Melissa (Computervirus)

Melissaist einMakrovirusund war die erste bekannteMalware,die sich mit automatisierten Vorgängen perE-Mailverbreitete.

DasViruserlangte weltweite Bekanntheit, als es im Jahr 1999 durch massenhaften Versand von E-Mails unzählige IT-Systeme überlastete. Melissa hält bis heute (Stand 2021) den Rekord für die schnellste Verbreitung eines Computervirus, erreichte dabei aber nicht annähernd so hohe Infektionszahlen wie einige derComputerwürmer,die in den nächsten fünf Jahren ausbrachen.

Angeblich wurde Melissa vom Autor des Virus selbst so genannt. Der Name soll von einer Stripperin aus seinem Bekanntenkreis stammen.^[1]Das Virus hat allerdings auch zahlreiche Bezüge zu einer Folge der SerieDie Simpsons,in der ebenfalls ein Nebencharakter namens Melissa vorkommt.

Melissa ist auch alsW97M.Mailissa.AoderW97M.Melissa.Abekannt. Die zahlreichen Derivate des Virus haben ähnliche Namen.

Der Code des Makro-Virus wurde mehrfach verändert und erneut ausgesetzt. Aufgrund der einfachen ProgrammierspracheVisual Basicfor Applications und der Bekanntheit von Melissa war dieser Effekt naheliegend. Es gibt mindestens 43 bekannte Derivate von Melissa. Viele davon wurden auch mit einem schädlichenPayloadausgestattet. Ein Ausmaß wie die Urversion konnte aber nicht annähernd mehr erreicht werden. Etwa ein Jahr später wurden keine neuen Variationen von Melissa mehr entwickelt, vermutlich da aktuellere Vorfälle, wie zum Beispiel der ComputerwurmLoveletter,interessanter wurden.

Melissa hat keinen relevant schädlichenCodealsPayloadund verursachte keine beabsichtigtenDatenverlusteauf betroffenen Rechnern. Die lawinenartige Verbreitung per E-Mail hatte allerdings zahlreiche überlastete Systeme zur Folge. Der Ausbruch von Melissa hatte somit den Nebeneffekt einer ziellosenDoS-Attacke.Das führte zu vereinzelten Datenverlusten und Ausfällen von Web- und vor allemMailservern.Beschädigungen verursachte das an den Rechnern aber nicht.^[2]

Melissa war unter allen 1999 gebräuchlichen Windows-Versionen lauffähig, sofern die entsprechenden Office-Anwendungen installiert waren.^[2] Programmiert wurde das Makro mitVisual Basic for Applications.

AlsWirtsdateidiente einMS-Office-Dokument. Wurde es geöffnet, aktivierte sich dasMakro.Da man 1999 noch keine nennenswerten Schutzfunktionen entwickelt hatte und die meisten Anwender automatische Makros bevorzugten, war das einfach umzusetzen. Durch die Aktivierung wurde die Vervielfältigung ausgelöst. Das Virus verschickte überOutlookweitere infizierte Dokumente an die ersten 50 Einträge im Adressbuch, egal ob es eine Person oder eine Gruppe betraf. In derRegistryhinterließ Melissa einen Eintrag als Markierung. War diese Markierung vorhanden, wurden bei einem zweiten Auslösen des Makros keine Mails mehr verschickt.

Die Mails hatten den BetreffImportant Message From, xxx,wobei xxx für den Absender stand. Der Inhalt der Mail lautete „Here’s that document you asked for. Don’t show anyone else;) “.

Als Anhang war der Mail eine Datei namenslist.dochinzugefügt. Die Datei enthielt neben einer Reihe Links zu Porno-Seiten auch das schädliche Makro.

Über das TemplateNormal.dotkann Melissa auch andere Dokumente auf dem System infizieren. Das ist eigentlich der typischere Verbreitungsweg eines Makrovirus. Für automatisierten Versand per E-Mail sind eherComputerwürmerbekannt und nicht die klassischen Viren. In dieser Hinsicht ist Melissa ein Exot.

Melissas eigentlicher Payload wird selten ausgelöst und hat verhältnismäßig harmlose Auswirkungen. Er kann nur in einer bestimmten Minute pro Stunde ausgelöst werden. Das Datum der Infektion entspricht dabei der Minute, in der der Payload getriggert werden kann. Wurde die Datei z. B. am 29. Juli infiziert, aktiviert sich der Payload in der 29. Minute jeder Stunde. Wenn eine infizierte Datei in dieser Minute geöffnet oder geschlossen wird, fügt Melissa folgenden Text in das Dokument ein:

Twenty-two points, plus triple-word-score,
plus fifty points for using all my letters.
Game’s over. I’m outta here.

