Vireninformation
Entstehungsgeschichte
Computerviren – Entwicklungsgeschichte




Anders als man vielleicht glauben möchte, sind Viren keine Erfindung der Computer-Neuzeit. Bereits Anfang der siebziger Jahre, als zimmergroße Rechenanlagen die Transistorenrevolution einleiteten, wurden von den Programmierern dieser Computer kleine Programme geschrieben, die sich gegenseitig im Speicher bekämpften und bereits vereinzelt die Fähigkeit hatten, sich selbst zu kopieren. In diesen sogenannten „Core Wars“ – den „Kriegen der Kerne“ – hatte derjenige gewonnen, der mit seinem Programm über alle Gegner triumphierte und diese aus dem Speicher warf.

 

Von dieser spielerischen Anwendung der Programmiertechnik war es nur noch ein kleiner Schritt auf der Evolutionsleiter bis zum ersten richtigen Computervirus. Es fehlte nur noch der passende Wirt. Als dann IBM Anfang der achtziger Jahre den ersten massentauglichen PC (Intel 8088 CPU mit 4,77 MHz Taktfrequenz) auf den Markt brachte und Commodore mit dem legendären C 64 den ersten erschwinglichen Homecomputer auslieferte, war es dann soweit.

 


1984: Cohen´s Viren-Theorie

1984 setzte Fred Cohen – ein begnadeter amerikanischer Computerspezialist – mit seiner Schrift „Computer Viruses, Theory and Experiments“ den entscheidenden Grundstein. Um seine Theorie zu untermauern, bastelte Cohen für diese Arbeit den wohl ersten funktionstüchtigen Virus. Er benötigte dafür gerade mal acht Stunden. Dieses Urexemplar sollte einer Gruppe von Experten vorgeführt werden, um die Effizienz von sich selbst reproduzierenden Viren als Mittel zur Kontrolle über ein Computersystem zu demonstrieren. Was viele anfangs noch milde belächelt hatten, wurde ein voller Erfolg: Der von Cohen geborene Virus ging durch ein gesichertes System wie ein heißes Messer durch die Butter, hebelte installierte Sicherheitsfunktionen aus und kontrollierte in kürzester Zeit die Anlage.

 

Von dieser theoretisch inspirierten Arbeit bis zum praktischen Auftreten der neuen Lebensform in freier Wildbahn verging dann nur noch wenig Zeit. Die ersten – zumeist völlig harmlosen – Exemplare trieben ihr Unwesen zunächst auf UNIX-basierten Großrechenanlagen, die zu dieser Zeit den überwiegenden Nährboden darstellten. Größtenteils unschädlich und nur mit rudimentären Vermehrungsmechanismen ausgestattet, tendierten die Erstlinge mehr in Richtung Scherzprogramm. So tauchten Exemplare auf, die eingegebene Buchstaben vom Bildschrim fraßen, die Anzeige umdrehten oder die Benutzer mit sinnentleerten Sprüchen peinigten. Ein kleines Programm nervte beispielsweise auf diversen Großrechenanlagen mit der permanenten Aufforderung: „Gib mir einen Keks!“. Wurde der Aufforderung durch Eingabe von „Keks“ nachgekommen, so gab der satte Quälgeist eine Zeitlang Ruhe und wurde zumeist weiterhin auf dem System geduldet. Ein wirklich destruktives Exemplar der neuen Spezies wurde nicht gesichtet. Aber das sollte sich bald ändern. Die Büchse der Pandora stand bereits weit offen.

 

Neben den Vereinigten Staaten, die in Bezug auf die Rechentechnologie die Entwicklung anführten, tat sich auch auf anderen Kontinenten einiges. Deutsche Hobby-Programmierer - vielfach mit dem durch Sensationsmeldungen in den Medien verdunkelten Hackerbegriff belegt - begannen ihrerseits 1985 mit der Entwicklung eigener Viren, nachdem unter anderem der Spiegel über Cohen´s Arbeit berichtet hatte. Die „Bayrische Hackerpost“ veröffentlichte eine erste deutsche Übersetzung des Cohen-Artikels und mußte dafür zunächst herbe Kritik einstecken. Auf dem 85er Kongreß des Hamburger „Chaos Computer Clubs“ und einem nachfolgenden Viren-Seminar wurde dann die Problematik öffentlich diskutiert. 1986 waren erste Testviren einsatzbereit. Eine primitive Virusinfektion traf noch im selben Jahr die Datenverarbeitungszentrale der Berliner Freien Universität. Die Urheber – vermutlich Schüler, die dort eine Zeitlang gearbeitet hatten – blieben im Dunkeln, verseuchte Disketten verschwanden im Panzerschrank.


1986: „Pakistani Brain“ und die Virenjäger

Trotz Cohen´s Warnungen hielten die meisten Computerspezialisten eine umfassende Virenplage immer noch für ausgemachte Science-Fiction. Sie sollten jedoch eines Besseren belehrt werden. Auf den Mitte der achtziger Jahre zur ungebremsten Ausbreitung ansetzenden Microcomputern herrschte lediglich die trügerische Ruhe vor dem Sturm.

 

Während Theoretiker wie Cohen von den experimentellen Möglichkeiten fasziniert waren, lebten andere ihren Sabotagetrieb in vollen Zügen aus. Hinter verschlossenen Türen bastelte die häufig minderjährige Szene an ersten Exemplaren. Zunächst mit mäßigem Erfolg. Das jedoch sollte sich 1986 schlagartig ändern. Allerdings kam der Angriff aus einer völlig unerwarteten Richtung.

