Als Fred Cohen am 10. November 1983 ein neues Programm schrieb, war er sich nicht im Klaren, welche Welle er damit lostreten würde. Doch Cohen war neugierig: Kann ein Programm ein anderes infizieren? Und welche Auswirkungen hat das auf den „Organismus“ Computer? Vor 25 Jahren schrieb Doktorand Cohen daher an der Southern California University in Los Angeles den ersten Computervirus, der ein anderes System infizieren und sich selbst fortpflanzen konnte. Cohen war sich der Tragweite seiner Entdeckung wohl nicht bewusst. Noch viel weniger konnte er ahnen, dass daraus eine Industrie aus Malware-Schreibern und Malware-Bekämpfern entstehen würde.
Wie haben Sie 25 Jahre Virus erlebt? Welche Geschichten fallen Ihnen ein? Schreiben Sie uns in unserem Forum, wir freuen uns darauf. Unter allen Beiträgen, die bis zum 28. November 2008 eingehen, verlosen wir fünfmal Internet Security 2009 und fünfmal Anti-Virus 2009 von F-Secure .
Michelangelo – die Anfänge um 1990
Viren für DOS-Betriebssysteme verbreiteten sich anfangs vor allem über Datenträger, allen voran Disketten. Ein Meilenstein war dabei der Michelangelo-Virus. Dieser überschrieb den Boot-Sektor und löschte wichtigen Daten des Betriebssystems, sobald die Systemzeit den 6. März 1992 anzeigte, den Geburtstag des Universalgenies. Michelanglo schaffte es weltweit in die Zeitungen und löste eine wahre Medienhysterie aus.
Foto: BSI
Mitte der 1990er-Jahre begann die Ära der Script-Kiddies, die DOS- und Windows-Viren in Umlauf brachten und vor allem eines wollten: zerstören. Denn mit dem Erscheinen von Windows 95 setzte sich auch das neue Office-System von Microsoft durch. Nun schlug die Stunde der Makroviren, die gezielt Schwachstellen in Word, Excel, Powerpoint oder Access nutzen. Gleichzeitig tauchte ein passendes Virus Constructor Kit auf, mit dem auch Menschen ohne Programmierkenntnisse eigene Makroviren schreiben konnten. Gegen Ende der 90er-Jahre verbreiteten sich zudem Viren für VBS und JavaScript.
Im März 1999 schlug Melissa zu. Der Makrovirus ähnelte eigentlich schon einem Wurm und sorgte weltweit für Chaos. Verschickt als angebliche Passwortdatei für Pornoseiten, infizierte Melissa den Rechner und verschickte sich an die ersten 50 Kontakteinträge im Outlook-Adressbuch. Der Virus brachte das weltweite E-Mail-System an den Rand des Kollaps. 2002 wurde der Autor verurteilt und für 20 Monate hinter Gitter geschickt.
Epidemien zu Beginn des 21. Jahrhunderts
Kurz nachdem die Y2K-Panik überstanden war, kam die nächste große Welle. Im Mai 2000 fanden E-Mail-Nutzer eine Mail mit dem Betreff „ILOVEYOU“ in ihrem Postfach. Der Anhang war eine VBS-Datei, die als Loveletter legendär wurde. Der Virus verbreitete sich ähnlich stark wie Melissa und brachte das globale E-Mail-System ebenfalls an den Rand seiner Leistungsfähigkeit, teilweise brach es sogar zusammen. Selbst Organisationen wie das Pentagon oder die CIA mussten ihre E-Mail-Systeme abschalten, um Loveletter entfernen zu können. Obwohl Antivirenhersteller schnell reagierten, konnte die Epidemie nur langsam eingedämmt werden.
2001 ging es weiter, es schlug die Stunde von Code Red. Am 19. Juli 2001 infizierte dieser Wurm 359.000 verschiedene Systeme innerhalb eines Tages, eine unglaubliche Anzahl für die damalige Zeit. Er richtete laut US-Marktforschern einen Schaden von 2,6 Milliarden US-Dollar an. Und doch war er nur ein kleiner Ausblick auf das, was noch kommen sollte.
