Verfügbare Informationen zu "Die Geschichte der Schadprogramme & Malware Trends"
Qualität des Beitrags: Beteiligte Poster: benjamin Forum: Benjamin Forum World Forenbeschreibung: Hab Spaß hier aus dem Unterforum: News Antworten: 2 Forum gestartet am: Freitag 09.02.2007 Sprache: deutsch Link zum Originaltopic: Die Geschichte der Schadprogramme & Malware Trends Letzte Antwort: vor 15 Jahren, 5 Monaten, 28 Tagen, 2 Minuten
Alle Beiträge und Antworten zu "Die Geschichte der Schadprogramme & Malware Trends"
Re: Die Geschichte der Schadprogramme & Malware Trends
benjamin - 16.11.2008, 21:55Die Geschichte der Schadprogramme & Malware Trends
(Teil 1)
Die Geschichte der Schadprogramme
Schadprogramme scheinen ein relativ neues Phänomen zu sein. Durch die Epidemien der letzten Jahre sind den meisten Computeranwendern Viren, Würmer und Trojaner ein Begriff geworden - meist aufgrund der Infizierung des eigenen Computers. Aber auch die Medien haben dabei eine Rolle gespielt, indem sie immer regelmäßiger über die neuesten Cyber-Bedrohungen und Verhaftungen von Virus-Schreibern berichteten.
Trotzdem handelt es sich bei Schadprogrammen nicht um ein wirklich neues Konzept. Auch wenn die ersten Computer nicht von Viren befallen waren, so waren sie doch potentiell angreifbar. Allerdings verstanden in den Kindertagen der Informationstechnologie zu wenige Menschen das System des Computers gut genug, um es ausnutzen zu können.
Aber sobald die Computer etwas weiter verbreitet waren, begannen auch die Probleme. Viren tauchten zunächst in geschlossenen Netzwerken auf, wie in dem ARPANET in den 70er Jahren. Der von Apple in den frühen 80erJahren ausgelöste Personal-Computer-Boom löste einen ebensolchen Viren-Boom aus. Immer mehr Menschen hatten nun direkten Zugriff auf Computer und somit die Möglichkeit, zu begreifen, wie diese Maschinen funktionieren. Ohne Zweifel nutzten einige von ihnen ihr Wissen in unlauterer Absicht.
Zeitgleich mit der Technologie entwickelten sich auch die Viren. Innerhalb nur weniger Jahrzehnte hat sich die Computertechnologie geradezu unvorstellbar gewandelt. Die extrem eingeschränkten Maschinen, die mit einer Floppy-Disk hochgefahren wurden, sind heute leistungsstarke Systeme, die in der Lage sind, riesige Datenmengen innerhalb kürzester Zeit zu versenden, E-Mails an Hunderte und Tausende von Adressen zu schicken und die Anwender mit Filmen, Musik und interaktiven Web-Sites zu unterhalten. Die Autoren von Schadprogrammen haben mit dem Tempo Schritt gehalten.
Während die Viren der 80er Jahre eine Vielzahl von Betriebssystemen und Netzwerken im Visier hatten, richten sich die meisten Viren heute gegen die verwundbaren Punkte der meistbenutzten Software: gegen Microsoft Windows. Das bedeutet, dass die überwältigende Mehrzahl von Anwendern heute aktiv von Viren-Schreibern angegriffen wird. Die ersten Schadprogramme mögen die User geschockt haben, weil ihre Computer plötzlich verrückt spielten. Doch die Viren, die erstmals in den 90er Jahren auftauchten, stellen eine ganz andere Art der Bedrohung dar: Sehr oft werden sie eingesetzt, um vertrauliche Informationen, wie z.B. Bankverbindungs-Details und Passwörter auszuspionieren.
Schadprogramme sind also ein lohnendes Geschäft geworden. Das Verständnis der bestehenden Bedrohung ist unerlässlich für den sicheren Umgang mit dem Computer. Dieser Abschnitt soll Ihnen einen Überblick über die Entwicklung von Schadprogrammen geben. Es bietet einen Blick auf einige interessante geschichtliche Begebenheiten sowie einen Hintergrund, der helfen soll, die Ursprünge der heutigen Cyber-Bedrohungen zu verstehen.
Die Anfänge - ein wenig Archäologie
Die Fachleute streiten bis heute, wann genau der erste Computervirus tatsächlich auftauchte, aber zumindest einige Fakten sind sicher: Der erste Computer, dessen Erfindung Charles Babbadage zugeschrieben wird, hatte keinerlei Viren. Der Univax 1108 und der IBM 360/370 Mitte der 70er Jahre waren hingegen schon befallen.
Die Idee von Computerviren kam allerdings schon sehr viel früher auf. Als Ursprung können die in den 40er Jahren populären Arbeiten von John von Neumann über selbst-reproduzierende mathematische Automaten angesehen werden. 1951 schlug Neumann bereits Methoden vor, die die Schaffung solcher Automaten demonstrierten.
1959 veröffentlichte der britische Mathematiker Lionel Penrose in der Zeitschrift 'Scientific American' einen Artikel über automatische Selbstreproduktion. Anders als Neumann beschrieb Penrose ein einfaches zweidimensionales Modell ähnlicher Struktur, das in der Lage war, sich zu aktivieren, sich zu multiplizieren, zu mutieren und zu attackieren. Kurz nach Erscheinen von Penrose' Artikel setzte Frederick G. Stahl dieses Modell mit Hilfe der Maschinensprache in einem IBM 650 in die Tat um.
Es sollte angemerkt werden, dass diese Arbeiten der zukünftigen Entwicklung von Computerviren nie den Weg bereiten wollten. Im Gegenteil waren diese Wissenschaftler bestrebt, unsere Welt zu verbessern und den Menschen das Leben auf dieser Erde zu erleichtern. So legten ihre Arbeiten ebenso den Grundstein für viele spätere Studien zur Robotertechnik und zur künstlichen Intelligenz.
Im Jahre 1962 entwickelte eine Gruppe von Ingenieuren der amerikanischen Firma Bell Telephone Laboratories - V. Vyssotsky, G.Mcllroy und Robert Morris- ein Spiel mit dem Namen 'Darwin'. Das Spiel sah im Speicher des Computers einen so genannten Spielleiter vor, der die Regeln des Spiels und die Reihenfolge der Kämpfe zwischen den wettstreitenden Programmen festlegte, welche wiederum von den Spielern geschaffen wurden. Die Programme waren in der Lage, die gegnerischen Programme zu verfolgen, zu zerstören und - am entscheidendsten - sich selbst zu vervielfältigen. Das Ziel des Spiels bestand darin, die Programme des Mitspielers zu löschen und die Kontrolle über das Schlachtfeld zu erlangen.
Die theoretischen Forschungen der Wissenschaftler sowie das harmlose Spiel der Ingenieure wurden in dem Augenblick überschattet, als die Welt feststellen musste, dass die Theorie von selbstreproduzierenden Einheiten mit nicht geringerem Erfolg für völlig andere Zwecke genutzt werden kann.
Die frühen 70er
Anfang der 70er
Irgendwann Anfang der 70erJahre tauchte der Creeper-Virus im ARPANET auf, einem Computer-Netzwerk der US-Armee, das als Vorläufer des heutigen Internet gilt. Das Programm war für das zu der Zeit populäre Betriebssystem Tenex geschrieben und war in der Lage, sich unabhängig über ein Modem Zugang zu einem Computer zu verschaffen und sich dann selbst ins Remote-System zu kopieren. Bei befallenen Systemen erschien die folgende Nachricht auf dem Monitor: 'I'M THE CREEPER: CATCH ME IF YOU CAN.'
Kurz danach wurde anonym das Reaper-Programm geschrieben, das in der Lage war, den Creeper-Virus unschädlich zu machen. Reaper war ein Virus: er verbreitete sich innerhalb eines Netzwerkes und suchte den Creeper-Virus. Wurde das Programm fündig, so löschte es den Creeper. Heute kann niemand mit Bestimmtheit sagen, ob Reaper eine Reaktion auf Creeper war, oder ob das Programm von derselben Person bzw. Personengruppe geschrieben wurde, die auch den Creeper geschaffen hatte, um ihren Fehler zu revidieren.
1974
Ein Virus mit dem Namen Rabbit erschien auf der Bildfläche. Er hieß Rabbit, weil seine einzige Funktion darin bestand, sich selbst zu vervielfältigen und auf andere Computer überzugehen. Der Name Rabbit, zu Deutsch Kaninchen, wies außerdem auf die Geschwindigkeit hin, mit der der Virus sich vermehrte. Er verstopfte die infizierten Computer mit Kopien seiner selbst und beeinträchtigte deren Leistungsfähigkeit. Sobald Rabbit eine bestimmte Anzahl von Kopien auf einem Computer produziert hatte, brach er automatisch zusammen.
1975
1975 tauchte ein weiteres Spiel, Pervading Animal, auf, geschrieben für den Univac 1108. Bis heute herrscht Uneinigkeit darüber, ob es sich dabei um einen weiteren Virus oder um den ersten Trojaner handelte.
Die Spielregeln waren simpel: Der Spieler dachte sich ein Tier aus und das Programm stellte Fragen, um so das Tier zu erraten. Das Spiel verfügte über eine Selbstkorrektur-Funktion, d.h. wenn es das Tier nicht identifizieren konnte, aktualisierte das Programm sich selbst und stellte daraufhin neue Fragen. Die neue, aktualisierte Version überschrieb die alte, aber zusätzlich kopierte das Programm sich selbst in andere Verzeichnisse, so dass nach einer gewissen Zeit alle Verzeichnisse Kopien von 'Pervading Animal' enthielten. Es ist unwahrscheinlich, dass dies von den Ingenieuren beabsichtigt war, denn das Gesamtvolumen der Spielkopien belegte einen erheblichen Teil der Festplatte.
Handelte es sich hierbei einfach um einen Fehler des Autors von 'Pervading Animal' oder war es ein bewusster Versuch, das System lahm zu legen? Diese Frage lässt sich heute kaum beantworten, denn die Grenze zwischen Fehlfunktionen von Programmen und Schadprogrammen war zu dieser Zeit nicht klar zu ziehen.
Univac-Programmierer versuchten, dass Creeper-Reaper-Modell anzuwenden, um 'Pervading Animal' unter Kontrolle zu bekommen, indem sie eine neue Version des Spiels schrieben, die alte Versionen aufspürte und sie löschte. Trotzdem konnte das Problem erst mit Einführung einer neuen Version des Betriebssystems, Exec 8, vollständig gelöst werden. Das Dateien-System war modifiziert worden und das Spiel konnte sich nun nicht mehr selbst kopieren.
Die frühen 80er Jahre
Je populärer Computer wurden, desto mehr Leute begannen, ihre eigenen Programme zu schreiben. Die Entwicklung in der Telekommunikation eröffnete bequeme Wege zum Austausch von Programmen, wie z.B. mit Hilfe eines allgemein zugänglichen BBS-Servers (Bulletin Board System). Schließlich wandelten sich die BBS -Server der Universitäten zu globalen Datenbanken, die in jedem entwickelten Land zur Verfügung standen. Die ersten Trojaner tauchten in großen Mengen auf. Diese Programme waren zwar nicht in der Lage sich selbst zu reproduzieren oder zu wachsen, aber sie schädigten das System, sobald sie heruntergeladen und installiert wurden.
1981
Die Beliebtheit der Apple II-Computer besiegelte gleichzeitig das Schicksal dieser Geräte als beliebtes Angriffsziel von Viren-Schreibern. Es verwundert daher nicht, dass die erste wirkliche Virus-Epidemie der Geschichte den Apple II betraf.
Der Virus 'Elk Cloner' verbreitete sich, indem er das auf Diskette gespeicherte Betriebssystem infizierte. Wurde der Computer mittels Diskette hochgefahren, wurde automatisch auch eine Kopie des Virus gestartet. Der Virus beeinträchtigte die Funktionsweise des Computers nicht, abgesehen von der Kontrolle über die Disketten. Wurde eine nicht-infizierte Diskette eingelegt, kopierte sich der Virus automatisch auch auf diese Diskette und verbreitete sich so langsam von Floppy-Disk zu Floppy-Disk.
Der Elk Cloner-Virus infizierte den Bootsektor des Apple II. Da zu der damaligen Zeit die Betriebssysteme auf Disketten gespeichert wurden, wurde zunächst die Diskette infiziert und der Virus bei jedem Bootvorgang aktiviert. Viele Anwender wurden von den Nebeneffekten des Virus überrascht und viele infizierten die Computer von Freunden, indem sie Disketten austauschten. Denn damals hatten die wenigsten Leute eine Ahnung, was ein Computervirus ist, geschweige denn, wie er sich ausbreitet.
Charakteristisch für den Elk Cloner waren auch bewegliche Bilder, blinkende Texte und Scherz-Botschaften:
ELK CLONER:
THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT'S CLONER
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM, TOO
SEND IN THE CLONER!
1983
Der Begriff 'Virus' im Zusammenhang mit sich selbst reproduzierenden Programmen wurde erstmals von Len Adleman geprägt. Im Rahmen eines Seminars zur Computersicherheit der Lehigh Universität demonstrierte dieser Vater der modernen Computer-Virologie am 10. November 1983 ein virusartiges Programm auf einem VAX11/750-System. Das Programm war in der Lage sich selbst auf anderen System-Komponenten zu installieren. Ein Jahr später, auf der 7. jährlichen Konferenz zur Informationssicherheit definierte er den Begriff 'Computervirus' als ein Programm, welches andere Programme 'infiziert', indem es sie dahingehend modifiziert, dass sie Kopien seiner selbst installieren.
1986
1986 ist das Jahr der ersten IBM-kompatiblen Virus-Epidemie. Der Virus 'Brain', der den Boot-Sektor infizierte, war in der Lage, sich innerhalb weniger Monate weltweit auszubreiten. Der Erfolg von Brain begründet sich in erster Linie in den fehlenden Möglichkeiten der Gemeinschaft von Computeranwendern, sich vor Virusattacken zu schützen. Es gab kaum Aufklärung über das Thema Computer-Sicherheit, stattdessen wurde die Panik durch das Erscheinen zahlreicher Science-Fiction-Schriften nur weiter geschürt.
Die Autoren des Brain-Virus waren ein 19jähriger Pakistani, Basit Farooq Alvi, und dessen Bruder Amjad, die eine Textzeile mit ihren Namen, Adressen und Telefonnummern in das Programm integriert hatten. Nach Aussage der Brüder, die für einen Softwarehersteller arbeiteten, wollten sie mit Hilfe des Virus das Niveau der Computer-Piraterie in ihrem Land ausloten. Abgesehen von der Infizierung des Boot-Sektors und der Änderung des Inhaltsverzeichnisses der Diskette in '© Brain' hatte der Virus keinerlei Auswirkungen: Er beeinträchtigte weder die Funktionsweise des Computers noch verursachte er Datenverlust. Leider verloren die Brüder die Kontrolle über ihr so genanntes Experiment und der Virus verbreitete sich weltweit.
Interessant ist auch, dass 'Brain' der erste Stealthvirus war: Sobald versucht wurde, den infizierten Sektor zu lesen, stellte der Virus die nicht infizierten Originaldaten zur Verfügung.
In demselben Jahr entwickelte ein deutscher Programmierer, Ralf Burger, die ersten Programme, die in der Lage waren, ihren Code in eine ausführbare DOS-Datei im COM-Format zu kopieren. Das Modell dieses Programms wurde unter der Bezeichnung Virdem im Dezember 1986 in Hamburg auf einem Untergrund-Computerforum, dem Chaos-Computer-Club, vorgestellt. Obwohl sich die meisten Teilnehmer dieser Veranstaltung auf das hacken von VAX/VMS-Systeme spezialisiert hatten, stieß Burgers Konzept doch auf großes Interesse.
1987
1987 tritt der Vienna-Virus in Erscheinung. Sein Auftauchen und seine Ausbreitung rund um den Globus lösten heiße Diskussionen aus, insbesondere bezüglich der Frage nach der wahren Urheberschaft des Virus. Franz Swoboda wurde als erster auf den Virus aufmerksam und seine Warnung vor einem sich selbst reproduzierenden Programm namens Charlie wurde von vielen IT-Agenturen veröffentlicht und zog ebenfalls die Aufmerksamkeit der Medien auf sich. Verständlicherweise hatten viele Leute großes Interesse daran, den Autor und somit die Quelle der Epidemie zu entlarven. Es sickerte durch, dass Swoboda den Virus nach eigenem Bekunden von Ralf Burger erhalten haben sollte, was dieser wiederum entschieden bestritt. Er behauptete nun seinerseits, dass Swoboda ihm den Virus habe zukommen lassen. Es konnte nie aufgeklärt werden, wer tatsächlich der Autor dieses Schadprogramms war.
Neben der Verwirrung um die Urheberschaft von Vienna wird dieser Virus noch durch einen anderen Umstand so bemerkenswert: Einer der potentiellen Autoren, Ralf Burger, schickte den Virus an Bernt Fix, welcher es schaffte, den Virus zu neutralisieren. Das war bisher noch niemandem gelungen und macht Fix zu dem ersten modernen Antiviren-Experten. Allerdings darf man dabei nicht vergessen, dass heutige Antiviren-Fachleute die Viren nicht nur analysieren und neutralisieren - sie stellen darüber hinaus Module zum Schutz, zum Aufspüren und zur Desinfektion zur Verfügung.
Burger nutzte Fix' Arbeit und veröffentlichte den Code zur Neutralisierung des Vienna-Virus in seinem Buch mit dem Titel 'Das große Computervirenbuch', was als Pendant zu B. Khizhnyaks Arbeit 'Viruses and Antiviruses' angesehen werden kann. In seinem Buch beschreibt Burger, wie der Viruscode dahingehend modifiziert werden kann, dass dieser die Fähigkeit verliert, sich selbst zu reproduzieren. Allerdings erfreute sich das Buch vermutlich aus einem anderen Grunde großer Beliebtheit: Es erklärte, wie man Computerviren schreibt und diente somit als Anreiz für die Schaffung Tausender von Viren, die vollständig oder zumindest zum Teil auf Ideen zurückzuführen sind, die in Burgers Buch beschrieben werden.