 

In den Vereinigten Staaten trat auf DOS-basierten PCs eine wahre Epidemie von Diskettenfehlern auf. Eingelegte Disketten konnten urplötzlich nicht mehr gelesen werden. Bei genauerer Untersuchung der defekten Datenträger fanden sich Hinweise auf eine bewußte Sabotage. Im Startsektor der Disketten konnte man folgende unverschlüsselte Nachricht lesen (deutsche Übersetzung):

 

 

Willkommen im Kerker

Nehmen Sie sich vor diesem Virus in acht

Treten Sie mit uns zwecks Schutzimpfung in Kontakt

 

Es folgte eine Adresse nebst Telefonnummer im computermäßig schwach bestückten Lahore, Pakistan. Nach telefonischen Nachfragen unter der bewußten Adresse kamen die Hintergründe ans Licht.

Hier die Originalfassung:

 

Welcome to the Dungeon

(c) 1986 Basit & Amjad (pvt) Ltd.

BRAIN COMPUTER SERVICES

730 NIZAB BLOCK ALLAMA IQBAL TOWN

LAHORE-PAKISTAN

PHONE :430791,443248,280530.

Beware of this VIRUS....

Contact us for vaccination............ $#@%$@!!

 

Zwei pakistanische Brüder, Basit Farooq Alvi (damals 19) und Amjad Farooq Alvi (damals 26) unterhielten in Lahore ein kleines Computergeschäft namens „Brain Computer Services“. In dem düsteren Laden, der mehr einem Teppichlager ähnelte als einem High-Tech-Center, wurde Software für IBM-kompatible PCs an örtliche Händler und durchreisende Touristen verkauft. Neben selbstgeschriebenen Programmen hatten die beiden auch teure Markenprogramme wie WordStar oder Lotus 1-2-3 zweifelhafter Herkunft im Sortiment. 1985 faßten beide den Entschluß, endlich etwas gegen die lokalen Raubkopierer zu unternehmen, die angesichts unerschwinglicher Preise auch ihre selbstgeschriebenen Programme hemmungslos vervielfältigten.

 

Das Mittel war so einfach wie genial. Ein im Februar 1986 entstandenes kleines Programm, das sich selbst vervielfältigen konnte, sollte den Startsektor jeder erreichbaren Diskette überschreiben. Die eigentlichen Daten sollten jedoch unbehelligt bleiben. Der erste Bootsektor-Virus war geboren. Welchen durchschlagenden „Erfolg“ dieser Streich haben sollte, konnten sich die beiden damals nicht vorstellen: Von pakistanischen Studenten, die unwissend auf diese Weise präparierte Markensoftware erwarben, wanderte der Virus an verschiedene Hochschulen der USA. Von keinerlei Sicherheitssystemen gehindert, breitete er sich wie ein Flächenbrand aus.

 

Glücklicherweise hielt sich das Schadenspotential der „Strafaktion“ in Grenzen. Der Virus vermehrte sich zwar ungebremst, griff aber – wie geplant – nur die Daten im Startsektor der befallenen Disketten an, da er diesen für seine eigene Vermehrung nebst der bewußten Nachricht benötigte. Problematisch war dabei allerdings, daß das Betriebssystem den Startsektor als beschädigt ansah und an dieser Stelle die Zusammenarbeit aufkündigte.

 

Hunderte ahnungsloser Computerbenutzer, die lediglich Texte schreiben wollten und noch nie in ihrem Leben etwas von einem Bootsektor gehört hatten, saßen plötzlich händeringend vor der Fehlermeldung auf ihrem Monitor. In einer Zeit, in der Computerviren noch nicht einmal vom Hörensagen bekannt waren und vernünftige Anti-Viren-Software, mit der man dem eingenisteten Schädling zu Leibe rücken konnte, nicht existierte, hatte der als Fehler getarnte Befall katastrophale Auswirkungen. Dabei war die Beseitigung mit einem einfachen Hausmittel schnell und zuverlässig durchführbar. In der Regel reichte es nämlich aus, den befallenen Bootsektor mit dem MS-DOS-Befehl „sys“ wieder zu restaurieren. Bis dieses Mittel jedoch allgemein bekannt war, verging geraume Zeit.

 

Schätzungen ergaben, daß dieser nach dem Namen der pakistanischen Firma „Brain“ genannte Virus noch 1990 einen „Marktanteil“ von fast 10% hatte. Mittlerweile gilt die Originalvariante als ausgerottet, obwohl einige von Nachahmern weiterentwickelte Brain-Varianten bis heute ihr globales Unwesen auf Disketten und Festplatten treiben.

 

Einen Vorteil hatte die lawinenartigeVerseuchung durch „Brain“ & Co allerdings. Der verbreitete Virenbefall machte allen Zweckoptimisten dieVerwundbarkeit der hochgelobten Computertechnologie auf drastische Weise deutlich.

 

Im Allgemeinen ist es nicht möglich, Hardware durch einen Virus zu zerstören. Aber auch hier gab es Ausnahmen. Einigen wenigen Viren gelang es, einen Monitor zum Durchbrennen zu bringen oder die Beschichtung im Inneren der Röhre zu beschädigen. Dabei handelte es sich um sehr hardwarenah programmierte Viren, die ihren Schaden im ersten Fall durch Manipulation des Synchronisierungssignals, im zweiten Fall durch Fokussieren des Elektronenstrahls über längere Zeit auf einen bestimmten Punkt erzielten. Allerdings funktionierten diese Exemplare nur in Verbindung mit bestimmten Grafikkartentypen, sodaß sich der Gesamtschaden dann doch in Grenzen hielt.

 

Ein weiteres Exemplar konnte die Festplatte demolieren, indem es den Festplattencontroller veranlaßte, eine nicht vorhandene Spur anzusteuern. Beispielsweise verfügte die Harddisk über 614 Spuren. Der Virus las diese Information aus dem CMOS-Speicher aus und übermittelte im Anschluß daran an den Controller den Befehl, eine Spur größer 614 anzusteuern. Das hatte zur Folge, daß der Kopf aus seiner Führung sprang und auf die Plattenoberfläche krachte. Die Festplattenhersteller reagierten jedoch sehr rasch und es gelang ihnen auch, diesen Unfug konstruktiv zu unterbinden (Anschlag am Führungsende). Die Harddisk begann dann zwar schlimm zu rattern, es kam jedoch zu keinen weiteren ernsthaften Schäden mehr. (Bei heutigen modernen Festplatten funktioniert eine solche Vorgangsweise generell nicht mehr, da die Controller Steuerbefehle, die über die maximale physikalische Spuranzahl hinausgehen, von vornherein ignorieren).

