Virentrends: Die Entwicklung der digitalen Plagegeister

Die Plattformen

Viren führen unter Unix und seinen Derivaten ein Schattendasein. So existieren für Linux mit Staog und Bliss lediglich zwei etwas bekanntere Vertreter dieser Gattung. Geradezu paradiesische Zustände für digitale Parasiten finden sich hingegen in den offenen 16-Bit-Umgebungen DOS und Windows 3.x. Als typische Vertreter der Single User-Betriebssysteme sehen sie kein abgestuftes Sicherheitskonzept für unterschiedliche Anwender vor. Jeder darf alles. Dies gilt auch für Programme, die direkt auf die Ressourcen zugreifen können. So überrascht es nicht, dass die meisten Viren für diese Umgebung existieren.

Durch die Abwärtskompatibilität von Windows 95 und 98 hat sich daran wenig geändert. So starten auch die beiden Consumer-Betriebssysteme zunächst im Real Mode. In dieser Zeit können Programme und Treiber aus der config.sys und autoexec.bat geladen werden. Nach dem Start der graphischen Oberfläche kann der Anwender DOS-Fenster öffnen, die eine Kopie aller Programme enthalten, die während des Startvorgangs geladen wurden, wozu auch Viruscode zählt. Zwar blockt das Betriebssystem nun direkte Schreibzugriffe auf die Festplatte ab, nicht aber auf die Diskette. Freie Bahn gilt auch weiterhin für Viren, die sich im Bootsektor oder MBR eines Datenträgers eingenistet haben.

Diese Spezies, die sich in den Systembereichen einnistet, hat es unter Windows NT zwar schwerer. Dennoch kann sie Schaden anrichten: Sie muss lediglich während der Phase des Startvorgangs zur Ausführung gelangen, in der NT noch nicht die Kontrolle über den PC übernommen hat. Viren aus der 16-Bit-Welt scheitern bei ihrem Versuch, native NT-Dateien zu infizieren. Doch bei solchen Aktionen kann es schnell zu unvorhersehbaren Nebeneffekten kommen, wie etwa der Beschädigung der aktiven Partition.

Mittlerweile gibt es allerdings auch reine Win32-Dateiviren, die sich in den 32-Bit-Umgebungen fortbewegen und Schaden anrichten. Als Beweis, dass dies problemlos zu realisieren ist, gilt "Cabanas", der jedoch nie seinen Weg aus den Labors fand. Im Gegensatz dazu konnte sich der Win95-Virus "CIH" mittels infizierter Raubkopien äußerst schnell und erfolgreich verbreiten. Aufmerksamkeit erreichte er durch seine Schadensfunktion: Er löscht das Flash-BIOS sowie Teile der ersten Festplattenpartition. Für die Virenforscher aber noch viel interessanter ist, dass ihm das scheinbar Unmögliche gelingt: Er springt von Ring 3 für Windows-Applikationen auf den privilegierten Ring 0 für Treiber und Kernel. Dort stehen CIH alle Möglichkeiten offen, angefangen vom Allokieren des Speichers bis zum Abfangen von Funktionen des Betriebssystems. Weitere Neuschöpfungen wie "Marburg" oder "Inca" zeigen, dass die Virenprogrammierer effektive Wege entdeckt haben, um die Win32-Plattform erfolgreich zu durchdringen.