Der Text ist ein Zitat von Bart Simpson, als dieser in der FolgeBart wird ein Genie(orig.Bart the Genius) mit seiner Familie Scrabble spielt. Er legt das selbsterfundene Wort „Kwyjibo “auf das Spielbrett, mit der Definition, dies sei „ein dicker, fetter, blöder, nordamerikanischer Affe, der die Haare verliert “– womit er auf seinen Vater Homer anspielt.Kwyjibowurde vom Virusautor auch als Pseudonym gewählt.

Am 26. März 1999 wurde das Virus freigesetzt. Durch dasSchneeballsystem,mit dem sich Melissa verbreitete, kam es innerhalb weniger Stunden zu Auswirkungen. Das Makro versandte unzählige E-Mails, was zu Überlastungen führte. Viele Firmen, darunter auch große IT-Konzerne wieIBMundMicrosoft,mussten ihreNetzwerkezeitweise abschalten.

Innerhalb von drei Tagen mussten geschätzt 100.000 Systeme abgeschaltet werden, da die Auswirkungen von Melissa nicht unter Kontrolle gebracht werden konnten.

Laut einigen Quellen versandte Melissa mehrere Milliarden E-Mails. Dabei handelt es sich aber um massive Übertreibungen. Pro betroffenem Rechner wurden einmalig maximal 50 Mails verschickt, folglich müsste Melissa auf mindestens 20 Millionen Computern mit Outlook aktiviert werden, um auch nur eine Milliarde Mails zu erzeugen. Allerdings konnte man bei Outlook nicht nur für einzelne Personen einen Eintrag erstellen, sondern auch für Gruppen. Das erhöhte die mögliche Gesamtsumme der Mails wiederum einmal etwas. Die Anzahl der geöffneten Dokumente liegt nach realistischeren Schätzungen wohl eher zwischen 400.000 und 800.000 Stück weltweit. Eine Weiterverbreitung war aber nur bei einem Teil der Rechner möglich, da dafür das Betriebssystem Windows mit installiertem Outlook die Voraussetzung war.

Zum ersten Mal seit derMichelangelo-Hysterievon 1992 war ein Computervirus zum Medienstar geworden. In Fachzeitschriften war derCIH-Virusim Jahr 1999 zwar gelegentlich ein Thema, der Mainstream nahm davon aber keine Kenntnis. Derartige Auswirkungen wie die von Melissa waren ein völlig neuartiges Phänomen. Bisher hatte sich Malware immer schleichend ausgebreitet. DasInternetbegann im Jahr 1999 langsam zu einem Standard zu werden und begünstigte die Verbreitung von Viren undTrojanern.Das war vor Melissa praktisch aber eher für unvorsichtige Anwender von Bedeutung, dieDownloadsaus dubiosen Quellen nutzen. Der Infektionsweg überFilesharingwar 1999 noch nicht verbreitet.

Eine so spontane und explosionsartige, weltweite Infektionswelle mit einem Computervirus hatte es bisher nie gegeben. Auf Viren bezogen gab es ein solches Ausmaß auch nie wieder (Stand 2020). Übertroffen wurde Melissa mittlerweile zwar schon mehrfach von anderen Schadprogrammen, allerdings handelte es sich dabei immer umWürmerund nicht um klassische Viren.

Der verursachte Schaden wurde von einem US-Gericht auf rund 80 Millionen Dollar geschätzt.^[3]Auch das entsprach bisher nie dagewesenen Dimensionen. Einzelne Quellen im Internet sprechen von Schäden in Höhe von unrealistischen 1,1 Milliarden US-Dollar.

Europa war weniger betroffen als die USA, da dort Melissas Auswirkungen noch zur Arbeitszeit starteten. In Europa grassierte die Welle erst ab Freitag, wodurch zumindest Firmenrechner vorerst verschont blieben. Am folgenden Montag waren die meisten dann schon durch die Pressemeldungen gewarnt.

