... und Antivirensoftware begünstigt aus Versehen die weitere Verbreitung.

Das englische Wort "Ransom" bedeutet übersetzt "Erpressung" und verdeutlicht sehr plastisch, wie ein solcher Wurm funktioniert: Er verschlüsselt Daten, die dem Benutzer möglicherweise von Bedeutung sind und lädt die nötigen Daten für die Dekodierung auf einen Server. Wenn man seine Daten dann zurück erhalten möchte, muss man den Schlüssel vom Erpresser kaufen.

Die Lücke über die sich der Wurm verbreitet ist allerdings verhältnismäßig alt und wurde schon vor etwa zwei Monaten geschlossen. Der initiale Verbreitungsweg ist dabei nicht ungewöhnlich: Blauäugigen Benutzern wurden entsprechende Schaddateien per Mail oder Webbrowser untergeschoben. Danach wurde dann die mittlerweile geschlossene Lücke ausgenutzt und so Computer im gleichen Netzwerk infiziert. Spannenderweise haben die Urheber einen so genannten "Killswitch" in den Wurm eingebaut: Bevor er aktiv wird, versucht er Kontakt zu einer bis vor kurzem unregistrierten Webseite www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com aufzunehmen. Wenn dieser Kontaktversuch funktioniert, deaktiviert sich der Wurm selbst. Das hat ein britischer Sicherheitsexperte mehr oder minder zufällig herausgefunden: Er fand den Verweis auf die Adresse im Code des Wurms, wusste aber nicht was geschehen würde nachdem er die Domain registrierte. Allerdings begünstigen zwei Umstände die weitere Verbreitung:

• Der Wurm versucht eine direkte Verbindung zu der Seite aufzubauen und umgeht dabei (aus Versehen?) möglicherweise notwendige Zwischenstationen wie sie von Firmen oder Schulen eingesetzt werden.
• Die Filtermechanismen einiger Virenscanner verbieten den Verbindungsaufbau zu der Adresse. Der Wurm nimmt dann an, dass die Seite noch nicht scharf geschaltet ist und "arbeitet" einfach weiter. In diesem Fall wurde die weitere Ausbreitung des Wurms von einigen Virenscannern also aktiv begünstigt.

Das Titelbild stammt von Darien Huss und zeigt den Code, der den Wurm dazu bewegt sich selber zu deaktivieren.