Aber 1987 tauchten noch weitere IBM-kompatible Viren auf:
der berühmte Lehigh-Virus, der nach der Universität in Pennsylvania benannt wurde, an der er erstmals entdeckt wurde. Ironischerweise ist diese Universität gleichzeitig die Alma Mater des Vaters der modernen Computer-Virologie.
die Familie der Suriv-Viren;
verschiedene Viren, die den Boot-Sektor infizierten - 'Yale' in den USA, 'Stoned' in Neuseeland, 'Ping Pong' in Italien;
der erste sich selbst verschlüsselnde Datei-Virus, 'Cascade'
Lehigh schrieb Geschichte als erster Virus, der tatsächliche Daten-Schäden verursachte: Er zerstörte auf Diskette gespeicherte Informationen. Doch glücklicherweise arbeiteten an der Lehigh-Universität verschiedene Computer-Experten, die in der Lage waren, Viren zu analysieren, so dass der Virus niemals außerhalb der Universität in Erscheinung trat.
Der Lehigh-Virus brachte einen Zerstörungsprozess ins Rollen, der am Ende nicht nur brauchbare Daten, sondern auch sich selbst löschen konnte. Zunächst infizierte Lehigh nur die System-Dateien command.com. Nachdem allerdings 4 Dateien infiziert waren, begann er Daten zu zerstören und somit auch sich selbst.
Im Laufe der Zeit nahmen aber auch die Computer-User die Bedrohung durch Viren immer ernster und verstanden es bald, sich vor Virus-Attacken zu schützen. Viele beobachteten von nun an die command.com-Dateien besonders sorgfältig, nachdem klar geworden war, dass ein plötzliches Anwachsen dieser System-Dateien ein erstes Anzeichen für eine Infizierung sein konnte.
Die von einem unbekannten israelischen Programmierer geschriebene Viren-Familie Suriv (lesen Sie den Namen doch einmal rückwärts) war ebenso interessant. Ähnlich dem Brain-Virus lässt sich auch in diesem Fall nur noch schwer sagen, ob es sich um ein Experiment handelte, welches schließlich außer Kontrolle geriet oder um die bewusste Schaffung eines Schadprogramms. Viele Antiviren-Experten tendieren zu der Version eines Experiments, welche durch das Auffinden von Code-Fragmenten an der Yisrael Radai University unterstützt wurde. Die Universität konnte zeigen, dass der Autor versuchte, das Eindringen in EXE-Dateien zu stoppen und bei der letzten Modifikation des Virus handelte es sich lediglich um eine Reperaturversion.
Der erste Virus der Suriv-Familie - von seinem Autor passend Suriv-1 genannt - war in der Lage, ausgeführte COM-Dateien in Echtzeit zu infizieren, indem der Virus sich selbst in den Arbeitsspeicher des Computers lud und dort aktiv blieb, bis der Computer heruntergefahren wurde. So konnte der Virus alle Datei-Operationen abwehren und die COM-Datei in dem Moment infizieren, sobald der Anwender diese aufrief. So wurde die praktisch sofortige Infizierung von mobilen Speichermedien ermöglicht.
Im Gegensatz zu seinem Vorgänger war Suriv-2 auf EXE-Dateien spezialisiert und damit der erste Virus, dem es gelang in diesen Datei-Typ einzudringen. Die dritte Inkarnation dieses Virus vereinigte in sich die Eigenschaften seiner beiden Vorgänger und war daher in der Lage, sowohl COM- als auch EXE-Dateien zu infizieren.
Jerusalem, die vierte Version des Virus, erschien nur kurze Zeit später auf der Bildfläche und verbreitete sich schnell rund um den Globus, was 1988 zu einer weltweiten Virus-Epidemie durch Jerusalem führte.
Das letzte wichtige Ereignis des Jahres 1987 war das Erscheinen des verschlüsselten Cascade-Virus, der nach einem Teil seiner Schadroutine benannt war: Wurde der Virus aktiviert, so fielen die Zeichen des Textes in Kaskaden den Bildschirm hinunter und bildeten am Ende der Seite Buchstabenhaufen (siehe: cascade.bmp). Der Virus bestand aus zwei Teilen - dem Programmcode und der Verschlüsselungsroutine. Letzterer verschlüsselte den Programmcode des Virus, so dass dieser in jeder infizierten Datei ein anderes Erscheinungsbild aufwies. Nachdem die Datei aufgerufen wurde, übernahm die Verschlüsselungsroutine die Kontrolle, die den Programmcode nun entschlüsselte und die Kontrolle dann auf diesen übertrug.
Der Virus kann als ein Vorläufer der polymorphen Viren betrachtet werden, die auch ohne ein permanent gleiches Programm ihre Funktionalität aufrechterhalten können. Doch anders als die späteren polymorphen Viren, verschlüsselte Cascade nur der Programmsode des Virus. Die Kapazität der infizierten Datei wurde als Dechiffrierschlüssel genutzt. Die Entschlüsselungsroutine blieb unverändert, wodurch moderne Antivirenprogramme den Virus heute problemlos aufspüren können.
1988 verursachte Cascade einen ernsthaften Zwischenfall in der belgischen IBM-Niederlassung, was den Startschuss für IBMs eigene Antiviren-Produktentwicklung gab. Bis zu diesem Zeitpunkt waren die von IBM entwickelten Antiviren-Programme nur zum internen Gebrauch bestimmt gewesen.
Später verband Mark Washburn die von Ralf Burger veröffentlichen Informationen mit dem Konzept der Selbstentschlüsselung des Cascade-Virus und schuf damit die erste Familie von polymorphen Viren - die Chameleon-Familie.
Doch nicht nur IBM-Computer waren betroffen, auch für Apple Macintosh, Commodore Amiga und Atari ST wurden Viren geschrieben.
Im Dezember 1987 breitete sich die erste umfassende Epidemie in einem lokalen Netzwerk aus: der Wurm mit dem Namen Christmas Tree war in REXX verfasst und breitete sich über das Betriebssystem VM/CMS-9 aus. Der Wurm wurde am 9. Dezember von dem Bitnet-Netzwerk einer westdeutschen Universität erstmals verschickt und gelangte über das Portal des European Academic Research Network (EARN) ins IBM-Vnet. Innerhalb von vier Tagen - am 13. Dezember - hatte der Virus das Netzwerk lahm gelegt. Wurde der Virus geladen, zeigte sich ein Weihnachtsbaum auf dem Bildschirm und der Virus sendete Kopien seiner selbst an alle Netzwerk-User, deren Adressen in den Systemdateien NAMES und NETLOG aufgelistet waren.
1988
Suriv-3, der heute unter dem Namen Jerusalem-Virus bekannt ist, löste 1988 eine umfassende Epidemie aus. Der Virus tauchte am 13. Mai in zahlreichen Unternehmen, Regierungsorganisationen und akademischen Institutionen auf. Er verbreitete sich auf der ganzen Welt, doch die USA, Europa und der Nahe Osten waren am stärksten betroffen. Jerusalem zerstörte alle aufgerufenen Dateien auf einem infizierten Computer.
Der 13. Mai 1988 ist seither als Schwarzer Freitag bekannt. Ironischerweise schenken sowohl die Antiviren-Experten als auch die Viren-Schreiber den Freitagen, die auf den 13. eines Monats fallen, besondere Aufmerksamkeit: Die Autoren von Viren sind an diesen Tagen besonders aktiv, während die Antiviren-Fachleute sie als eine Art berufbedingten Mini-Feiertag betrachten.
Zu dieser Zeit wurden auf der ganzen Welt zahlreiche Antiviren-Unternehmen gegründet, die allerdings häufig sehr klein waren und nicht mehr als zwei oder drei Mitarbeiter beschäftigten. Die von ihnen eingesetzte Software hatte meist eine einfache Scanfunktion und führte eine Kontextsuche durch, um einzigartige Sequenzen von Virus-Codes aufzuspüren.
Ebenso beliebt wie die Scansoftware waren bei den Anwendern die sogenannten Immunizer, die zur gleichen Zeit auf den Markt kamen. Diese modifizierten die Programme dahingehend, dass der Virus es als bereits infiziert einstufte und es somit nicht mehr angriff. Später, nachdem schon Hunderte von Viren in Umlauf waren, verlor auch das Konzept der Immunizer seine Effektivität, denn es wurde schlicht und einfach unmöglich, für alle aktiven Viren auch Immunizer herzustellen.
Beide Typen von Antivirenprogrammen wurden entweder kostenlos abgegeben oder aber zu lächerlich niedrigen Preisen verkauft. Allerdings war ihr Bekanntheitsgrad auch zu gering, um Virenepidemien erfolgreich zu bekämpfen. Vielmehr waren diese Antivirenprogramme angesichts neuer Viren sogar völlig hilflos: Unausgereifte Datentransferwege und das Fehlen eines globalen Computer-Netzwerkes, vergleichbar mit dem heutigen Internet, machten es fast unmöglich, Updates der Antivirensoftware rechtzeitig zu liefern.
Die Ausbreitung solcher Viren wie Jerusalem, Cascade, Stoned und Vienna wurde aber auch durch menschliche Faktoren begünstigt. Zum einen wussten die Anwender dieser Zeit nicht genug über Antivirenschutz und zum anderen glaubten viele, unter ihnen auch Profis, schlicht und einfach nicht an die Existenz von Computerviren.
Selbst Peter Norton, dessen Name heute ein Synonym für viele Produkte der Firma Symantec ist, war skeptisch bezüglich der Existenz von Computerviren. Er nannte sie einen Mythos und zog einen Vergleich zu Geschichten über Riesenkrokodile, die angeblich in der New Yorker Kanalisation lebten. Das hielt Symantec allerdings nicht davon ab, kurz darauf eine eigene Antiviren-Software zu entwickeln - Norton AntiVirus.
Auch für die Antiviren-Fachleute war es ein wichtiges Jahr, denn 1988 fand das erste elektronische Forum zur Antiviren-Sicherheit statt, nämlich das L-Forum im Usenet-Netzwerk, welches von Ken van Wyk, einem Universitäts-Kollegen von Fred Cohen, ins Leben gerufen wurde.
Auch der erste weit um sich greifende Virus-Hoax wurde in diesem Jahr registriert. Dieses interessante Phänomen bezeichnet falsche Gerüchte über die angebliche Verbreitung von gefährlichen neuen Computerviren. Allerdings hatte manchmal das Gerücht an sich schon die Wirkung eines Virus. Besorgte Anwender verbreiteten das Gerücht mit Lichtgeschwindigkeit weiter. Natürlich richteten Hoaxes keinerlei wirklichen Schaden an. Aber zumindest strapazierten sie die Nerven der Anwender und diskreditierten diejenigen, die den Gerüchten anfänglich Glauben geschenkt hatten.
Einer der ersten Hoax' wurde von Mike RoChennel (ein von 'Microchannel' abgeleitetes Pseudonym) verfasst. Im Oktober 1988 verschickte er an BBS eine große Anzahl von Nachrichten über einen angeblichen Virus, der sich von einem 2400 Baud-Modem zu einem anderen 2400 Baud-Modem versenden können sollte. Zum Schutz vor diesem Virus wurde empfohlen, nur noch Modems mit einer Übertragungsgeschwindigkeit von 1200 Baud zu benutzen. So lächerlich das auch geklungen haben mag, so folgten doch viele Anwender dieser Empfehlung.
Ein anderer Hoax wurde von Robert Morris in Umlauf gebracht und betraf einen Virus, der sich innerhalb von Netzwerken verbreitet und die Port- und die Driver-Konfigurationen austauscht. Laut Warnung hatte der Virus in weniger als 12 Minuten im US-Bundesstaat Dakota bereits 300.000 Computer infiziert. Im November 1988 wird durch den Morris-Wurm eine Netzwerk-Epidemie ausgelöst: Über 600 Computer-Systeme wurden in den USA infiziert (darunter auch das Forschungszentrum der NASA) und brachte einige von ihnen fast komplett zum Stillstand. Ähnlich dem Christmas-Tree-Wurm verschickte auch dieser Virus eine unbegrenzte Anzahl von Kopien seiner selbst und überlud die Netzwerke so hoffnungslos.
Um sich auszubreiten nutzte der Morris-Wurm eine Lücke im Sicherheitssytem des Betriebssystems Unix für VAX und Sun Microsystems-Platformen. Darüber hinaus nutzte der Virus aber auch eine Vielzahl von innovativen Methoden, wie z.B. das Ausspionieren von Passwörtern.
Die Schäden, die durch den Morris-Wurm verursacht wurden, belaufen sich nach Schätzungen auf 96 Mio. US$, eine zu dieser Zeit beträchtliche Summe.
Schließlich kam 1988 auch ein bekanntes Antiviren-Programm auf den Markt: Dr. Solomon's Anti-Virus Toolkit. Das Programm war von einem britischen Programmierer, Alan Solomon, entwickelt worden und war weit verbreitet, bis die Firma 1998 von der US-amerikanischen Network Associates (NAI) übernommen wurde.
1989
Im Jahr 1989 traten die Viren Datacrime und FuManchu (eine Modifikation des Jerusalem-Virus) sowie die Virus-Familien Vacsina und Yankee erstmals in Erscheinung.
Der Datacrime-Virus war höchst gefährlich: Zwischen dem 13.Oktober und 31. Dezember führte er eine Low-Level-Formatierung der Festplatte bei Zylinder 0 durch, was zu der Zerstörung von Tabellen in FAT-Dateien und irreparablen Datenverlusten führte.
Die erste Warnung vor diesem Virus kam im März aus den Niederlanden von Fred Vogel. Trotz der relativ geringen Infizierungsrate löste Datacrime weltweit eine Hysterie aus. Die wiederholten Warnungen führten zu einer extrem verzerrten Darstellung sowohl der Funktionsweise des Virus als auch der vom Virus verursachten Schäden. In den USA wurde der Virus Columbus Day genannt, da von manchen Personen norwegische Terroristen für die Urheberschaft des Virus verantwortlich gemacht wurden, die die Amerikaner so angeblich dafür bestrafen wollten, dass diese Columbus anstatt Eric des Roten die Entdeckung Nordamerikas zuschreiben.
In Holland kam es zu einem interessanten Ereignis. Die dortige Polizei versuchte aktiv gegen die Cyberkriminalität vorzugehen, indem sie ein Programm zur Neutralisierung des Datacrime-Virus entwickelte und dieses direkt in den Fußgängerzonen für einen Dollar verkaufte. Es herrschte eine große Nachfrage nach diesem Programm, doch schnell stellte sich heraus, dass es unzuverlässig war und eine hohe Fehlerquote aufwies. Eine zweite Version wurde produziert, um die Fehler auszumerzen, doch auch diese war mit Programmfehlern durchsetzt.
Am 16. Oktober 1989 verbreitete sich auf VAX/VMS-Computern innerhalb des SPAN-Netzwerkes der Wurm WANK-Worm. Er verbreitete sich über das DECNet-Protokoll und überschrieb die Systemmitteilungen in 'WORMS AGAINST NUCLEAR KILLERS', begleitet von der Nachricht 'Your System Has Been Officially WANKed'. WANK änderte außerdem die Zugangspasswörter und tauschte sie gegen zufällige Zeichenkombinationen aus, welche dann mit dem Absender GEMPAK an die Anwender des SPAN-Netzwerkes verschickt wurden.
Im Dezember 1989 kam es zu dem Fall der 'Aids-Informations-Diskette'. 20.000 mit einem trojanischen Pferd belastete Disketten wurden an Adressen in Europa, Afrika, Asien und der WHO verschickt, die vorher aus der Datenbank der Zeitschrift 'PC Business World' gestohlen worden waren. Wurde eine dieser infizierten Disketten geöffnet, installierte sich das Programm auf das System, schuf eigene verdeckte Dateien und Verzeichnisse und modifizierte die Systemdateien. Nachdem das Betriebssystem 90 Mal hochgefahren worden war, verschlüsselte das Programm alle Dateien, machte sie unsichtbar und ließ nur eine leserliche Datei auf der Diskette zurück. Inhalt dieser Datei war die Aufforderung, Geld auf ein bestimmtes Konto zu überweisen. Es war relativ einfach, den Autor dieses Trojaners als einen gewissen Joseph Popp zu identifizieren, der zu einem früheren Zeitpunkt schon für unzurechnungsfähig erklärt worden war. Trotzdem wurde er von einem italienischen Gericht in Abwesenheit verurteilt.
Nicht unerwähnt darf auch die Tatsache bleiben, dass 1989 das Jahr der ersten Virusepidemien in Russland war. Gegen Ende des Jahres 1989 hatten sich in der russischen virtuellen Welt bereits 10 verschiedene Viren gezeigt (aufgelistet nach der Reihenfolge ihres Erscheinens): zwei Versionen des Cascade-Virus, verschiedene Modifikationen von Vacsina und Yankee, Jerusalem, Vienna, Eddie und PingPong.
Das weltweite Voranschreiten der Technologie zog das Aufkommen neuer Antivirusprojekte auf der ganzen Welt wie auch in Russland bzw. der damaligen UdssR nach sich. 1989 hatte auch der Antivirusexperte Ewgenij Kaspersky, der spätere Gründer von Kaspersy Lab, seine erste Begegnung mit einem Computervirus: Im Oktober 1989 wurde sein Arbeitscomputer mit dem Cascade-Virus infiziert. Dies gab den Anstoß zu seiner beruflichen Umorientierung und dazu, sich von nun an der Anitvirenforschung zu widmen.
Nur einen Monat später spürte Ewgenij Kaspersky mit Hilfe der von ihm verfassten ersten Version des -V-Antivirenprogramms den Vacsina-Virus auf. Jahre später wurde aus -V das AVP Antiviral Toolkit Pro.
1989 stiegen zahlreiche neue Unternehmen ins Antiviren-Geschäft ein: F-Prot, ThunderBYTE und Norman Virus Control.
Immer mehr Anwender wurden von dem Problem Computer-Viren betroffen und so wandten sich verschiedene Gruppen und auch Einzelpersonen mit der Bitte an den damals unumstrittenen IT-Marktführer IBM, ein eigenes Antivirenprojekt zu fördern. Nach einer kurzen Zeit der Überlegung und Marktforschung wandelte IBM sein im TJ Watson Research Center entwickeltes Antivirusprojekt in ein rein kommerzielles Produkt um: Im Oktober 1989 war IBM Virscan für MS-DOS für 35 $ erstmals käuflich zu erwerben.
