Die Geschichte der Computer-Viren von Andreas Marx Weitere Themen: Einführungsvortrag |
Die Geschichte der Computervirenvon Andreas Marx (VHM)
Danke an Ralph Roth, Stefan Kurtzhals, Howard Fuhs und Martin Roesler (alle VHM, Virus Help Munich) 1949
Bis ins Jahr 1949 geht die Theorie des Virus zurück. Damals dachte allerdings noch niemand an solche Programme. Der ungarische Informatiker John von Neumann (1903-1957) entwickelte damals schon die Theorie von selbstreproduzierenden Automaten. 70er Jahre
Schließlich erfanden Anfang der 70er Jahre Mitarbeiter der Bell Laboratories ein Spiel mit dem Namen "Core Wars", was übersetzt soviel wie "Krieg der Kerne" bedeutet. Dieses Spiel kam dem Prinzip eines Virus oder Wurms schon sehr nahe. Ziel des Spiels war es nämlich, den Gegnern kostbare Rechenzeit zu stehlen. Somit kann man "Core Wars" wohl als ersten Wurm in der Geschichte der Rechentechnik bezeichnen. Er war jedoch im Gegensatz zu einem heutigen Wurm auf die Hilfe des Programmierers angewiesen, der ihn verbreiten mußte. 1981
Der eigentliche Begriff des "Computervirus" wurde 1981 von Professor Adleman eingeführt. Er rief den Begriff ins Leben, als er sich mit dem Doktoranden Fred Cohen unterhielt. 1982
In diesem Jahr wurden im Xerox Alto Research Center die ersten Würmer programmiert, welche für verteilte Berechnungen genutzt werden sollten. Allerdings schlich sich ein Programmierfehler ein, welcher bewirkte, daß sich der Wurm unkontrolliert vermehren konnte. Das System brach kurz darauf unter der enormen Last zusammen. 1983
Zwei Jahre später war es Fred Cohen, der schließlich den ersten funktionsfähigen Virus vorstellte. Er war unter dem Betriebssystem Unix programmiert und nistete sich im Befehl VD ein. Dieser Virus erbte bei jeder Ausführung die Systemprivilegien eines jeden infizierten Programms und konnte so innerhalb eines kurzen Zeitraumes jedem Benutzer die geerbten Privilegien übergeben. 1984
1984 lieferte Fred Cohen schließlich seine Doktorarbeit ab. Die Veröffentlichung derer war aber lange Zeit umstritten, denn sie enthielt neben den gerade beschriebenen Virus auch noch einige andere experimentelle Viren. Von da an ging eine rasante Entwicklung in diesem Bereich los, es kamen ständig neue Viren und Trojanische Pferde in Umlauf. 1985
So wurde schon 1985 über Mailboxen ein Programm verteilt, welches zur Verbesserung der damals noch sehr mangelhaften Grafik dienen sollte. Nach dem Start dieses getarnten Trojansichen Pferdes wurden allerdings alle Dateien auf der Festplatte gelöscht und am Bildschirm erschien die Meldung "Arf, arf, Gotcha", was übersetzt "Arf, Arf, hab' dich!) dedeutet. In diesem Jahr wurde auch in der Zeitschrift "Apples" ein Virus im Quellcode für den Apple II veröffentlicht. 1986
Im Januar 1986 wurde schließlich auch die erste Vireninfektion auf einem Großrechner an der FU Berlin entdeckt. 1986 kam auch der erste MS-DOS-Virus in Umlauf. Der Virus, der Pakistani-, Ashar- oder auch Brain-Virus genannt wird, war von zwei Software-Händlern in Pakistan entwickelt wurden. Dieser Handel verkaufte billige Raubkopien von Originalsoftware. Dies war möglich, da dort das Kopieren von Software nicht strafbar war. Jeder Softwarekopie legten sie den Virus bei, der den Zweck haben sollte, die Kunden an den Händler zu binden. Überraschenderweise verbreitete sich dieser Virus aber sogar bis in die USA. Kurz darauf wurden auch Viren wie Vienna, Cascade, Stoned und Pingpong gefunden. Außerdem zog die Zeitschrift "Computer Persönlich" der "Apples" nach, und veröffenlichte ebenfalls einen Computervirus im Quelltext für den Apple II. 1987
