Im Jahr 1975 wurde John Walker, dem späteren Gründer des CAD-Softwarehauses Autodesk, die wiederkehrende Bitte um eine Gefälligkeit zu lästig: Alle Kollegen wollten sein Quiz-Computerspiel „Animal“ haben, das in Assembler für einen Univac-Großrechner programmiert war. Es war mühsam, das Assembler-Programm auf Magnetband zu kopieren und an die interessierten User zu verschicken, die nicht am Campus-Netzwerk angeschlossen waren. Warum nicht eine automatische Kopierroutine in das Programm einbauen?
Der damals brandneue Univac-Assembler bot als Programmiersprache die richtige Basis. Gesagt, getan: Die modifizierte Version von Animal kopierte sich beim Aufruf automatisch in alle Verzeichnisse, die dem Benutzer offenstanden. Falls ein Administrator mit Super-User-Rechten das Programm ausführte, verbreitete es sich über alle Verzeichnisse auf der Maschine. Der erste Virus war in freier Wildbahn, zwar völlig unschädlich, aber auf Dauer nervig. Denn bald residierte Animal weltweit in akademischen Netzwerken, und sogar die Herstellerfirma von Univac wurde infiziert und lieferte Originalbänder mit dem hartnäckigen Trittbrettfahrer aus. Ein Anti-Virus-Tool war aber nicht nötig, denn ein Jahr später gab es ein größeres Betriebssystem-Update, dass unter anderem die Replizierungsroutine von Animal wirkungslos machte.
Ein Wurm erobert das Netz
Die Theorie von Computerviren ist viel älter als Animal: Der Mathematiker John von Neumann, auf den die Von-Neumann-Architektur moderner Computer zurückgeht, philosophierte bereits 1944 in einer Vorlesung über selbstreplizierende Automaten über die mögliche Existenz von Computerviren. Im Forschungsnetzwerk Arpanet, dem direkten Vorläufer des Internets, gab es in den 60er- Jahren Experimente mit virulenten Beispielprogrammen, die aber außerhalb von Laborbedingungen nicht funktionierten. Wie Animal hatten diese Programme zudem mehr die Charakteristik eines Wurms, der im Gegensatz zu Viren ein Netzwerk als Verbreitungsweg verlangt und sich nicht über die Infektion anderer Dateien weiterverbreitet. Dies ist auch der wesentliche Unterschied zwischen Viren und Würmern.
Auch der erste Wurm war zunächst als harmloses Experiment geplant, das aber aus dem Ruder lief und zum ersten Mal Schaden auf betroffenen Computersystemen in Form verlorener Arbeitszeit anrichtete: Der Wurm „Morris“, benannt nach einem Informatik-Studenten an der Cornell University im Staat New York, sorgte 1988 für die erste Masseninfektion von vernetzen Rechnern über das Internet. Der Wurm nutzte mehrere Lücken in der Standard-Software von Unix-Maschinen und war damit nicht an einen bestimmten Typ Großrechner gebunden. Eine Schadroutine gab es nicht, denn dem Programmierer Robert Morris ging es nur darum, möglichst das gesamte, damals noch kleine Internet zu durchschreiten. Allerdings hatte der Wurm einen Bug, der auf infizierten Zielsystemen zu einer extrem Auslastung und schließlich zu Abstürzen führte. Der Wurm-Autor wurde von Unix-Administratoren ausfindig gemacht und zu 10.000 Dollar Geldstrafe, Sozialstunden und drei Jahren Gefängnis auf Bewährung verurteilt. Die Geschichte hatte aber ein Happy End: Die Bewährungsstrafe erlaubte Robert Morris den Abschluss des Studiums, 1999 erhielt er eine Professur und gründete später die erfolgreiche Investmentfirma Y-Combinator, die unter anderem Dropbox, Reddit, Scribd und Disqus mit aufbaute.