SQL Slammer, Blaster und Sobig
Denn während es 2002 relativ ruhig blieb, brauten sich für 2003 gleich drei große Gefahren zusammen. Im Januar 2003 schlug der SQL-Slammer-Wurm zu. Innerhalb kürzester Zeit setzte er das Internet beinahe komplett außer Gefecht. TecChannel berichtete: „In den frühen Morgenstunden des 25. Januar 2003 brach innerhalb von 30 Minuten das Internet für mehr als vier Stunden praktisch völlig zusammen. Fünf der 13 Root-DNS-Server fielen völlig aus, die anderen ließen sich aufgrund von Paketverlustraten bis zu 64 Prozent zeitweilig nicht mehr ansprechen. Auch auf den Backbones der großen Provider ging ständig rund ein Drittel der Pakete verloren.“
Möglich war das durch eine Sicherheitslücke in MS SQL Server 2000. Durch diese konnte er sich blitzartig über die Welt verteilen und seinen Schaden anrichten. Microsoft musste damals einiges an Kritik einstecken.
Es blieb nur eine kurze Verschnaufpause. Denn im August 2003 trieben Blaster und Sobig ihr Unwesen. Blaster wird einigen noch im Gedächtnis sein als die nervigste Malware, die jemals ihr Unwesen trieb. Denn Blaster sorgte dafür, dass der RPC-Dienst extrem instabil wurde. Wählte sich der Nutzer mit einem infizierten Rechner ins Internet ein, brach der Dienst zusammen, und das System wurde heruntergefahren. Dieses Spielchen wiederholte sich auch nach diversen Neustarts und trieb manche User an den Rand des Wahnsinns. Eine Abhilfe: Im DOS-Fenster musste der Befehl shutdown -a eingegeben werden.
Noch während Blaster wütete, trat Sobig in Erscheinung. Der E-Mail-Virus verbreitete sich wie Loveletter über Anhänge und war vor allem im asiatischen Raum unterwegs. Auch die Sobig-Familie lastete das damalige E-Mail-System nahezu aus und sorgte für Ausfälle.
2004 und 2005: MyDoom, Sasser und Sony-Rootkits
Loveletter und Sobig bereiteten den Weg für MyDoom. Dieser Wurm verbreitete sich über E-Mails und die Tauschbörse Kazaa und übertraf hinsichtlich der Verbreitung alles bisher Dagewesene. Der Wurm startete nach der Infektion eine Denial-of-Service-Attacke gegen den Webauftritt der Firma SCO. Diese ging damals gerichtlich gegen verschiedene Linux-Distributionen vor (eine schmutzige Anwaltsschlacht samt Morddrohungen und nichtiger Beweise, die 2007 in der SCO-Pleite endete.) und war alles andere als beliebt.
Nach einer kurzen Verschnaufpause war die Zeit reif für eine neue Windows-Lücke. Diesmal suchten sich Virenschreiber den LSASS-Dienst aus, die vom Wurm Sasser für einen Buffer Overflow genutzt wurde. Sasser richtete auf den befallenden Systemen einen FTP-Dienst ein und lud darüber Dateien nach. Sasser ließ unter anderem Flüge in den USA ausfallen, da die Server von Delta Airlines ausfielen. Geschrieben wurde er von einem 18-jährigen Schüler aus Niedersachsen, der im Mai 2004 verhaftet wurde.
Anschließend blieb es verhältnismäßig ruhig, große Virenausbrüche gab es kaum noch. Für Sicherheitsschlagzeilen sorgte 2005 allerdings Sony BMG. Der Konzern rückte mit dem Kopierschutz XCP die Rootkit-Problematik ins Licht der Weltöffentlichkeit. Nahezu jeder Antivirenhersteller hat seitdem einen Rootkit-Scan in seinem Produkt. Sony gab übrigens eine Woche später klein bei und tauschte die betroffenen CDs um.
