Pikachu (Computerwurm)

Computerwurm

Pikachu ist ein Computerwurm aus dem Jahr 2000. Er war die erste bekannte Malware, deren soziale Komponente auf die Verbreitung durch Kinder ausgerichtet war.

Pikachu
Name Pikachu
Aliase Pokey
Bekannt seit 2000
Herkunft USA
Typ E-Mailwurm
Dateigröße 32.800 Bytes
Speicherresident nein
Verbreitung E-Mail
System Windows 9x mit MS Outlook
Programmiersprache Visual Basic 6.0
Info Erste Malware die Kinder
als Zielgruppe hatte

Der Wurm hatte einen schädlichen Payload, er konnte Datenverluste verursachen, die in erster Linie darauf abzielen, das Betriebssystem unbrauchbar zu machen.[1][2]

Benannt ist der Wurm nach einem der namensgebenden Wesen der Anime-Serie Pokémon, dem mausartigen Elektro-Pokémon Pikachu.

Schadensberichte kamen überwiegend vom amerikanischen Kontinent, da sich der Wurm vergleichsweise langsam ausbreitete. Europa und Asien blieben weitgehend von den Auswirkungen verschont.

Der Wurm wurde von den meisten Herstellern von Antivirus-Software Pokey genannt.[3]

Aufgrund des E-Mail-Textes, der Gestaltung des Anhangs und dem Pikachu-Bild etablierte sich in der Öffentlichkeit und in der Presse aber umgehend der Name Pikachu, seltener auch Pokemon-Wurm oder als Kurzform Pokewurm.

Fälschlich wurde der Wurm in den Medien oft als Virus bezeichnet, meist als Pokevirus, Pikachu-Virus oder Pokémon-Virus. Die Begriffe „Malware“, „Trojanisches Pferd“ und „Computerwurm“ waren im Jahr 2000 in der Öffentlichkeit noch nahezu unbekannt. „Computervirus“ war damals noch die etablierte Bezeichnung für Malware aller Art. Bekannt war beispielsweise der Vorfall mit Michelangelo, der 1993 eine Medienpanik ausgelöst hatte und 1999 war Melissa weltweit ein Thema in den Nachrichten. Daher verwendete die Presse damals noch überwiegend die unkorrekte Bezeichnung „Virus“.

Funktion

Bearbeiten
 
Inhalt einer infizierten Mail

Pikachu ist ein E-Mail-Wurm mit dem Bild der gleichnamigen Pokémon-Figur als Icon. Der Wurm kommt in E-Mails mit der Betreffzeile:

Pikachu Pokemon

Der Akzent im Wort „Pokémon“ fehlt.

Der Text in der E-Mail selbst lautet:

Great Friend!
 
Pikachu from Pokemon Theme have some friendly words to say.
 
Visit Pikachu at http://www.pikachu.com
See you.
Übersetzung: Lieber Freund! Pikachu aus der Pokémonwelt hat ein paar freundliche Worte zu sagen. Besuche Pikachu unter http://www.pikachu.com Bis später.

Es ist eine ausführbare Datei namens pikachupokemon.exe angehängt. Das 32,8 Kilobyte große Attachment ist in Wahrheit der Wurm. Als Icon verwendet die Datei ein grob gezeichnetes Bild der Pokemon-Figur Pikachu.[4][5]

Der Antivirenhersteller Symantec gab in einer Pressemitteilung bekannt, dass es sich um die erste Malware mit der Zielgruppe Kinder handle. Weil er eine kleine Pokémon-Animation enthalte, könnten manche Kinder einem Doppelklick darauf unbedachterweise nicht widerstehen. Das Pokémon-Fandome, insbesondere die zugehörigen Computerspiele, hat aber auch zahlreiche ältere Anhänger.

Die Ausführung des Programms aktiviert die Verbreitungs-Routine und den Payload. Währenddessen wird ein Bild von Pikachu angezeigt.

Verbreitung

Bearbeiten

Wird das Wurm-Programm ausgeführt, versendet es sich per E-Mail an alle Adressen im Outlook-Adressbuch. Pikachu ist dabei auf eine Laufzeitbibliothek von Visual Basic 6 angewiesen, die Datei MSVBVM60.DLL.

Mittels Outlook Express kann der Wurm sich nicht weiter versenden.[1][4]

Wird das schädliche Programm ausgeführt, verändert es zuerst die Datei autoexec.bat, sodass beim nächsten Systemstart die Dateien im Windows- und Windows\System32-Verzeichnis gelöscht werden.

Da der Autor des Wurms dafür die Befehle del C:\WINDOWS" and "del C:\WINDOWS\system32 verwendete, wird vor dem Ausführen noch eine Sicherheitsabfrage ausgeführt. Wird diese vom User nicht bestätigt, kann der Payload abgewehrt werden.

Bei der alternativen Verwendung von del c:\windows\*.* /y und del c:\windows\system32\*.* /y wäre eine manuelle Bestätigung nicht nötig gewesen. Der Wurm hätte dann vermutlich deutlich höhere Schäden angerichtet. Diese Einschränkung wurde teils als Programmfehler gedeutet, kann vom Autor des Pikachu-Wurms aber auch beabsichtigt gewesen sein.

Auswirkungen

Bearbeiten

Eine solch verheerende Wirkung wie kurze Zeit zuvor der Wurm Loveletter erzielte der Wurm nicht annähernd. Pikachu verbreitete sich deutlich langsamer, was wohl vor allem an der Zielgruppe lag. Im Jahr 2000 wurde Kindern der Zugang zum Internet von ihren Eltern häufig nicht gestattet, unter anderem weil preisgünstige Flatrates damals noch nicht etabliert waren. Die Altersgruppe, die sich mit Pokémon befasste, interessierte sich zudem primär für Computerspiele und hatte selten Verwendung für Outlook. Die Hersteller von Antiviren-Software hatten damit ausreichende Zeit zu reagieren, bevor der Wurm größere Schäden verursachen konnte.

Einzelnachweise

Bearbeiten
  1. a b computerwoche.de Computerwoche.de: Achtung Kinder - Pikachu Wurm löscht Windows
  2. security-insider.de Security-Insider.de: Evolution der Malware
  3. fortiguard.com Threat Encyclopedia W32/Pokey.A!tr
  4. a b trojaner-info.de Trojaner-Info.de: W32 Pokeyworm
  5. hoax-info.tubit.tu-berlin.de TU-Berlin: Virus/Wurm:W32/Pokey (Pikachu, Pokemon-Worm)
Bearbeiten