Ob Virus, Trojaner oder Wurm: Sie alle sind darauf programmiert, größtmögliche Verbreitung zu erfahren und ihre Schadensroutinen zu aktivieren. Diese reichen von einfachen Bildschirmanimationen bis zur Manipulation von Daten und Programmen auf dem befallenen Rechner.
Was heute Schäden im Millionenbereich verursachen kann, fing in den 70er und frühen 80er Jahren recht harmlos an. Zu diesem Zeitpunkt beschäftigen sich Entwickler an Forschungsstätten wie den Bell Laboratories oder dem Xerox Alto Research Center mit selbstreproduzierenden Programmen. 1983 stellte Fred Cohen den ersten funktionsfähigen Virus vor. Ein Jahr später veröffentlichte er in seiner Doktorarbeit die Mechanismen, nach denen die digitalen Schädlinge arbeiten.
Mit dem Siegeszug IBM-kompatibler PCs und deren MS-DOS Betriebssystem setzte eine rasante Entwicklung im Bereich der Computerviren ein. 1986 kam mit "Pakistani" der erste MS-DOS-Virus in Umlauf. Kurz darauf wurden auch Viren wie Vienna, Cascade, Stoned und Pingpong gefunden. Sie infizierten ausführbare Dateien oder Systembereiche auf einer Diskette oder Festplatte. Binnen kürzester Zeit folgten Neu- und Weiterentwicklungen, die Tarnkappentechniken beherrschten, sich selbst verschlüsselten oder polymorphen Charakter besaßen.
Die Makroviren, erstmals 1994 in Erscheinung getreten, markierten eine deutliche Trendwende. Erstens verbreiteten sie sich nun über Anwenderdateien gängiger Programme, etwa als Worddokumente. Zweitens stellte nicht mehr das Betriebssystem eine natürliche Grenze für die Verbreitung dar, sondern die Applikation. Zur Beliebtheit der Makrosprachen trug neben der einfachen Erlernbarkeit auch deren Leistungsfähigkeit bei, die die Mächtigkeit der Programmiersprachen früherer Jahre bei weitem übertrifft. So erstaunt nicht, dass die ICSA unter den zehn häufigsten Viren gleich vier Makroviren aufführt.
Derzeit sind laut Angaben des Antivirenherstellers Symantec 21.500 der digitalen Plagegeister bekannt. Die genaue Zahl differiert zum Teil erheblich, da sich zum einen nicht alle Hersteller an die Namenskonventionen von Organisationen wie CARO und EICAR halten. Zum andern herrscht Uneinigkeit, welche der gesammelten Viren tatsächlich "In the Wild" vorkommen. Schätzungen gehen davon aus, dass nur ein bis zwei Prozent aller erfassten Viren auch außerhalb der Labors in Erscheinung treten.
Die Plattformen
Viren führen unter Unix und seinen Derivaten ein Schattendasein. So existieren für Linux mit Staog und Bliss lediglich zwei etwas bekanntere Vertreter dieser Gattung. Geradezu paradiesische Zustände für digitale Parasiten finden sich hingegen in den offenen 16-Bit-Umgebungen DOS und Windows 3.x. Als typische Vertreter der Single User-Betriebssysteme sehen sie kein abgestuftes Sicherheitskonzept für unterschiedliche Anwender vor. Jeder darf alles. Dies gilt auch für Programme, die direkt auf die Ressourcen zugreifen können. So überrascht es nicht, dass die meisten Viren für diese Umgebung existieren.
Durch die Abwärtskompatibilität von Windows 95 und 98 hat sich daran wenig geändert. So starten auch die beiden Consumer-Betriebssysteme zunächst im Real Mode. In dieser Zeit können Programme und Treiber aus der config.sys und autoexec.bat geladen werden. Nach dem Start der graphischen Oberfläche kann der Anwender DOS-Fenster öffnen, die eine Kopie aller Programme enthalten, die während des Startvorgangs geladen wurden, wozu auch Viruscode zählt. Zwar blockt das Betriebssystem nun direkte Schreibzugriffe auf die Festplatte ab, nicht aber auf die Diskette. Freie Bahn gilt auch weiterhin für Viren, die sich im Bootsektor oder MBR eines Datenträgers eingenistet haben.
Diese Spezies, die sich in den Systembereichen einnistet, hat es unter Windows NT zwar schwerer. Dennoch kann sie Schaden anrichten: Sie muss lediglich während der Phase des Startvorgangs zur Ausführung gelangen, in der NT noch nicht die Kontrolle über den PC übernommen hat. Viren aus der 16-Bit-Welt scheitern bei ihrem Versuch, native NT-Dateien zu infizieren. Doch bei solchen Aktionen kann es schnell zu unvorhersehbaren Nebeneffekten kommen, wie etwa der Beschädigung der aktiven Partition.
