Der Mythos Virus

Der Mythos Virus

Marc Ruef
by Marc Ruef
time to read: 14 minutes

Das Substantiv Virus stammt aus dem Lateinischen und bedeutet ins Deutsche übersetzt Schleim oder Gift (der Plural vom lateinischen Virus lautet Virii). Diese Übersetzung trifft die Sache aber nicht ganz. Viren sind submikroskopisch (20 bis 300 nm) kleine Gebilde, die aus einem Stück Erbinformation in Form eines DNA- oder RNA-Moleküls mit einem Proteinmantel und meistens einer Schutzhülle bestehen. Einzeln betrachtet sind sie unbelebte Kristalle aus organischem Material.

Trifft so ein Kristall auf eine Zelle in einem Organismus, legt er seine Unbelebtheit ab. Er dringt in die Zelle ein und implantiert seine Erbinformation in den Zellkern. Die Zelle interpretiert den neuen genetischen Code und produziert neue Viren anstatt ihrer eigentlichen Aufgabe nachzugehen. Nach kurzer Zeit stirbt die infizierte Zelle, die Zellmembran platzt und die neuen Viren suchen sich zur Verbreitung weitere Zellen.

Es gibt auch Viren, die die Wirtszellen zu ungehemmter Zellteilung anregen. Wird der Stoffwechsel des betroffenen Lebewesens dabei gestört, spricht man von einer Vireninfektion. Die Auswirkungen auf den Organismus können von Unbemerktheit bis zu tödlichen Erkrankungen reichen. Einige bekannte Viruskrankheiten sind Schnupfen, Grippe, Herpes, Tollwut, Pest und AIDS.

Viren sind durch ihre einfache Struktur sehr schwer mit Medikamenten zu behandeln. Der befallene Organismus muss sie durch sein Immunsystem selbst abwehren. Dies kann Tage, Wochen, manchmal sogar Jahre dauern. Jeder Mensch trägt ständig Viren in sich, die je nach aktuellem Zustand des Immunsystems aktiv werden können.

Was sind nun Computerviren?

Der Begriff Computervirus oder einfach Virus hat sich in der Umgangssprache für eine ganze Gruppe von Programmen eingebürgert, die vom Fachmann als Malicious Software (böswillige Software) oder kurz Malware bezeichnet wird. Je nach Funktion wird sie spezifischer als Virus, Wurm, Trojanisches Pferd, logische Bombe oder Hoax bezeichnet.

Viren sind Codefragmente, die sich an andere Daten anhängen und sich bei deren Ausführung oder Verarbeitung vermehren. Die anfälligen Daten können Programme, Bootsektoren oder Dokumente sein. Für sich alleine ist ein Computervirus meist nicht reproduktionsfähig. Die Analogie zu den biologischen Viren liegt auf der Hand. Malware ist natürlich keine Mutation von normaler Software sondern wird gezielt von Spezialisten programmiert. Zum Programmieren eines überlebensfähigen Computervirus oder eines Wurmes gehören sehr hohe Fachkenntnis und Wissen über das zugrundeliegende Betriebssystem. Daher gibt es wohl nur wenige Programmierer, die selbstständig solche Programme entwickeln können – Vor allem in einer Zeit, wo in Hochsprachen programmierten Computerviren mit wenigen Handgriffen umgesetzt werden können. Was häufiger auftritt sind so genannte Mutationen, bei denen ein weniger erfahrener Programmierer eine bestehende Spezies abändert, ihr z.B. eine neue Botschaft oder Aktion mitgibt. Oder das Erstellen mit Viren-Generatoren, die zahlreich auf einschlägigen Internetseiten zu finden sind. Diese Viren gelten jedoch meist als sehr primitiv und werden von Antiviren-Programmen in der Regel auch stets erkannt.

Die Geschichte der Computerviren

Die Theorie des Computervirus geht bis ins Jahr 1949 zurück, auch wenn damals noch niemand im speziellen an solche Programme dachte: Der ungarische Informatiker John von Neumann (1903-1957) entwickelte die Theorie der sich selbst reproduzierenden Automaten.

Anfang der 70er Jahre erfanden Mitarbeiter der Bell Laboratorien ein Spiel namens Core Wars (Krieg der Kerne), dass dem Prinzip eines Virus schon sehr nahe kam. Ziel des Spieles war es, dem Gegner die kostbare Rechnerzeit zu stehlen. Core Wars kann man als den ersten Computerwurm der Geschichte Bezeichnen. Er war jedoch zu seiner Verbreitung noch auf die Hilfe des Programmierers angewiesen.