 

Ebenso war es möglich, den Coprozessor – sofern vorhanden – durch Überhitzung zu zerstören. Dies gelang jedoch nur durch ein bestimmtes konstruktionsbedingtes Merkmal dieser ersten Coprozessoren. Diese waren vor allem aus Kostengründen auf eine durchschnittliche Auslastung von 25-30% ausgelegt, was für einen normalen Arbeitsablauf durchaus reichte. Der Virus tat nun folgendes: Er beschäftigte den Coprozessor permanent mit Gleitkomma-Rechenoperationen, lastete ihn somit mit 100% aus. Dem Coprozessor blieb somit gar keine andere Wahl als infolge übermäßiger Erhitzung zu verglühen. Dieses Problem war jedoch durch Auslegung der Coprozessoren auf 100% Auslastung sehr rasch aus der Welt geschafft.

 

Ein Nebeneffekt der Virenplage war die Entstehung einer anderen Spezies: Der professionelle Virenjäger erschien auf dem Plan. Einer der ersten dieser Zunft war John McAfee, dessen Firma mit der rasenden Entwicklung mitwuchs und dessen Scan-Programm mittlerweile auf der ganzen Welt zu finden ist. Angefangen hatte er ganz bescheiden mit einem fahrbaren Virenlabor, dem „BugBuster“, in San Francisco. Bis die Software entstand, für die er später weltberühmt wurde, rollte er feuerwehrgleich von einem Virenbrandherd zum nächsten.

 

McAfee sollte jedoch nicht der Einzige bleiben. Mittlerweile gibt es weltweit tausende von Computerspezialisten, die ihr Leben dem Kampf gegen die digitalen Plagegeister gewidmet haben.

 


1987: Elektronische Weihnachtsgrüße

Die Virenverbreitung beschränkte sich jedoch nicht auf lokale Stand-Alone-Rechner, auch das in den Kinderschuhen steckende globale Netzwerk bot jede Menge fruchtbaren Lebensraum.

 

Im Dezember 1987 kamen dann auch erstmals die Besitzer eines elektronischen Briefkastens in den Genuß eines speziellen Weihnachtsgeschenks. So tauchte urplötzlich eine Botschaft auf dem Bildschirm auf, die versprach, einen Weihnachtsbaum zu zeichnen, wenn der Benutzer das Wort „Weihnachten“ eintippte.

 

Kam der über so viel Aufmerksamkeit positiv überraschte Benutzer dieser Aufforderung nach, erschien auf dem Bildschirm tatsächlich ein aus X-Zeichen bestehender Weihnachtsbaum, zusammen mit einer freundlichen Weihnachtsbotschaft. Während sich die meisten der schwer arbeitenden Tastendrücker noch über diese nette Geste freuten, arbeitete das dafür verantwortliche Programm im Hintergrund. Es kopierte und verschickte sich selbst an alle Benutzer, deren Netzwerkadressen es in der entsprechenden Mail-Datei auf der Festplatte fand. Da bereits zur damaligen Zeit eine rege, internationale Vernetzung existierte und in jedem Rechner die Adressen von anderen Systemen gespeichert waren, wanderte das Programm in kürzester Zeit um die Welt. Jeder angeschlossene Rechner bekam seinen eigenen Weihnachtsbaum und sorgte nach Aufruf des Programms durch den Benutzer automatisch nach dem Schneeballprinzip für die Weiterverbreitung.

 

Natürlich legte der auf diese Weise immens aufgeblähte Netzverkehr in kurzer Zeit ganze Rechnerverbände lahm. Besonders schwer traf es das Electronic-Mail-System der IBM. Die Weihnachtsbotschaft infizierte so viele Systeme, daß das weltweite Network der IBM im wahrsten Sinne des Wortes k.o. darniederlag. Zweiundsiebzig Stunden ging praktisch nichts mehr. Erst als die internen Verbindungen zwischen Rechenanlagen und Terminals gekappt wurden, bekamen die Verantwortlichen die Tannenbaumplage in den Griff.

 

Wie sich später herausstellte, war ein wohlmeinender Student Urheber der Misere. Er wollte mit seiner Weihnachtsbaumbotschaft lediglich Bekannte an der Universität erfreuen. Die Weihnachtsbotschaft sollte sich an alle in der Adreßdatei gespeicherten Personen versenden. Dabei ließ der Erfinder aber außer acht, daß die Hochschule, an der der Gruß umgehen sollte, Vernetzungen in alle Welt besaß. Das war´s. Tannenbaum nahm einfach die Adreßdatei der Hochschule in Augenschein und verschickte sich selbst an alle gefundenen Adressen. Die Lawine geriet ins Rutschen.

 

Um die Weihnachtsbotschaft schlußendlich loszuwerden, wurde eine Warnung durchgegeben, die den Benutzer beim Einloggen über die Grußbotschaft informierte. Tannenbaum hatte fortan keine Chance mehr, wurde gejagt und zur Strecke gebracht.

 


1988: Jerusalem und der Internet-Wurm

1988 wurde ein gutes Jahr für Viren und ein schlechtes für viele Anwender. Viren züchten war in, die ersten Mailboxen, sogenannte VX-Boards (Virus Exchange), als Umschlagplätze der Untergrundszene für neue und alte Viren wurden gegründet.