Schließlich wurde 1987 auch der erste Virus für Macintosh-Rechner entdeckt. Apple lieferte daraufhin all seine System gleich komplett mit einem Virensuchprogramm aus. Allerdings konnte es nur diese eine Virenfamilie finden und war für andere Virustypen sozusagen blind. Somit war das Programm also nur bedingt brauchbar. 1987 verbreitete sich der erste Wurm in einem IBM-System. Dieser "Weihnachtsbaum" oder "Tannenbaum"-Wurm fand eine explosionsartige Verbreitung (siehe "Würmer"). Im November des Jahres wurde schließlich auch der LeHigh-Virus gefunden, der eine neue Technik beim Infizieren von Programmen verwendete (Slackbereich-Infektor). Kurz darauf wird in Deutschland auch zum ersten mal der Casacde-Virus gefunden. Er war der erste Virus, der speicherresident wurde und in Dateien auch verschlüsselt auftrat. Aufgrund dieser Eigenschaften wird er auch zur 2. Generation der Viren gerechnet. Zu einer der ersten Viren gehört auch der Jerusalem- oder PLO-Virus. Er wurde auch unter dem Namen Freitag-der-13.-Virus bekannt, da er an einen solchen Tag alle COM- und EXE-Dateien löscht. An allen anderen Tagen verrigerte er nach etwa 30 Minuten die Rechnergeschwindigkeit. Heute gibt es etwa 500 Varianten dieses Viruses. Für andere Systeme treten auch die ersten Viren auf, so für den MAC (nVir, Peace), Amiga (SCA-Virus), Atari (PT, Aladdin) und für UNIX (IBM MVS 370). In der Computerzeitschrift c't wird in diesem Jahr auch ein Artikel über einen Virus für den Atari ST veröffentlicht - inklusive Quelltext. Schließlich entwickelt sich daraus ein ganzer Virenstamm mit vielen Varianten des Virus. Somit werden auch die ersten Kritiken an der Veröffentlichung von Viren-Quelltexten laut. 1988
In diesem Jahr wird der erste Virusbaukasten (Virus Construktion Kit) für den Atari ST veröffentlicht. Mit Hilfe dieses Werkzeuges konnten auch Anfänger einfach Viren mit dem vom Benutzer bestimmten Eigenschaften "zusammenbauen". 1988 gelangt auch der Internet-Wurm weltweite Verbreitung. 1989
In dem Jahr 1989 wurde der erste polymorphe (vielgestaltige) Virus gefunden: der V2Px, 1260 oder auch Washburn genannte wird. Solche Viren verschlüsseln sich selbst auf andere Weise immer wieder neu, was das Entwickeln von Anti-Virus-Software erschweren soll. Außerdem werden die ersten Viren gefunden, die Dateien infizieren und dabei die gemachten Änderungen verbergen. Diese Viren werden auch Stealth-Viren (Tarnkappen-Viren) genannt. Es erscheinen die ersten gedruckten Dienste, die über Viren informieren (Virus Bulletin, Virus Telex) und es gibt die ersten internationalen Versuche, Viren zu klassifizieren. Es erschienen auch mehrere Bücher über Viren, und in Zeitschriften erscheinen erste Artikel über dieses Thema. In diesem Jahr kam auch die erste Version von McAfees Virensuchprogramm auf den Markt, welches bereits 44 Viren erkannte. Auch IBM hatte bereits einen Virenscanner entwickelt, der aber erst 22 Viren finden konnte. Es tauchen auch weitere Würmer wie WANK und OILZ auf. 1989 wird auch Fall der Verbreitung eines Trojanischen Pferdes bekannt: So verbreitete die Firma PC Cyborg Corp. Mit Sitz in Panama an Teilnehmer einer internationalen AIDS-Konferenz Disketten mit angeblich sehr wichtigen Informationsmaterial. Dabei soll es