Der Begriff Computervirus wurde 1981 von Professor Adleman eingeführt. Er rief diesen Begriff während eines Gesprächs mit dem Doktoranden Fred Cohen ins Leben. Fred Cohen war es dann auch, der zwei Jahre später den ersten funktionsfähigen Virus vorstellte. Er war unter Unix programmiert und nistete sich im Befehl VD ein. Der Virus erbte bei jeder Ausführung die Systemprivilegien des Infizierten Programms und konnte so innerhalb kürzester Zeit jedem Benutzer diese Privilegien übertragen. 1984 lieferte Fred Cohen seine Doktorarbeit ab, deren Veröffentlichung lange Zeit umstritten war. Sie enthielt neben dem beschriebenen Virus noch andere experimentelle Vieren. Von da an, fand eine rasante Entwicklung statt: Ständig kamen neue Vieren in Umlauf. 1985 wurde in den USA ein Virus namens EGABTR über Mailbox verbreitet. Das Programm war als Hilfsmittel zur Verbesserung der damals noch sehr mangelhaften Grafikmöglichkeiten getarnt. Nach dem Start löschte EGABTR alle Dateien auf der Festplatte und gab folgende Meldung aus: Arf, arf Gotcha! (Arf, arf hab Dich!)

Die Anfänge der nervenden Computerviren

Im darauf folgenden Jahr kam dann der erste MS-DOS-Virus in Umlauf Der Pakistani- oder auch Brain-Virus war von zwei Softwarehändlern in Pakistan entwickelt worden. Da das Kopieren von Software dort nicht strafbar war verkauften die Händler billige Raubkopien von Originalsoftware, die mit Pakistani-Virus verseucht waren. Die Absicht der Händler war es, ihre Kunden auf diese Weise an ihren eigenen Servicedienst zu binden. Zu diesem Zweck enthielt der Viruscode auch die volle Anschrift der Softwareladens. Überraschend mag es für die beiden mag es dann allerdings gewesen sein, dass sich der Virus sogar bis in die USA verbreitete.

McAfees erster Virenscanner kannte 1987 bereits 19 Vieren, im Jahre 1997 lag die Zahl der erkennbaren Viren bei über 5’000 Stück. Dr. Solomons Anti-Virus war einen Schritt voraus, denn er war in der Lage über 14.000 Viren bzw. ihre Abarten zu erkennen.

Nachdem 1987 der erste Virus für Macintosh-Rechner entdeckt wurde, lieferte Apple seine Rechner gleich mit einem Virensucher aus. Dieses Programm war allerdings lediglich auf die eine Virusfamilie spezialisiert und somit nicht für die Verhütung neuer Viren geeignet.

1987 verbreitete sich auch der erste Wurm in einem IBM- System. Ein deutscher Student lies auf allen Rechnern eines IBM-Netzwerks einen Weihnachtsbaum auf dem Bildschirm erscheinen. Der Weihnachtsbaum verschwand nur, wenn der Benutzer CHRISTMAS eintippte. Im Hintergrund durchsuchte das Programm die Mailliste des Benutzers und schickte sich selbst an alle eingegebenen Adressen. Auf diese Weise konnte sich der IBM-Wurm explosionsartig vermehren.

Ein weiterer berühmter Fall war der Lehigh-Virus. Er verlängerte die COMMAND.COM um 555 Bytes und überschrieb dabei den Stack am Ende einer Datei. Der Virus überprüfte dann bei jedem Lesen einer Diskette, ob die Datei COMMAND.COM bereits Infiziert ist oder nicht. Nach jeder vierten Infektion wurde ein Teil der gelesenen Diskette überschrieben. Entdeckt wurde der Virus, nachdem mehrere hundert Studenten der Lehigh-Universität in den USA ihre Systemdisketten zurückgaben, da sie nicht mehr Bootfähig waren.

Einer der ersten Viren, die eine gewisse Berühmtheit erlangten, war der PLO- oder Jerusalem-Virus, bekannter unter dem Namen Freitag-der-13-Virus. Er hat zwei Auswirkungen: An jedem 13. eines Monats der auf eine Freitag fällt, löscht er alle COM- und EXE- Dateien. An allen anderen Tagen, verringert der Virus nach 30 Minuten die Rechnergeschwindigkeit.

Der Virus wird langsam zum Problem

1989 kam eine Version vom McAfees Virenscanner auf den Markt, die bereits 44 Viren erkannte. IBM hatte ebenfalls ein Virensuchprogramm entwickelt. Es kannte jedoch erst 28 Viren.