 

In diesem Jahr entstand dann auch ein besonderes Exemplar, das zum Urvater einer ganzen Familie wurde, deren Nachkommen bis heute ihr Unwesen treiben. Dieser Virus, der seinen Namen dem Ort seines ersten Auftretens, der Hebräischen Universität Jerusalem, verdankt, wurde am Feritag, dem 13. (Mai) aktiv. Eine Tradition, die viele Viren auch heute noch pflegen.

 

Der Austausch zwischen den Schöpfern der digitalen Plagen funktionierte mittlerweile recht gut; beschäftigten sich doch die einschlägigen Untergrundmagazine sehr ausführlich mit diesem Phänomen. So wurden unter anderem komplette Source-Codes veröffentlicht, was in der Regel dazu führte, daß der betreffende Virus dutzendfach nachgebaut wurde und in zahlreichen abgewandelten Varianten erschien.

 

Auch das Internet wurde wieder zum Schauplatz eines globalen Virengefechts. Am 2. November 1988 machte sich ein Exemplar, das als Internet-Wurm in die Geschichte eingehen sollte, auf den Weg in das globale Netzwerk. Der Infiltrator war clever programmiert und hatte durchschlagenden Erfolg, überwand die meisten Sicherheitshürden und übersprang paßwortgeschützte Systemprozeduren. Dabei ging er ziemlich simpel vor: Er arbeitete unter anderem eine interne Liste von hunderten möglichen Paßwörtern ab, von denen mehr als einmal das Richtige dabei war. Nachdem der Wurm auf diese Weise in das System eingedrungen war, versandte er sich in bester Tannenbaum-Tradition an andere angeschlossene Stationen, sodaß er bereits nach kurzer Zeit im gesamten amerikanischen Wissenschafts- und Universitätsnetzwerk zu finden war.

 

Einigen Spezialisten, die mitten in der Nacht noch vor ihren Terminals saßen, fiel zunächst nur die verzögerte Reaktion ihrer Rechenanlagen auf. Darstellungen erschienen im Schneckentempo auf den Bildschirmen. Normale Rechanaufgaben liefen wie in Zeitlupe ab, während sich im Hintergrund irgendetwas Merkwürdiges tat. Nach ersten Untersuchungen wurde ein Fremdkörper im System festgestellt. Obwohl zu diesem Zeitpunkt feststand, daß etwas Außergewöhnliches vorging, rechnete kaum jemand mit einer Virusinfektion. Das Erwachen folgte prompt.

 

Mit Entsetzen mußten die Verantwortlichen feststellen, daß der Untergrundaktivist binnen kürzester Zeit an jedem vernetzten System anklopfte. Paßwortsperren wurden überwunden und Sicherheitsprotokolle außer Kraft gesetzt. Versuche, den eigentlichen Übeltäter zu packen und den Code zu analysieren, verliefen aufgrund dessen cleverer Programmierung zunächst im Sande. Vielfach wußten sich die Systemadministratoren keinen anderen Rat, als die Netzwerkverbindungen zu kappen. (So geschehen unter anderem im Los Alamos National Laboratory.) Auch als der Programmcode des Wurms an der Universität in Berkeley identifiziert wurde, wußte man sich vorerst keinen Rat, da kein Gegenmittel bekannt war. Eine Löschung hatte keinen Sinn, da über die internationalen Netze eine Angriffswelle nach der anderen heranrollte und für neue Infizierungen sorgte. Da niemand zu sagen vermochte, ob der Virus harmlos war oder nicht, kam Panikstimmung auf.

 

Mittlerweile fiel auch das e-Mail-Netz wegen der permanenten Infektionen als Mittel der Datenübertragung aus. Es blieb nur das gute alte Telefon, über welches die Bekämpfung organisiert wurde, sodaß es erst nach Tagen gelang, der Plage Herr zu werden. Der Schaden durch die Unbrauchbarkeit ganzer Rechnernetzwerke dürfte enorm gewesen sein.

 

Als Urheber des fortan als „Internet-Wurm“ bezeichneten Programms wurde bald darauf ein Student namens Robert T. Morris jr. ausgemacht. Pikante Fußnote: Morris war nicht nur ein cleverer Programmierer, sondern nebenbei auch der Sohn des leitenden Computer-Sicherheitsexperten der amerikanischen Nachrichtenbehörde NSA.

 

 

 


1990 – 1995: PC und Amiga under attack

Mit dem endgültigen Durchbruch des PC-Betriebssystems DOS wuchs die Virenplage sprunghaft an. Allerdings mußte auch der Anfang der neunziger Jahre noch massenhaft verkaufte Commodore Amiga erhebliche Attacken über sich ergehen lassen. Eine reichliche Anzahl in Heimarbeit gebastelter Viren terrorisierte die zumeist minderjährigen Benutzer, von denen manch einer frustriert zum Gegenschlag ausholte.

 

So verschlüsselte bereits 1991 der „Saddam-Hussein“ – Virus vorhandene Datenträger, die ohne residenten Virencode im Speicher nicht mehr lesbar waren. Mit dem Beinahe-Aussterben dieser Produktlinie und dem Bankrott der Firma Commodore wanderten viele Virenzüchter in Richtung PC ab. Ihr Know-How nahmen sie mit.

 

Aber auch die Saboteure an der PC-Front waren nicht müßig. Mit der massenhaften Ausbreitung von MS-DOS verbreiteten sich auch die zugrhörigen Viren. Ganze Hundertschaften an neuen Viren und Virenstämmen entstanden. Die wenigsten davon überlebten jedoch dauerhaft. Viele richteten Schäden an, andere zeigten Grafiken oder trieben mit den Benutzern niveaulose Scherze. Ein relativ harmloses Exemplar legte zum Beispiel den Rechner lahm und verlangte für eine Wiederaufnahme der Arbeit die Eingabe von „Happy Birthday Joshi“. Ein besonders bösartiges Exemplar ließ den Benutzer mit einer simplen Slot-Machine um seine Festplatte spielen. Gewann er, konnte die Komplett-Formatierung der Festplatte abgewendet werden. Eine Abwandlung löschte auch dann die Festplatte, wenn der Benutzer gewann.

