nicht mehr nötig, eine virentragende Mail zu öffnen, um sich die Infektion zu fangen: Es reicht, eine entsprechende E-Mail zu erhalten.

Perrun schlummert in JPG-Dateien: Das ist ein digitaler Alptraum. Bisher standen nur bestimmte Dateitypen wie ausführbare Dateien (exe, com) oder Skriptdateien (vbs) unter Generalverdacht - man behandelte sie seit langem mit Vorsicht. Doch Perrun führt vor, dass Viren künftig auch in allen möglichen anderen, bisher als unverdächtig geltenden Dateien nisten können.

Perrun im Detail

Die Virenschutz-Unternehmen benennen keine klaren Merkmale wie typische Mailheader oder Mitteilungstexte, anhand derer man die Virenmail erkennen könnte. Dies wäre in dem Augenblick auch zwecklos: Einmal im Postfach, wird Perrun aktiv - allerdings unter einer Vorbedingung, die dieses erste Virus seiner Art relativ harmlos macht. Perrun ist darauf angewiesen, dass sich auf dem zu befallenen Rechner bereits eine EXE-Datei namens "Extrk.exe" befindet, die dem Schädling quasi die Tür aufhält. Wurde diese EXE-Datei nicht vorab auf dem Rechner "hinterlegt", verpufft Perrun so harmlos wie unbemerkt. Entsprechend gering sind bisher Verbreitung und Schadensbilanz.

Im Falle des Schadensfalles öffnet Perrun sämtliche JPG-Dateien auf dem befallenen Rechner und implantiert sich in die Bilddateien. Danach versucht Perrun, sich per E-Mail weiter zu verbreiten.

Obwohl Perrun noch auf die Hilfe einer so genannten Loader-Datei angewiesen ist, beunruhigt der neue Virentyp die Sicherheitsexperten. Vindent Gullotto von McAffee hält Perrun für "ein enorm gefährliches Stück Code", das von anderen Virenautoren modifiziert erhebliche Schäden verursachen könne. Augenscheinlich ist Perrun tatsächlich eine Warnung an die IT-Sicherheitsfirmen über das, was ihnen in Zukunft drohen könnte: Der Virenautor selbst verschickte am Donnerstagnachmittag sein "Werk" an führende IT-Sicherheitsunternehmen.

In Zukunft, mutmaßt Gullotto, könnten Loader-Programme für Viren des Perrun-Typs huckepack über Programm-Downloads verbreitet werden - oder über klassische Skript-Viren, die den Loader installieren. Das Schadenspotenzial wäre enorm: Das Risiko verschöbe sich fort vom Öffnen von Dateianhängen auf den bloßen Download von E-Mail. Gute Zeiten für die Hersteller von Virenschutz-Software, ohne die dann wirklich keiner mehr auskommen würde - aber miese Zeiten für das Web.