Mittlerweile gibt es allerdings auch reine Win32-Dateiviren, die sich in den 32-Bit-Umgebungen fortbewegen und Schaden anrichten. Als Beweis, dass dies problemlos zu realisieren ist, gilt "Cabanas", der jedoch nie seinen Weg aus den Labors fand. Im Gegensatz dazu konnte sich der Win95-Virus "CIH" mittels infizierter Raubkopien äußerst schnell und erfolgreich verbreiten. Aufmerksamkeit erreichte er durch seine Schadensfunktion: Er löscht das Flash-BIOS sowie Teile der ersten Festplattenpartition. Für die Virenforscher aber noch viel interessanter ist, dass ihm das scheinbar Unmögliche gelingt: Er springt von Ring 3 für Windows-Applikationen auf den privilegierten Ring 0 für Treiber und Kernel. Dort stehen CIH alle Möglichkeiten offen, angefangen vom Allokieren des Speichers bis zum Abfangen von Funktionen des Betriebssystems. Weitere Neuschöpfungen wie "Marburg" oder "Inca" zeigen, dass die Virenprogrammierer effektive Wege entdeckt haben, um die Win32-Plattform erfolgreich zu durchdringen.
Der Siegeszug der Makroviren
Ihre rasche Verbreitung verdanken Makroviren folgenden Punkten:
Sie sind unabhängig vom Betriebssystem. Einzig die zu Grunde liegende Applikation muss auf der Zielplattform verfügbar sein, denn ohne diese Umgebung ist der Virus nicht lauffähig. Da Microsoft die gesamte Office-Produktpalette auch für Macintosh-Rechner anbietet, können die Makroviren dort ebenfalls aktiv werden.
Sie sind einfach zu erstellen. Assemblerkenntnisse sind nicht mehr notwendig. Dennoch existieren auch für Makroviren eine Reihe von "Construction Kits", die nach dem Baukastenprinzip funktionieren.
Über das Internet findet ein reger Austausch von Dateien statt, die die Anwender ohne Beachtung von Sicherheitsmaßnahmen starten.
Die Trendwende zu Makroviren markierten 1994 die zu Demonstrationszwecken geschriebenen Exemplare "WM.DMV.A" und "XM.DMV.A" für Word und Excel. In dieselbe Kategorie fällt "Concept". Er erreichte ein Jahr später eine breitere Aufmerksamkeit durch seine rapide Verbreitung. Sein genauer Ursprung bleibt bis heute im Dunkeln. Allerdings ist er harmlos: Bei seiner ersten Aktivierung zeigt er nur ein Fenster mit einer "1" an. Eines seiner fünf Makros mit dem bezeichnenden Namen "payload" blieb ohne Code. Es enthält nur den Text "That's enough to prove my point".
Mit Word 97 ersetzte Microsoft WordBasic durch Visual Basic for Applications als gemeinsame Makrosprache. Nun war nicht nur eine Unabhängigkeit vom Betriebssystem erreicht, sondern die Virenprogrammierer konnten innerhalb der Office-Familie applikationsübergreifend vorgehen. Ein recht fortschrittlicher Vertreter dieser Gattung ist "Shiver". Um den Makro-Quelltext zwischen Word 97 und Excel 97 zu übertragen, benutzt er DDE-Funktionen. Bei Access haben sie sich nie recht durchsetzen können. Dies trifft ebenso für den im Dezember 1998 entdeckten ersten Powerpoint-Virus "Ppoint.Attach" zu. Ein ähnliches Schicksal droht dem im Oktober 1999 aufgetauchten Virus "Corner", der Microsoft Projekt-Dateien angreift.
Das exakte Gegenteil gilt für "Melissa". Der Computerwurm verbreitete sich im Frühjahr 1999 wie ein Lauffeuer und schreckte die Öffentlichkeit auf. Er befällt Word 97- und Word 2000-Dokumente und benutzt Outlook, um sich per E-Mail fortzupflanzen. Namhafte Firmen wie Microsoft, Intel und Compaq waren betroffen und schalteten ihre Mailserver ab, da die durch Melissa erzeugte Last zu groß war. Der durchschlagende Erfolg zog eine Reihe von Abarten nach sich, wie "Papa" und "Ping" beweisen.
Viren und das Jahr 2000
Zwei Gefahren gehen von Viren im Zusammenhang mit dem Jahr 2000 aus. Zunächst können Viren älterer Bauart demselben Effekt unterliegen wie herkömmliche Computersysteme und Applikationen: Sie verkraften den Umstieg in das neue Millennium nicht. Dieser Aspekt ist bis jetzt bei kaum einem Hersteller von Antivirensoftware berücksichtigt worden. Wie sich eine nicht Jahr-2000-kompatible Schadensroutine verhält, die zu ihrer Aktivierung auf Datumsfunktionen zurückgreift, ist unvorhersehbar. Im günstigsten Fall gelangt die Schadensroutine gar nicht mehr zur Ausführung. Umgekehrt ist denkbar, dass ein Virus beim Auftreten von Problemen von einem Angriff auf sich ausgeht und in einem solchen Fall Amok läuft.