1989 war auch das Jahr der ersten Antiviruspublikationen: Das US-amerikanische Unternehmen Sophos unterstützte die Zeitschrift 'Virus Bulletin' während 'Virus Fax International' von Dr. Solomon's ins Leben gerufen wurde. 'Virus Bulletin' gibt es noch heute und 'Virus Fax International' wurde zunächst in 'Virus News International' umbenannt, bis es schließlich zu 'Secure Computing' wurde.
Secure Computing gilt heute als eine der bekanntesten Quellen auf dem Gebiet der IT-Sicherheit und ist neben Antivirenprogrammen auch auf Hardwaresicherheit spezialisiert. Jährlich vergibt Secure Computing unter dem Namen 'Secure Computing Awards' Auszeichnungen für die besten Entwicklungen auf verschiedenen Gebiete wie z.B. Virenschutz, Zugriffskontrolle und Intranetbildschirme.
1990
1990 gab es einige signifikante Entwicklungen auf dem Gebiet der Virenproduktion. Die Verfasser von Viren schufen neue Leistungsmerkmale und gründeten zum Austausch von Informationen ausreichend publik gemachte Gemeinschaften.
Zunächst einmal traten 1990 die ersten polymorphen Viren in Erscheinung und zwar die Familie der Chamäleon-Viren (1260, V2P1 V2P2 und V2P6), die aus den schon früher wohlbekannten Viren Vienna und Cascade entwickelt worden war. Der Urheber von Chamäleon, Mark Washburn, nutzte die Informationen über den Vienna-Virus aus Burgers Buch und fügte die Merkmale des sich selbst entschlüsselnden Cascade-Virus hinzu. Anders als Cascade waren die Viren der Chamäleon-Familie jedoch nicht nur verschlüsselt, sondern auch der Viren-Quellcode änderte sich mit jeder neuen Infizierung, was damals herkömmliche Antivirenprogramme völlig nutzlos machte. Bis zu diesem Zeitpunkt hatten sich die Antivirenprogramme einer simplen Kontextsuche bedient, die Teile von schon bekannten Virusquellcodes ausfindig machte. Da Chamäleon keinen permanenten Code besaß, wurde die Entwicklung neuer Antivirenprogramme unerlässlich. Allerdings ließen diese Fortschritte nicht lange auf sich warten, denn bald darauf entwickelten Antivirenexperten spezielle Algorithmen zur Identifizierung von polymorphen Viren. 1992 erfand E. Kaspersky ein noch effektiveres Instrument zur Neutralisierung von polymorphen Viren, einen Emulator für Entschlüsselungscodes, der heute ein wesentlicher Bestandteil aller Antivirenprogramme ist.
Ein zweiter wichtiger Schritt in der Entwicklung der Computerviren war das Wirken der Bulgarischen Viren-Fabrik. Innerhalb des Jahres 1990 und im Laufe der darauf folgenden Jahre tauchten zahlreiche Viren bulgarischen Ursprungs im globalen Cyberspace auf. Darunter waren ganze Virusfamilien wie z.B. Murphy, Nomenclatura, Beast (alias 512 alias Number of Beast), neue Modifikationen von Eddie und vieles mehr.
Ein Virenautor namens Dark Avenger war besonders aktiv: Er brachte jährlich mehrer Viren mit neuen Infektions- und Verbergungsverfahren in Umlauf. Dark Avenger war es auch, der erstmals eine Technik benutzte, mit Hilfe derer Viren, sobald sie identifiziert worden waren, automatisch alle Dateien auf dem Computer infizieren konnten, selbst wenn auf die Dateien ein Nur-Lese-Zugriff erlaubt war. Dark Avenger war erstaunlich kreativ, nicht nur in Bezug auf die Entwicklung neuer Viren, sondern auch bezüglich deren Ausbreitung. Er lud infizierte Programme auf BBS, verbreitete Virenquellcodes und unterstützte die Schaffung von neuen Viren auf alle erdenklichen Arten.
Der erste BBS-Server zum Austausch von Viren und Informationen von Virusautoren wurde vermutlich von Dark Avenger in Bulgarien eingerichtet. Die Philosophie dieses Forums war denkbar einfach: Lud ein Anwender einen Virus in das Forum, so konnte er sich im Gegenzug einen anderen Virus aus dem Katalog des Boards aussuchen und diesen herunterladen. Hatte ein Anwender einen neuen und interessanten Virus zu bieten, so stand ihm der gesamte Virenkatalog des Forums zum Download zur Verfügung. Man kann sich leicht vorstellen, was für mächtige Auswirkungen der VX BBS auf die Verbreitung und Entwicklung von Computerviren hatte, insbesondere seitdem das Forum nicht nur in Bulgarien, sondern weltweit zugänglich war.
Im Juli 1990 ereignete sich ein ernsthafter Zwischenfall, ausgelöst von dem englischen Computerfachblatt PC Today. Jede Ausgabe des Magazins enthielt eine gratis Diskette, die - wie sich bald herausstellte - mit einer Kopie von DiskKiller infiziert war. Mehr als 50.000 Exemplare wurden verkauft und die dadurch ausgelöste Epidemie schrieb Geschichte in der Virologie.
In der 2. Hälfte des Jahres 1990 kamen die zwei neuartigen Tarnkappenviren, Frodo und Whale, in Umlauf. Beide bedienten sich eines unglaublich komplexen Algorithmus, um sich im System zu verbergen. Der 9 Kilobyte große Virus Whale enthielt außerdem verschiedene Verschlüsselungslevels und eine ganze Reihe von raffinierten Anti-Fehlersuchtechniken.
Die ersten russischen Viren erschienen auf der Bildfläche: Peterburg, Voronezh und LoveChild.
Im Dezember 1990 wurde in Hamburg das European Institute for Computer Antivirus Research (EICAR) gegründet, welches noch heute als eines der renommiertesten internationalen Organisationen gilt und das Experten aus praktisch allen großen Antiviren-Unternehmen zusammenbringt.
1991-1992
1991
Die Anzahl der Computerviren stieg kontinuierlich und war im Jahre 1991 bereits auf 300 angewachsen. Je häufiger und folgenschwerer die Virenattacken wurden, desto dringlicher wurde auch die Nachfrage nach entsprechenden Schutzmechanismen. Anfang 1991 kamen eine Reihe von neuen Antivirenprodukten auf den Markt - Norton AntiVirus von Peter Norton, der mittlerweile an die Existenz von Computerviren glaubte, sowie Central Point Antivirus und Untouchable der Firma Fifth Generation System. Die letztgenannten wurden in den Jahren 1993 und 1994 von Symantec aufgekauft.
Nach dem Vorbild von VX BBS bildeten sich weitere Anlaufstationen für Virusautoren und neue Persönlichkeiten aus der Computervirenszene zogen die Aufmerksamkeit auf sich, wie z.B. Cracker Jack (Italien - Italian research Laboratory BBS), Gonorrhea (Deutschland), Demoralized Youth (Schweiz), Hellpit (USA) und Dead on Arrival and Semaj (GB). Der Computeruntergrund begann sich also zu formieren.
Der polymorphe Bootsektor-Virus Tequila löste im April 1991 eine wahre Epidemie aus. Der Virus war zwar zu reinen Forschungszwecken ohne bösartige Absicht von einem Schweizer Programmierer geschrieben worden, doch eine Kopie wurde von einem Vertrauten entwendet, der diese dann nutzte, um bewusst andere Anwender zu infizieren.
Im Sommer 1991 kam es zu einer Epidemie des Dir_II-Virus, der sich einer völlig neuartigen Art, Dateien zu infizieren, bediente: der Link-Technologie. Bis zum heutigen Tag ist dies der einzige Virus dieses Typs, der jemals in freier Wildbahn in Erscheinung trat.
Insgesamt war 1991 ein eher ruhiges Jahr. Allerdings war das nur die Ruhe vor dem Sturm, der im darauf folgenden Jahr losbrach.
1992
Viren, die nicht für IBM-kompatible Systeme und nicht für MS DOS geschrieben waren, traten nun langsam in den Hintergrund. Schlupflöcher in globalen Netzwerken waren geschlossen worden, Fehler korrigiert und Netzwerk-Würmer hatten die Langlebigkeit eingebüßt, die die Voraussetzung für eine Ausbreitung gewesen waren - zumindest zu dem damaligen Zeitpunkt.
Dafür nahm nun die Anzahl der Bootsektor-Viren zu, die das zu der Zeit am weitesten verbreitete Betriebssystem MS-DOS und die am häufigsten eingesetzten Computer (IBM-PC) angriffen. Die Anzahl der Viren wuchs ins Astronomische und fast täglich kam es zu Sicherheitsvorfällen. Weiterhin erschienen sowohl neue Antivirenprogramme als auch Bücher und regelmäßige Publikationen zu dem Thema Computerviren. Dies bildete den Hintergrund zu einigen entscheidenden Entwicklungen in der Geschichte der Computer-Virologie.
Anfang des Jahres 1992 erschien der erste polymorphe Programmgenerator, MTE. Der Hauptzweck dieses Generators bestand darin, sich in andere Viren zu integrieren und sie in polymorphe Viren umzuwandeln. Der Autor dieses Programms, der zu trauriger Berühmtheit gelangte Dark Avenger, tat alles nur erdenkliche, um seinen Kollegen auf diesem Gebiet die Arbeit zu erleichtern. Der Generator wurde als sofort einsatzfähiges Modul mit entsprechender Dokumentation ausgeliefert.
Mit Hilfe des MTE kamen innerhalb kürzester Zeit zahlreiche polymorphe Viren in Umlauf. MTE war auch der Vorläufer anderer polymorpher Generatoren, die vielen Antivirenunternehmen großes Kopfzerbrechen bereiteten. Selbst nach monatelanger Arbeit gelang es vielen Herstellern von Antivirensoftware nicht, 100%ige Ergebnisse im Aufspüren von bekannten Varianten polymorpher Viren zu erzielen, die unter Zuhilfenahme von MTE kreiert worden waren.
Im Laufe des Jahres erschienen auch die ersten Anti-Antivirenprogramme, u.a. Peach, welches die Datenbanken der Änderungserkennung von Central Point AntiVirus löschte. Konnte das Antivirusprogramm seine Datenbanken nicht lokalisieren, ging es von einer Erstinstallation aus und schuf die Datenbanken neu, wodurch die neuen Viren nicht entdeckt wurden und auf diese Weise nach und nach das ganze System infizieren konnten.
Weltweit formten sich in den Innenministerien vieler Staaten eigens auf Computerkriminalität spezialisierte Abteilungen, wie z.B. das Computer Crime Unit of The New Scotland Yard, das die englische Gruppe von Virusautoren ARCV (Association for Really Cruel Viruses) unschädlich machen konnte. Die konsequente Durchführung der Gesetze löste praktisch alle Aktivitäten im Computeruntergrund in Großbritannien auf, und bis heute sind keine organisierten Gruppen von Virusautoren auf der Insel bekannt.
Im März 1992 kam es zu dem Ausbruch des Virus Michelangelo (oder March6) und der ihn begleitenden Medienhysterie (der Virus selbst wurde erstmals 1991 entdeckt, doch zu einem Ausbruch kam es erst 1992). Obwohl viele Fachleute vorhersagten, dass über 5 Mio. Computer von der Epidemie betroffen sein würden, wurden tatsächlich nur einige tausend infiziert.
Im Juli kursierten erstmals die Virus-Construction-Kits VCL und PS-MPC. Sie ermöglichten es beliebigen Personen, eigene Viren zu kreieren, indem sie den Constructors eine Reihe von Schadroutinen hinzufügten. Vergleichbar mit dem MTE wurde so die Anzahl und das zerstörerische Potential von Viren vervielfacht.
1992 war auch das Erscheinungsjahr von Win.Vir_1_4, des ersten Virus für Windows. Win.Vir_1_4 infizierte die ausführbaren Dateien des Betriebssystems, und obwohl der Virus schlecht programmiert war, nur über sehr eingeschränkte Ausbreitungswege verfügte und zudem keine Funktionen von Windows ausnutzte, öffnete er doch ein neues Kapitel in der Geschichte der Computerviren.
Auch im Antivirengeschäft tat sich in diesem Jahr etwas: Symantec kaufte Certus international und damit auch das Marken-Antivirenprodukt Novi.
1993-1995
1993
Die Urheber von Viren nahmen ihre Arbeit nun zunehmend ernst. Die Computerszene im Untergrund hatte inzwischen verschiedene polymorphe Generatoren und Virus-Construction-Kits entworfen sowie neue elektronische Publikationswege geschaffen. 1993 tauchten Viren auf der Bildfläche auf, die sich neuer Techniken bedienten, um Dateien zu infizieren, in Systeme einzudringen, Daten zu zerstören und sich vor Antivirenanwendungen zu verbergen.
Ein Beispiel dafür ist der PMBS-Virus, der im gesicherten Bereich des Intel 80286 Prozessors wirkte. Auch der Strange-Virus (oder Hmm-Virus) als der einzige Tarnkappen-Virus, der auf der Interrupts-Ebene bei INT 0Dh und INT76h ausgeführt wurde, kann hier als Beispiel dienen.
Carbuncle legte den Grundstein für eine neue Generation von Companionviren. Verschiedene andere Viren wie Emmie, Bomber, Uruguay und Cruncher benutzten grundlegend neue Techniken, um sich im Code der infizierten Dateien zu verbergen.
Das Frühjahr 1993 war eine Nerven aufreibende Zeit für viele Hersteller von Antivirenprodukten, denn Microsoft brachte sein eigenes Antivirenprogramm auf den Markt. Microsoft AntiVirus (MSAV) basierte auf dem ehemaligen Central Point AntiVirus (CPAV) und es war im Standardlieferumfang der Betriebssysteme MS DOS und Windows enthalten. Die ersten unabhängigen Tests bestätigten ein hohes Maß an Effektivität, aber später ließ die Qualität nach und das Projekt wurde eingestellt.
1994
Das Problem von Viren auf CDs wurde immer ernster. Je häufiger dieses Wechselmedium eingesetzt wurde, desto beliebter wurde es auch als Virenverbreitungsweg. Es kam zu verschiedenen Vorfällen von Virenbefall auf Master-Disks, die für die Herstellung von CD-Partien benötigt werden. Das hatte zur Folge, dass der Markt mit relativ hohen Auflagen, u.U. von mehreren tausend Stück, von infizierten CDs überschwemmt wurde. Von einer Desinfektion konnte in diesen Fällen natürlich keine Rede sein, vielmehr mussten diese CDs alle zerstört werden.
Zu Beginn des Jahres 1994 traten in Großbritannien zwei sehr komplexe polymorphe Viren in Erscheinung, SMEG.Pathogen und SMEG.Queeg. Selbst heute sind nicht alle Antivirenanwendungen in der Lage, diese Programme mit 100%iger Sicherheit aufzuspüren. Die Verfasser dieser Viren stellten infizierte Dateien in BBS-Foren und lösten damit sowohl einen Ausbruch als auch eine Panik in den Massenmedien aus.
Eine weitere Panik wurde durch den GoodTimes-Hoax hervorgerufen. GoodTimes sollte sich angeblich übers Internet verbreiten und Computer per E-Mail infizieren. Dieser Virus existierte in Wahrheit nicht, aber nach einiger Zeit tauchte ein einfacher DOS-Virus auf, der den Text Good Times enthielt und der dann GT-Spoof genannt wurde.
1994 erschien eine ganze Reihe außergewöhnlicher Viren:
Januar: Shifter, der erste Virus, der OBJ-Dateien infizierte.
Phantom1, der erste polymorphe Virus in Moskau
April: die ScrVr-a-Familie, die Quellcodeprogramme in C und Pascal infizierte.
Juni: OneHalf, ein komplexer polymorpher Virus, der eine ernsthafte Epidemie auslöste, die bis auf den heutigen Tag anhält: der Virus ist noch immer aktiv und kann nach wie vor ernsthafte Schäden verursachen.
September Zaraza, ein MS-DOS-Virus, der eine Epidemie auslöste und sich einer einzigartigen Technik bediente: er stellt eine Mischung aus Datei- und Bootvirus dar und machte Antivirenexperten ratlos.
Auch auf dem Antivirenmarkt gab es 1994 entscheidende Entwicklungen:
Im Juni wurde einer der führenden Hersteller von Antivirenprodukten von Symantec übernommen, das sich schon einen Namen im Aufkaufen von anderen Antivirenprojekten gemacht hatte.
Im September kam AntiViral Toolkit Pro auf den Markt. Das erste Produkt von Eugene Kaspersky erhielt in einer Serie von unabhängigen Tests der Hamburger Universität umgehend die besten Wertungen.
1995
1995 gab es keine bedeutenden neuen DOS-Viren, obwohl einige komplizierte Viren wie Nightfall, Nostradamus und Nutcracker auf der Bildfläche erschienen. Auch der 'bisexuelle' RMNS-Virus und der BAT-Virus gehörten zu den interessanten Erscheinungen des Jahres. Die Viren ByWay und DieHard verbreiteten sich zwar flächendeckend, richteten aber keine schweren Schäden an.
Im Februar verschickte Microsoft infizierte Windows 95 Versionen an verschiedene Beta-Tester, von denen nur einer eine Virenüberprüfung durchführte. Dieser stellte fest, dass die CDs mit dem Form-Virus infiziert waren und die Testreihen wurden bis zur Lieferung von 'sauberen' CDs eingestellt.
Im Frühjahr 1995 gaben zwei Antivirenunternehmen ihre künftige Zusammenarbeit bekannt - ESaSS und Norman Data Defense. Diese Unternehmen, die jeweils über ein starkes unabhängiges Antivirenprodukt verfügten (ESaSS mit ThunderBYTE Anti-Virus und Norman Data Defense mit Norman Virus Control), beschlossen ihre Anstrengungen zu vereinen, um so ein neues Antivirensystem zu entwickeln. Allerdings wurde diese Zusammenarbeit 1998 mit dem Aufkauf des holländischen Unternehmens ESaSS durch eine norwegische Firma beendet.
Im August 1995 verbreitete sich Concept, der erste Virus für das Textverarbeitungsprogramm MS Word. Innerhalb eines einzigen Monats hatte er den Globus umrundet und besetzte Platz eins der 'Viren-Hitliste', die von verschiedenen Vertreibern von Antivirenprodukten erstellt wurde.
