From sandras@debitel.net Tue Aug 17 23:45:50 1999 From: "Sandra Schmitz" Newsgroups: de.org.ccc Subject: Fw: Vorsicht Virus ! Der Merlin-Bot. Date: Tue, 17 Aug 1999 21:18:58 +0200 Lines: 136 X-Priority: 3 X-MSMail-Priority: Normal X-Newsreader: Microsoft Outlook Express 5.00.2615.200 X-MimeOLE: Produced By Microsoft MimeOLE V5.00.2615.200 X-NNTP-Posting-Host: brln-m179-129.pool.mediaways.net Message-ID: Organization: debitel.net - der Onlinedienst NNTP-Posting-Host: mwnews.dnsg.net X-Trace: 17 Aug 1999 22:19:29 +0100, mwnews.dnsg.net Path: news.uni-jena.de!jengate.thur.de!nethammer.qad.org!newscore.gigabell.net!newscore.ipf.de!news-in.ivm.net!news.ivm.net!mwnews.dnsg.net Xref: news.uni-jena.de de.org.ccc:67575 ----- Original Message ----- From: Zaphod Newsgroups: de.soc.drogen Sent: Tuesday, August 17, 1999 5:29 PM Subject: Vorsicht Virus ! Der Merlin-Bot. > Hallo zusammen, > > Nach längerer Analyse bin ich zu dem Schluss gekommen, das es sich bei > dem hier als "Merlin" bekannten Spammer nur um eine > neue, nicht ganz ungefährliche Art Virus handelt, ich würde das Teil > als News-Bot bezeichnen. Jedenfalls gibt es eine ganze Reihe > an Hinweisen, die darauf schliessen lassen. Da wäre z.B. der recht > beschränkte Sprachschatz, der darauf hinweist das der Bot > möglichst klein gehalten werden sollte. Fasst man alle Postings von > ihm zusammen und zieht die andauernden Wiederholungen ab > bleibt ein Speicher von max. 15 - 20 KB übrig. Der Rest dürfte für > Schrifterkennung, Zufallsgenerator und KI draufgehen, wobei > entweder die KI den geringsten Platz einnimmt oder einfach nur > schlampig programmiert wurde. Die stereotypen Antworten, die > anscheinend alle nach dem Zufallsprinzip ausgestossen werden und auch > nur zufällig mit dem Thema etwas zu tun haben, die konsequente > Nichtbeachtung von Logik und Argumenten sowie das nicht beantworten > von Fragen menschlicher Diskussionspartner zeigen hier gnadenlos die > Schwächen von Künstlicher Intelligenz auf, die es trotz sicherlich > grosser Fortschritte in den letzten Jahren immer noch nicht schafft > mit echten Menschen auf einer vernünftigen Basis zu kommunizieren, > da es immer noch stark an der Lernfähigkeit mangelt. Das geringe > Halbwissen des Bots lässt darauf schliessen, dass er ursprünglich mit > einem billigen Programm gefüttert wurde, Data Beckers Universallexikon > von 1975 oder irgend etwas in der Richtung. Auffallend ist, dass trotz > der vielen Bugs des Bots anscheinend keine kompletten Abstuerze > stattfinden, was auf eine ausgefeilte Sicherheitstechnik hinweist. Der > Bot nimmt die Texte die ihm vorgesetzt werden auf, würfelt alles etwas > durcheinander und spuckt das ganze dann wieder aus, wobei die > Reaktionszeiten recht kurz sind. Versucht man nun, den Speicher des > Bots durch längere Texte zum Überlaufen zu bringen um so einen divide > by zero hervorzurufen und das Teil zum Absturz zu bringen, stellt > man schnell fest, das die Antworten immer kürzer werden. Statt > längerer Traktate kommen nur noch kurze Worthülsen wie "Ende > Banane", "Wer sagt das ?", "Das steht da nicht", "Lies meine > Postings" etc. etc., imho ein Zeichen von knapper werdender > Rechenzeit, da das Programm voll damit beschäftigt ist seinen Speicher > zu defragmentieren. Dabei kommt es oft vor, das ganze Textpassagen > verschwinden und der Bot anfängt sich selber zu zitieren ( ich nenn > das jetzt einfach mal den Quote-Bug - eine der wenigen lustigeren > Auswirkungen dieses Programmes ). Erreicht die Menge der Texte einen > für den Bot kritischen Wert nimmt er einfach nichts mehr auf, fängt an > seinen Inhalt zu defragmentieren und gibt das ganze als > *Zwischenbilanz* wieder von sich. Schwupps, schon ist der Speicher > wieder leer. Danach geht dummerweise das Spiel wieder ganz von vorne > los mit No Drugs=No Problems, das ist meine These usw. usw. Die > Arbeitsweise des Bots ist dabei relativ simpel. Entdeckt der Virus in > einem Posting oder einem Thread bestimmte auffallende Worte reagiert > er darauf sofort mit einem Reply. Oberste Priorität hat dabei > anscheinend das Wort