In diesem Jahr tauchte in Australien und Neuseeland der Marihuana-Virus auf Er infizierte die Bootsektoren von 5,25-Zoll-Disketten mit 360 KB Kapazität. Bei jedem achten Programmaufruf wird auf dem Bildschirm ein Text ausgegeben, der dazu auffordert, Marihuana zu legalisieren. Durch den Internet-Wurm wurden innerhalb weniger Stunden tausend Rechner infiziert – An das amerikanische Internet-Netz sind unter anderem auch die Weltraumbehörde, NASA und das amerikanische Verteidigungsministerium (Pentagon) angeschlossen.

Ebenfalls 1989 wurde ein gravierender Fall der Verbreitung eines Virus über ein Trojanisches Pferd bekannt: Die in Panama registrierte Firma PC Cyborg Corporation verschickte an Fachkräfte und Teilnehmer einer internationalen AIDS-Konferenz Disketten mit angeblich wichtigem Informationsmaterial. Es sollte sich um eine Art Datenbank handeln, die zuerst mit dem Befehl INSTALL auf die Festplatte installiert werden musste. Im beiliegenden Lizenzvertrag wies der Hersteller darauf hin, das bei längerer Nutzung eine Gebühr von 378 US-Dollar zu zahlen sei. Andernfalls würden wichtige Daten verschlüsselt werden. Bei der Installation benannte das Programm die AUTOEXEC.BAT in AUTO.BAT um und setzte das eigentliche Trojanische Pferd in den Computer. Dieses enthält einen Zähler der bei dem neunzigsten Neustart des Rechners den Inhalt der Festplatte verschlüsselt. Einer der Firmeninhaber wurde kurz darauf in Großbritannien verurteilt und anschliessend in eine geschlossene Psychiatrische Anstalt eingewiesen.

Nicht verwechseln darf man das Trojanische Pferd mit dem AIDS-Virus, der aus dem gleichen Jahr stammt. Der AIDS-Virus überschreibt den Anfang von Dateien und gibt auf dem Bildschirm die Meldung aus, Your Computer now has AIDS (Ihr Computer hat nun AIDS) Nach dieser Meldung bricht das System ab, und der Rechner muss neu gestartet werden. Gegen diesen Virus hilf nur das Löschen der Infizierten Datei.

Klassischer Aufbau und Funktionsweise eines Computervirus

Jeder Virus besteht aus drei, meist vier Programmteilen: Beim ersten Teil handelt es sich um eine Art Kennung, das Hex-Pattern, durch das der Virus sich selbst erkennen kann. Mit seiner Hilfe kann ein Virus jederzeit überprüfen, ob eine Datei bereits infiziert ist. Dieses Vorgehen soll eine doppelte Infektion verhindern, die Einbussen in der Performance bzw. Effizienz und zur schnelleren Entdeckung führen würden.

Der zweite Teil enthält die eigentliche Infektionsroutine. Hierbei handelt es sich zuerst um eine Routine, die nach einer nicht infizierten, ausführbaren Datei sucht. Ist eine solche Datei gefunden, kopiert der Virus seinen Programmcode in die Datei. Ausserdem befindet sich in diesem Teil auch der Programmcode, der bei bedarf die Datei so umbaut, dass der Virus beim Aufruf des Programms sofort aktiv werden kann. Auch die Routine für einen eventuellen Tarnmechanismus befindet sich in diesem Teil des Programms.

Der dritte Teil entscheidet darüber, ob es sich um einen harmlosen Virus handelt, der nur einen kleinen Scherz macht, oder um einen destruktiven Typ, der eine mittlere oder grössere Katastrophe auslöst. Im harmlosen Fall steht hier die Anweisung, dass der Virus am Tag X ein Bild auf den Monitor Zeichnet oder einen bestimmten Text ausgeben soll. Hier kann sich aber auch der Befehl befinden: Formatiere nach dem x-ten Neustart die Festplatte.

Mit dem vierten Teil schliesst sich der Kreis. Hier befindet sich der Befehl mit dem das Programm nach Ausführung des Virencodes wieder zu der Stelle zurückkehrt, an der der Virus den Programmablauf unterbrochen hat.