Einer der weltweit größten Computerhersteller, Digital Equipment Coporation (DEC) verteilte in der ersten Septemberhälfte versehentlich Kopien des Concept-Virus an Teilnehmer der in Dublin stattfindenden DECUS-Konferenz. Der Virus wurde glücklicherweise rechtzeitig aufgespürt und ein Ausbruch somit verhindert. Noch heute sind mehr als 100 bekannte Versionen von Concept in Umlauf.
Auch Green Stripe, ein Virus für das zu dieser Zeit populäre Textverarbeitungsprogramm AmiPro, verbreitete sich schnell. Der Quellcode des Virus wurde als kostenlose Beilage in Mark Ludwigs bekannter Zeitschrift Underground Technology Review veröffentlicht.
Die Entwicklung von Makroviren stellte Antivirenexperten vor eine ganze Reihe neuer Herausforderungen, denn nun waren neue Technologien zum Aufspüren dieser neuen Klasse von Viren vonnöten, zunächst für MS Word und schließlich auch für andere MS Office Anwendungen.
Die englische Filiale des Verlagshauses Ziff-Davis machte 1995 gleich zweimal von sich reden. Der erste Vorfall trug sich im September des Jahres zu, als das verlagseigene PC-Magazin eine mit dem Sampo-Virus infizierte CD an seine Abonnenten auslieferte. Schnell wurde dieser Umstand entdeckt, das Unternehmen entschuldigte sich und bot seinen Lesern gratis Antivirensoftware an. Ironischerweise wurden ausgerechnet in der Ausgabe mit den infizierten CDs die Testergebnisse von Antivirenprodukten für Novell NetWare veröffentlicht.
Mitte Dezember lieferte eine andere Zeitschrift von Ziff-Davis, Computer Life, seinen Lesern eine Diskette mit Weihnachtsgrüßen aus. Es stellte sich jedoch heraus, dass die Diskette den Boot-Virus Parity enthielt.
Auch die Behörden verstärkten nun ihre Bemühungen im Kampf gegen die Cyber-Kriminalität. Am 16. Januar brachte The New Scotland Yard's Computer Crime Unit Christopher Pile wegen des Verfassens und der Verbreitung von Viren vor Gericht. Der arbeitslose Pile, in der Szene bekannt als der Schwarze Baron (Black Baron), wurde der Entwicklung der Viren Queeg und Pathogen sowie des polymorphen Generators SMEG angeklagt. Zehn Monate später wurde er schuldig gesprochen und zu 18 Monaten Freiheitsstrafe verurteilt.
1996
Das Jahr 1996 begann mit dem Erscheinen zweier interessanter Viren. Boza war der erste Virus für das Betriebssystem Windows 95 und Zhengxi war ein polymorpher Virus, der von dem russischen Programmierer Denis Petrov verfasst worden war und der eine Epidemie nach sich zog.
Im März 1996 kam es zu der ersten Epidemie des Betriebssystems Windows 3.x, ausgelöst durch einen Virus mit dem Namen Win.Tentacle. Dieser Virus infizierte ein Krankenhaus-Netzwerk und andere Organisationen in Frankreich. Er zeichnete sich insbesondere dadurch aus, dass er der erste Windows-Virus in freier Wildbahn war, denn bis zu diesem Zeitpunkt existierten Windows-Viren nur innerhalb von Sammlungen oder in den elektronischen Journalen der Virenautoren. Nur Bootsektor-Viren, DOS- und Makro-Viren hatte es bis dahin in freier Wildbahn gegeben.
Im Juni 1996 tauchte der OS2.AEP-Virus auf, der als erster in der Lage war, EXE-Dateien des OS/2-Betriebssystems zu infizieren. Vorher gab es innerhalb dieses Betriebssystems ausschließlich Viren, die sich anstelle einer Datei platzierten, die Dateien zerstörten oder sich der Compagnion-Technik bedienten.
Laroux, der erste Virus für MS Excel, wurde im Juli 1996 erstmals in freier Wildbahn entdeckt, und zwar nahezu gleichzeitig innerhalb zweier Ölförderungsgesellschaften in Alaska und Südafrika. Das Schadprogramm von Lacroux basierte auf Makros, in der Programmiersprache Visual Basic geschriebenen Miniprogrammen, die in Exceltabellen und MS Word-Dateien eingeschleust werden konnten. Wie sich herausstellte, war auch das in Excel integrierte Visual Basic dazu geeignet, Viren zu schreiben. Laroux war der Auslöser einer Epidemie in vielen Moskauer Firmen im April 1997.
Ende des Sommers wurden von zwei Virenautoren namens Nightmare Joker und Wild Worker unabhängig voneinander, aber fast gleichzeitig, Construction Kits für Makroviren herausgebracht. Word Macro Virus Construction Kit und Macro Virus Development Kit waren sowohl für die englische als auch für die deutsche Version von MS Word verwendbar.
Mitte Oktober wurde Microsoft erneut Opfer einer Virusattacke. In einem Word-Dokument der MS-Website, das den technischen Support für Microsoft-Produkte in der Schweiz zum Inhalt hatte, wurde der Makrovirus Wazzu entdeckt. Später wurde der Virus auch auf CDs gefunden, die von Microsoft während der Orbit Computermesse in Basel, Schweiz, verteilt worden waren. Aber auch damit waren die Probleme von Microsoft mit diesem Virus noch nicht beendet, denn im September zeigte sich der Virus auf der CD Microsoft Solution Provider. Im Dezember 1996 erschien der erste speicherresistente Virus für Windows 1995. Er lud sich in das System wie ein VxD-Driver, fing Datei-Aufrufe ab und zerstörte dann die Dateien.
Unter dem Strich war 1996 der Beginn eines breit angelegten Angriffs des Computeruntergrunds auf die Betriebssysteme Windows 95 und Windows NT wie auch auf andere Anwendungen wie Microsoft Office. In den Jahren 1996 und 1997 erschienen Dutzende von Viren für Windows 95/NT und Hunderte von Makroviren, wobei völlig neue Infizierungsmethoden eingesetzt wurden, wie z.B. die Tarnkappentechnologie (Stealth-Viren) oder polymorphe Mechanismen. Dementsprechend erreichten die Computerviren nun auch ein neues Entwicklungsstadium, das auf 32 bit-Betriebssysteme abzielte. Damit durchliefen diese Viren nun dieselbe Evolution wie die DOS-Viren 10 Jahre vorher. Auch die Landschaft der Antivirenanbieter wandelte sich entscheidend: Ende des Jahres wurde Cheyenne Software, der Hersteller des Programms InocuLAN, von der Computer Associates aufgekauft.
1997
Im Februar 1997 erschien der erste Virus für das Betriebssystem Linux - Linux Bliss - und somit hatten Computerviren eine weitere Nische besetzt. Obgleich Linux-Viren eine Seltenheit sind, haben sie seit ihrem ersten Erscheinen eine rasante Entwickelung durchlaufen. Sowohl Viren, die im Hintergrund laufen als auch durchaus lebensfähige Trojanische Pferde wurden für Linux geschrieben. Wäre Linux nur halb so verbreitet wie Windows, so wäre die Anzahl der Linux-Viren vermutlich weitaus größer als es die der Windows-Viren heute tatsächlich ist. Das Erscheinen von MS Office 97 löste ein sofortiges Abwandern der Makroviren zu diesen Anwendungen aus. Allerdings wurden die Möglichkeiten der Makroviren, die für MS Word 5.0 und Excel 5.0 entworfen worden waren, bedeutend eingeschränkt und z.T. sogar völlig zunichte gemacht. Denn in den Anwendungen des neuen Office-Pakets wurde eine völlig neue Version von Visual Basic for Applications, VBS 5.0, eingesetzt, welche sich deutlich von Word Basic und VBA 3.0 unterschied. Die ersten Viren für MS Office 97 waren bis auf das neue Format fast identisch mit ihren Vorgängern. Allerdings tauchten schon bald Makroviren auf, die eigens für MS Office 97 geschaffen worden waren.
Der März 1997 zeichnet sich durch das Erscheinen eines Virus aus, der ein neues Kapitel in der Computergeschichte begründete: ShareFun, ein Makrovirus für MS Word 6/7, war der erste Virus, der sich per E-Mail ausbreitete, insbesondere über das Programm MS Mail.
Im April des Jahres 1997 wurde der Virus Homer entdeckt, der erste Netzwerk-Wurm, der zu seiner Ausbreitung das File Transfer Protocol (FTP) nutzte. Der Juni 1997 brachte Win95.Mad, den ersten sich selbst verschlüsselnden Virus für Windows 95. Er war russischen Ursprungs und wurde an verschiedene BBS-Stationen in Moskau verschickt, was eine umfassende Epidemie zur Folge hatte. Der Esperanto-Virus erblickte im November 1997 das Licht der Welt. Dieser Virus war der - glücklicherweise erfolglose - Versuch, einen Virus zu schaffen, der in der Lage ist, auf mehreren Plattformen zu operieren, d.h. sowohl DOS als auch Windows als auch MacOS zu infizieren.
Die Entwicklung des Internet und insbesondere der mIRC-Technologie (Internet Relay Chat) zog die gesteigerte Aufmerksamkeit der Virenautoren auf sich und so ließen auch die Schadprogramme für IRC nicht lange auf sich warten. Im Dezember 1997 berichtete die Antivirenbranche über das Erscheinen eines absolut neuen Typs von Computerwurm, der sich über IRC-Kanäle ausbreitete. Die Analyse eines der populärsten Dienstprogramme, mIRC, offenbarte eine gefährliche Sicherheitslücke. Diese bestand in dem Zusammenfallen des Verzeichnisses für die via IRC herunter geladenen Dateien und des Verzeichnisses, das die Befehlsdatei SCRIPT.INI enthält. So war es möglich, die SCRIPT.INI-Datei, die den Wurm enthielt, an einen anderen Computer zu versenden, wo sie automatisch die Originalbefehlsdatei ersetzte. Mit einem Neustart von mIRC wurde nun auch das Schadprogramm aktiviert und der Wurm konnte sich selbst an andere Anwender versenden. Dieser Fehler wurde allerdings recht schnell behoben und die relativ primitiven IRC-Würmer waren schon im Sommer ausgerottet.
Später tauchten allerdings Multikomponenten-IRC-Würmer auf, die aktiv nach den Befehlsdateien SCRIP.INI (für mIRC) und EVENT.INI (für pIRCh) usw. suchten. Auch E-Mail-Würmer funktionieren ähnlich: Dem Anwender wird eine EXE-, COM- oder BAT-Datei gesendet, die - wird sie geöffnet - die ursprüngliche Befehlsdatei ersetzt.
Eines der wichtigeren Ereignisse des Jahres 1997 war die Abspaltung einer Abteilung der von Eugene Kaspersky geleiteten Firma KAMI. Diese Abteilung wurde zu dem unabhängigen Unternehmen 'Kaspersy Lab', welches sich heute anerkanntermaßen als technisch führend in der Antivirenbranche empfiehlt.
AntiViral Toolkit Pro, seit 1994 das Zugpferd des Unternehmens, zeigt gleich bleibend hohe Resultate in Tests, die von unabhängigen Instituten auf der ganzen Welt durchgeführt werden. Die Gründung einer unabhängigen juristischen Einheit erlaubte es einer zunächst nur kleinen Gruppe von Entwicklern, innerhalb von nur zwei Jahren führend auf dem heimischen Markt und auch international hinreichend bekannt zu werden. Nur wenig Zeit verstrich, bis für praktisch alle bekannten Plattformen Versionen mit neuen Antivirustechnologien entwickelt und herausgebracht sowie ein weltumspannendes Distributionsnetzwerk und internationaler technischer Support geschaffen worden waren.
Im Oktober unterzeichneten Kaspersy Lab und die finnische Firma Data Fellows (später umbenannt in F-Secure Corporation) eine Vereinbarung über die Lizenzierung der Antivirenmaschine AVP zur Nutzung in der neuesten Entwicklung von Data Fellows, FSAV (F-Secure Anti-Virus). Bis dahin war dieses Unternehmen bekannt als Entwickler des Antivirenprogramms F-PROT.
1997 blieb auch lange als das Jahr der kleinen Streitereien in Erinnerung. Zeitgleich kamen Zwistigkeiten zwischen mehreren großen Herstellern von Antivirensoftware auf. Anfang des Jahres verkündete das Unternehmen McAfee, es habe in den Programmen eines seiner Hauptkonkurrenten, der Antivirenfirma Dr. Solomon's, 'Lesezeichen' entdeckt. Die Ausführungen von McAfee lauteten, dass Dr. Solomon's Programme, nachdem sie während eines Virenscans verschiedene Virentypen aufgespürt hätten, die Arbeit in einem intensiven Modus fortführten. Anders gesagt: Unter normalen Umständen arbeiteten die Programme im normalen Modus, während sie nach dem Aufspüren von Viren in einen intensiven Modus umschalteten (oder 'cheat-mode', wie McAfee es bezeichnete, zu Deutsch: Betrugsmodus), wodurch es dem Programm nun möglich war, Viren aufzuspüren, die im normalen Modus unerkannt geblieben waren. Dadurch gewährleistete das Programm eine hohe Geschwindigkeit beim Scannen von nicht infizierten CDs und andererseits eine hohe Trefferquote beim Aufspüren von Viren-Sammlungen.
Doch Dr. Solomon's war nicht lange um eine entsprechende Reaktion verlegen und schon bald darauf klagte Dr. Solomon's gegen den Text folgenden Werbeslogans von McAfee: 'The Number One Choice Worldwide. No Wonder The Doctor's Left Town' ('Die Nummer eins weltweit. Kein Wunder, dass der Doktor die Stadt verlassen hat'). Es war ganz offensichtlich, dass hiermit auf Alan Solomon, den Gründer von Dr. Solomon's, angespielt wurde. Dieser hatte aber tatsächlich kurz zuvor die Geschäfte seinem Management übergeben.
Fast noch mehr machte die taiwanesische Firma Trend Micro von sich reden, die gleich gegen zwei führende Antivirenunternehmen, McAfee und Symantec, prozessierte. Diese wurden von Trend Micro beschuldigt, das Firmenpatent auf die Virenscantechnologie für per Internet und E-Mail übertragene Daten verletzt zu haben.
Später strengte dann Symantec seinerseits einen Prozess gegen McAfee mit der Beschuldigung an, McAfee habe Codes aus dem Symantec-Programm Norton Anti Virus verwendet.
Das Jahr endete mit der Ankündigung der Firmen McAfee Associates und Network General, sich unter dem Namen Network Associates Inc (NAI) zusammenzuschließen, um sich auch auf andere Bereiche der Computersicherheit zu spezialisieren (wie z.B. Verschlüsselung, Internetzwerk-Monitore, Netzwerk-Scans usw.). Allerdings beschloß das Management von NAI Ende 1999, die Marke McAfee und die Linie von Antivirenprodukten wiederzubeleben und die Firma erhielt ihren alten Namen zurück.
1998
Virenangriffe auf MS Windows, MS Office und Netzwerkapplikationen hielten unvermindert an, wobei Viren zum Einsatz kamen, die immer kompliziertere Übertragungswege und komplexere Technlogien nutzten. Außerdem erschienen zahlreiche Trojanische Programme, die Passwörter und Utilities der entfernten Administration (Backdoor) ausspionierten. Verschiedene Computerfachblätter lieferten CDs aus, die mit den Windowsviren CIH und Marburg infiziert waren. In diesem Zusammenhang ist besonders die Zeitschrift PC Gamer zu nennen, deren englischer, slowenischer, Schweizer und später auch italienischer Ausgabe eine CD beigelegt war, die den Marburg-Virus enthielt. Der Virus war im elektronischen Registrationsprogramm einer MGM-Interaktive-CD mit dem Namen Wargames PC enthalten. Ende September wurde der AutoStart-Virus auf CDs entdeckt, die im Lieferumfang von Corel DRAW 8.1 für Mac OS enthalten waren.
Anfang des Jahres kam es zu einer Epidemie, die von einer ganzen Virenfamilie - Win32.HLLP.DeTroi - verursacht wurde, die nicht nur Win32 EXE-Dateien infizierte, sondern auch in der Lage war, dem Virusautor Informationen über den befallenen Computer zu liefern. Da der Virus ausschließlich Systembibliotheken der französischen Windows-Version benutzte, betraf die Epidemie lediglich französischsprachige Länder.
Im Februar erschien Excel4Paix (oder: Formula.Paix), ein neuartiger Makrovirus, der sich in Exceltabellen installierte, indem er einen für Makroviren ungewöhnlichen Bereich von Formeln nutzte, die auch einen selbst reproduzierenden Code enthalten konnten. Im selben Monat tauchten die ersten polymorphen Windows32-Viren auf, Win95.HPS und Win95.Marburg, die sich obendrein in freier Wildbahn verbreiteten. So sahen sich die Antivirenexperten gezwungen, möglichst schnell neue Aufspürungsmethoden für polymorphe Viren zu entwickeln, die es bis dato nur für DOS gegeben hatte.
AccesiV, der erste Virus für Microsoft Access, wurde erstmals im März 1998 gesichtet. Allerdings sorgte er für weitaus weniger Aufregung als Word.Concept und Excel.Laroux, da sich die Anwender nun weitgehend damit abgefunden hatten, dass die Microsoft-Anwendungen in hohem Maße angreifbar sind. Ungefähr zur selben Zeit tauchte der Virus Cross auf, ein Makrovirus, der gleichzeitig Dokumente in verschiedenen Officeanwendungen befallen konnte, und zwar in Word und Access. Im Gefolge von Cross erschienen verschiedene andere Makroviren, die ihren Code von einer Officeanwendung auf eine andere übertragen konnten. Der bedeutsamste unter ihnen war Triplicate (alias Tristate), der in der Lage war, Word, Excel und Powerpoint zu infizieren.
Fortsetzung folgt....