Trojaner: nicht das, was es scheint
Im Epos „Odysseus“ gelang es den griechischen Belagerern der Stadt Troja, diese mit einer List einzunehmen: Ein großes Holzpferd wird als vermeintliches Opfergeschenk vor den Stadttoren zurückgelassen und von den Trojanern vor den Tempel der Athene gezogen. In der Nacht steigt eine griechische Spezialeinheit aus dem hohlen Pferd und öffnet der griechischen Armee von innen die Tore. Im Zoo der Schadprogramme ist das Trojanische Pferd oder kurz „Trojaner“ ein Programm mit folgenden Merkmalen: Das Programm gibt vor, etwas anderes zu sein, tarnt seine Schadroutinen hinter nützlichen Funktionen und ist darauf angewiesen, von Anwendern manuell verbreitet zu werden. Der Begriff wird aber auch für die Schadroutine selbst gebraucht, wenn diese eine Hintertür auf einem infizierten System öffnet, um an Anwender und Firewall vorbei den unbemerkten Fernzugriff von außen zuzulassen. Das erste gesichtete Trojanische Pferd war ein Dateisortierter namens „ARF“ für den IBM-PC, um Dateien in eine alphabetische Reihenfolge zu bekommen. Stattdessen löschte das Programm Dateien.
Homecomputer und PC: Viren breiten sich aus
Schon 1982 zeigte sich der erste Virus auf einem Homecomputer. Der Wirt war ein Apple II. „Elk Cloner“ war ein speicherresidentes Programm, das sich auf Boot-Disketten kopierte und ein Gedicht am Bildschirm anzeigte. Die Verbreitung des IBM-PCs und von Homecomputern wie dem C64 und später dem Amiga brachte nicht nur eine Menge junger Programmierer auf spielerische Weise mit PCs in Berührung, sondern sorgte auch für den ersten Boom neuer Viren. Die üblichen Verbreitungswege waren Disketten und später Mailboxen, die Raubkopien zum Download anboten. Diese Übertragungswege teilten die Viren in den 80er- und 90er-Jahren in zwei Kategorien ein: in Boot-Sektor-Viren und Dateiviren.
Ein Boot-Sektor-Virus macht sich zunutze, dass das Bios beim Start des PCs das Diskettenlaufwerk an einer vordefinierten Stelle liest, um den einen 512 Byte großen Boot- Sektor in den Speicher zu lesen und auszuführen (siehe dazu auch Seite 38). Der Virus gelangt also direkt in den Speicher und kopiert sich bei nächster Gelegenheit auf andere Disketten. Weil der Boot-Sektor wenig Platz bietet, hatten Boot-Sektor-Viren oft keine Schadroutine. Mit der Verbreitung von Festplatten wurde das Konzept erweitert, um auch den Master Boot Record (MBR) von Boot-Partitionen zu infizieren. Die häufigsten Viren der DOS-Ära waren Boot-Sektor-Viren, allen voran „Parity Boot“ und „Form“. 1991 wurde „Michelangelo“, der sowohl Boot-Sektoren als auch MBRs befallen konnte, zum ersten Mal ein breites Medieninteresse außerhalb der Fachwelt zuteil.
Mit Festplatten kamen auch Dateiviren, die beim Aufruf andere Dateien befallen. Anfangs kamen nur ausführbare Dateien vom Typ COM und EXE als Wirtsdatei in Frage. Die einfachste Methode war, die Originaldatei mit dem Virus zu überschreiben. Weniger plump sind Prepender-Viren, die ausführbare Dateien patchen, sich an deren Anfang schreiben und sich nach getaner Arbeit wieder aus dem Arbeitsspeicher entfernen. Anspruchsvoller sind Appender-Viren, die sich an Programme anhängen. Dabei wird auch der Programmeinstiegspunkt geändert, so dass der Appender vor dem eigentlichen Wirtsprogramm aktiv wird. Erst nach dem Ablauf des Virus läuft das Programm.