 

Anfang der neunziger Jahre machten insbesonders bulgarische Programmierer als diejenigen mit dem höchsten Virenausstoß von sich reden. Kein Wunder, in Sofia gab es eine regelrechte „Virenfabrik“, einen Zusammenschluß von Programmierern nebst zugehöriger Mailbox, in der jede Woche dutzende von neuen Viren entstanden. Diese Entwicklung blieb jedoch nicht ohne Folgen. Sensationsheischend ergingen sich diverse Boulevardblätter – mit Vorliebe in den auflagenschwachen Sommermonaten – in düsteren Weltuntergangsszenarien. So wurde insbesonders der zwar destruktive, aber leicht zu beseitigende Michelangelo-Virus, der am Geburtstag des italienischen Allround-Genies (6. April) die Festplatte löscht, zu einem technologieverschlingenden Monster aufgebauscht. Anderen ähnlich zerstörerischen Viren erging es ebenso. Zu einer vernünftigen und angemessenen Auseinandersetzung mit der Virenproblematik kam es selten.

 

Dabei gab und gibt es Grund zur Vorsicht: Die vorwiegend in Assembler programmierten Viren wurden immer komplexer, konnten mutieren und verfügten mittlerweile über variable Verschlüsselungen und verschiedene Stealth-Techniken. Allein im Jahr 1994 entstanden mehr als 2000 neue Exemplare, von denen allerdings nur wenige eine wirkliche Verbreitung erlangten.

 

Auf dem Höhepunkt des DOS-Zeitalters 1994/1995 (die Ära der 486er Prozessoren, auch die ersten Pentiums mit 60 bis 133 MHz erschienen auf dem Markt) tauchten Multipartite-Viren auf. Diese hochkomplexen Hybrid-Viren nutzen verschiedene Infektionsmechanismen und können gleichzeitig neben Dateien auch Bootsektoren und Partitionstabellen befallen. Besonders hinterhältige Vertreter diese Art verschlüsseln Bootsektor und Datenstruktur der Festplatte, die dann ohne aktiven Virus im Speicher nicht mehr lesbar ist. Als Beispiele zu nennen wären hier insbesonders „One Half“, „Monkey“ und „Neuroquila“.

 

Wirklich gefährliche Viren wurden und werden zwar immer noch in nächtelanger Kleinarbeit gebastelt, in den Underground-Mailboxen tauchten aber auch zunehmend verschiedene Viren-Toolkits und „Virus Construction Kits“ auf, mit denen jeder seinen eigenen Virus erstellen und mit polymorphen Eigenschaften versehen konnte, sodaß sich auch zunehmend programmierunkundige Laien am Artenzuwachs beteiligen konnten.

 

 

 


Der globale Austausch und die Internationalisierung der Virenszene

Auch ein Virenprogrammierer strebt nach Austausch mit Gleichgesinnten. Informationen über neue Techniken, Sicherheitslücken und das verschwörerische Gieren nach Anerkennung – zumindest im kleinen Kreis der „Auserwählten“ – haben seit Beginn der Virenplage eine Reihe von international betriebenen Mailboxen und Internet-Adressen herforgebracht, auf denen reger Verkehr herrscht. Per Modem und Telefonleitung wandern neue und alte Sourcecodes und Bastelanleitungen nebst frischen Viren in Sekundenschnelle rund um die Welt.

 

Aus dem vor einigen Jahren noch relativ sporadisch stattfindenden Austausch über einige Szene-Mailboxen in den USA – erinnert sei hier nur an die als Institution geltende „Black Axis“ – haben sich mittlerweile feste Strukturen herausgebildet, die heute fast ausschließlich über das Medium Internet un seinen Web- und FTP- Spielarten funktionieren. Virenprogrammierer und solche, die sich dafür halten, schlossen sich zu festen internationalen Gruppen zusammen, die ausschließlich per Datenleitung miteinander kommunizieren. Zu nennen wären hier nur einige der bekanntesten, wie Phalcom/Skisim, Nuke oder YAM (steht für „Youngsters Against McAfee“)

 

Wurde anfänglich nur denjenigen Anwendern Zugriff auf die gespeicherten Inhalte gewährt, die sich durch Ausfüllen eines unfangreichen Fragenkatalogs als szenezugehörig identifizieren konnten, wurde später vielfach nur noch das Hochladen eines selbstprogrammierten Exemplars als Zugangsvoraussetzung festgeschrieben. (Dies ist unter anderem ein Grund für die Flut von leicht abgewandelten Varianten bereits bekannter Viren, deren Sourcecode seit längerem bekannt ist.) Mit der Zeit entstanden regelrechte Untergrund-Magazine, die ebenfalls über Internet verschickt wurden. Zu nennen wären hier z.B. „40HEX“ oder das „Nuke Info Journal“

Davon, daß diese Entwicklung weiter anhalten wird – auch wenn sich der Schwerpunkt der Virenzucht von der DOS-Plattform in attraktivere Bereiche verlagert hat – ist auszugehen.

 

Wirksame Viren für Apple-Rechner kann man eigentlich an den Fingern beider Hände abzählen. Echte Unix- und OS/2-Viren sind kaum vorhanden. Aufgrund der hierfür notwendigen Komplexität und Größe sind derartige Exemplare schwer zu programmieren und wesentlich leichter zu entdecken; haben also schlechtere Voraussetzungen für den Überlebenskampf in freier Wildbahn als ihre DOS-Verwandtschaft.