Re: Die Geschichte der Schadprogramme & Malware Trends
benjamin - 16.11.2008, 23:21Die Geschichte der Schadprogramme & Malware Trends
(Teil 2)
Der im Mai 1998 entdeckte Virus Red Team konnte als erster Windows EXE-Dateien infizieren und verbreitete sich über das E-Mail-Programm Eudora. Im Juni wurde durch den Win95.CIH-Virus eine Epidemie ausgelöst, die bald globale Ausmaße annahm und während derer tausende von Netzwerk- und Heimcomputer infiziert wurden. Ausgangspunkt war Taiwan, wo ein unbekannter Hacker die befallenen Dateien zunächst an eine lokale Mailingliste verschickte. Von dort aus verbreitete er sich in die USA, wo infizierte Dateien ihren Weg zu populären Webservern fanden und den Virus so auf Spielprogramme übertragen konnten. Aller Wahrscheinlichkeit nach waren die Gameserver auch der Grund für das Ausmaß der Epidemie, die ein ganzes Jahr andauerte. In der 'Hitliste' der Viren überholte der Virus schnell frühere Spitzenreiter wie Word.CAP und Excel.Laroux. Interessant war auch das Payload von Win95.CIH: abhängig von den fließenden Daten löschte es das Flash BIOS, was manchmal zur Folge hatte, dass das Motherboard ersetzt werden musste. Die Komplexität dieses Virus brachte die Anbieter von Antivirensoftware dazu, ihre Entwicklungen voranzutreiben.
BackOfrice (oder Backdoor.BO) gab im August 1998 Anlass zur Unruhe. Er war als verdecktes Instrument zur Fernadministration von Netzwerken geschaffen worden. Nur kurze Zeit später erschienen Viren ähnlicher Bestimmung, z.B. NetBus und Phase.
Ebenfalls im August tauchte eine andere Neuheit auf - die ersten ansteckenden ausführbaren Java-Module, Java.StrangeBrew. Dieser Virus stellte zwar keine direkte Gefahr für Internetuser dar, aber er machte doch sehr deutlich, dass Virenbefall auch in Anwendungen möglich ist, die aktiv beim Betrachten von Web-Servern genutzt werden.
Im November 1998 setzte sich die Entwicklung der Schadprogramme mit dem Erscheinen dreier Viren fort, die Visual Basic Skripte (VBS-Dateien) infizierten, welche zum Erstellen von Websites eingesetzt wurden. Zu dieser Zeit veröffentlichte Kaspersky Labs eine umfassende Studie über die potentiellen Bedrohungen durch VBS-Viren. Allerdings wurde das Unternehmen daraufhin von vielen Fachleuten der Panikmache beschuldigt und die Studie wurde als Auslöser einer Virenhysterie kritisiert. Anderthalb Jahre später, mit Ausbruch der LoveLetter-Epidemie wurde aber spätestens klar, dass sich Kasperskys Prognose 100%ig erfüllt hatte. Heute hält sich dieser Virentyp hartnäckig auf Platz eins der Liste von weit verbreiteten und gefährlichen Viren.
Als logische Folge der VBS-Viren tauchten bald reine HTML-Viren auf, wie z.B. der HTML.Internal. Es wurde offensichtlich, dass sich die Virenautoren mehr und mehr auf Netzwerkanwendungen konzentrierten und an einem Netzwerkwurm arbeiteten, der Fehler in MS Windows und Office ausnutzt und entfernte Computer via E-Mail und Internet infiziert.
Power Point war die nächste MS Office Anwendung, die Virenattacken zum Opfer fiel. Der erste Virus, der Power Point angriff, Attach, erschien im Dezember 1998 und war unbekannten Ursprungs. Es folgten ShapeShift und ShapeMaster, die vermutlich von ein und demselben Autor stammen. Die Viren für Power Point verursachten den Herstellern von Antivirensoftware erneut Kopfzerbrechen. Dateien dieser Anwendung nutzen ein OLE2-Format, dass die Möglichkeiten zum Aufspüren von Viren in DOS und XLS-Dateien bestimmt. Allerdings sind die VBA-Module im PPT-Format in komprimiertem Zustand gespeichert, was die Entwicklung neuer Algorithmen zum Entpacken notwendig machte, um die Suche nach Viren zu ermöglichen. Ungeachtet der Schwierigkeit dieser scheinbar einfachen Aufgabe, haben fast alle Anbieter von Antivirensoftware diese Funktion zum Schutz vor Power-Point-Viren heute in ihre Produkte integriert.
Im Januar startete das Virus Bulletin das Projekt VB 100%. Diese regelmäßig durchgeführten Testreihen sollen aufzeigen, ob eine Software in der Lage ist, alle in freier Wildbahn existierenden Viren 100%ig aufzuspüren. VB 100% ist heute eine der höchst angesehenen unabhängigen Testinstitutionen.
Auch in der Antivirenbranche gab es entscheidende Veränderungen. Im Mai gaben Symantec und IBM ihren Entschluss bekannt, gemeinsam ein Antivirenprodukt zu entwickeln. Das Resultat dieser Zusammenarbeit wurde von Symantec unter dessen Markennamen Norton Antivirus vermarktet während das Produkt von IBM, IBM Anti-Virus, aufhörte zu existieren. Ende September gab Symantec den Erwerb des Geschäftszweiges Antivirenprodukte der Intel Corporation, LANDesk Virus Project, bekannt. Nur zwei Wochen später überraschte Symantec die Branche erneut mit einem weiteren Aufkauf, dieses Mal handelte es sich um Quarter Deck, das Symantec für 65 Millionen Dollar erwarb. Die Produktpalette dieses Unternehmens beinhaltete u.a. Antivirenprodukte wie z.B. ViruSweep.
Ein so aggressives Expansionsverhalten blieb auch NAI, einem anderen amerikanischen Giganten der Antivirenbranche, nicht unbemerkt. Am 13. August schluckte NAI einen seiner Hauptkonkurrenten, das britische Unternehmen Dr. Solomon's, für das ein Rekordpreis in Höhe von 640 Millionen Dollar in Form von Aktientausch erzielt wurde. Diese Ereignisse versetzten die Antivirenbranche in einen Schockzustand. Der Konflikt zweier Hauptfiguren des Gewerbes wurde durch einen Ver- bzw. Aufkauf gelöst, wodurch einer der bedeutendsten und technisch stärksten Entwickler von Antivirentechnologie endgültig vom Markt verschwand.
Interessant ist auch der Verkauf von EliaShim, Hersteller des Antivirenproduktes E-Safe, im Dezember an Aladdin Knowledge Systems, einen bekannten Entwickler von Ausrüstung und Software für Computersicherheit.
Am 21. Dezember wurde in der New York Times eine kuriose Warnung vor einem neuen Virus, der sich per E-Mail verbreitete und schon in einigen Netzwerken ausgemacht wurde, veröffentlicht. Kurios deshalb, weil sich dieser gefährliche Virus als der schon lange wohlbekannte Makrovirus Class entpuppte.
1999
Merkwürdigerweise bezog sich die spektakulärste Nachricht zu Beginn des Jahres nicht etwa auf das Erscheinen eines neuen Virus, sondern auf die lang geplante Übernahme des australischen Anbieters von Antivirensoftware, Cybec, durch den Computergiganten Computer Associates (CA). So fügte CA seinem Angebot ein weiteres Antivirenprodukt hinzu, nachdem das Unternehmen Ende 1996 schon Cheyenne Software aufgekauft hatte. Interessant ist, dass beide Produkte heute noch auf dem Markt sind und zwar unter den Namen CA Vet Anti-Virus und CA InoculateIT.
Allerdings ließen auch die Viren nicht lange auf sich warten und schon im Januar kam es zu einer weltweiten Epidemie durch den Virus Happy99 (auch bekannt als Ska). Hierbei handelte es sich um den ersten modernen Wurm, womit wiederum ein neues Kapitel in der Geschichte der Schadprogramme aufgeschlagen wurde. Zur Ausbreitung nutzte er MS Outlook, welches mittlerweile in der US-amerikanischen Geschäftswelt sowie auch in vielen europäischen Ländern zum Standard-E-Mail-Programm geworden war. Obwohl Happy99 schon 1999 erstmals auf der Bildfläche erschien, taucht er bis heute immer wieder in den Hitlisten der am weitesten verbreiteten Schaprogramme auf.
Fast zeitgleich erschien ein überaus interessanter Makrovirus für MS Word, Caligula, der im System Registry die zu PGP-Programmen (Pretty Good Privacy) gehörenden Keys ausfindig machte und nach den entsprechenden Datenbanken suchte. Wurden Datenbanken gefunden, veranlasste der Virus eine FTP-Session und schickte die gefundenen Dateien unbemerkt an einen entfernten Computer. Ende Februar wurden die ersten durch den Virus SK hervorgerufenen Zwischenfälle bekannt. Es war der erste Virus, der Windows HLP-Dateien infizierte.
Der 26. März markierte den Beginn einer Epidemie, die von Melissa, einem Makrovirus für MS Word hervorgerufen wurde, der gleichzeitig die Funktionalität eines Internetwurms in sich barg. Sofort nach der Infizierung nahm Melissa Einsicht in das Adressbuch von MS Outlook und schickte Kopien seiner selbst an die ersten 50 gefundenen Adressen. Ähnlich wie bei Happy99 geschah dies ohne Wissen des Anwenders, allerdings trotzdem scheinbar in dessen Namen. Glücklicherweise war die Struktur des Virus nicht sonderlich komplex und es dauerte daher nicht lange, bis die Hersteller von Antivirensoftware die nötigen Ergänzungen zu ihren Datenbanken liefern konnten. Die Epidemie konnte so zwar schnell gestoppt werden, aber nichts desto weniger gelang es Melissa, einer Reihe von Computersystemen empfindlichen Schaden zuzufügen: Wirtschaftsgiganten wie Microsoft, Intel und Lockheed Martin wurden gezwungen, ihre firmeninternen E-Mailsysteme zeitweise abzuschalten. Die durch den Virus verursachten Schäden werden auf mehrere Millionen US-Dollar geschätzt.
Die Behörden (die für Cyberkriminalität zuständigen Abteilungen, um genau zu sein) in den USA reagierten auf den Melissa-Virus ausgenommen schnell. Nur kurze Zeit später wurde der Autor von Melissa gefunden und verhaftet. Der 31jährige David L. Smith, ein Programmierer aus New Jersey, wurde am 9. Dezember schuldig gesprochen und zu 10 Jahren Haft sowie einer Geldstrafe von 400.000 US-Dollar verurteilt.
Auch auf der anderen Seite des Pazifischen Ozeans waren die zuständigen Behörden ähnlich erfolgreich. In Taiwan wurde der Autor des CIH-Virus, der früher als Chernobyl bekannt gewesen war, als ein gewisser Chen Ing Hao (achten Sie auf die Initialien!) identifiziert, ein Student am Taiwan Technical Institute. Allerdings gab es mangels Klagen der lokalen Unternehmen keine Grundlage für eine Verhaftung.
Am 7. Mai wurde die kanadische Firma Corel von einem Virus infiltriert, genauer gesagt deren Zugpferd Corel Draw. Der Gala-Virus, auch bekannt als GaLaDRieL) war in der Skriptsprache Corel SCRIPT verfasst und wurde zum ersten Virus, dem es möglich war, Corel-DRAW-Dateien und auch Corel PHOTO-PAINT und Corel VENTURA-Dateien zu infizieren
Im Frühsommer brach eine Epidemie aus, die durch den überaus gefährlichen Internetwurm ZippedFiles (oder ExploreZip) hervorgerufen wurde. Der Virus hatte das Format einer EXE-Datei und zerstörte Dateien einiger der bekannteren Anwendungen, sobald er einmal installiert war. Obwohl der Wurm nicht so verbreitet war wie der Melissa-Virus, werden die Schäden, die durch ihn verursacht wurden, auf ein Vielfaches geschätzt. Trotz rasch greifender Maßnahmen der Antivirenbranche zur Neutralisierung des Virus erlebte dieser im Dezember ein Comeback. Die modifizierte Version war so verändert worden, dass das Virusprogramm nun durch das Komprimierungs-Tool Neolite komprimiert wurde. Wurde dieses Komprimierungsformat von einem Antivirenprogramm nicht erkannt, blieb der Virus unentdeckt. Zu dieser Zeit war noch keine Antivirensoftware in der Lage dieses Format zu erkennen, und seit Juni 2000 unterstützt AntiViral Toolkit Pro Dateien dieses Formats.
Im August wurde ein Internetwurm namens Toadie (oder Termite) entdeckt. Er infizierte Dateien in DOS und Windows, verschickte außerdem über das E-Mail-Programm Pegasus angehängte Kopien seiner selbst und versuchte sich über IRC-Kanäle zu verbreiten.
Der Oktober brachte drei unangenehme Überraschungen. Zum ersten erschien der Virus Infis, der erste Computervirus für das Betriebssystem dieses Namens, der in die höchste Sicherheitsebene der Plattform eindrang - die Systemdriver -, wodurch er für Antivirenprogramme schwer zugänglich war. Die zweite böse Überraschung bestand in der Warnung vor dem ersten Computervirus für MS Projekt. Hierbei handelte es sich eigentlich um einen Multiplattformvirus, der sowohl MS Word als auch MS Projekt infizierte. Bei der dritten Überraschung ging es um den schon seit Juli bekannten Skript-Virus Freelinks, der einer der Vorgänger des zu trauriger Berühmtheit gelangten Virus LoveLetter war.
Im November wurde die Welt durch das Aufkommen einer neuer Generation von Würmern erschüttert, die sich ohne Anhänge per E-Mail ausbreiteten und die allein durch das Lesen von infizierten Mails in den Computer eindrangen. Der erste Virus dieses Typs war Bubbleboy, dem gleich darauf der KakWorm folgte. Viren dieser Art nutzten ein Schlupfloch im Sicherheitssystem des Internet Explorers aus, und obgleich Microsoft noch im selben Monat ein Korrekturprogramm anbot, war der KakWorm noch lange weit verbreitet. Im selben Monat wurden in den USA und in Europa verschiedene Fälle von Infizierungen mit FunLove, einem Windows-Virus, verzeichnet.
Der 7. Dezember steht für die Entdeckung eines von vielen Tojanern aus der Feder eines brasilianischen Virusautors mit dem Pseudonym Veca. Der sehr gefährliche und komplexe Virus Babylonia schlug eine neue Seite in der Geschichte der Computerviren auf, denn er war der erste Wurm, der in der Lage war, sich selbst zu aktualisieren. Im Minutentakt stellte er eine Verbindung zu einem Server in Japan her und lud eine Liste von Virus-Modulen herunter. Fand er Module, die aktueller als die auf dem infizierten Computer waren, überspielte er diese sofort. Dieselbe Technik wurde später auch bei Sonoc, Hybris und anderen Viren verwendet.
Mitte des Jahres spaltete sich die Antivirenbranche aufgrund der potentiellen Bedrohungen im Zuge des Jahrtausendwechsels (Y2K) offiziell in zwei Lager. Die eine Seite schürte die Angst, der Untergrund habe mehrere hundert Viren vorbereitet, die die Zivilisation in ihren Grundfesten erschüttern werde, wobei die Botschaft deutlich war: Installieren Sie Antivirensoftware, um der Katastrophe zu entgehen. Das andere Lager verhielte sich absolut entgegengesetzt und versuchte die verängstigten Anwender zu beruhigen. Später stellten sich die Befürchtungen als völlig grundlos heraus und das Jahr 2000 kam wie jedes andere auch. Einige interessante Geschichten ereigneten sich aber dennoch. Eine der Novemberausgabe der ungarischen Zeitschrift Uj Alaplap beigelegte CD enthielt zusätzlich zu nützlichen Informationen auch eine sehr unangenehme Überraschung, nämlich zwei Makroviren für MS Word, Class.B und Opey.A.
2000
Das Jahr begann mit einer unangenehmen Überraschung für die Anwender von Windows 2000 und Visio, ein populäres Programm zur Erstellung von Diagrammen und Flussdiagrammen. Noch bevor Microsoft das Erscheinen der voll funktionalen kommerziellen Version des neuen Betriebssystems bekannt geben konnte, brachten Mitglieder der Untergrundgruppe 29A den Virus Inta in Umlauf - der erste, der Windows 2000-Dateien infizieren konnte. Nur kurze Zeit später erschienen fast zeitgleich die Viren Unstable und Radiant, die Visio außer Gefecht setzten. Die Ironie des Schicksals wollte es, dass Microsoft kurz vor Auftauchen der letztgenannten Viren Visio aufgekauft hatte, so dass sich zeigte: Nichts zu Microsoft Gehörendes bleibt von Viren verschont.
Im April wurde erstmals das Erscheinen eines Makrovirus für MS Word russischer Herkunft - Proverb - registriert und zwar im Büro des britischen Premierministers, Downing Street 10. Es bleibt zu hoffen, dass die britischen Behörden sich das russische Sprichwort 'Verschiebe nicht auf morgen, was du heute kannst - trinken!' zu Herzen genommen haben.
Der 5. Mai steht für den Ausbruch einer Epidemie, die es in das Guinessbuch der Rekorde schaffte, hervorgerufen durch den Skriptvirus LoveLetter. Alles trat exakt so ein, wie es Ewgenij Kaspersky schon im November 1998 vorhergesagt hatte. Naive Anwender konnten sich noch nicht einmal vorstellen, dass die harmlosen VBS- und TXT-Dateien gefährliche Viren enthalten sollten. Einmal installiert, zerstörte LoveLetter verschiedene Dateien und verschickte Kopien seiner selbst an alle im Adressbuch von Outlook enthaltenen Adressen. Die Transparenz des Quellcodes machte das Erscheinen von neuen Modifikationen im Laufe des Jahres sehr wahrscheinlich und tatsächlich sind noch am heutigen Tag mehr als 90 von ihnen in Umlauf.
Am 06. Mai wurde der Timofonica-Virus entdeckt, der erste der die Mobilfunktechnologie zu einem gewissen Grade ausnutzte, um sich auszubreiten. Neben dem Ausbreitungsweg via E-Mail verschickte der Virus Nachrichten an zufällig ausgewählte Telefonnummern innerhalb des Mobilfunknetzes MovieStar, welches zu dem Telekommunikationsgiganten Telefonica gehörte. Andere Auswirkungen hatte der Virus allerdings nicht auf die Mobiltelefone. Trotzdem wurde Timofonica schnell von den Massenmedien als der erste Handyvirus bezeichnet.