Kaum ein Anwender war 1999 auf einen solchen Vorfall vorbereitet. Das Misstrauen gegenüber Mailanhängen war damals auch noch keine Selbstverständlichkeit. Zudem war der Absender ein Bekannter, dadurch hatte Melissa den großen Vorteil einerSocial-Engineering-Komponenteauf seiner Seite. Malware als globales Phänomen war unbekannt. Die großen Mail-Anbieter richteten wegen solcher Vorfälle später Schutzsysteme ein, die derartige Malware-Aktivitäten erkennen konnten und dann den Versand blockierten. Zudem lassen sich, vor allem seitDSLsich etabliert hat, auch problemlos einzelne Mail-Ports durch den Anbieter sperren. Vollständig verhindern ließ sich der massenhafte E-Mail-Versand durch Malware bisher aber nicht.

Im Fahrwasser von Melissa kam es am 1. April 1999 zu einemHoax,der vor der neuen VarianteTuxissawarnte. Tuxissa existierte in Wahrheit jedoch nicht.

Der Programmierer, David L. Smith, wurde fünf Tage später verhaftet und im Dezember 1999 schuldig gesprochen. Am 1. Mai 2002 wurde das Strafmaß verkündet, er wurde zu 20 Monaten Haft und 5000 US-Dollar Strafe verurteilt^[4][5]Dazu kamen weitere 2500 US-Dollar Strafe aus erster Instanz.^[6]

Man konnte ihn überführen, da er Melissa mit dem PseudonymKwyjibosignierte. Indem man Word-Dokumente mit derselben globalen Kennung verglich, konnte man ermitteln, dass Kwyjibo identisch mit zwei anderen, bereits auffällig gewordenen Makro-Autoren ist. Mit diesen Hinweisen gelang es, Smith ausfindig zu machen, da er unter den bereits länger bekannten Namen genug Spuren im Internet hinterlassen hatte.

Von der Presse und von Unkundigen wurde Melissa einige Jahre später oft als Wurm bezeichnet.^[7]Das hat den Hintergrund, dass Würmer ab 2003 vermehrt die Nachrichten beherrschten und sich das Virus rasant über das Internet verbreitete, wie man es sonst nur von Würmern kennt.^[8]Allerdings hat Melissa nur ähnliche Fähigkeiten wie ein E-Mail-Wurm, ist aber eindeutig keiner. Ein Wurm ist ein eigenständiges Programm, was auf Melissa nicht zutrifft. Ein Virus dagegen verbreitet sich selbst, indem er sich in Dateien oder Systembereiche einnistet. Diese Definition erfüllt Melissa, da das Makro Word-Dokumente infiziert und als Wirtsdatei benutzt.^[9]Im Unterschied zu geläufigen anderen Viren erstellt Melissa die Wirtsdateien aber auch selbst, und verbreitet diese dann automatisiert per E-Mail.

• Annette Schneider-Solis:Zehn Jahre Computerwurm Melissa.In:Spiegel.de.24. März 2009;abgerufen am 26. März 2024.
• Melissa Virus.In:FBI.gov.15. März 2019;abgerufen am 26. März 2024(englisch).

1. ↑Martha Mendoza:Virus writers rarely face jail.In:CRN.31. August 2003,abgerufen am 26. März 2024(englisch).
2. ↑^abMalware der 90ger: Michelangelo und Melissa.In:WeLiveSecurity.13. November 2018,abgerufen am 26. März 2024.
3. ↑Kevin Poulsen:Justice delayed for Melissa author.In:SecurityFocus.10. September 2001, archiviert vomOriginalam26. April 2012;abgerufen am 26. März 2024(englisch).
4. ↑Viren: Schöpfer des „Melissa “-Virus muss hinter Gitter.In:Spiegel Online.2. Mai 2002,abgerufen am 27. Januar 2024.Spiegel: Schöpfer des Melissa Virus muss hinter Gitter
5. ↑Virus-Urteil: Es hätten auch fünf Jahre werden können.In:manager-magazin.de.3. Mai 2002,abgerufen am 29. Februar 2024.
6. ↑‘Melissa’ creator gets second jail term.In:CBSNews.1. Mai 2002,abgerufen am 26. März 2024(englisch).
7. ↑Heiko Wohlgemuth:Melissa-Wurm.In:Virenschutz.info.Abgerufen am 26. März 2024.
8. ↑Henner Schröder:Der Melissa-Wurm überflutet das Netz.In:PCGamesHardware.de.26. März 2012,abgerufen am 26. März 2024.
9. ↑Robert Schanze:Was ist ein Computervirus? Unterschied zum Wurm.In:Giga.de.4. Mai 2018,abgerufen am 26. März 2024.
   Was ist ein Computervirus bzw. ein Computerwurm?In:Kaspersky.de.6. Dezember 2019,abgerufen am 26. März 2024.