Eine kleine Geschichte der Viren, Würmer und Trojaner, Teil 2
Die wachsende Vernetzung von Computern wurde 1988 erstmals von einem neuartigen Schädling ausgenutzt. Würmer nutzen bis heute Schwachstellen in Netzwerken aus. In dieser Zeit organisierten sich sowohl die Virenautoren als auch die Antiviren Spezialisten. Antiviren Software etablierte sich.
| 1988 | MacMag war der erste nennenswerte Virus für Macintosh Rechner und hatte eine Reihe weiterer Innovationen zu bieten. Er war der erste Virus, der auf Bestellung (von Chefredakteur des MacMag) entwickelt wurde. Er war auch der erste Virus, der Datendateien befiel (in seinem Fall HyperStack-Dateien), um sich zu verbreiten. Abgesehen von einer Meldung hatte er keine schädliche Funktion. Der Indonesier Denny Yanuar Ramdhani erkennt und entfernt mit seinem Virus "Den Zuk" den "Brain"-Virus und erfindet so den Anti-Virus-Virus. Am Freitag dem 13. Mai platzt in Jerusalem zum ersten Mal eine logische Bombe (in diesem Fall eine Zeitbombe). Damit war eine neue Virengattung begründet. Jerusalem ist der erste speicherresidente Virus (im engeren Sinne von Dateiinfektor). Durch einen Bug infiziert er immer wieder die gleiche Datei, wodurch man ihn erkennen kann. Der Verbreitungsmechanismus ist ähnlich wie der von Lehigh, aber effektiver, da er nicht nur .COM, sondern auch .EXE Dateien befällt. Robert T. Morris jr. - der Sohn des Computer-Sicherheitsexperten der NSA - setzte einen Internet Wurm frei, der sich mit einer kleinen Passwortliste Zugang zu zahlreichen (2000 - 6000) UNIX-Rechnern verschaffte und sich dann wie der Tannenbaum-Virus weiter versendete, was widerum den Zusammenbruch der Netzwerke und des Mailverkehrs zur Folge hatte. Eine Aktion des Nutzers war dazu nicht notwendig. Der "Internet-Wurm" wie er genannt wurde, konnte nur noch durch telefonische Absprachen bekämpft und zur Strecke gebracht werden. Das erste Virus Construction Kit für den Atari ST entsteht. So können auch Anfänger Viren mit bestimmten Eigenschaften zusammenbauen. Als Reaktion auf die allgemein erhöhte Aktivität der Virenentwickler und speziell den "Internet-Wurm" wurde in den USA das Computer Emergency Response Team /Coordination Center (CERT/CC) gegründet. Es bietet bis heute Rat und Tat rund um den Datenschutz und die Datensicherheit. Mittlerweile gibt es auch deutsche CERTs. |
| 1989 | DataCrime verursachte einen riesigen Medienrummel. Mit "Vienna" erscheinen erste polymorphe Viren. Er verschlüsselt sich selbst mit variablen Schlüsseln und ändert auch die Form der Entschlüsselungsroutinen. Er ist deshalb durch Anti-Viren-Software nur mit komplexen Algorithmen aufzuspüren, die zudem zu Fehlalarmen neigten. Das war das Aus für viele Antivirensoftware-Herstellern. Im Juli erscheint die erste Ausgabe des Virus Bulletin. Seither entwickelte es sich zum renomiertesten Fachmagazin für Virenforscher. In Bulgarien führt Dark Avenger zwei Neuheiten ein: 1. Mit dem "Fast Infector" werden nicht nur ausführbare Dateien (zuerst "Command.com"), sondern auch zum lesen geöffnete und kopierte Dateien befallen. So ist nach kurzer Zeit die gesamte Festplatte befallen. 2. In unregelmäßigen Abständen werden einzelne Sektoren der Festplatte überschrieben. Das bleibt in den meisten Fällen unbemerkt. Backups, die häufig zum Schutz vor Virenbefall angelegt wurden, sind damit wirkungslos. In Haifa, Israel wird mit Frodo der erste Tarnkappen-Virus entdeckt, der Dateien infiziert. Nach dem 22.September eines Jahres sollte er die Festplatte eines PC beschädigen. Die entsprechende Routine funktionierte allerdings nicht. Ein Trojaner wird von der Firma PC Cyborg mit Sitz in Panama auf Disketten verteilt, die als AIDS Information getarnt sind. AIDS ersetzte die autoexec.bat und fing nach einer bestimmten Zahl (90) von Neustarts an die Festplatte zu verschlüsseln. Danach wurde man mit einer Rechnung für den Entschlüsselungscode konfrontiert. |
| 1990 | Viren züchten wurde jetzt Mode. In VX (Virus Exchange) Bulletin Boards werden alte und neue Viren ausgetauscht. 4096 Bytes ist die Größe des gleichnamigen Virus, der im Januar erschien. Er hängte sich an ausführbare und geöffnete Datendateien an. Der Mechanismus, der das zu verbergen versuchte führte oft dazu, dass Dateien zerstört wurden. Der Versuch die Nachricht "Frode Lives" anzuzeigen, führte zu einem Systemabsturz. In den USA werden mit V2Px, Virus-90 und Virus-101 erste polymorphe Viren geschrieben. Die Viren kombinierten Stealth- und Veschlüsselungsmechanismen. Das machte sie zu sog. Multi-Partite-Viren. Der Virus Fish war ein Tarnkappen-Virus mit einer kompakten Verschlüsselung (14 Byte). Joshi brachte die Verschleierung von Bootsektorviren weiter voran.Anthrax und V1 waren weitere Multi-Partite-Viren. Der erste wirklich erfolgreiche Multi-Partite Virus war Flip. Die ersten mehrteiligen Viren waren Anthrax und V1. Flip schaffte es als erster Virus dieses Typs sich zu verbreiten. Der Verband deutscher Virenliebhaber verbreitet das erste Virus Construction Kit für DOS. Damit ist es auch Anfängern möglich Viren nach Maß zu erstellen. Im Dezember wird das European Institute for Computer Antivirus Research (kurz EICAR) gegründet. Es spielt bis heute eine wichtige Rolle im Kampf gegen Viren und Virenautoren. |