Wie wird das Wirt-Programm infiziert

Die grössten Unterschiede bei der Infektion von Dateien liegen in der Art wie ein Virus sich in einem Programm festsetzt. Viele Viren hängen ihren eigenen Programmcode an das Ende einer ausführbaren Datei und setzen am Anfang einen Zeiger auf diesen Code. Wird das Programm gestartet, springt es vor der Ausführung seiner eigentlichen Aufgaben zuerst auf das Virusprogramm. Ist dieses ausgeführt, springt es wieder an die Stelle zurück, an der der Ablauf ursprünglich unterbrochen wurde. Der Benutzer bemerkt allenfalls eine minimale Veränderung an der Aufrufgeschwindigkeit. Jedesmal, wenn das Programm jetzt aufgerufen wird, startet zuerst der Virus. Er sucht von diesem Moment an nach nicht infizierten, ausführbaren Dateien, um sich auch an diese heranzumachen. Die Infektion durch dieses Anhängen, des Virencodes richtet keinen bleibenden Schaden, an der befallenen Datei an. Diese Viren lassen sich wieder entfernen.

Manche Viren gehen allerdings viel radikaler vor und überschreiben einfach so viel von der Datei, wie sie für ihren Programmcode benötigen. Ist das Wirtsprogramm genauso groß oder größer als der Virus, geschieht das relativ unauffällig. Ist der Virus größer als sein Wirt, überschreibt er die Datei komplett und verlängert sie um den Platz, den er darüber hinaus benötigt.

Eine Sorte von Viren verschiebt den Original-Bootsektor, schreibt das eigene Ladeprogramm in den Bootstrap (eine Routine, die das BIOS auffordert, das Betriebssystem zu laden) und versteckt sich dann selbst irgendwo auf dam Datenträger. Wird beim Rechnerstart auf den Bootsektor zugegriffen, startet der Virus-Lader zuerst den Virus und leitet den Zugriff danach auf den verpflanzten Original-Bootstrap um. Dadurch kann sich ein Virus auch auf Disketten verbreiten, die nur Datein und keine Programme enthalten, da auch nicht-bootfähige Disketten einen minimalen Bootsektor haben. Wird bei einem Bootversuch kein Betriebssystem gefunden, gibt das Ladeprogramm lediglich die Meldung am Bildschirm aus: keine Systemdiskette… Eine solche Diskette kann einen Virus dann als Krücke zum Starten verwenden.

Andere Viren überschreiben die in der FAT enthaltenen Informationen über ein Verzeichnis und geben bei jedem Programm als Adresse die des Virusprogrammes an. Die Original-Adressen legt der Virus selbst in einer geordneten Liste ab. Wird nun ein Programm aufgerufen, startet es zuerst den Virus. Dieser leitet den Zugriff dann an die richtige Adresse weiter. Von jedem dieser Infektionswege gibt es einige Varianten. Auch Kombinationen aus mehreren Methoden kommen häufig vor. Deswegen lassen sich Viren auch zunehmend schwerer klassifizieren.

Ist mein System sicher gegen Viren?

Malware ist grundsätzlich auf jedem Betriebssystem denkbar. Je stärker das Betriebssystem jedoch seine Ressourcen kontrolliert, desto weniger Schaden kann angerichtet werden. Die klassischen Opfer sind daher die Single-User-Desktopsysteme. Viren und Trojanische Pferde sowie von ihnen angerichtete Schäden gibt es vor allem auf den Systemen Amiga, Atari, Macintosh, MS-DOS/ Windows 3.x, OS/2 und Windows 9x.

Auf Mehrbenutzersystemen wie Unix, Windows NT/2000/XP oder VMS ist systemnahe Malware viel schwieriger mit gleichwertiger Effizienz auf Betriebssystemebene umzusetzen. Hier tritt hauptsächlich anwendungsnahe Malware wie Word- oder Excel-Makroviren (Microsoft Betriebssystem-Reihe), Internet-Würmer (Unix und seine Derivate) oder der IBM Christmas Trojaner (VM/CMS) auf. Für Linux wurden in letzter Zeit verstärkt Trojanische Pferde mit wurmähnlichen Eigenschaften gefunden.

Hierbei sei jedoch erwähnt, dass viele Viren nicht nur einer der genannten Kategorien zugeordnet werden können muss. Viren, die verschiedene Charakteristika aufweisen, also eine Mischform verschiedener Virentypen darstellen, werden als hybrid bezeichnet.