Fortgeschrittene Viren verbesserten die Tarnung mit „Entry Point Obscuring“: Der Virus sucht in der Wirtsdatei nach typischen Programmfunktionen und ändert diese so ab, dass erst im Ablauf des Programms die Schadroutine aktiv wird. Für frühe Viren-Scanner war es eine Herausforderung, solche Viren zu finden, da sie sich an einer beliebigen Stelle von Programmdateien einnisten konnten. Diese kleinen, oft mit großer Sachkenntnis geschriebenen Assembler-Programme sind zusammen mit DOS ausgestorben. Ein ideales Umfeld fanden Viren und Würmer aber ab Windows 95 in der Monokultur des Microsoft-Systems. Mächtige Automatisierungsfunktionen wie der Scripting Host oder die Makrofähigkeiten von Office- Programmen waren hier mit einer fehlenden Rechteverwaltung gepaart. Diese Kombination sorgte in Firmennetzwerken und mit der Öffnung des Internets für Privatanwender für die ersten großen Pandemien.
Melissa: Der erste soziale Virus
Die Makrofähigkeit von Programmen wie Word und Excel schuf die Voraussetzung für eine neue Virenart: selbstreproduzierende Makros mit einige Zeilen VBA, die andere Dokumente infizieren. Das Konzept ist seit 1988 bekannt. Zum Problem wurde es Mitte der 90er-Jahre. Im Doppelklicken eines Word-Dokuments sah niemand eine Gefahr, und so breiteten sich Makroviren mit enormer Geschwindigkeit aus. Nicht zuletzt wegen einer peinlichen Panne: 1995 lieferte Microsoft eine CD über den Umstieg auf Windows 95 aus, deren Inhaltsverzeichnis „INHALT.DOC“ mit dem Makrovirus „Concept“ infiziert war. Dieser Virus war einer der ersten weit verbreiteten Makroviren, vom Erfinder aber als Demonstration erdacht und ohne Schadensfunktion.
In der Ausgabe 1/1996 veröffentlichte die PC-WELT einen detaillierten Beitrag zu Makroviren mit Codebeispiel, der vor neuen Infektionswegen über VBA warnte. Den Behörden in der Schweiz gefiel dieser Artikel gar nicht, da dort das Strafgesetz die Veröffentlichung von gefährlichem Code verbot. Darauf steht „Zuchthaus bis zu fünf Jahren“. Die beiden verantwortlichen PC-WELT-Redakteure meiden die Schweiz bis heute.
1999 löste „Melissa“ Panik im Internet aus: Dieser Makrovirus versendete sich selbst in Form einer DOC-Datei für Word 97/2000 über einen Mailanhang in Outlook und wurde von arglosen Windows-Anwendern millionenfach angeklickt. Der Makrovirus verwischte endgültig die Grenzen zwischen Wurm und Virus, enthielt keine Schadroutine, zwang aber aufgrund seiner Maillawinen zahlreiche Mailsysteme in die Knie.
Nimda, Blaster, Sasser: Windows unter Beschuss
Der Script-Virus „Loveletter“ verbreitete sich per Mail und war darauf angewiesen, dass Anwender den Mailanhang in Outlook/Outlook Express öffneten. Er nutzte dabei eine Windows-Schwachstelle, um sich als harmlose TXT-Datei zu tarnen. Die Schadroutine versuchte, einen Trojaner zur Fernsteuerung des Windows-Systems über das Internet nachzuladen. Virenautoren ging es zunehmend nicht mehr um die Offenlegung von Schwachstellen und um Zerstörung, sondern um Macht über fremde Rechner, die zu „Botnets“ zusammengeschlossen wurden. Botnets schaffen Ressourcen für illegales Treiben im Internet, etwa für das Versenden von Spam oder für Denial-of-Service-Attacken auf Webseiten und Dienste.
Das Problem verschärfte sich mit virulenten Würmern, die sich ohne das Zutun von Anwendern über Windows-Sicherheitslücken ausbreiten konnten. Der erste Fall war „Code Red“, der im Jahr 2001 den Microsofts Webserver IIS infizierte.