2006 bis heute: ein lukratives Geschäft
Nun wurde es ruhig um die reinen Virenausbrüche. Immer stärker setzte sich anscheinend die Profitgier im digitalen Untergrund durch. Virenepidemien, die auf Zerstörung und Aufsehen ausgelegt waren, gab es kaum noch. Auch internationale Schlagzeilen blieben meist aus. Eine Ausnahme bildet der Wurm Nyxem oder Blackworm. Dieser infizierte Systeme über E-Mail-Anhänge und schlief dann. An jedem Dritten des Monats allerdings wachte er auf und vernichtete sämtliche Dokumente. Betroffen waren die Dateitypen „DOC/XLS/PPT/ZIP/RAR/PDF/MDB“. Nyxem sorgte zwar für Panik, richtete aber im Endeffekt kaum Schaden an. Als einer der Gründe wird die massive Berichterstattung angeführt, durch die User weltweit aufgeschreckt wurden, woraufhin sie ihre Systeme säuberten.
Nun schlug die Stunde von Storm und den zugehörigen Botnets. Zwar gab es bereits früher Ansätze von Botnets, die Revolution kam aber mit Storm. Der Sturm-Wurm infizierte eine unbekannte Zahl von Rechnern und gilt auch heute noch als eines der größten zusammenhängenden Botnets. Der Clou dabei: Storm verwendet eine Peer-to-Peer-Technologie für die Kontrolle der Clients. Fällt ein Steuerrechner aus, tritt der nächste an seine Stelle. Dadurch ist es nahezu unmöglich, das gesamte Netz auszuschalten.
Bekannt wurde Storm durch seine regelmäßigen Angriffe, die sich immer an aktuellen Terminen oder Feiertagen orientierten. Im August 2007 hatte Storm 1,7 Millionen Rechner unter Kontrolle; seitdem, so wird angenommen, ist die Zahl weiter gestiegen.
Storm steht stellvertretend für die neue Geldmaschine Malware. Die Macher wollen nicht mehr vernichten, sondern nutzen die Computer-Power für andere Zwecke, die deutlich lukrativer sind. Beispiele sind etwa Spam-Aussendungen oder Phishing-Attacken auf Konto- oder Kreditkartendaten, die anschließend im Netz verkauft werden. Laut IBM verdienen allein die Betreiber von Storm täglich Millionen von Dollars.
Ein Ausblick auf die Zukunft
Wie sieht also die Zukunft aus? Schwer zu sagen, doch in einem sind sich die Antivirenforscher einig: Viren, Würmer und andere Malware bleiben uns erhalten. Zu groß ist das Geschäft, das mit der Schadsoftware gemacht wird. Diese Professionalisierung bedeutet aber auch: Malware wird leiser. Denn nur wenn sie unentdeckt bleibt, kann sie möglichst lange aktiv sein. Kaum ein aktueller Schädling vernichtet noch Dateien – es geht mittlerweile hauptsächlich um die Kontrolle des Systems.
Doch wo geht die Reise hin? Was kommt zusätzlich noch? Wie steht es beispielsweise um Viren für mobile Geräte? Malware für Symbian geistert zwar immer wieder durch Labore (und Länder wie Russland), einen großen Ausbruch gibt es aber nicht. Möglich, dass sich das mit den neuen Multifunktionsgeräten ändert, iPhone und GPhone sind für Hacker prestigeträchtige Objekte. Es bleibt nur eine Frage der Zeit, bis Cracker und Malware-Autoren darin Angriffsziele erkennen. Interessant ist auch, dass sich vor allem in Asien immer mehr Trojaner und Keylogger verbreiten, die Online-Rollenspiele als Ziel haben. Damit können Angreifer die Accounts der Nutzer übernehmen, deren virtuellen Güter zu Gold machen und diese dann verkaufen. Ein weiteres Phänomen sind Drive-by-Downloads und Webthreads. Dabei wird das System infiziert, während man lediglich eine Website besucht.
Was also kommt auf uns zu? Das ist ungewiss. Aber solange jemand mit Malware Geld verdient, werden uns Virenschutz, Firewall und Anti-Spam auch in den nächsten 25 Jahren begleiten. (mja)