Juni 2009

60 Jahre Computerviren

Fortsetzung, Teil 2

Komplizierter Virus, schwierige Erkennung

Waren Viren bisher relativ ungefährdet, machten ihnen die Virenscanner nun schnell das Leben schwer. Sie mussten nur alle Dateien mit den Mustern der wenigen bekannten Viren vergleichen. Aber die Virenautoren reagierten schnell und entwickelten Viren, die sich immer wieder neu verschlüsseln und die dadurch nur schwer an bekannten Mustern erkannt werden können. Als erster Virus mit Verschüsselungsfunktion gilt V2Px (auch "Chameleon" genannt), der .COM-Dateien infiziert und sich darüber verbreitet.

1991 sorgte ein Virus für das allgemeine Bekanntwerden der Gefahr: Michelangelo führte zu einer ähnlichen Medienhysterie, wie wir sie dieses Jahr zum 1. April beim RPC-Wurm Conficker/Downadup erleben durften. Der Virus befällt den Bootsektor von Disketten und den Master Boot Record von Festplatten und überschreibt am 6. März, dem Geburtstag des Malers Michelangelo, wichtige Dateien auf dem Bootlaufwerk. Der Medienhype sorgte für etwas, was IBM "Michelangelo Madness" nennt: Überall wurde nach Michelangelo gesucht, meist wurden aber nur andere Viren gefunden – insgesamt deutlich mehr als Michelangelo-Viren.

1995/96 brachte Viren für das neue Windows 95 und Makroviren für Microsoft Word. Bald kamen auch Excel, PowerPoint und Access an die Reihe: Die viel häufiger als Programme weitergegebenen Office-Dokumente sind ein idealer Verbreitungsweg für Viren. Der erste Macro-Virus war der "Concept Virus", der erste Virus für Windows 95 wurde "Boza" genannt, wurde aber nicht in „freier Wildbahn“ gesichtet. Als erstem Windows-95-Virus war ihm die Aufmerksamkeit der Medien jedoch sicher.

Der Kampf wird härter

Im Rennen zwischen Virenautoren und Antivirenherstellern hatten die Antivirenhersteller einige Zeit die Nase vorn, bis die Virenautoren mit polymorphen und metamorphen Viren konterten. Polymorphe Viren ändern von Generation zu Generation ihre Gestalt, z. B. indem Codeteile innerhalb der Datei verschoben werden. Die ersten polymorphen Windows-32-Bit-Viren waren die 1998 aufgetauchten Viren HPS und Marburg.

Metamorphe Viren ändern während der Ausführung ihre formale Grammatik, indem sie ihren Code selbst in einer Metasprache formulieren und danach neu assemblieren. Da es in Assembler für die meisten Befehle mehrere Möglichkeiten der Ausführung gibt, unterscheiden sich die verschiedenen Generationen teilweise sehr stark. Der erste metamorphe Virus für 32-Bit-Windows war Regswap.

1998/99 entdeckten die Virenautoren das Web als Lebensraum für ihre neuesten Kreationen: VBS- und JavaScript-Viren sowie durch deren Integration in eine HTML-Datei HTML-Viren. Der erste HTML-Virus war HTML.Internal und benötigte VBS und den Internet Explorer, um aktiv zu werden. Auch für andere Sprachen gibt es Viren, z.B. war für PHP der im Jahr 2000 entdeckte Virus PHP.Pirus der erste seiner Art, und auch in Perl können Viren geschrieben werden.

"Sex sells" – auch Viren

Ein berühmt-berüchtigter, auch allgemein bekannter VBS-Virus ist der Anna Kournikova-Virus, der sich im Februar 2001 rasant über E-Mails im Netz verbreitete. Das geschah nur, weil sich sehr viele Benutzer ein per E-Mail erhaltenes Bild der Tennisspielerin Anna Kournikova ansehen wollten, das tatsächlich der getarnte VBS-Virus war. Beim Anklicken des Bilds wurde das VBS-Skript gestartet, das sich dann an alle Adressen im Outlook-Adressbuch des Opfers verschickte.

1999 wurde der Melissa-Virus entdeckt, ein Macro-Virus, der Word- und Excel-Dateien infiziert und sich nach dem Start durch den Benutzer über E-Mails selbst verbreitet und sehr schnell eine sehr große Verbreitung erreichte. Ein weiterer sehr bekannter Virus ist der 2000 entdeckte ILOVEYOU-Virus, ebenfalls ein Makro-Virus, der sich über E-Mail-Anhänge verbreitet.

Der Virus ist nicht tot, aber es lebe der Wurm!

Damit endete die große Zeit der Viren – die sich selbst verbreitenden Würmer übernahmen ihren Platz in der Schadsoftwarelandschaft weitgehend. Während ein Virus zur Verbreitung auf die Hilfe eines Benutzers angewiesen ist, der ihn startet oder weitergibt, suchen sich Würmer selbständig neue Opfer und infizieren sie. Aber auch bei den Viren bleibt die Entwicklung nicht stehen: Sie breiten sich in neuen Nischen aus und ein Ende der Entwicklung ist noch lange nicht in Sicht. So gibt es z. B. Makroviren für OpenOffice und Viren für Mobiltelefone oder Taschenrechner. Oder wie wäre es mit einem Ruby-Virus, der Dateien infiziert?