Zweitens existieren neuere digitale Parasiten, die ihre Funktionen speziell um die Zeit des Jahreswechsels aktivieren. Dazu zählen:
Troj.Polyglot (alias Y2K Count), entdeckt am 15.9.1999
Worm.Fix2001, entdeckt am 14.9.1999
W97M.Chantal.A, entdeckt am 7.10.1999
W97M.MMKV, entdeckt am 7.10.1999
Bei "Troj.Polyglot" handelt es sich um ein Trojanisches Pferd, das als Anhang zu E-Mails verschickt wird und vom Microsoft Support stammen soll. Die Spionagesoftware sucht auf dem befallenen System nach Usernamen, Passwörtern und Login-IDs.
"W95.Fix2001" ist ein Internetwurm. Typischerweise verbreitet er sich angehängt an eine E-Mail als "Fix20001.exe". Im Text der Nachricht erscheint der Hinweis, mit diesem Programm lasse sich der eigene Rechner auf Jahr-2000-Probleme untersuchen. In Wirklichkeit verändert der Wurm Windows-Systemdateien, sodass er sich ungehindert bei jedem Aufbau einer Internetverbindung im Hintergrund weiterverbreiten kann.
Der Word-Makrovirus "Chantal.A" verwendet zu seiner Verbreitung sowohl Batchdateien als auch Funktionen von VBA und der Skriptsprache VBS. Er wird am 1.1.2000 aktiv und löscht alle Dateien im Hauptverzeichnis der Festplatte und des aktuellen Verzeichnisses.
"MMKV" kommt gleich in mehreren Varianten vor. Auslöser für seine Funktionen ist ebenfalls der 1.1.2000. Dann löscht er alle Dateien aus dem Hautpverzeichnis und dem aktuellen Verzeichnis oder kopiert ein Programm namens "end.com" auf die Platte, das Teile der Partitionstabelle überschreibt.
Hierbei dürfte es sich allerdings nur um die Spitze des Eisbergs handeln. Denn um diese Bedrohung zu entdecken, muss - etwa im Zuge eines Y2K-Tests - das Rechnerdatum auf den kritischen Zeitpunkt umgestellt worden sein. Ferner haben die Virenprogrammierer bis zum Jahreswechsel noch etwas Zeit, und sie sind äußerst erfinderisch.
Schutzmechanismen
Der Schaden, der durch Virenvorkommnisse entstehen kann, ist gerade für Firmen immens. Durch die stetig steigende Zahl der PCs und den Grad der Vernetzung können sich Computerviren mit rasantem Tempo ausbreiten. Eine Studie der ICSA aus dem Jahre 1998 zeigt, dass nahezu alle befragten großen und mittleren Unternehmen mindestens einmal von einem Computervirus betroffen gewesen sind. Die längste Ausfallzeit betrug dabei 48 Stunden. Im Durchschnitt dauerte die Behebung des Schadens 2454 US-Dollar und erforderte 45,6 Mannstunden.
Zu der finanziellen Einbuße kommt der Imageverlust, wenn das Unternehmen verseuchte Daten an seine Partner weitergibt. Prävention ist daher das A und O. Neben der Ausbildung der Mitarbeiter gehört dazu der fachgerechte Einsatz von Virenscannern. Daher bieten alle namhaften Antivirenhersteller ihre Software nicht mehr ausschließlich für den Desktop an, sondern auch für File- und Mailserver. Ein Schutz, der bereits auf dieser Ebene ansetzt, bietet den Vorteil, ungebetene Gäste gleich an der Türschwelle abzuweisen. Dabei gerät aber leicht in Vergessenheit, dass sich beim Einsatz von Kryptographie-Software der Schutz wieder auf den Client verlagert, denn erst dort wird das komplette Mailpaket inklusive Anhängen entschlüsselt. Gelänge dies auf dem Server, sollte man sich schleunigst auf die Suche nach einer neuen Verschlüsselungssoftware machen.
Der beste Virenscanner ist jedoch wirkungslos, wenn kein regelmäßiges Update erfolgt. Da nach Expertenschätzung täglich zirka fünf bis sechs neue Viren hinzukommen, finden sich mit gleicher Frequenz aktualisierte Signaturdateien auf den Seiten der Hersteller von Antivirensoftware. Diese muss die EDV-Abteilung des Unternehmens regelmäßig an alle eingesetzten Computer verteilen und den Erfolg des Updates überprüfen. Beim Kauf einer Antivirensoftware ist deshalb mittlerweile auf eine integrierte Managementfunktion zu achten. Schließlich will wohl kaum ein Administrator wieder EDV zu Fuß machen.
Ist der Fall der Fälle doch einmal eingetreten, gilt es zunächst Ruhe zu bewahren und die weitere Ausbreitung des Virus einzudämmen. Dies geschieht durch sofortige Alarmierung aller betroffenen Personen inner- und außerhalb des Unternehmens. Der nächste Schritt gilt dem Entfernen des Schädlings aus allen Computersystemen. Dabei lassen sich meist auch erste Rückschlüsse auf die Infektionskette ziehen. Je nach Schwere der Infektion lassen sich die befallenen Dateien nicht säubern. In diesem Fall muss eine Sicherungskopie zum Einsatz kommen. Sofern vorhanden. (tri)