(Un-)Happy Birthday, Melissa!

Melissa war ein Word-Makro-Virus, der am 26. März 1999 von einem gewissen David L. Smith in Umlauf gebracht wurde. Der Virus steckte in einer Word-Datei namens «list.doc». Wenn ein User diese Datei öffnete und die Makrowarnung wegklickte, verschickte sich der Virus automatisch mit dem Betreff «Important message from...» an zahlreiche Einträge im Mail-Adressbuch; natürlich inklusive einer Kopie der infizierten Word-Datei. So schaffte es der Virus, der aufgrund einer Notiz im Source-Code als «Melissa» in die Geschichte einging, sich in Windeseile über Millionen von Exemplaren an andere Computer weiterzuverbreiten.

Damals waren es meine letzten paar Monate im Job in der IT-Support-Abteilung eines mittelgrossen Schweizer Unternehmens. Bis zu der Zeit hatte ich noch nicht viele Computerviren aus der Nähe gesehen. Ein paar bei Routine-Scans auf Disketten gefundene Exemplare des «Form»-Virus waren das Äusserste. Im Januar 1999 wurde mir jedoch schon beim (wenigstens medialen) Mitverfolgen des Virenausbruchs von «Happy99» bewusst, dass die Sache mit den Computerviren wohl in naher Zukunft eher schlimmer statt besser würde.

Ich verfolgte das Virengeschehen in meiner damaligen Rolle als Supporterin nun täglich. Als sogar Radio und Fernsehen am 26. März 1999 vom Ausbruch des neuen «Melissa»-Virus berichteten, lehnte sich unser Support-Team zunächst entspannt zurück. Aus Gründen!

Schliesslich hatten wir auf den PCs der Benutzer firmenweit eine Antivirus-Lösung (von Sophos) laufen. Ausserdem war auch im Exchange-Server (Mail-Server) eine entsprechende Lösung (von Trend Micro) implementiert. Deren Virendefinitionen wurden regelmässig aktualisiert, dafür sorgte ich selbst jeden Tag. Was konnte da schon schiefgehen?

Eine erste Mail mit Betreff «Important Message from (Absender)» schlug in meinem Posteingang auf. Und eine zweite. Und dritte. Sofort erkannte ich anhand des Betreffs, was los war. Ich erinnere mich an mein lautes Gefluche: «Shit, das ist Melissa! Wieso zum Teufel haben wir Melissa?!». In der Sekunde wurde unserem dreiköpfigen Support-Team klar, dass unser Arbeitstag etwas länger dauern würde.

Innert kürzester Zeit verstopften zigtausende Mails die Postfächer des Unternehmens. Der Mailserver lief auf Volllast, im Bemühen, die verseuchten Mails zu verschicken. Auch die damals noch nicht allzu schnelle Internet-Leitung war durch den massiv erhöhten Datenverkehr quasi blockiert. Und natürlich standen nach wenigen Minuten zahlreiche Mitarbeitende im Büro, die wissen wollten, was abgeht. Zudem liefen die Telefone heiss. Wir mussten alle abwimmeln und wegschicken, denn Eindämmung der Mailflut hatte oberste Priorität – vor dem Abgeben irgendwelcher Erklärungen.

Theoretisch war das Vorgehen klar: Mail-Dienst stoppen, Möglichkeit suchen, die Postfächer direkt auf dem Server zu säubern, sicherstellen, dass die Schädlingserkennung künftig funktioniert und die Desktop-PCs prüfen, um dort verbliebene Exemplare abzuräumen. Klingt in der Theorie einfach, richtig?

Das Deaktivieren des Mail-Dienstes im Exchange-Server entpuppte sich als knifflig. Über die Bedienoberfläche war praktisch nichts zu machen. Vor lauter Überlastung gab dieser Mailserver dem Begriff «Sanduhr» eine ganz neue Dimension. Irgendwie schaffte es mein damaliger Vorgesetzter wohl dann doch, dem Gerät ein Konsolenfenster abzuringen und den Mail-Dienst abzuschiessen; vielleicht verwendete er auch eine Remotezugriff-Session. Am Ende war der Dienst jedenfalls gestoppt.