„Nimda“ folgte ein Jahr später und enthielt bereits fünf verschiedene Angriffsvektoren, um sich über den IIS und in Windows- Netzwerken zu verbreiten. 2003 betraten „Blaster/Lovesan“ und dann „Sasser“ das Feld und nahmen massiv Privatanwender unter Beschuss. Sie nutzen Sicherheitslücken von Windows 2000 und XP. Microsoft hatte jeweils schon einen Monat vorher einen Sicherheits- Patch bereitgestellt, offensichtlich aber spielten viele Anwender die Updates nicht ein. Dies zwang Microsoft zum Umdenken, und Bill Gates machte in einer Memo zu „Trustworthy Computing“ das Thema Sicherheit erstmals zur obersten Priorität für den Software-Konzern.
Rootkits machen sich unsichtbar
Mit der katastrophalen Sicherheitssituation unter Windows erlebten Viren-Scanner, Virenwächter und Desktop-Firewalls einen wahren Boom, der bis heute anhält. Die ersten DOS-Viren-Scanner wie Carmel Antivirus und F-Prot waren Ende der 80er-Jahre noch Nischenprodukte. Sie durchsuchten den Speicher, die Boot-Sektoren und ausführbare Dateien nach bekannten Virensignaturen, die in einer Datenbank hinterlegt waren. Mit den Produkten von McAfee wurden Viren-Scanner zum Milliardengeschäft. Das Shareware- Programm McAfee Virus Shield 95 installierte zusätzlich einen automatischen Virenwächter in Windows 95/98. Allerdings lassen sich nicht alle Malware-Vertreter damit aufspüren. Rootkits infizieren das Betriebssystem selbst, um sich in den Kernel- Mode einzuschmuggeln. System-Calls werden so abgeändert, dass Rootkits unentdeckt bleiben. Bekannt ist das Konzept seit 1994, als Greg Hoglund im Hacker-Magazin „Phrack“ das erste Windows-Rootkit veröffentlichte. Ausgerechnet Sony BMG sorgte 2005 bis 2007 für eine Rootkit-Epidemie, als ein Kopierschutzprogramm auf Millionen Musik- CDs ausgeliefert wurde, das sich unter Windows als Rootkit einnistete. Schutz davor bieten nur unabhängige Scanner auf Live- CDs oder USB-Sticks.
Schneller als Patches: Zero-Day-Exploits
Microsofts „Trustworthy Computing“ war erfolgreich darin, die Notwendigkeit der Sicherheits- Patches zu vermitteln. Weiterhin Kopfschmerzen bereiten aber „0-Day-Exploits“ – also bisher unbekannte Sicherheitslücken, für die es noch keine Patches gibt. Stuxnet, ein seit 2010 gesichteter virusähnlicher Trojaner, nutzte gleich mehrere dieser Exploits. Der enorme Forschungsaufwand dahinter, gepaart mit Industriespionage bei Siemens, Microsoft und Realtek, lässt darauf schließen, dass Geheimdienste Stuxnet programmiert haben. Stuxnet stört Steuerungsanlagen von Siemens, wie sie in iranischen Atomkraftwerken im Einsatz sind.
Obwohl nie eine Regierung die Autorenschaft offiziell übernommen hat, mutmaßen Spezialisten, dass nur westliche Geheimdienste zusammen mit Israel über das nötige Know-how verfügen. Stuxnet markiert den ersten Fall, in dem ein Virus gegen militärische Ziele eingesetzt wurde. Auch zivile Behörden bedienen sich der Viren: Seit 2007 ist bekannt, dass Innenministerien einen „Bundestrojaner“ für Online-Durchsuchungen einsetzen. Der Chaos Computer Club kritisierte 2011 in einer Studie zum „Staatstrojaner“, der auf die Bayerische Staatsregierung zurückgeht, die Inkompetenz der Entwickler und die mangelnde Verfassungskonformität dieser Projekte.
(PC-Welt/ad)