sich um eine Datenbank handeln, die zuerst auf die Festplatte installiert werden muß. Der Hersteller weist im beiliegenden Lizenzvertrag darauf hin, daß für eine längere Nutzung des Programms eine Gebühr von 378 US-$ zu zahlen sei. Sonst würden wichtige Daten auf der Festplatte verschlüsselt werden. Bei einer Installation benennt das Programm Systemdateien um und setzt schließlich das eigentliche Trojanische Pferd in den Computer. Dieses enthält auch einen Zähler und beim 90. Systemstart nach der Installation des Programms werden schließlich alle Daten auf der Festplatte verschlüsselt. Die Firmeninhaber werden übrigens kurz darauf verurteilt und in eine geschlossene psychiatrische Anstalt eingewiesen... 1990
In diesem Jahr wurde ein Virus entdeckt, der sich nicht nur selbst modifizieren und oligomorph verschlüsseln kann, sondern auch noch Tarnkappeneigenschaften aufweist. Er heißt "Whale" oder auch "Motherfish" und ist bis heute mit etwa 9 KB Umfang einer der größten speicherresidenten Viren überhaupt. Er ist mehrfach in befallenden Dateien und sogar im Speicher verschlüsselt. Man sagt, das er von Virenforschern als Testvirus programmiert worden sei. Zumindest ist er bis heute so gut wie nie in freier Wildbahn aufgetreten, was wohl auch darin begründet liegt, daß er sehr viele Fehler aufweist. Unter dem Betriebssystem DOS wurde auch der DIR-II-Virus freigesetzt. Er verwendet eine ganz neue Art, Programme zu infizieren. Dieser Virusstyp infiziert nämlich nicht die Programm an sich, sondern ihre FAT-Einträge. Für den Macintosh wurde 1990 auch ein Trojanisches Pferd gefunden, welches beim LaserWriter das Paßwort verändert. Außerdem wurde das erste Vrus Construktion Kit für DOS-Systeme herausgegeben und vom "Verband deutscher Virenliebhaber" verbreitet. 1991
In diesem Jahr wächst die Anzahl der neu gefundenen Viren langsam expotential an. Es finden auch Wettbewerbe und Veranstaltungen zum Programmieren von Viren statt. Außerdem wurde ein Virus entwickelt, der nur dafür programmiert wurde, unter Novell-Netware Paßwörter auszuspionieren. Außerdem entsteht mit den Organisationen EICAR (European Institute for Anti-Virus Research) und CARO (Computer Anti-Virus Research Organisation) eine bessere Zusammenarbeit bei der Bekämpfung von Viren. Es wurden auch in diesem Jahr viele Zeitschriften speziell für Virenprogrammierer gegründet. 1992
In diesem Jahr entstehen mehr Viren, als in allen vorherigen Jahren zusammen. Michelangelo-Hysterie... Es wird auch von einem Virenprogrammierer mit dem Synonym "Dark Avenger" eine erste Mutation Engine veröffentlicht. Dieses komplexe Werk kann als Grundbaustein eines polymorphen Virus dienen. Dabei bleibt, wie man so schön sagt, "kein Byte dem anderen gleich". Die Verschlüsselungsroutine ändert sich dabei genau so wie die Instruktionen, um den Virus zu entschlüsseln, die Länge ist ebenfalls sehr variabel. Seitdem wurden über 60 solcher Engines bekannt. Über den den Datenkanal "Channel Videodat", welches vom Sender Pro 7 übertragen wurde, wird ein neuer polymorpher Virus übertragen. Er fand sich in einem Entpackprogramm, was zu einem Virenscanner von McAfee, der den Tremor noch nicht kannte, beilag. Dabei sieht jede Mutation von ihm komplett anders aus. Virenforscher brauchten sogar einige Monate, bis dieser Virus in ihren Suchprogrammen auch in allen Varianten erkannt wurde. 1993