Merlin, gefolgt von Cannabis, Drogen, > Legalisierung etc. etc. Die Reihenfolge hier muss jetzt nicht stimmen, > so genau hab ich das nicht verfolgt da mir das zu nervig war. Dadurch > bläht der Bot die Threads so extrem auf, das es äusserst mühselig > wird, interessante Postings von Merlins Sondermüll zu trennen. Die > Gefahr dabei ist, das ein moderater Umgangston in den vom Virus > befallenen Gruppen kaum noch möglich ist, Neulinge abgeschreckt werden > und eventuell wichtige Fragen nicht mehr von kompetenten Lesern dieser > Gruppen beantwortet werden, weil alle nur noch damit beschäftigt sind > gegen den Bot vorzugehen. > > Bleiben abschliessend eigentlich nur drei Fragen zu klären: > 1. Wie wird man das Ding wieder los ? > 2. Welches Arschloch hat das programmiert ? > 3. In wessen Auftrag hat er gehandelt ? > > Zu Punkt 1: Da sich das Ding als relativ absturzsicher herausgestellt > hat wird es ziemlich schwierig werden es überhaupt > vollständig zu entfernen, ohne Hilfsprogramme ist da sicherlich nichts > zu machen. Am Besten erst mal auf der eigenen Festplatte > aufräumen und alle Postings und Replys löschen die den Namen des Bots > enthalten. Dann sollte man unbedingt einen Newsreader > installieren der einen Filter besitzt, um wenigstens die Postings und > Replys des Bots dauerhaft entfernen zu können. Das filtert > allerdings nicht die Replys der anderen User, die auf diesen Bot noch > reagieren, da kann man einfach nur noch auf die Vernunft > der User setzen. Damit mir jetzt keiner vorwirft ich würde im Glashaus > sitzen und mit Steinen werfen: Ja, ich gebe es zu, ich habe > einen sehr grossen Teil zur Verbreitung dieses Virus beigetragen, > Asche auf mein Haupt. Aber zu meiner Entschuldigung muss > ich anführen: Anfänglich habe ich wirklich noch gedacht es würde sich > dabei um ein denkendes Wesen handeln, erst als der > Schwachsinn in den Postings immer offensichtlicher wurde sind mir > dabei Zweifel gekommen. Ausserdem bin ich bei weitem > nicht der einzige der auf das Ding reingefallen ist. > > Zu Punkt 2: Nach der Häufigkeit der Bugs habe ich natürlich sofort auf > Microsoft getippt, aber dann hätte das Teil schon etliche Male > abstürzen müssen. Dazu kommt noch, das die alle Hände voll zu tun > haben den W2000 Virus fertig zu stellen. Wie man aber an diesem > Beispiel sehen kann gibt es genug Frustrierte, die nichts weiter zu > tun haben als so einen Blödsinn zu basteln. In den letzten Tagen habe > ich häufig den Verdacht, dass Merlin nicht die letzte Arbeit dieses > Spinners war. JanundLisa könnte u.U. ein Nachfolger oder schlimmer, > ein Zusatzprogramm sein ( extended Flame-Plugin ). Wehret den > Anfängen ! > > Zu Punkt 3: Hier kann ich nur spekulieren. Kommt natürlich darauf an > wieviel Kopien von Merlin im Usenet ausgesetzt wurden und in welchen > Gruppen (politisch, sozial ?) er sich noch so herumtreibt, daraus > könnte man vielleicht ein Profil erstellen (nein, ich mach das > garantiert nicht, keine Lust mehr). Vielleicht die Bayerische > Landesregierung, könnte aber auch nur ein sexuell frustrierter > Informatikstudent sein, der in seiner Freizeit nichts anderes zu tun > hat, weil die Mädels lieber mit den bösen Haschrauchern in die Kiste > steigen und der sich auf die billige, perfide Art nun an diesen rächen > will. Wie gesagt, alles nur Spekulation, ich für meinen Teil werde > jetzt langsam daran gehen den Virus aus meinem System zu entfernen, da > ich keine Lust habe die wirklich interessanten Threads zu verpassen. > Ausserdem macht es viel mehr Spass mal ins Kino zu gehen als sich mit > der mangelhaften KI eines Programmes zu beschäftigen und genau das > werde ich heute Abend machen. > > > > > > Herzlichst, Zaphod Beeblebrox, President of the Galaxy > http://users.aol.com/zaphbeeb42/ > ICQ UIN: 2368472 > ---------------------------- > Silver spur studs on my duds like a Harley in heat > When I bop down the street I can hear its heartbeat > And all the women fell back and said "Don´t that man look pretty ?" > It´s so hard to be a saint in the city. > ^Bruce Springsteen^ > ----------------------------