Wozu sind Computerviren in der Lage

Der grösste Teil aller Computerviren ist im Grunde gar nicht so gefährlich, wie es in der Öffentlichkeit gerne dargestellt wird. Diese Viren geben zum Beispiel unregelmässig oder regelmässig eine Meldung auf den Desktop des Anwenders aus, dass sich der Virus auf seinem System befindet – Oder eine neckische Scherzmeldung heraus. Man schätzt, dass nur ca. 10 % aller Computerviren wirklich echte Datenkiller sind. Aber trotzdem kann es vorkommen, dass ein eigentlich harmloser Scherzvirus schwerste Schäden an den Datenbeständen anrichten kann. Dieses ist darauf zurückzuführen, weil viele dieser Viren schlicht und ergreifend schlecht und fehlerhaft programmiert wurden.

Oder durch Panik-Reaktionen eines Anwenders bei einem Viren-Alarm der Anti-Viren-Software. Häufig werden Festplatten sofort formatiert und alle Daten sind für immer verloren.

Jedoch kann ein Virus auch sehr böswillig sein, bis zur vollständigen Vernichtung des gesamten Datenbestandes eines Rechners. Hier einige Möglichkeiten, die ein Virus verursachen kann in Stichpunkten genannt (welches jedoch nicht die gesamte Vielfalt der Computer-Viren darstellen soll): Formatierung der Festplatte, löschen einzelner Anwendungen, verlangsamen des gesamten Systems (beim Aufrufen von Anwendungen und/oder gesamte Systemleistung). Für zahlreiche Viren-Programmierer ist jedoch die Verbreitung/Vermehrungs-Routine eines Virus weitaus interessanter, denn jener Teil, der den Schaden anrichten soll. Das häufigste Motiv einen Virus zu programmieren, ist der Geltungsdrang in bestimmten Computerkreisen. Der Programmierer möchte von sich Reden machen und möglichst einen bekannten Namen tragen.

Die Möglichkeiten/Funktionen der Viren ist so vielfältig und verschieden, dass diese hier bei weitem nicht aufgeführt werden können. – Heutzutage kann ein Virus zu fast allem in der Lage sein, was sich ein Anwender nur vorstellen kann.

Woher kommen Computerviren

Die Motivationen, Malware zu schreiben und im Umlauf zu setzen, sind schwer herauszufinden, da man von den meisten Beispielen höchstens das Herkunftsland kennt. Der klassische elektronische Vandalismus gehört sicher dazu, als wie auch politische oder gesellschaftliche Motive. So wird vermutet, dass der Israel-Virus von Sympathisanten der PLO programmiert wurde, um israelische Computer lahmzulegen. Der Stoned-Virus verbreitet die Botschaft, Marihuana zu legalisieren. Die meisten Viren wurden aber wahrscheinlich aus Abenteuerlust oder Geltungsdrang programmiert. Es gibt auch Fälle in denen sich Forschungsprojekte verselbständigt haben.

Die Medien geben immer wieder gerne Horromeldungen über Computerviren heraus. Zwar ist richtig, dass jeden Monat zwischen 150 und 250 neue Viren in Umlauf kommen. Hierbei sei jedoch erwähnt, dass nicht alle Viren in der Tat in die freie Wildbahn gelangen. Die grösste Anzahl der Virenprogrammierer ist gar nicht darauf aus, ihre Viren auf die Computerwelt loszulassen. – Diese Viren werden lediglich in Bulletin Boards und Webseiten zum Download oder Tausch angeboten. Sehr häufig werden diese Viren auch direkt den Herstellern von Antiviren-Lösungen zugespielt. Nicht umsonst besitzen die Antiviren-Software-Hersteller die grössten Virendatenbanken weltweit. Manche dieser Viren-Enzyklopädien sind sogar frei zugänglich. Erstaunlich ist es, dass die meisten Viren, die sich in freier Wildbahn befinden selbst von recht alten Anti-Viren-Programmen gefunden und beseitigt werden können, denn der Ideenreichtum der jüngeren Generation der Virenprogrammierer nimmt merklich ab.

About the Author

Marc Ruef

Marc Ruef has been working in information security since the late 1990s. He is well-known for his many publications and books. The last one called The Art of Penetration Testing is discussing security testing in detail. He is a lecturer at several faculties, like ETH, HWZ, HSLU and IKF. (ORCID 0000-0002-1328-6357)

You want to test the strength of your enterprise regarding malware attacks?

Our experts will get in contact with you!

×
Specific Criticism of CVSS4

Specific Criticism of CVSS4

Marc Ruef

scip Cybersecurity Forecast

scip Cybersecurity Forecast

Marc Ruef

Voice Authentication

Voice Authentication

Marc Ruef

Bug Bounty

Bug Bounty

Marc Ruef

You want more?

Further articles available here

You need support in such a project?

Our experts will get in contact with you!

You want more?

Further articles available here