In Bezug auf Mobilfunkviren gab es 2000 einen heißen Sommer. Während diese Jahreszeit sowohl für Virusautoren als auch für Antivirenexperten üblicherweise Ferienzeit ist, beschlossen in diesem Jahr die erstgenannten den Letzteren eine Überraschung zu bereiten. Im Juli entwickelte eine Gruppe mit dem Namen Cult of Death Cow im Verlauf der jährlichen DefCon-Konferenz (in Anlehnung an die DevCon der Firma Microsoft) eine neue Version des Back Orifice-Virus (BO2K). Dadurch wurde eine Flut von Schreiben besorgter Anwender an die Hersteller von Antivirensoftware ausgelöst. Allerdings stellte die neue Version des Virus nur eine geringfügig größere Gefahr dar als sein Vorgänger und sie wurde umgehend in die Datenbanken der führenden Unternehmen der Antivirenbranche aufgenommen. Das Besondere an BO2K war seine Neigung zu kommerziellen Instrumenten der entfernten Administration - das Programm war während der Installation sogar sichtbar. Trotzdem war es doch für ungesetzliche Zwecke einsetzbar und wurde von Experten als Backdoor-Trojaner eingestuft.
Im Juli erschienen drei außergewöhnlich interessante Viren. Star war der erste Virus für das AutoCAD-Paket. Dilber zeichnete sich dadurch aus, dass er die Codes von gleich fünf anderen Viren enthielt, darunter CIH, SK und Bolzano. Je nach Art der Daten aktivierte Dilber die destruktiven Prozesse der einen oder anderen seiner Komponenten und erhielt daher den Spitznamen Shuttle-Virus. Bei dem dritten interessanten Virus handelte es sich um einen Internetwurm, Jer, der sich einer recht schwerfälligen Technik bediente, um in Computer einzudringen. Ein Skript-Programm (der Wurmkörper) wurde auf eine Web-Site geladen und das Programm wurde mit dem Öffnen der entsprechenden HTML-Seite automatisch aktiviert. Daraufhin erhielt der Anwender eine Warnung, dass sich ein unidentifiziertes Programm auf der Festplatte befinde. Der menschliche Faktor spielte hier eine große Rolle, denn es wurde davon ausgegangen, dass der Anwender nun ohne weitere Überlegungen auf 'ja' klicken würde, um das Skript-Programm los zu werden. Dieser Virus begründete eine neue Mode bezüglich der Verbreitung von Viren via Internet. Ein Wurm wurde zunächst auf einer Web-Site platziert und dann wurde eine Werbekampagne gestartet, um die Anwender anzulocken. Das kalkulierte Risiko zahlte sich aus - von einigen tausend Anwendern infizierten sich mehrere Dutzend mit dem Virus.
Das erste Schaden verursachende trojanische Pferd für das PalmOS Betriebssystem von Palm Pilot wurde im August entdeckt. Während der Installation zerstörte es Dateien, verfügte allerdings über keine Selbstvervielfältigungsfunktionen. Im September wurde mit dem ersten echten Virus für PalmOS, Phage, die Reihe dieses neuen Virustyps fortgesetzt. Hierbei handelte es sich um einen typischen parasitären Virus, der nach der Installation die infizierten Dateien löschte und mit seinem eigenen Code überschrieb.
Anfang September tauchte ein Virus namens Stream auf, der in der Lage war, die ADS (Alternate Data Streams) des NTFS-Dateisystems zu manipulieren. Der Virus selbst stellte keine Gefahr dar, doch die Technologie des Eindringens in die ADS an sich war sehr Besorgnis erregend. Keinem Antivirenprogramm war es nämlich möglich, diesen Bereich nach Schadprogrammen zu durchsuchen. Leider löste dieser Virus eine unangemessene Reaktion seitens einiger großer Antivirenunternehmen aus, die Kaspersky Lab Panikmache unter den Anwendern vorwarfen. Allerdings konnte keiner der Opponenten neben diesen Anschuldigungen schlüssige Argumente liefern, die ihre Theorie bezüglich der Sicherheit von ADS in NTFS untermauerten. Bis zum heutigen Tag stellt der Antivirenschutz für NTFS ein ernsthaftes Problem dar, da nur einige wenige Antivirenscanner in der Lage sind, Schadprogramme in ADS aufzuspüren.
Im Oktober erschienen der erste Virus für PIF-Dateien, Fable, und der erste in der Skriptsprache PHP verfasste Virus, Pirus. Beide Viren wurden allerdings bis zum heutigen Tag nicht in freier Wildbahn ausgemacht. Zur gleichen Zeit kam es zu einem Skandal, als das interne Netz von Microsoft gehackt wurde und einer Gruppe von unbekannten Hackern, vermutlich aus St. Petersburg, über Monate offen stand. Sie hatten sich über ein einfaches Schlupfloch Zutritt verschafft, indem sie den Internetwurm QAZ einsetzten. Sonderbar war die Tatsache, dass zur Zeit des Eindringens in das System der fragliche Wurm bereits in fast allen Antiviren-Datenbanken vorhanden war. Dieser Umstand ließ Zweifel an der Kompetenz der Microsoft-Mitarbeiter aufkommen, bzw. Spekulationen über eventuelle böse Absichten. Zum Zeitpunkt des Verfassens dieses Buches sind die Schuldigen an den o.g. Vorkommnissen noch nicht gefunden worden.
Im November geschieht Erwähnenswertes: Kaspersky Lab, welches innerhalb dreier kurzer Jahre zu einer entscheidenden Figur in der Antivirenbranche geworden ist, ändert den Namen seines Zugpferdes, AntiViral Toolkit Pro (AVP), in Kaspersky Anti-Virus.
Im selben Monat wurde auch der gefährliche und technisch vollkommene Virus Hybris entdeckt, der von dem brasilianischen Virenautoren Vecna geschaffen worden war. Er hatte den von ihm geschriebenen sich selbst aktualisierenden Virus Babylonia weiterentwickelt, indem er frühere Fehler ausmerzte. Die entscheidende Innovation bestand in der Ausnutzung von Web-Sites und List-Servern (insbesondere alt.comp.virus) zur Installation neuer Viren-Module auf den infizierten Computer. Da es unproblematisch war, Web-Sites aus dem Netz zu nehmen, bildeten List-Server ein ideales alternatives Ausbreitungsmedium, denn diese waren nicht ohne weiteres außer Betrieb zu setzen. Außerdem benutzte Hybris einen 128-bit RSA-Key zur Identifizierung der tatsächlich vom Autor stammenden Module.
Insgesamt gesehen lieferte das Jahr 2000 erneut den Beweis, dass E-Mail das ideale Übertragungsmedium für Computerviren darstellt. Der Statistik des Technischen Support von Kaspersky Lab zufolge wurde in ca. 85% aller registrierten Fälle von Infizierungen der Virus via E-Mail übertragen. Auch die auf Viren für Linux spezialisierten Autoren waren in diesem Jahr sehr aktiv. Insgesamt wurden 37 neue Viren und Trojaner für das Betriebssystem Linux registriert, womit die Gesamtsumme der Linux-Viren auf 43 anstieg. Das bedeutete allein für das Jahr 2000 eine Versiebenfachung. Schließlich gab es auch eine Veränderung in der Art der am weitesten verbreiteten Viren. Bis zu diesem Jahr führten die Makroviren die Hitlisten an, aber im Jahr 2000 nahmen die Skriptviren deren Platz ein.
2001
Das Jahr 2001 hatte zwei Gesichter: einerseits ist es geprägt durch die entscheidenden Fortschritte in der Entwicklung von Antivirenanwendungen, doch andererseits nahm die Zahl der Virenattacken nichts desto weniger beständig zu. Je populärer das Medium Internet wurde, desto schneller vollzog sich der Wechsel von klassischen Viren zu Würmern. Virenautoren demonstrierten ihre Vorliebe für Schadprogramme, die sich durch das Verschicken an lokale Netzwerke oder das Internet ausbreiteten.
Signifikante Ausbrüche
Schadprogramme, die Sicherheitslücken in Anwendungen und Betriebssystemen ausnutzten, verursachten im Jahr 2001 ernsthafte Epidemien, insbesondere CodeRed, Nimda, Aliz und BadtransII. Die von diesen Würmern ausgelösten weit um sich greifenden Epidemien bestimmten auf lange Zeit die Entwicklungen in der Antivirenbranche und setzten Trends in der Evolution der Schadprogramme für die kommenden Jahre.
Sicherheitslücken
Unter einer Sicherheitslücke versteht man einen Fehler innerhalb eines normalen Programms oder Betriebssystems, der zur Einschleusung von Schadprogrammen ausgenutzt wird.
Viren und Würmer, die durch solche Schlupflöcher in Computer eindringen, sind besonders gefährlich, weil diese ungeachtet der Aktionen des Anwenders automatisch installiert und aktiviert werden. Der Virus Nimda drang zum Beispiel in den Computer ein, sobald die den Virus enthaltende E-Mail nur durch das Vorschaufenster von MS Outlook gesichtet wurde. CodeRed ging noch einen Schritt weiter und durchsuchte das Internet nach anfälligen Computern und infizierte diese. Der Statistik von Kaspersky Virus Lab zufolge machten Viren, die Sicherheitslücken ausnutzten, fast 55% aller im Jahre 2001 registrierten Schadprogramme aus.
Das Interesse, das Virenautoren den Sicherheitslücken entgegenbrachten, war durchaus gerechtfertigt. Die traditionellen Infizierungstechniken mit klassischen Dateiviren, bei denen der Anwender den Ansteckungskreislauf in Gang setzte, waren nun weitaus weniger effektiv. So machten sich die Virenautoren nun mit Eifer mit der neuen Technik vertraut.
E-Mail und Internet - Quellen neuer Bedrohungen
Die Statistik von Kaspersky Virus Lab zeigt, dass im Vergleich zum Vorjahr die Anzahl der Virenattacken via E-Mail im Jahr 2001 um 5% gestiegen war und fast 90% aller Fälle von Infizierungen mit Schadprogrammen im Jahr 2001 ausmachte.
Auch bezüglich der Infizierung via Internet stellte 2001 einen Wendepunkt dar. Hatten sich die Anwender bisher hauptsächlich dann im Internet mit Viren infiziert, wenn sie von wenig vertrauenswürdigen Sites Dateien herunter luden oder ausführten, so war nun der bloße Besuch einer Website für eine Ansteckung ausreichend. Virenautoren tauschten einfach die sauberen Seiten gegen infizierte aus. Die meisten Anwender wurden von Schadprogrammen infiziert, die Sicherheitslücken des MS Internet Explorers ausnutzten. In manchen Fällen waren auch Sites, die Programme zum kostenlosen Download anboten, mit Viren verseucht.
Virenattacken außerhalb des Internet.
Im Jahr 2001 wurde auch erstmals die Technologie der Instant Messenger, wie z.B. ICQ oder MS Instant Messenger als Ausbreitungsmedium für Schadprogramme benutzt. Eine Fülle von Würmern verwandelte diesen Service in eine weitere Falle für unwissende Anwender. Das Dateientausch-Netzwerk Gnutella fiel dem Internetwurm Mandragore zum Opfer. Schließlich erschien 2001 eine Vielzahl von Würmern, die sich über IRC-Kanäle ausbreiteten.
Weitere Angriffe auf Linux
Auch eine erhebliche Anzahl von Schadprogrammen, die das Betriebssystem Linux zum Ziel hatten, tauchte 2001 auf. Ramen eröffnete diesen Reigen am 19. Januar und drang innerhalb nur weniger Tage in eine Vielzahl von Unternehmensnetzwerken ein, darunter die NASA (USA), A&M (USA) und der Hardwarehersteller Supermicro (Taiwan).
Die Attacken nahmen einen lawinenartigen Verlauf, als immer mehr Ramen-Versionen und neue Linux-Würmer in Umlauf kamen. Die meisten dieser Schadprogramme nutzten Sicherheitslücken des Betriebssystems aus. Die rasche Ausbreitung dieser Viren machte deutlich, wie unvorbereitet die Linux-Entwickler auf diese Art der Bedrohung waren. Sie hatten bisher friedlich geschlafen, in der Annahme, dass Linux eine vollkommen sichere Umgebung sei. Viele Linux-Anwender hatten es noch nicht einmal für nötig befunden, die Korrekturprogramme zu installieren, die für manche der ausgenutzten Sicherheitslücken angeboten wurden und sie wurden so leichte Beute der Schadprogramme.
Dateilose Würmer - eine neue Herausforderung
Die so genannten dateilosen Würmer (fileless worms) wurden zu einer der hässlichsten Überraschungen des Jahres 2001. Diese Würmer waren in der Lage sich selbst zu vervielfältigen und auf infizierten Computern zu funktionieren, ohne dabei Dateien zu benutzen. Dieser Typ von Würmern existierte nur im RAM und breitete sich in Form speziell konfigurierter Datenpakete aus.
Diese neue Technik bereitete den Antivirenexperten zeitweise große Probleme, denn die traditionellen Antivirenscanner und -monitore erwiesen sich gegenüber dieser neuen Bedrohung als nutzlos. Bis zu diesem Zeitpunkt hatten die Antivirenanwendungen Schadprogramme während der Ausführung von Dateioperationen aufgespürt. Kaspersky Lab entwickelte als erstes einen neuen Antivirenfilter, der eingehende Datenpakete im Hintergrundmodus überprüfte und dateilose Würmer löschte.
Steigende Anzahl der Würmer für Windows
Während die klassischen Viren (insbesondere Makro- und Skriptviren) die Jahre 1999 und 2000 dominierten, war 2001 das Jahr der Würmer für Windows. Bereits im Herbst entfielen 90% aller registrierten Virusinfektionen auf diese Würmer.
Für diese Entwicklung gab es zwei Gründe: Zum einen ermöglichten neue Technologien es den Virenautoren, bessere Würmer zu kreieren, zum anderen wurde von der Antivirenbranche mittlerweile effektiver Schutz vor Makro- und Skriptviren angeboten.
Hoaxes
Das Jahr 2001 brachte auch eine Vielzahl von Virus-Hoaxes hervor, bereits im März waren 10 neue Warnungen vor gefährlichen neuen Viren registriert worden. Die Anwender, die durch die großen Epidemien des Vorjahres eingeschüchtert waren, gaben die Warnungen unverzüglich an Freunde und Verwandte weiter. Besonders weit verbreitet waren die Hoaxes California IBM und Girl Thing, ebenso wie ein Schreiben, das die Anwender vor einer Attacke einer neuen ILoveYou-Version am Valentinstag warnte.
Einige dieser Hoaxes waren so effektiv, dass sie noch Jahre später im Internet kursierten.
2001 im Überblick:
E-Mail und Internet werden zu den bevorzugten Ausbreitungsmedien von Viren.
Andere Kanäle zur Ausbreitung von Schadprogrammen wie ICQ, IRC, MSN Messenger und Dateientauschnetzwerke gewinnen an Attraktivität.
Dateilose Würmer erscheinen auf der Bildfläche.
Mitte des Jahres bilden Würmer für Windows die Mehrheit aller Schadprogramme, während Makro- und Skriptviren an Bedeutung verlieren.
2002
Insgesamt gab es 2002 zwölf schwer wiegende und 34 weniger ernste Epidemien, die durch Viren des Vorjahres ausgelösten nicht mitgerechnet. Virenautoren drangen in neue Plattformen, Anwendungen und Technologien ein.
Highlights 2002
Zwei neue Flash-Würmer, LFM und Donut, tauchten im Januar auf, die beide zur Ausbreitung in der .NET-Umgebung bestimmt waren. Glücklicherweise stellten sich beide als Konzeptviren heraus und es wurden keine Infizierungen registriert.
Im Mai erschienen der Wurm Spida, der SQL-Server angriff, und Benjamin, ein Virus, der eine ganze Lawine von Schadprogrammen nach sich zog, die das Dateientausch-Netzwerk Kazaa zum Ziel hatten.
Schadprogramme für Linux
Der Wurm Slapper beseitigte auch die letzten Zweifel daran, dass Linux-Anwender sich ebenso mit Fragen der Computersicherheit befassen müssen wie Anwender anderer Betriebssysteme auch. Slapper infizierte tausende von Computern unter Linux innerhalb weniger Tage. Auch die Anwender von FreeBSD wurden an den Einsatz von Sicherheitsmaßnahmen erinnert, als der neue Wurm Scalper im September FreeBSD-Computer attackierte. Allerdings war der Schaden in diesem Fall nicht so hoch wie der, den der Wurm Slapper verursachte hatte.
Professionelle Virenautoren
In diesem Jahr verfolgten die professionellen Virenautoren zunehmend kommerzielle Ziele, denn es gab einen starken Anstieg von Schadprogrammen, die finanziellen Schaden verursachten. Diese Art von Programmen stahl Passwörter, vertrauliche Daten, Informationen über den Internetzugang und andere Daten, mit denen Geschäfte zu machen sind.
Würmer
E-Mail-Würmer wie Klez und Lentin waren schon vor 2002 bekannt, allerdings wurden sie nun von einer neuen Generation von E-Mail-Würmern abgelöst, die sich ausbreiteten, indem sie eine direkte Verbindung zu dem SMTP-Server des infizierten Computers herstellten.
Diese Entwicklung war eine Folge der verbesserten Schutzvorrichtungen, die von den Anbietern verschiedener E-Mail-Programme mittlerweile in ihre Produkte integriert worden waren und die die Würmer davon abhielten, sich über MS Outlook und andere Mail Clients auszubreiten. Daher konzentrierten sich die Virenautoren nun auf Würmer, die in der Lage waren, diese Maßnahmen zu unterlaufen.
Würmer, die sich in anderen Umgebungen, wie z.B. LANs, P2P, IRC und so weiter ausbreiteten, verschwanden in diesem Jahr fast restlos von der Bildfläche.
Klez
Der folgenschwerste Ausbruch des Jahres 2002 wurde durch einen Wurm namens Klez ausgelöst. Er tauchte erstmals am 26. Oktober auf und hielt sich zwei Jahre lang auf der Hitliste der am weitesten verbreiteten Schadprogramme. Damit erzielte er einen Rekord, der bis heute nicht gebrochen wurde. Die aktivsten Klez-Klone waren Klez.e und Klez.h. Unter dem Strich war Klez Ende des Jahres für 6 von 10 registrierten Infizierungen verantwortlich.