 

Eine neue Entwicklung begann sich abzuzeichnen. Auf Rechnern mit 32-bit – Betriebssystemen verschwindet der natürliche Lebensraum der Assembler-Viren. Lediglich in emulierten DOS-Boxen können derartige Exemplare ein eingeschränktes Dasein fristen.

 

Das Mischsystem Windows95 stellte zwar ebenfalls eine lebensfeindliche Umwelt für die meisten der digitalen Plagegeister dar, bot aber durch seine Abwärtskompatibilität genügend Ansatzpunkte für überraschende Terroraktionen. Durch „amoklaufende“ Viren, die mit der veränderten Umgebung nicht zurechtkamen, konnte jedoch ebenfalls eine Menge Schaden angerichtet werden.

 

Obwohl die Zeiten massenhafter Verbreitung für bislang herkömmliche Viren mit dem allmählichen Ende der DOS-basierten Systeme dem Ende entgegengingen, konnte dennoch keine Entwarnung gegeben werden. Die Entwicklung läßt sich nicht aufhalten, der nächste Evolutionssprung hat bereits stattgefunden. Dabei stellten jedoch keinesfalls speziell für Windows95 entwickelte Viren die Hauptgefahr dar. Weitaus gefährlicher waren in jedem Fall die neu entstandenen Makro-Viren, die, wie sich zeigen sollte, eine völlig neue Qualität der Virenplage darstellten.


1995: Windows-Makroviren – die neue Dimension des Schreckens

Mit der zunehmenden Gier nach erweiternden Features bei Anwendersoftware wurden die integrierten Makro-Sprachen weiter ausgebaut und mit mächtigen Befehlen und Möglichkeiten versehen. Das bekannteste Beispiel ist hier wohl die Sprache „WordBasic“, die z.B. in den Applikationen von Microsoft Office zu finden ist. Mit den zunehmenden Möglichkeiten dieser Makro-Sprachen steigt natürlich auch die Gefahr des Mißbrauches zur Entwicklung von Viren.

 

Der wohl erste Vertreter dieser neuen Gattung war „Concept.A“, der noch 1995 - wenige Wochen nach der Markteinführung von Windows95 – die Word-Benutzer nervte: Nachdem das System von „Concept.A“ infiziert war, zeigte sich ein kleines Textfenster mit einer „1“ im linken oberen Bereich. Dieses Fenster konnte durch Anklicken des „OK-Buttons“ geschlossen werden. Weiters tat sich nichts. Eine Schadensfunktion war hier noch nicht implementiert. Es dürfte sich dabei um einen Experimentalvirus gehandelt haben, der lediglich dazu diente, die Machbarkeit solcher Viren zu beweisen. Kurz darauf existierten jedoch bereits mehrere Varianten, die leider weit weniger harmlose Veränderungen bewirkten.


1998: CIH – Der BIOS-Mörder

Der CIH-Virus wurde am 26. April 1998 erstmals in Umlauf gebracht. Der Schöpfer des Viruses, Chen Ing-Hou, ist ein ehemaliger Student des Tatung College in Taiwan. Der Virus legte damals Teile des universitätsinternen Netzes lahm. Nachdem Chen Ing-Hou vor Mitschülern und Lehrern geprahlt hatte, wurde er noch im April 1998 von der Universität verwarnt. Eine Exmatrikulation oder eine polizeiliche Ermittlung fand zu diesem Zeitpunkt nicht statt. Chen gibt an, daß er nicht härter bestraft wurde, da er seine Kommilitonen gewarnt hätte. Er gab zu, daß er seine Initialen, die nun für die Benennung des Viruses verwendet werden, gezielt in den Viruscode integriert hat. Der 25-jährige verließ das Tatung Institute of Technology in Taipei 1998 mit einem Abschluß in Information Engineering. Nach seinem Studium leistete er in Taiwan seinen zweijährigen Wehrdienst ab. Bei einer Verurteilung würden dem Erfinder des Viruses eine 3-jährige Haftstrafe oder eine Geldstrafe drohen. Bei Vernehmungen durch die Polizei gab Chen Ing-Hou an, daß er schon 1998, geschockt von der zerstörerischen Wirkung des Viruses, ein Programm ins Netz gestellt habe, mit dem man die Existenz des Virus auf einem System feststellen kann. Die Seite stieß auf kein besonderes Interesse; wahrscheinlich auch, weil sie für Nicht-Chinesen nicht zu lesen war. Ob Chen Ing-Hou jemals Strafe zu fürchten hat, ist mehr als ungewiß: Solange kein Bürger Taiwans Klage gegen ihn erhebt, wird es auch zu keinem Prozeß kommen.

 

Der Virus ist unter Windows 95 oder 98 immer aktiv im Speicher. Dabei nutzt er eine komplizierte Technik, bei der er sich von der Anwendungsebene ("Ring 3") sofort in die abgeschotteten Windows-System-Speicherbereiche ("Ring 0") einnistet, auf die er eigentlich keinen Zugriff haben sollte: Möglich machen das eine Reihe von Fehlern in Windows 95 und Windows 98. Dort kann er praktisch unsichtbar sein schädliches Werk treiben: Er infiziert jede Windows PE Datei (Portable Executable), die geöffnet oder erstellt wird. Dabei geht er sehr trickreich vor und versteckt sich in den „Hohlräumen“, also in unbenutzten Programmbereichen, des von ihm infizierten Programms. Diese Technik ist nicht ganz neu: „Lehigh“, einer der ersten Dateiinfizierer, nutzte exakt diese Technik. Diese „Hohlräume“ resultieren aus der Struktur von PE Dateien: alle Dateibereiche sind ausgerichtet nach Werten, die im Header der PE-Datei definiert sind, und so bleiben zwischen den Blöcken immer ungenutzte Bereiche.