| 1991 | Michelangelo war ein Bootsektor-Virus, der am 6. März -dem Geburtstag Michelangelos - die ersten 256 Sektoren des Datenträgers überschrieb. Damit wurde der Rechner unbrauchbar. Im darauffolgenden Jahr wurde Michelangelo in den Medien breit getreten, was sicher etlichen Schaden verhindert hat. Er war noch lange Jahre aktiv. Polymorphe Viren werden jetzt immer häufiger. Tequila ist der erste weit verbreitete polymorphe Virus. Maltese Amoeba überschreibt an zwei bestimmten Tagen des Jahres den ersten Sektor des Datenträgers. Robert Slade beginnt seine Reihe mit Computer-Viren-Tutorials. Kurz darauf beginnt er mit den Arbeiten am VIRUS-L-FAQ. Mit DirII wird der erste Cluster-Virus entdeckt. Der "Saddam-Hussein"-Virus verschlüsselt auf Amiga-Rechnern Teile des Datenträgers, so dass diese nur noch gelesen werden können, wenn der Virus im Speicher ist. |
| 1992 | Ein Virenautor, der sich Dark Avenger nannte, veröffentlicht im Januar die Self Mutating Engine (MtE). Damit lassen sich aus normalen Viren mit wenig Aufwand polymorphe Viren erzeugen. MtE ist damit das erste Toolkit zur Erzeugung von polymorphen Viren. Der Commodore Amiga und der Atari ST verlieren Ihre Bedeutung und MS-DOS setzt sich immer mehr durch. Entsprechend steigt die Anzahl der DOS-Viren. Altair für Atari ST gibt sich als AntiViren Software aus. Er überschreibt alle Viren, die er im Bootsektor findet. Er scheitert wie viele andere "Antiviren-Viren". WinVir 1.4 ist der erste Virus für Windows. Der erste Virus, der SYS-Dateien infiziert heißt Involuntary. Ebenfalls von Dark Avenger stammt Commander Bomber, der einen neuen Tarnmechanismus verwendet. Er befällt .COM Dateien, hängt sich aber nicht in einem Block an die Datei, sondern verteilt seinen Code auf mehrere Fragmente, die untereinander durch Links verbunden sind. Um ihn zu erkennen, muss die gesamte Datei gescannt werden. |
| 1993 | Neue Toolkits zur Erzeugung von polymorphen Viren erscheinen: Trident Polymorphic Engien (TPE), Nuke Encryption Device (NED) und Dark Angel's Multiple Encryption (DAME) bauen auf der MtE auf. Virensignaturen werden aber weiterhin verwendet. In MS-DOS 6 ist erstmal ein (mittelmäßiger) Virenscanner. Er enthielt eine mangelhafte On-Access Komponente, womit der Virenschutz einfach ausgeschaltet werden konnte. Der Amiga-Virus Fuck (sorry, aber der Name ist nicht von uns), der durch einen als Modem-Testprogramm getarnten Trojaner verbreitet wurde, ersetzte zunächst die Systemdatei loadWB. Nach einem Neustart des Rechners wurde der Virencode ausgeführt: Nach einer bestimmten Zeit, die durch die Bildwiederholfrequenz festgelegt war, wurde die gesamte Festplatte mit dem bösen F-Wort voll geschrieben, was zur Zerstörung aller Daten führte. Joe Wells veröffentlicht im Juli die erste Wildlist. Er möchte damit die Aktivitäten von Viren auflisten, die im Umlauf sind. Aus dieser Liste ist später die Wildlist Organization entstanden. Weitere Computerviren für Windows tauchen auf. |
| 1994 | Die ersten Multipartite-Viren tauchen auf. Diese Viren nutzen mehrere Infektionsmechanismen und können gleichzeitig neben Dateien auch Bootsektoren bzw. Partitionstabellen befallen. Der Jugendliche Black Baron veröffentlicht in England Smeg.Pathogen (und Smeg.Queen). Smeg.Pathogen zeigt eine Meldung an und überschreibt anschließend die ersten 256 Sektoren der Festplatte. Das hat in einigen Firmen zu erheblichen Schäden geführt. Er wurde im darauf folgenden Jahr zu einer Gefängnisstrafe verurteilt. Kaos4 verbreitete sich über eine Newsgroup, die auf Erotikbilder spezialisiert war. Diese Strategie wurde seitdem häufiger angewandt. Virus Hoaxes werden mit den "Good-Times"-Warnungen zu einem ernsthaften aber verkannten Problem. |
Malware-Geschichte
- Die frühen Tage
- 1988 -1994
- 1996 - heute
© 2007 - 2012 G Data Software AG. Alle Rechte vorbehalten
- Home |
- Kontakt |
- PresseCenter |
- Impressum |
- Sitemap |
- Newsübersicht |
- Produktübersicht