Es tauchen fast jeden Tag schon etwa 2 bis 3 neue Computerviren auf, so daß die Zahl der Viren weiterhin extrem ansteigt. Monatlich tauchen neue Mutation Engines auf, die teilweise aber kaum Verbreitung finden. Viren Construction Kits tauchen etwa mit der selben Häufigkeit laufen neu auf. Man findet aber nichts wesentlich neues, sondern viel mehr althergebrachtes, bekanntes. So tauchen von einigen Viren schon hunderte Varianten auf. Komplett neue Viren werden dagegen seltener. Es erscheinen die ersten Viren, die nicht nur DOS-Programmdateien infizieren können, sondern auch Windows-Programmdateien. Sie haben bis heute aber keine große Bedeutung erfahren, zudem ließen sie sich leicht erkennen. 1994
Es taucht ein neuer Virus auf, der wesentliche Unterschiede zu seinen Vorgängern hat: So verteilt sich die variable Entschlüsselungsroutine über das gesamte infizierte Programm. Dieser Virus, der One_Half oder auch Free_Love bezeichnet wird, kann sich sowohl in Dateien, als auch ein Bootsektoren und Master-Boot-Records einnisten. Solche Viren werden auch multipartite Viren genannt. Zusätzlich verschlüsselt der Virus zwei Sektoren der Festplatte mit einem variablen Schlüssel. Dieser speicherresidente Virus hat verfügt auch über Stealth-Techniken, die das Erkennen zusätzlich erschweren. Kurz darauf erscheint auch der Uruguay-Virus, der ähnliche Techniken verwendet. Es wird auch ein neues Virus gefunden, der den Bootsektor und eine Systemdatei infiziert. Dieser Kernel-Virus heißt "3APA3A" und wird später noch ausführlicher beschrieben. Außerdem wurde der erste Virus in einer Virenprogrammiererzeitschrift veröffentlicht, der OS/2-Dateien befallen kann ("OS2_First"). Dabei zerstört er Teile seines Wirtes. 1995
Im September erscheint der "Boza", welcher nur Windows-`95-Programmdateien infizieren kann und am 31. jedes Monats eine Meldung über die Verfasser ausgibt. Er wurde u.a. auch in einer Virenprogrammiererzeitschrift veröffentlicht. Es wurde über ihn viel in Zeitungen und Zeitschriften geschrieben - allerdings ist er bis heute noch bei keinem Anwender aufgetaucht und wird wohl ein Laborvirus bleiben. Es tauchten in diesem Jahr auch die ersten Macroviren (z.B. Concept, DMV) auf, die keine ausführbaren Programmdateien mehr infizierten, sondern Dokumente des Textverarbeitungsprogramms WinWord von Microsoft. Da dieses Programm z.B. auch auf dem Macintosh eingesetzt wird und die Virenmacros dort auch laufen, war der erste plattformübergreifende Virus geboren. Außerdem braucht man für die Programmierung eines solchen Macros weniger Ahnung zu haben. Ein Virus wurde bis dahin hauptsächlich in Assembler programmiert, was gewisse Systemkenntnisse voraussetzte. Solche Macros können allerdings fast von jedem Anwender programmiert werden, der mit einer solchen Textverarbeitung arbeitet. Angeblich soll der erste Virus dieser neuen Art übrigens von einem Microsoft-Programmierer stammen und wurde als "Beilage" einer Werbe-CD von Microsoft weitergegeben. 1996
Es wurde der erste polymorphe Windows-Virus entdeckt. Er nutzte gewisse Techniken aus, um wirklich sein Aussehen zu verändern. Unter Windows ist das nämlich ein gewisses Problem. Im 3. Quartal des Jahres 1996 wurde die Anzahl der Viren bei PCs auf mittlerweile über 10.000 verschiedene Varianten geschätzt. Man kann auch erkennen, wie unsicher offene Betriebssysteme wie DOS sind. Dort gibt es unheimlich viele Viren, im Gegensatz z.B. zu UNIX und deren Derivaten (Varianten). Durch Sicherheitsfunktionen ist das Programmieren von Viren unter solchen Betriebssystemen fast unmöglich, so daß auch nur einige Viren und Trojanische Pferde bekannt sind. Beim Macintosh kam das Auftreten von neuen Viren auch praktisch zum Stillstand, u.a. weil einige Virenprogrammierer erfolgreich verurteilt wurden, was natürlich zu einer Abschreckung führte. 1997
