Viren - Die "Goldenen 90er" läuten den Niedergang ein

Geschrieben von Carsten Eilers am Donnerstag, 2. Dezember 2010 um 09:56

(Computer-)Viren haben eine lange Geschichte, ihre Blütezeit erlebten sie aber in den 90er Jahren. Kurz zuvor wurden die ersten Antiviren-Programme zu ihrer Bekämpfung entwickelt, und es begann ein regelrechter Wettlauf zwischen Viren- und Antivirenautoren.

Mit Antiviren-Programmen gegen die Viren

Mit der Verbreitung der ersten Computerviren mit echter Schadfunktion entstand der Bedarf nach Programmen, mit denen eine Infektion verhindert und/oder infizierte Dateien und Disketten repariert werden konnten. Vor allem für Spiele war eine Vireninfektion damals sonst oft tödlich: Meist sorgte ein Kopierschutz dafür, dass während des Spiels die Originaldiskette eingelegt sein musste, und um Spielstände speichern zu können, durfte sie nicht schreibgeschützt sein. Beides zusammen machte diese kostbaren Disketten zu idealen Viren-Opfern. Wundert sich da noch jemand, dass meist mit Raubkopien gespielt wurde, selbst wenn die Originaldiskette im Schrank lag?

Die ersten Antiviren

Die ersten Antiviren-Programme konnten nur einen oder einige wenige Viren erkennen und/oder bekämpfen. Wie damals üblich, wurden diese Programme auch in Zeitschriften abgedruckt. Aber auch Programme, die wie die heute bekannten Virenscanner alle bekannten Viren erkennen, gab es recht bald. Bekannte Programme für den Atari waren z.B. Sagrotan und Poison!, für den PC gab es viele Vorläufer der heute noch vertriebenen Programme.

Anfangs hatten die Virenscanner, egal ob Spezialisten oder Generalisten, leichtes Spiel. Sie mussten nur alle Dateien daraufhin prüfen, ob die relevanten Teile den bekannten Viren glichen. Da es nur relativ wenig Viren gab, war das sehr einfach. Aber die Virenautoren reagierten schnell und erweiterten die Viren um Tarnfunktionen. Den Anfang machten Viren, die sich immer wieder neu verschlüsseln und dadurch nur schwer an bekannten Mustern erkannt werden können.

Der erste Virus mit Antiviren-Schutz

1990 wurde der erste Virus mit so einer Tarnfunktion entdeckt: V2Px (auch Chameleon genannt) verbreitet sich über infizierte .COM-Dateien und verschlüsselt dabei die gesamte Datei. Der verwendete Schlüssel wechselt mit jeder Infektion, so dass keine festes Muster zur Erkennung des Virus entwickelt werden kann. V2Px war ein Proof of Concept, mit dem Mark Washburn beweisen wollte, dass feste Muster nicht immer ausreichen, um Viren zu erkennen.

Der erste Virus in der breiten Öffentlichkeit

1991 wurden die Viren erstmals von der breiten Öffentlichkeit wahrgenommen. Michelangelo sorgte für einen ähnlichen Medienhype, wie zum 1. April 2009 der "RPC-Wurm" Conficker/Downadup. Michelangelo befällt den Bootsektor von Disketten und den Master Boot Record von Festplatten und überschreibt am 6. März, dem Geburtstag des Malers Michelangelo, wichtige Dateien auf dem Bootlaufwerk. Der Medienhype sorgte für etwas, was IBM als 'Michelangelo Madness' bezeichnete: Überall wurde nach Michelangelo gesucht, meist wurden aber nur andere Viren gefunden - insgesamt deutlich mehr, als Michelangelo-Viren.

Der erste Virus für Windows

1992 wurde auch der erste Virus für Windows (3.x) entwickelt, der aber nie in die "freie Wildbahn" gelangte. Win16.Vir_1_4 war ein reiner Proof of Concept - "Guckt mal, auch für Windows kann man Viren schreiben". Warum sollte man für einen grafischen Aufsatz eines bereits Virenerprobten Betriebssystems auch keine Viren schreiben können? Opfer des Virus waren Windows-EXE-Dateien, beim Start eines infizierten Programms löschte sich der Virus selbst und beendete das Programm, das beim nächsten Start ganz normal ausgeführt wurde.

Der erste Makrovirus

1995 wurde der erste Makrovirus für Microsoft Word entdeckt. Der 'Concept Virus' ist sowohl unter Windows als auch unter Mac OS lauffähig und infiziert nach dem Laden eines infizierten Word-Dokuments das Master-Template, wodurch alle danach mit dem so infizierten Word geöffneten Dateien ebenfalls infiziert werden. Nach Word kamen bald auch Excel, PowerPoint und Access an die Reihe: Die viel häufiger als Programme weitergegebenen Office-Dokumente sind ein idealer Verbreitungsweg für digitales Ungeziefer.