 

Wie der Virus attackiert:

 

Hat der Virus beim Durchlaufen seiner „Zünder“-Routine entdeckt, daß sein Ausbruchsdatum (je nach Version 26. April bzw. 26. jedes Monats) erreicht ist, versucht er, ein Byte des BiosBootBlock und die ersten 2048 Sektoren aller Festplatten mit zufälligem Datenmüll aus dem Arbeitsspeicher zu überschreiben. Dazu nutzt er direkten Zugriff auf Flash BIOS ports und "VxD direct disk access calls" (IOS_SendCommand). Der BiosBootBlock befindet sich auf Bios-EPROM-Chip und enthält Code, der für die „inital hardware tests and bootstrapping“ zuständig ist. Da viele Bios eine page size von 128 Byte nutzen und CIH nur ein Byte beschreibt, werden die restlichen Bytes dieser Seite auf FFh gesetzt. Beim nächsten Bootversuch enthält dieser Block dann nur noch nicht ausführbaren Code, der Bildschirm bleibt schwarz oder kommt über die Hardwareinitialisierung nicht hinaus. Seit der Einführung der FlashBios Technologie in Desktop PCs war der Computer- Sicherheitsindustrie die Möglichkeit eines bösartigen Angriffs bewußt. Genau dies ist jetzt auch eingetreten. Der CIH-Virus ist damit einer der wenigen Viren, die tatsächlich die Hardware eines Computers schädigen können. Doch nicht jede Attacke gelingt, da für einen erfolgreichen Angriff mehrere Faktoren zusammenspielen müssen:

 

1. Die Funktion des Motherboard-Chipsets: Manche Hersteller integrieren spezielle Hardware-Schutzschaltungen, so daß das Standard-Verfahren zum Schreiben des Flash-EPROMs nicht funktioniert.

 

2. Die Funktion des Flash-EPROM-Chips: CIH benutzt ein Kommando, um einen Speicherblock zu löschen, das mindestens auf den EPROM Chips Intel 28F010, Intel 430TX Chipset und dem Macronics MXIC funktioniert. Wahrscheinlich funktioniert dies mit den meisten Intelchips und einigen neueren 486 chipsets. Welche anderen Flash-EPROM-Typen betroffen sind, stand zurzeit noch nicht fest.

 

3. Das BIOS-Programm: Auch wenn der Virus immer die gleichen BIOS-Adressen überschreibt, können die Effekte bei verschiedenen BIOS-Familien (AWARD, AMI, Phoenix) unterschiedlich sein, da an derselben Adresse unterschiedliche Routinen stehen können und nicht alle Routinen zum Start des Rechners benötigt werden.

 

4. Die Spannungsversorgung für das Flash-EPROM: Manche Chips brauchen 12 Volt zum Schreiben, werden sie per Jumper-Stellung nur mit 5 Volt versorgt, sind sie vor dem Überschreiben geschützt. Andere Chips können bei beiden Spannungen beschrieben werden. Einige Hersteller liefern ihre Systeme grundsätzlich im beschreibbaren Zustand aus.

 

5. Schreibschutz-Jumper: Falls überhaupt ein Schreibschutz-Jumper vorhanden ist, wirkt er trotzdem nicht immer. Manche Flash-EPROM-Typen werten Schreibschutz-Signale an Steuerleitungen aus, andere nicht. Generelle Aussagen über Motherboard-Typen sind nicht möglich, denn selbst bei der Produktion einer Motherboard-Serie werden je nach Verfügbarkeit und Preis verschiedene Flash-EPROM-Bausteine eingesetzt.

 

6. Das Timing: Üblicherweise flashen die Hersteller nicht von Windows aus, weil beim Schreiben auf die genaue zeitliche Abfolge geachtet werden muß, was unter Windows nicht gewährleistet ist. Der CIH-Virus läuft unter Windows und könnte deshalb gelegentlich Probleme haben, das BIOS zu überschreiben, weil die Ausführung durch den Windows-Overhead zeitlich nicht korrekt abläuft. (Quelle Chip)

 

Des weiteren konnte CIH auch das Flash-Bios einiger Modems überschreiben. Auch hier ist das Flashen eine gerne genutzte Möglichkeit der Hersteller, ein Modem upzudaten. Eines der CIH-Opfer war zum Beispiel das zu dieser Zeit sehr beliebte US-Robotics 56k Sportster Flash – Modem.


2000: I Love You – Liebesgrüße von den Philippinen

Anfang April 2000 hat ein Computervirus namens LoveLetter sein Unwesen getrieben. Tausende von wertvollen Daten in Firmen aber auch bei Privatpersonen wurden vernichtet, da die Antivirenprogramme den Schädling noch nicht kannten. Technisch gesehen waren alle dem Virus schutzlos ausgeliefert, da er bestimmte Schwächen der Mailsysteme nutzte.

 

LoveLetter ist ein sogenannter eMail-Wurm, der sich über das Internet verbreitet. Mail-Nachrichten die den Betreff "ILOVEYOU" und den Nachrichten Text "kindly check the attached LOVELETTER coming from me" aufwiesen, waren mit dem Virus verseucht. Der Schädling befand sich im beigefügten Datei-Anhang. Sobald der Anhang, der den Namen "LOVE-LETTER-FOR-YOU.TXT.vbs" trägt geöffnet wird, verschickt sich das Virus selbständig an sämtliche Mail-Adressen aller Adressbücher. Es werden aber auch die gesamten *.jpg und *.mp3-Dateien, die sich auf der Festplatte befinden, zerstört.

 

Ein weiterer Teil des Virus versuchte, ein kleines Programm mit dem Namen „WIN-BUGSFIX.EXE“ herunterzuladen und zu installieren. Hierbei handelte es sich um einen sogenannten Trojaner (auch eine Gattung von Viren, die meist eine sinnvolle Funktion vortäuschen – und teilweise auch durchführen – um im Hintergrund und vom Anwender unbemerkt ihrer eigentlichen Arbeit nachzugehen), der – einmal aktiv – alle am PC gespeicherten Passwörter (so zum Beispiel das für den Internet-Zugang, die Mailbox etc.) auslas um diese dann an einen Empfänger auf den Philippinen zu versenden.