Jetzt konnten wir aber – mangels E-Mail-Möglichkeit – die Mitarbeiter nicht darüber informieren, dass an dem Tag mit E-Mail nicht mehr zu rechnen war. Darum rekrutierten wir eine Handvoll Mitarbeitende, die in allen Büros Bescheid geben sollten: Bitte alle Melissa-Mails ungeöffnet komplett löschen (inkl. Papierkorb), das Mailprogramm ganz beenden und es bitte (unter Androhung fürchterlicher Strafen) für den Rest des Tages keinesfalls mehr zu öffnen.

Das Ausräumen der vielen Tausend Melissa-Exemplare in den Postfächern des Mailservers war der nächste Task. Wir waren natürlich nicht die einzigen, die an dem Tag verzweifelt versuchten, den Support des Antivirus-Herstellers zu erreichen. Irgendwann hatten wir dann doch eine Ansprechperson an der Strippe. Nun lernten wir eine wichtige Lektion: Die eigentliche Programmversion unseres Mail-Virenscanners war zwar aktuell. Die Virendefinitionen (die Erkennungsmusterdatenbank) ebenfalls.

«Und jetzt prüfen Sie doch mal die Version der Scan-Engine», lautete die nächste Anweisung. Und wir so: «Was denn für 'ne Scan-Engine?». Da gab es also ein von uns übersehendes Modul im ansonsten aktuellen Virenscanner, das sich nicht automatisch aktualisierte und das auch nicht durch die Virendefinitionen aktualisiert wurde. «Wer lässt sich denn so etwas einfallen?», knurrte ich. Aber da mussten wir jetzt durch.

Über eine weiterhin mehr schlecht als recht funktionierende Internet-Leitung gelang es dem Vorgesetzten, das fehlende Update herunterzuladen und auf dem Server zu installieren. In der Zwischenzeit amtete ich mit einem Kollegen als «Turnschuh-Admins». Wir statteten allen Mitarbeitenden in allen Büros einen Besuch hab, stellten sicher, dass diese kein Exemplar des von Melissa verschickten infizierten Word-Files gespeichert haben, stellten Aktualisierung des lokalen Virenscanners sicher und starteten einen Virensuchlauf.

Der Chef legte am Ende des hektischen Tages noch eine halbe Nachtschicht drauf, um den langwierigen Reinigungs-Suchlauf des nun wirklich aktuellen Mail-Virenscanners auf dem Mailserver zu überwachen. Nach dessen Abschluss konnte der eigentliche Maildienst wieder gestartet werden. Es trudelten von aussen noch einige Melissa-Exemplare ein, die aber jetzt gleich auf der virtuellen Türschwelle abgefangen und ins ebenso virtuelle Nirvana geschickt wurden. Nun konnte auch der Chef (wohl erst nach Mitternacht) den Heimweg unter die Räder nehmen.

Gute Neuigkeiten verbreiten sich in der Regel schnell. Der Kollege und ich machten eine eilige Runde durch die Firmengebäude und verkündeten die frohe Botschaft, dass der Mailserver jetzt wieder laufe.

Wir schickten eine E-Mail in die Runde, um zu informieren, was passiert war, und was dagegen getan worden ist. Ein paar neugierige oder teilnahmsvolle Mitarbeitende erschienen noch in unserem Büro oder riefen an, um uns vielleicht noch ein paar schmutzige Virendetails zu entlocken, mit denen wir leider nicht dienen konnten.

Insofern war die Sache nun ausgestanden und wir hatten viel gelernt. Wir wussten zwei weitere Dinge. Erstens: Melissa würde in den Augen der Mitarbeitenden in den nächsten Wochen für jedes Computerproblem verantwortlich sein; inklusive falscher Excel-Formeleingaben. Zweitens: Der Chef sah zu Recht müde aus.

Die Genugtuung, dass der Virenverbreiter David L. Smith relativ schnell gefasst und vor ein Gericht gestellt wurde, war im Informatik-Team meines damaligen Arbeitgebers recht gross. Allzu lange musste er aber die gesiebte Luft nicht geniessen, denn er hat nur knapp zwei Jahre Knast bekommen und durfte danach offenbar sogar fürs FBI arbeiten.

Weil der Quellcode von Melissa einfach zu beschaffen war und innert Kürze im Netz landete, tauchten noch jahrelang neue Varianten auf, die sich Teile des Codes zunutze machten. Etwa im Jahr 2000 (hier und hier) oder im Jahr 2001.

Vor drei Jahren eröffneten Virenexperten eine Art virtuelles Virenmuseum. Mein Kollege Florian Bodoky widmete diesem eine kleine Virenzeitreise.