Es dauerte 15 Jahre, bis erneut eine neue Schadsoftware-Art die Systemgrenzen überwand: Der im Oktober dieses Jahres entdeckte Java-Trojaner Boonana infiziert Windows-, Mac OS X- und Linux-Systeme.

Der erste Virus für Windows 95

1996 wurde der erste Virus für Microsofts neues Windows-Version, Windows 95, entdeckt. Boza wurde, wie sein Pendant für Windows 3.x, nie in "freier Wildbahn" gesichtet. Als erstem Windows-95-Virus war ihm jedoch trotzdem die Aufmerksamkeit der Medien sicher. Die hatten schließlich lange genug auf Windows 95 gewartet, da war die schnelle Reaktion der Virenautoren natürlich berichtenswert.

Die ersten polymorphen Viren

1998 wurden die ersten polymorphen Viren entdeckt. HPS und Marburg infizierten das aktuelle 32-Bit-Windows und markierten einen weiteren Meilenstein im Wettlauf zwischen Virenautoren und Antivirenherstellern. Polymorphe Viren ändern von Generation zu Generation ihre Gestalt, z.B. indem Codeteile untereinander ausgetauscht werden: Für den Ablauf des Codes ist die Reihenfolge der Aufrufe wichtig, nicht die der Speicherung. Der Marburg-Virus schaffte es im Juli 1998 sogar trotz durchgeführter Virenscans auf die Cover-CD des britischen PC Gamer Magazine, u.a. steckte er in einem zur Anzeige der auf der CD gespeicherten Videos verwendeten Programm.

Der erste metamorphe Virus

1999 wurde der erste metamorphe Virus entdeckt. Regswap nistet sich in der Mitte von Windows-EXE-Dateien ein, was aufgrund mehrerer Fehler des öfteren nicht funktioniert und eine zerstörte Programmdatei zurück lässt. Metamorphe Viren ändern während der Ausführung ihre formale Grammatik, indem sie ihren Code selbst in einer Metasprache formulieren und danach neu assemblieren. Da es in Assembler für die meisten Befehle mehrere Möglichkeiten der Ausführung gibt, unterscheiden sich die verschiedenen Generationen teilweise sehr stark.

Sowohl polymorphe als auch metamorphe Viren brachten den Virenautoren einige Zeit die Führung im Wettstreit mit dem Antivirenherstellern ein.

Die ersten Viren im Web

1998 wurde der erste HTML-Virus entdeckt. HTML.Internal benötigt VBS und den Internet Explorer, um aktiv zu werden. HTML-Viren entstehen, wenn ein VBS- oder JavaScript-Virus in eine HTML-Seite eingebettet wird.

2000 wurde der erste Virus in bzw. für PHP entdeckt. PHP.Pirus war nur der erste Virus, der in einer Skriptsprache geschrieben wurde, um Server zu infizieren. Auch z.B. Perl oder Ruby lassen sich zum Schreiben von Viren missbrauchen.

Melissa, I love you und Anna Kournikova

1999 wurde der Melissa-Virus entdeckt, der sich auch selbst verbreitete statt nur passiv auf die Weitergabe infizierter Dateien zu warten. Der Makro-Virus infizierte Word- und Excel-Dateien und verschickte sich nach dem Start durch den Benutzer selbst über E-Mails, wodurch er sehr schnell eine sehr große Verbreitung erreichte.

2000 wurde ein weiterer sehr bekannter Virus entdeckt. Der ILOVEYOU-Virus ist ebenfalls ein Makro-Virus, der sich über E-Mai-Anhänge rasant verbreitete.

2001 legte ein Virus weltweit Rechner lahm und sorgte so für einen großen Bekanntheitsgrad. Der Anna Kournikova Virus ist ebenfalls ein VBS-Virus, der sich über E-Mails im Netz verbreitete. Möglich war was nur, weil sich sehr viele Benutzer ein per E-Mail erhaltenes Bild der Tennisspielerin Anna Kournikova ansehen wollten, das tatsächlich der getarnte VBS-Virus war. Beim Anklicken des "Bilds" wurde das VBS-Skript gestartet, das sich dann an alle Adressen im Outlook-Adressbuch des Opfers verschickte.

Die ersten Viren in Nischen

Seit ca. 10 Jahren werden Viren durch die sich selbst verbreitenden Würmer verdrängt. Während ein Virus zur Verbreitung auf die Hilfe eines Benutzers angewiesen ist, der ihn startet oder weitergibt, suchen die Würmer selbständig nach bisher nicht infizierten Rechnern und infizieren sie. Für die Viren blieben aber genug Nischen, die ihr Überleben als Schadsoftware-Art sichern, z.B. Mobiltelefone oder Taschenrechner. Und auch als Makroviren für OpenOffice erobern sie einen neuen Lebensraum.

In der nächsten Folge gibt es einen Überblick über die zur Zeit aktuellen Viren.

Carsten Eilers