Obgleich Klez die schwerste Epidemie des Jahres verursachte, machten ihm einige andere Würmer, insbesondere Lentin und Tanatos (alias Bugbear), scharfe Konkurrenz. Bezüglich der Anzahl der Infizierungen konnte Lentin zum Ende des Jahres Klez sogar überholen.
Sicherheitslücken
Der im Vorjahr begonnene Trend zur Ausnutzung von Sicherheitslücken wurde auch 2002 fortgesetzt. Virenautoren fixierten sich nun auf die IFRAME-Sicherheitslücke im MS Internet Explorer, um neue Würmer zu entwickeln, Klez, Lentin und Tanatos eingeschlossen. Diese Art von Schadprogrammen war Auslöser für 85% aller Infizierungen.
Klassische Viren
Interessanterweise taten sich innerhalb der Gruppe klassischer Viren in diesem Jahr die Makroviren besonders hervor. Die Makroviren für MS Word Thus, TheSecond, Marker und Flop waren die klassischen Viren mit der größten Ausbreitung. Diese Art von Malware tauchte erstmals in den späten 90er Jahren auf und erlebte 2002 eine Renaissance. Die Mehrheit der Windows-Anwender war der Meinung, Makroviren gehörten der Vergangenheit an und vernachlässigte daher unerlässliche Sicherheitsmaßnahmen, womit eine Wiedergeburt der Makroviren möglich wurde.
Die gute Nachricht ist, dass Skript-Viren und andere klassische Viren 2002 fast vollständig von der Bildfläche verschwanden.
Hoaxes
Der Aufschwung der Hoaxes aus dem Jahr 2001 hielt 2002 weiter an. Weltweit überschwemmten sich Anwender gegenseitig mit alten und neuen Hoaxes, darunterJDBGNR, Ace-?, SULFNBK, Virtual Card for You, California IBM und Girl Thing.
Zusammenfassung 2002
Zum Ende des Jahres zeigte sich eine interessante Veränderung bezüglich der Ausbreitung von Schadprogrammen. Während in den vorhergehenden Jahren die überwältigende Mehrheit der Infizierungen von einer kleinen Anzahl von Viren, meist nicht mehr als 2 bis 3, hervorgerufen worden war, wurde dieses Muster im September 2002 durchbrochen: Mehr und mehr Fälle von Virenbefall waren auf Schadprogramme zurückzuführen, die es nicht in die Top 20 schafften.
Ein geschärftes Bewusstsein der Endanwender für Sicherheitsfragen und die Bereitschaft präventive Maßnahmen zu ergreifen, spielten bei dieser Entwicklung unzweifelhaft eine Rolle. Von Anwendern korrekt eingesetzte Schutztechnologien führten zu einer sinkenden Zahl von Infizierungen, die von einem einzelnen Virus hervorgerufen worden waren.
Allerdings ist die Gesamtsumme der registrierten Infizierungen nicht kleiner geworden, was auf eine gestiegene Anzahl von Schadprogrammen in freier Wildbahn schließen lässt. Auch wenn ein einzelner Virus keinen signifikanten Ausbruch auszulösen vermochte, so ergeben alle Fälle zusammen doch eine eindrucksvolle Menge.
2003
2003 fanden zwei Attacken weltweiten Ausmaßes auf das Internet statt, die in der Geschichte ihres Gleichen suchen. Die Grundlage für diese Angriffe wurde von dem Internetwurm Slammer gelegt, der eine Sicherheitslücke im MS SQL-Server nutzte, um sich auszubreiten. Slammer war der erste klassische dateilose Virus, der demonstrierte, dass ein Flash-Wurm tatsächlich die Möglichkeiten hat, die ihm schon einige Jahre vorher prophezeit worden waren.
Am 25. Januar infizierte dieser Wurm innerhalb weniger Minuten Hunderttausende von Computern auf der ganzen Welt und legte aufgrund des enorm angestiegenen Datenverkehrs mehrere nationale Internetsegmente komplett lahm. Fachleute schätzen, dass der Datenverkehr in verschiedenen Netzwerken um 40% bis 80% anstieg. Der Wurm griff die Computer über die Ports 1433 und 1434 an und kopierte sich nicht auf die Festplatte, sondern verblieb schlicht im Speicher des Computers. Nach der Ausbreitungsdynamik des Wurms zu urteilen, hatte er seinen Ursprung im Fernen Osten.
Die zweite und gleichzeitig auch wichtigere Epidemie wurde von dem Wurm Lovesan ausgelöst, der im August 2003 erschien und sehr deutlich machte, wie anfällig Windows ist. Ebenso wie Slammer nutzte Lovesan eine Sicherheitslücke zur eigenen Ausbreitung, doch anders als der Erstgenannte drang Lovesan über ein DCOM-Schlupfloch in dem RPC-Dienst unter Windows 2000/XP ein. Das hatte zur Folge, dass fast jeder Internetuser von dem Wurm angegriffen wurde.
Bezüglich solcher Viren, die in neue Plattformen und Anwendungen eindringen, war das Jahr erstaunlich ruhig. Der einzige Bericht über Entdeckungen in der Wildnis kam von Kaspersky Lab und betraf MBP.Kynel. Dieser Virus infiziert MapInfo-Dokumente und ist in MapBasic verfasst. Der MBP.Kynel wurde ohne Zweifel von einem Russen geschaffen.
2003 war das Jahr der endlosen Wurm-Epidemien. Ganda und Avron wurden erstmals im Januar ausgemacht. Ganda stammt aus Schweden und ist bis heute einer der am weitesten verbreiteten E-Mail-Würmer in Skandinavien, obwohl sein Autor schon Ende März von der schwedischen Polizei festgenommen werden konnte.
Avron war der erste Wurm aus der ehemaligen UdSSR, der eine ernsthafte weltumspannende Epidemie nach sich zog. Der Quellcode des Wurms wurde ins Internet gestellt, was zu einer Reihe von weniger effektiven Avron-Versionen führte.
Ein weiteres wichtiges Ereignis des Jahres war das Erscheinen des ersten Sobig-Wurmes im Januar. Würmer dieser Familie verursachten allesamt signifikante Ausbrüche, doch die Version 'f' brach alle Rekorde und wurde so zum Netzwerk-Wurm mit der größten Ausbreitung seit Bestehen des Internet. Im August trat Sobig.f erstmals in Erscheinung und auf dem Höhepunkt der Epidemie war jede 20. E-Mail von ihm befallen. Die Autoren der Sobig-Familie zielten auf die Errichtung eines Netzes von infizierten Computern ab, um so DoS-Attacken auf willkürlich ausgewählte Computer durchführen zu können und dieses Netzwerk außerdem für Spam-Attacken zu nutzen.
Der E-Mail-Wurm Tanatos.b stellt ebenfalls eine Besonderheit in der Computervirologie dar. Die erste Tanatosversion war Mitte 2002 geschrieben worden, und die Version b erschien nur ein Jahr später. Der Wurm nutzte das wohlbekannte IFRAME-Schlupfloch in MS Outlook, um sich selbst von infizierten Nachrichten aus zu starten. Die durch Tanatos ausgelöste Epidemie steht bezüglich ihres Ausmaßes im Jahr 2003 an zweiter Position, gleich hinter der Sobig.f-Epidemie, im Laufe derer vermutlich die meisten Computer in der Geschichte überhaupt durch einen E-Mail-Wurm infiziert wurden.
Auch Würmer aus der Lentin-Familie erschienen immer wieder aufs Neue. Sie waren alle von einer Gruppe indischer Hacker verfasst worden und sind Teil des 'virtuellen Krieges' zwischen indischen und pakistanischen Hackern. Die am weitesten verbreiteten Versionen waren 'm' und 'o', die sich mittels einer ZIP-Datei ausbreiteten, die an die infizierte Nachricht angehängt wurde.
Auch die russischen Virenautoren waren unvermindert aktiv. Der zweite Wurm aus der ehemaligen UdSSR, der eine globale Epidemie auslöste, war Mimail. Der Wurm nutzte zur Aktivierung die neueste Sicherheitslücke im Internet Explorer, die es der Binärdatei des Wurms erlaubte, sich in eine HTML-Datei einzubetten und sich von dort aus auszuführen. Diese Strategie wurde erstmals im Mai 2003 in Russland eingesetzt (Trojan.Win32.StartPage.I) und darauf folgend wurde sie von den Würmern der Mimail-Familie sowie verschiedenen anderen Trojanern genutzt. Der Verfasser des Mimail-Wurms stellte den Quellcode ins Internet und legte so den Grundstein für eine Anzahl von Variationen des Wurms, die von anderen Autoren stammen.
Der September war der Monat des I-Wurms I-Worm.Swen. Er trat im Gewand eines Korrekturprogramms von Microsoft auf und infizierte Hunderttausende von Computern auf der ganzen Welt. Bis zum heutigen Tag ist er einer der am weitesten verbreiteten E-Mail-Würmer. Der Autor dieses Virus nutzte die Verunsicherung der Anwender, die nach den von Lovesan und Sobig.f verursachten Epidemien noch immer nervös waren.
Eine andere ernsthafte Epidemie wurde von Sober ausgelöst, einem relativ simplen Wurm deutschen Ursprungs, der den Spitzenreiter des Jahres, Sobig.f, imitierte.
Der 2002 begonnene Trend zum vermehrten Einsatz von Backdoor- und Spionage-Trojanern setzte sich auch im Jahr 2003 fort. In dieser Kategorie sind besonders Backdoor.Agobot und Afcore zu nennen. Nachdem der Autor der Originalversion von Agobot ein Netz von Websites und IRC-Kanälen geschaffen hatte, über das die Kunden ab einem Betrag von 150 Dollar eine ihren Wünschen entsprechende Version eines Backdoor-a erwerben konnten, waren schließlich über 40 Variationen von Agobot in Umlauf.
Afcore erfuhr zwar nicht eine solche Ausbreitung, doch um sich im System zu tarnen, bedient sich dieser Virus einer ungewöhnlichen Technik: Er platziert sich in zusätzlichen Dateien des NTFS-Systems, d.h. in den Catalogue-Streams und nicht in den File-Streams.
Ein neuer und potentiell gefährlicher Trend offenbarte sich Ende 2003, und zwar ein neuer Typ Trojanischer Pferde, TrojanProxy. Hiermit wurde der Zusammenschluss von Virenautoren und Spamversendern erstmals klar und deutlich. Versender von Spam nutzen die von diesem Trojaner-Typ infizierten Computer für ihre Zwecke, und umgekehrt zeigte sich, dass die so genannten Spammer ihren Anteil an Epidemien hatten, bei denen sich die Schadprogramme via Spam-Technologie ausbreiteten.
Internet-Würmer nahmen den zweiten Platz der Rangliste der aktivsten Schadprogramme im Jahr 2003 ein. Insbesondere sind hier I-Würmer zu nennen, die sich verbreiten, indem sie nach bestimmten Passwörtern suchen und sich dann mit entfernten Netzwerkressourcen verbinden. In der Regel basieren diese Würmer auf IRC-Clients und kopieren die Adresse der IRC-Anwender. Sie versuchen dann über das NetBIOS-Protokoll und den Port 445 in andere Computer einzudringen. Innerhalb dieser Viruskategorie ist die Familie der Randon-Internetwürmer besonders erwähnenswert.
Den ersten Platz unter den Schadprogrammen nahmen auch 2003 die Internetwürmer ein.
Gleich darauf folgten Makroviren, wie der Macro.Word97.Saver. Allerdings wurden im Herbst des Jahres die Viren von den Trojanischen Pferden überholt - ein Trend, der bis heute anhält.
Die Entwicklung der modernen Schadprogramme - Tendenzen und Prognosen
Würmer: Trends 2003
Die derzeitige Situation der Virologie ist hauptsächlich auf Ereignisse der zweiten Hälfte 2003 zurückzuführen. Die Internet-Würmer Lovesan, Sorbig, Swen und Sober lösten weltweit nicht nur riesige Epidemien aus, sondern änderten beachtlich die Malware-Landschaft. Jedes dieser Schadprogramme unterschied sich vom anderen durch besondere Kennzeichen, die alle heute und in der nahen Zukunft aktiv von den Virenschreibern genutzt werden.
Um zu verstehen, was die Virenschreiber heutzutage tun, und um zu erahnen, was die Zukunft uns bringt, müssen wir dieses Würmer-Quartett genauer analysieren.
Lovesan
Der Netzwurm Lovesan erschien im August 2003, nutzte für seine Verbreitung eine kritische Schadstelle im Betriebssystem Windows. In wenigen Tagen gelang es ihm, weltweit Millionen Computer zu infizieren. Dabei nutzt er als Verbreitungsprinzip das globale Internet-Netz, attackiert unmittelbar den infizierten Computer. Dabei ignoriert er die damals traditionellen Wege über die elektronische Post, IRC und P2P-Netze. Bereits 1988, durch Wurm Morris, wurde dieser direkte Weg genutzt, doch seitdem vergingen 15 Jahre, in denen keine Vorfälle dieser Art verzeichnet wurden. 2003 jedoch war Lovesan nicht der einzige derartige Wurm.
Der Erste war Wurm Slammer, der innerhalb von nur 3 Tagen im Januar 2003 etwa eine halbe Million Computer infizierte. Auch er nutzte Schwachstellen im Programm-Produkt von Microsoft -MSQL-Server. Alles in allem, laut Anzahl der realen Fälle und der globalen Folgen, blieb Lovesan-y Gewinner dieses Rennens. Übrigens war Slammer der erste klassische, körperlose Wurm, dessen Entwicklung zweifelsohne viel schwieriger war. Bestätigt wird das durch die Tatsache, dass seit der Slammer-Epidemie nur ein einziger körperloser Wurm auftrat - der Wurm Witty (im März 2004).
Als Ergänzung zu dem bereits Gesagten sei erwähnt, dass Wurm Lovesan sogar eine DDoS-Attacke auf die Seiten des Unternehmens Microsoft versuchte, was eine Masse verheerender Folgen für Millionen Anwender gehabt hätte, die ohne Aktualisierung der Programm-Produkte geblieben wären, darunter auch der Produkte, die den Computer vor analogen Würmern schützen sollen. Glücklicherweise misslang die DDoS-Attacke. Prinzipiell jedoch veranlasste die Möglichkeit einer solchen das Unternehmen Microsoft dazu, seine Architektur und das Zugangsprinzip zu den Schlüssel-Netzressourcen bedeutend zu verändern.
Resümee: Die folgenden klassischen Wurmmerkmale der modernen Viren haben ihren Ursprung in Lovesan:
die Nutzung kritischer Schwachstellen in den Programm-Produkten von Microsoft
die Verbreitung über das globale Netz, durch den direkten Anschluss an den attackierten Computer
Organisation verteilter DoS und DDoS-Attacken auf frei ausgewählte Webseiten.
Sobig.f
Der Postwurm Sobig.f ging Ende August 2003 sehr zielstrebig in die Geschichte ein. In nur 2 Tagen rief er die größte Epidemie eines Postwurms im 21. Jahrhundert hervor. Auf der Höhe seiner Aktivität enthielt praktisch jeder 10. Internet-Brief diesen Wurm. Der Umfang der Postflut wuchs um das Zehnfache, und auch Antiviren gaben ihren Beitrag dazu und teilten Millionen Absendern mit, dass im Brief ein Virus enthalten ist und dieser gelöscht werden muss.
Der Wurm benutzte nicht irgendwelche Schwachstellen und hatte ziemlich einfache Briefthemen und -texte. Das Ausmaß der Gefahr war jedoch um ein Vielfaches größer: die im Wurm gefundene backdoor-Funktion (Empfang eines Kommandos von außerhalb) ließ bei den Spezialisten aller Antivirus-Unternehmen die Herzen erstarren und den 22. August abwarten, an dem alle mit Sobig.f infizierten Computer das Kommando von außerhalb erhalten sollten. Was dieses Kommando enthielt - das wusste niemand. Das Kommando kam nicht, denn die Server, von denen es erwartet wurde, waren operativ geschlossen worden. Sobig.f jedoch ist nach wie vor einer der verbreitetsten Würmer.
Eine solch gigantische Epidemie konnte nicht durch einen traditionellen Wurm ausgelöst sein, der über mehrere Computer durch das Netz kommt und seinen Höhepunkt erst nach Wochen oder Monaten erreicht. Lange schon vor Sobig.f, noch im Januar 2003 erschienen seine 'älteren Brüder', andere Würmer dieser Wurmfamilie. Sie alle infizierten Computer planmäßig, und gaben ihnen die Möglichkeit, durch sich selbst ständig neue Versionen zu verbreiten. Letztendlich, nachdem die Anzahl der durch frühere Versionen infizierten Computer bereits ein kritisches Ausmaß erreichte, schwappte eine Flut von Briefen aus ihnen heraus, die mit Sobig.f infiziert waren.
Faktisch gab Sobig.f den Anstoß für die Postwurm-Epidemien, die 2004 stattfanden und die in der Zukunft stattfinden werden. Die Kennzeichen:
die vorherige Schaffung eines gigantischen Netzes von Zombie-Maschinen (Installation von backdoor's und Trojanern)
der vorherige Versand von Millionen Wurmkopien mit Hilfe der Spam-Technologien.
Swen
Versetzen wir uns in nicht allzu weit zurückliegende Vergangenheit. 18. September 2003. Früh am Morgen erhält Kaspersky Lab das erste Exemplar eines Wurms von einem Anwender aus Neuseeland. Der Wurm zog sogleich aufgrund seiner Originalität die Aufmerksamkeit auf sich. Zu dem Zeitpunkt war jedoch noch keine Rede von einer Epidemie. Erst nach 6-8 Stunden, als von überall her die Mitteilungen über eine Infektion eintrafen, war klar, dass auf dem Spielfeld der Viren ein neuer, gefährlicher Spieler aufgetaucht ist.