Erster Linux-`Virus' wurde von McAfee entdeckt - zeitgleich mit der Vorstellung des eigenen Virenscanners für Linux... Auf der CeBit wurde eine CD mit Wazzu.C verteilt... Macroviren - mehr dann je... Mitte '98 wohl mehr Macro- als Dateiviren...? (Fraglich, es wird derzeit weniger...) Zukünftige Entwicklungen
Derzeit sind Computerviren relativ lästige Begleiterscheinungen im Alltag, die noch einigermaßen zu beherrschen sind. Allerdings sieht die Zukunft dagegen ganz anders aus. Zunächst tauchen derzeit täglich etwa 4-5 neue Viren auf. Diese haben meisten davon haben schon Tarnkappen-Eigenschaften und sind polymorph, so daß eine Erkennung schwerfällt. Zudem gibt es laufend neue Varianten von bekannten Viren, die so abgeändert worden sind, daß Anti-Viren-Programme sie nicht mehr erkennen können. Auch sind immer wieder neue, heimtückischere Mutation Engines geschrieben, die das Leben der Virenforscher immer schwerer werden lassen. Mit Hilfe dieser Engines lassen sich primitive, unverschlüsselte Viren zu hochgradig mutierende polymorphe Viren umwandeln, die so nur schwer erkannt werden können. (Hinweis: Kleine Decryptoren Codeemu, Große AVR's besser.) Es sind auch immer wieder neue Viren Construction Sets erhältlich, mit dem selbst Anfänger ohne Erfahrungen ihre eigenen Viren zusammensetzen können. Sie benötigen dazu auch keine Programmierkenntnisse mehr. Sogar bei Macroviren ist dies seit einiger Zeit möglich. Ein anderes Hindernis bei der Entwicklung von riesigen Computerviren, die Länge von 7 KB (Zhengxi) bis 18 KB (SSR mit Decryptor, reiner Virus: ca. 12 KB, drei verschiedenen Engines) haben. Oft sind diese mehrfach verschlüsselt und enthalten viele Anti-Debugging-Tricks. Solche Viren zu analysieren, kann teilweise eine Arbeit von Wochen werden lassen, weil sie enorm komplex sind. Es werden oft auch noch viele andere Gemeinheiten wie kalkulierte und viele unbedingte Sprünge eingebaut, Teil-Verschlüsselungen sowie eine langsame Virus-Mutation usw. Unter Windows gibt es auch die Möglichkeit, spezielle Viren zu programmieren, die als Gerätetreiber (Device-Treiber, VXD's) getarnt werden können. Damit können sogar sämtliche Dateizugriffe überwacht werden. Unter Windows '95 wird auch der Bootsektor von eingelegten Disketten automatisch verändert. Wozu das gut sein soll, scheint selbst Microsoft nicht zu wissen. (Disketten-Wechsel erkennen?) Allerdings kann sich so ein Virus in diese Funktion einklinken und damit auf weite Reisen gehen. Auch die internationale Vernetzung kann Viren schneller verbreiten, als es jemals mit Disketten möglich wäre. So werden über das Internet täglich mehrere hundert Gigabytes an Daten ausgetauscht. Allerdings ist es unbekannt, wieviele Viren im Netz der Netze zu finden sind, wenn man gezielt danach sucht. Wenn man nur Webseiten und Downloads von bekannten Firmen ansteuert, kann man aber relativ sicher sein, daß kein Virus übertragen wird. (Naja, eventuell Vorsicht vor Microsoft... ; - ) ) Natürlich nur OHNE Virus-X (Active-X). |
© by Andreas Marx,
VHM
letzte Änderung: 08.01.2000
Mail an den VHM-Webmaster