 

Kurz darauf waren neue Viren, die auf LoveLetter basierten, im Umlauf. Mails mit den Betreff-Zeilen "Bewerbung Kreolina", "Virus ALERT!!!", "Dangerous Virus Warning", und "Important! Read carefully" sollten sofort gelöscht werden, da sie den Loveletter Virus enthalten. Große Gefahr besteht auch bei den Virus-Mutationen "Mother`s Day", "Susitikim, no comments" und "very funny". Diese drei Exemplare sind Weiterentwicklungen des LoveLetter Virus.


2001: Nimda

Bisher wurde allgemein davon ausgegangen, daß man sich einen Virus nur dann einfangen kann, wenn ein verseuchtes e-Mail Attachment geöffnet wird. Im September 2001 folgte das böse Erwachen:

 

Nimda konnte Rechner beim Surfen befallen, aktivierte sich in einigen e-Mail-Programmen bereits, ohne dass der Benutzer einen Anhang öffnete und verbreitete sich in LANs ohne jegliches Zutun von Anwendern. Von einem unbemerkten Befall per Web-Browser waren nach aktuellen Erkenntnissen ausschließlich Surfer bedroht, die den Internet Explorer 5.x unter Windows benutzen. Frühere Versionen kamen mit dem verwendeten JavaScript-Code nicht klar und erzeugten beim Besuch einer infizierten WWW-Seite eine Fehlermeldung. Microsoft stellte das Service Pack 2 für den Internet Explorer 5.0 beziehungsweise für den Internet Explorer 5.5, das zumindest einen unbemerkten Befall verhindert, zur Verfügung. Nach der Installation fragte der Browser beim Besuch einer kompromittierten Webseite wenigstens um Erlaubnis, bevor er den Virus ausführte. (So verhält sich auch der Internet Explorer 6.0) Beim Lesen von E-Mail kann der PC infiziert werden, wenn das Mail-Programm zum Anzeigen den Internet Explorer verwendet. Zu den Mail-Programmen, die sich so verhalten, gehören neben Microsoft Outlook und Outlook Express auch Programme wie Eudora, Lotus Notes und AK-Mail. Gegen diese Art des Befalls half ebenfalls ein Update des Microsoft-Browsers. Wer den schon eingespielt hatte oder ein anderes E-Mail-Programm einsetzte, war allerdings nur vor einem unbemerkten Befall geschützt – gegen eine Infektion durch absichtliches Öffnen eines Nimda-Attachments halfen diese Maßnahmen nicht. Die in E-Mails mit Nimda-Attachment angegebene Absenderadresse bewies übrigens nicht, daß der betreffende Rechner von dem Virus befallen war. Der Schädling war raffiniert genug, sich auch falscher Absenderadressen zu bedienen. Glücklicherweise war ein Befall nach Bekanntwerden einiger Virusdetails leicht zu überprüfen: Im Windows-Verzeichnis war eine exakt 57.344 Bytes großen Datei namens „load.exe“ vorhanden. W32/Nimda-A ist ein Windows32-Virus, der sich via E-Mail, Netzwerkfreigaben und Websites verbreitet. De betroffenen E-Mails enthielten eine angehängte Datei namens README.EXE. Der Virus versuchte, eine Schwachstelle in einigen Versionen von Microsoft Outlook, Microsoft Outlook Express und Internet Explorer auszunutzen, so daß die Exe-Datei automatisch ausgeführt wird, ohne daß der Anwender auf das Attachment doppelklicken muß. Der Virus leitet sich an andere E-Mail-Adressen weiter, die er auf dem Computer findet. Weiterhin sucht der Virus nach IIS-Webservern, die von der Schwachstelle in Unicode Directory Traversal betroffen sind. Er versucht, den Inhalt der Seiten auf diesen Servern zu ändern.Besucht ein Anwender diese Website mit einer nicht sicheren Version des Internet Explorers, lädt der Schäden verursachende Code automatisch eine Datei namens readme.eml auf den Computer des Anwenders herunter. Diese Datei wird ausgeführt, wobei der Virus einweiteres Mal weitergeleitet wird.

 

Pikantes Datail am Rande: Microsoft selbst hat im Mai 2002 den Nimda-Virus versehentlich an User in Süd-Korea geschickt; verpackt war der digitale Übeltäter in der koreanischen Sprachversion von Visual Studio .Net.

Der Redmonder Konzern hatte kurz darauf den Vorfall bestätigt. Offensichtlich sei der Virus in das Paket gelangt, als dieses von einer dritten Firma in die ostasiatische Sprache übersetzt worden war. Laut Microsoft waren keine anderen Sprachpakete von dem Virus befallen.

Das infizierte File befand sich im selben Verzeichnis, in dem auch die Hilfedateien lagen. Visual Studio .Net könnte von sich aus die Datei allerdings nicht öffnen, so Microsoft. Selbst wenn der gefährliche Code ausgeführt werden würde, wäre die Gefahr einer Verbreitung gering: Um sich fortzupflanzen, braucht Nimda Systeme mit dem Internet Explorer 5.5 oder niedriger, Visual Studio .Net benötigt aber die Version 6.0 des Browsers.

Visual Studio .Net wurde im Februar 2002 veröffentlicht, die koreanische Version folgte drei Monate später. Angeblich waren die Systeme der Firma, die das Tool ins Koranische übersetzte, selbst mit Nimda verseucht.

Microsoft selbst hat bei der Überprüfung offenbar geschlampt: Normalerweise würden alle Dateien gescannt, allerdings habe man in diesem Fall nur nach Dateien gesucht, mit denen man selbst in Redmond gerechnet hatte. Nimda tauchte auf der Liste wohl nicht auf.


2002: Bugbear