Swen nutzte zu seiner Vermehrung traditionelle Methoden - elektronische Post, IRC und P2P-Kanäle. Das war jedoch nicht sein Markenzeichen, vielmehr zeichnete er sich durch eine besonders heftige Methode des Social Engineering aus. Er gab sich als spezielles Patch des Unternehmens Microsoft aus, das angeblich alle bekannten Schwachstellen beseitigt. Die Nachricht enthält, leicht erkennbar, Elemente der offiziellen Microsoft-Webseite, Links auf weitere Ressourcen des Unternehmens und einen sehr korrekt erstellten Brieftext, zusammen mit den letzten Ausbrüchen von Lovesan und Sobig. Die bereits an die Notwendigkeit der Installation neuer Patches gewöhnten Anwender und die Gerüchte über eine neue Attacke auf die Webseite von Microsoft ließen die Anwender den Anhang öffnen und somit die schadbringende Datei laden.
Die Epidemie kam zwar nicht an Lovesan und Sobig heran, auch die Versandmethode ihrer Kopien über 350 dafür offene Server war nicht ideal, aber im Großen und Ganzen war Swen der Erste, der in großem Umfang eine weitere Eindring-Methode in die Computer nutzte:
die Methode Social Engineering.
Sober
Sober ist ein letzter leuchtender Vertreter der Postwürmer für 2003. Sober ist ein Kopieschnitt von Sobig, hat jedoch einige innovative Funktionen. Infizierte E-Mails kommen in vielen Sprachen, die Sprachauswahl findet bei Ankunft an die Empfänger- IP-Adresse an. Sober nutzt ebenfalls die Techniken von Social Engineering, indem er sich als Entfernungs-Tool für Sobig ausgibt. Erstmalig vereint ein Wurm die Merkmale von zwei weiteren Würmern.
2004
2004 lieferte uns viele neue, teilweise originelle Schadprogramme. Sie nutzten aktiv die Ideen ihrer Vorgänger, und ergänzten die wichtigsten Tendenzen der Virenentwicklung durch neue Merkmale.
Januar 2004
Der Trojaner Proxy Server, Mitglieder, zeigte sich gleich nach den Neujahrs-Feiertagen. Am Morgen des 4. Januar erhielten Tausende ISQ -Nutzer die Mitteilung, eine bestimmte Webseite zu besuchen. Viele derjenigen, die auf den gesandten Link klickten, wanden sich kurz danach Hilfe suchend an die Antivirus-Unternehmen. Auf der Webseite befand sich ein Trojaner-Programm, welches, eine Schwachstelle im Internet-Explorer nutzend, versteckt einen Trojaner Proxy-Server installierte und startete. Dieser öffnete auf der infizierten Maschine die Türen für den Empfang und weiteren Versand von Postnachrichten.
Hier müssen wir zwei wesentliche Merkmale aufzeigen, die in der Zukunft mehrfach von den Virenschreibern genutzt werden und die die allgemeine Tendenz unterstreichen:
der Versand der Nachrichten über elektronische Post oder ISQ mit dem Ziel, die Aufmerksamkeit der Anwender auf eine bestimmte infizierte Webseite zu lenken
die faktische Herausbildung der Trojaner Proxy-Server als einzelne Klasse, die eng auf den Spam-Versand ausgerichtet ist.
Es gab noch ein weiteres Merkmal, welches bereits oben erwähnte wurde - die 'Bildung eines Netzes von Zombie-Maschinen'. Bekannt wurde das jedoch erst später - als Wurm Bagle erschien.
Allen Anzeichen nach ist Bagle von derselben Gruppe Virenschreiber geschaffen worden wie Mitglieder, da er auf die infizierten Maschinen ebenfalls Trojaner Proxy-Server installierte, oder ihn aus dem Internet lud. Faktisch war es derselbe Mitglieder, aber mit einer Funktion der Selbstvermehrung über elektronische Post. Und, auch sehr wichtig, für die Vermehrung von Bagle wurden wiederum schon früher mit dem Trojaner infizierte Maschinen genutzt.
Nach nur kurzer Zeit knallte es. Im Netz kam es zum Ausbruch der bisher größten Epidemie der Geschichte. Der Postwurm Mydoom.a, der zuvor über ein gigantisches Netz von Zombie-Maschinen verschickt wurde (analog Sobig), nutzte die Methode des Social Engineering (Swen), enthielt in sich eine starke backdoor-Prozedur und sollte DDoS-Attacken auf die Webseite des Unternehmens SCO starten (Lovesan).
Die Vereinigung von drei Hauptmerkmalen früherer Würmer gab einen umwerfenden Effekt. Mydoom.a überholte mit Leichtigkeit den bisherigen Spitzenreiter Sobig.f in der Anzahl des geschaffenen Postverkehrs, infizierte Millionen Computer, indem er die Portale für den Zugang von außen öffnete und führte erfolgreich eine DDoS-Attacke auf die Webseite des Unternehmens SCO durch. Danach wurde er schließlich für Monate außer Kraft gesetzt.
Darüber hinaus brachte Wurm Mydoom.a neben dem ersten Platz in der Viren-Hitparade auch Neues in die Geschichte der Virologie. Der durch ihn installierte backdoor erwies sich als ein Leckerbissen für viele andere Würmer. Sofort erschienen Würmer, die das Netz nach den von Mydoom geöffneten Portalen scannten, um dann über diese in die Computer einzudringen. Dabei vernichteten sie Mydoom und ersetzten ihn durch sich selbst, oder funktionierten gleichzeitig im System. In kürzester Zeit erschienen einige Dutzend derartiger Viren. Die meist verbreiteten unter ihnen erwirkten lokale Kurzzeitepidemien, und allesamt ließen die von Mydoom geschaffene Armee von Zombie-Maschinen für sich arbeiten.
Daraus können wir ein weiteres Merkmal ableiten, welches bereits zu einer klaren Zukunfts-Tendenz wird:
die Nutzung der Schwachstellen, die durch andere Viren entstanden sind.
Februar 2004
NetSky.b
Der Postwurm NetSky.b wurde anfänglich über ein Computernetz verschickt, dessen Computer von Backdoor.Agobot infiziert waren. Er nutzte praktisch alle Ideen seiner Vorgänger, mit dem einzigen Unterschied - er vernichtete die auf dem Computer aufgefundenen anderen Würmer, insbesondere Mydoom, Bagle und Mimail.
Das Prinzip 'Virus-Antivirus' ist jedoch nicht neu. Schon 2003 drang Netzwurm Welchia, der sich analog Lovesan über Schwachstellen verbreitete, in die Computer und vernichtete dabei nicht nur Lovesan-Exemplare, sondern versuchte, von der Microsoft-Webseite Patches zur Verhinderung neuer Infektionen herunterzuladen. NetSky lud keine Patches, sondern versuchte gegen Konkurrenten sowohl durch das Löschen von Maschinen als auch mit Worten 'zu kämpfen'.
Der Autor von Wurm Mydoom nahm an diesem Cyber-Fernkrieg nicht teil, doch dem entgegen hoben die Autoren von Bagle den ihnen hingeworfenen Handschuh auf und auf jede neue NetSky-Version mit einer Lawine von Schimpfwörtern antworteten sie mit ihrer neuen Version sinngemäß analoger Texte. So erschienen pro Tag drei neue Versionen eines jeden Wurms.
Im Verlauf dieses Krieges der Virenschreiber-Gruppierungen entstanden einige neue Merkmale der modernen Virologie:
das Streben danach, andere Würmer auf den infizierten Maschinen zu vernichten, faktisch ein Kampf um den Platz unter der Sonne (NetSky)
das Verschicken seiner eigenen Kopie als Archiv-Datei (Bagle, NetSky)
das Verschicken seiner eigenen Kopie als Passwort-Archiv, mit Aufzeigen des Passwortes im Brieftext, oder als offener Text, oder aber als Bild (Bagle)
kein Versand mehr seines Körpers über elektronische Post, stattdessen Versand eines Links auf die infizierte Webseite oder auf früher infizierte Maschinen (NetSky).
Alle diese Faktoren beeinflussten nicht nur wesentlich die Virus-Technologien, sondern auch die Architektur und die Möglichkeiten der modernen Antiviren-Programme.
Wir möchten uns kurz dem letzten Merkmal zuwenden: 'kein Versand mehr seines Körpers über elektronische Post'. Praktisch gleichzeitig mit dem Erscheinen der Version NetSky.q, welche Briefe mit einem Link auf früher infizierte Computer verschickte, und als Resultat dessen der Wurm von dieser Maschine geholt wurde, erschien der erste Wurm, der sich über das verbreitete Programm ISQ vermehrte - Wurm Bizex. Sobald er in einen Computer eindringen konnte, verschickte er an die gesamte Kontaktliste den Link auf die infizierte Webseite, von der wiederum die Hauptkomponente des Virus kam. Zwei Ideen wurden hierbei genutzt - erstens der Versand eines Links anstelle seiner Kopie, und zweitens die Nutzung der ISQ-Kanäle, um die Anwender an der infizierten Webseite zu interessieren (Mitglieder).
März - Mai 2004
Snapper und Wallon
Endgültig zeichnete sich diese Verbreitungsart als richtige Tendenz ab, als im März und im Mai 2004 Würmer wie Snapper und Wallon auftauchten. Beide versandten an die auf dem Computer gefundenen Adressen nicht sich selbst, sondern Links auf ihre Webseiten, auf denen Skript-Trojaner installiert waren, die Schwachstellen im Internet-Explorer zur Installierung der Hauptkomponente auf den Computer nutzten. Derartige Briefe rufen bei den Anwendern in der Regel noch keinen Verdacht wach, da sie keine Anhänge enthalten, wie das traditionell bei den Postwürmern üblich ist, und an die sich die Anwender bereits gewöhnt hatten.
Wahrscheinlich wird diese Verbreitungs-Methode in der nächsten Zukunft von den Viren noch mehrfach genutzt. Angesichts der sich häufenden Schwachstellen im Internet Explorer und im Outlook kann sich diese Gefahr noch deutlich vergrößern.
Sasser
Sasser, der Ende April erschien, nutzte die nächste kritische Schwachstelle von Microsoft Windows und verbreitete sich analog Lovesan über das globale Netz, über den direkten Anschluss an den attackierten Computer. Der Wurm bewirkte eine den Ausmaßen nach bedeutende Epidemie in Europa und enthielt in dem auf der infizierten Maschine gestarteten ftp-Service eine Schwachstelle, die von den neuen Netz-Würmern Dabber und Cycle genutzt wurde. Der Autor von Wurm Sasser wurde inhaftiert und gab darüber hinaus zu, der Autor der Wurmfamilie NetSky zu sein. Allem Anschein nach ist das tatsächlich wahr, da seitdem keine weiteren NetSky-Würmer zu verzeichnen sind.
So war Sasser faktisch nicht nur eine Reinkarnation von Lovesan, sondern schuf selbst, analog Mydoom, ein neues Ziel für Attacken durch andere Würmer.
Plexus
Nach Wurm Nimda (2001) war Plexus der Erste, der zu seiner Verbreitung praktisch alle zugänglichen Methoden nutzte - das globale Netz (analog Lovesan/Sasser), die elektronische Post, P2P-Netze, lokale Netze. In den vergangenen 3 Jahren hat nicht ein einziger Wurm in diesem Umfang die Möglichkeiten genutzt, meist fehlte die eine oder andere Verbreitungsmöglichkeit.
Hier haben wir es mit einem potentiell sehr gefährlichen Schadprogramm zu tun, welches außerdem auf Grundlage der originellen Codes von Mydoom geschrieben ist. Man kann Ähnlichkeiten mit Wurm Sober erkennen, der sich als ein talentierter Plagiator erwies und einige seiner Vorgänger überholte. Bis zum derzeitigen Moment jedoch verbreiteten sich die bekannten Plexus-Variationen nicht weit, aller Wahrscheinlichkeit nach deshalb, weil keine der ursprünglich üblichen Möglichkeiten des Massenversandes genutzt sowie die Methoden des Social Engineering nur spärlich angewandt wurden. Es ist jedoch nicht ausgeschlossen, dass uns in der Zukunft durchaus größere und heftigere Varianten dieses Wurms erwarten, oder andere Würmer mit derart ausgeprägten Verbreitungswegen.
Andere Schadprogramme
Trojaner
Folgende Tendenz ist unter den 'anderen Schadprogrammen', die zur Klasse der Trojaner zählen, zu erkennen:
ein beachtliches Anwachsen der Zahl der Spion-Programme, die geheime Bankinformationen ausspionieren: Derartige neue Programme erscheinen dutzendfach in nur einer Woche. Sie unterscheiden sich voneinander durch ihre Vielfältigkeit und Vorgehensweise. Einige von ihnen nutzen nur eine einfache Sammlung aller über die Tastatur eingegebenen Daten und ihres Versandes über elektronische Post an den Übeltäter. Die Schlimmsten von ihnen ermöglichten dem Autor eine vollständige Kontrolle über die infizierte Maschine, versandten Megabites gesammelter Daten an entfernte Server, um von diesen Befehle für die weitere Arbeit zu erhalten.
das Streben, die totale Kontrolle über die infizierten Computer zu erhalten: Das wird ersichtlich durch die Vereinigung zu Zombie-Netzen, die zentral gesteuert werden. In der Regel werden dazu IRC-Kanäle oder Webseiten genutzt, wo der Autor die Befehle für die Zombie-Maschinen zuvor abgelegt hat. Es gibt kompliziertere Varianten, z.B. viele der Agobot-Varianten vereinen die durch ihn infizierten Computer in ein P2P-Netz.
Das Nutzen der infizierten Maschinen für den Versand von Spam oder für die Organisation von DDoS-Attacken.
Die Trojaner Dropper und Downloader
Diese beiden Programme erfordern eine gesonderte Beachtung:
Ihr Endziel ist absolut identisch - die Installation eines anderen Schadprogramms auf einen Computer, welches sowohl Wurm als auch Trojaner sein kann. Nur die Vorgehensweise ist unterschiedlich. Dropper können ein schon bekanntes Schadprogramm enthalten, und umgekehrt eine neue Version installieren. Außerdem können Dropper gleichzeitig mehrere Schadprogramme installieren, die in ihrem Verhalten völlig unterschiedlich voneinander sind und sogar von verschiedenen Leuten geschrieben sein können.
Dropper sind Archive, die alles Mögliche beinhalten können. Sie werden sehr häufig für das Einschleusen schon bekannter Trojaner benutzt - es ist viel einfacher, einen neuen Dropper zu schreiben als einen Trojaner - und versuchen, ihn für Antiviren unkenntlich zu machen. Ein großer Teil aller Dropper wird über die Skript-Sprachen VBS und JS realisiert, was mit ihrer relativ einfachen Programmierung in diesen Sprachen und ihrer Universalität zu erklären ist.
Downloader werden von den Virenschreibern wegen der oben erwähnten Gründe für Dropper, nämlich der verschlüsselten Installation bereits bekannter Trojaner, gern verwendet. Des Weiteren auf Grund ihres kleinen Ausmaßes im Vergleich zu Droppern, und letztlich wegen der Möglichkeit der Realisierung regulärer Aktualisierungen und neuer Versionen von Trojanern. Auch hier heben sich die Varianten in Skript-Sprachen hervor, wobei in der Regel verschiedene Schwachstellen im Internet Explorer genutzt werden.
Beide Schadprogramme können nicht nur Trojaner auf dem Computer installieren, sondern auch verschiedene adware oder pornware.
Klassische Datei-Viren
Die klassischen Datei-Viren der 90er Jahre des 20. Jahrhunderts sind in der Gegenwart fast vollständig verschwunden. Sie überließen das Kampffeld den Würmern. Derzeit kann man etwa ein Dutzend aktiver Datei-Viren zählen, die aufgrund einer besonders in der letzten Zeit auftretenden Besonderheit ab und zu auf sich aufmerksam machen: der Infizierung mit Viren der Ausführungsdateien der Postwürmer und Versand deren Kopie - gemeinsam mit den durch den Wurm infizierten Briefen - in Form eines besonderen Anhangs. Sehr oft tauchen Exemplare der Postwürmer Mydoom, NetSky oder Bagle auf, die durch Datei-Viren wie Funlove, Xorala, Parite oder Spaces infiziert sind.
Im Großen und Ganzen ist die Gefahr einer globalen Epidemie durch Datei-Viren praktisch gleich Null. Selbst das Auftauchen des ersten Virus', der auf einer Win64-Plattform tätig ist, kann diese Situation in der nahen Zukunft nicht verändern.
Neue Angriffs-Felder
Wenn wir die neuen Möglichkeiten der Schadprogramme beschreiben wollen, kommen wir nicht umhin, ein Anwachsen ihrer Zahl, geschrieben in der Programmiersprache .NET, zu verzeichnen. Die ersten konzeptionellen Viren und Würmer in dieser Sprache erschienen schon vor längerer Zeit. Doch täglich wächst ihre Popularität, was die Aufmerksamkeit der Virenschreiber unabdingbar auf sich zieht.
Linux
Linux-Plattformen bleiben wahrscheinlich nach wie vor Ziel der rootkit-Attacken, wie auch der Attacken einfacher Datei-Viren. Dennoch geht die Hauptgefahr nicht von Viren aus, sondern von den aufgefundenen Schwachstellen in den Programm-Produkten für diese Plattform. Im Prinzip hilft dies den Virenschreibern, ihr Ziel zu erreichen, nämlich die totale Kontrolle über eine große Anzahl von Maschinen im Internet.
Mobile Geräte
Wenden wir uns zum Abschluss den mobilen Geräten zu, wie z.B. den PDA's. Die stetig wachsende Verbreitung des Betriebssystems Windows Mobile 2003, die umfangreichen Möglichkeiten der Kommutation von Daten über das Netz und die Erarbeitung von Dienstprogrammen (.NET framework) - all das führt unumgänglich nicht nur zum Erscheinen von Trojanern (für PalmOS gibt es sie schon), sondern viel gefährlicheren Arten, einschließlich Würmern.
Mfg eure benjamin
PS: Viel Spaß beim lesen.
Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken
Weitere Beiträge aus dem Forum Benjamin Forum World
Denk Aufgeben - gepostet von benjamin am Donnerstag 15.03.2007
Testbericht für MSN 2009 (Beta Version) - gepostet von benjamin am Sonntag 12.10.2008
Ähnliche Beiträge wie "Die Geschichte der Schadprogramme & Malware Trends"
@ Korado - gepostet von Calista am Samstag 27.05.2006
Ich finde ihr seit dumm!!!!!!!!! - gepostet von Anonymous am Donnerstag 15.06.2006
internetlos - gepostet von Norelle am Sonntag 06.08.2006