Eine kleine Geschichte der Viren, Würmer und Trojaner, Teil 3
1995 traten die ersten Makroviren auf. Bis dahin wurden nur ausführbare Dateien und Bootsektoren befallen. Makroviren stellten hohe Anforderungen an die Erkenner. Mit Melissa, Loveletter, Sobig und Konsorten stellen immer wieder neue Geschwindigkeitsrekorde bei der Verbreitung auf.
1995 | Mit "DMV" und"Nachtwächter" erscheinen erste Makroviren. "Concept 1995" war der erste Makrovirus der öffentlich ausbrach und sich ungehindert in englischen Systemen verbreitete. Mit Hunter.c erscheint der erste polymorphe Makrovirus in Deutschland. Wm.Concept war der erste 'in the wild' Makrovirus für Word (abgesehen von den HyperCard Infektoren). Er enthielt nur die Meldung "That's enough to prove a point." (etwa: "das reicht als Beweis") und war kurze Zeit später der weltweit verbreitetste Virus. Wm.Concept begründete die Gattung der "Proof of Concept"-Viren. PoC-Viren zeigen nur, dass es möglich ist eine bestimmte Schwachstelle auszunutzen, ohne wirklich Schaden anzurichten. Die Erkennung von Makroviren stellt hohe Anforderungen an die Virenscanner, nicht zuletzt wegen der ständig wechselnden Formate von Skriptsprachen und Office-Dateien. |
1996 | Es erscheinen erste Makro-Generatoren für deutsche oder englische Makroviren. Makroviren beschränken sich nicht länger auf Word, sondern zielen auch auf Excel und AmiPro Dateien ab. Sie überspringen auch die Grenzen zwischen Betriebssystemen und befallen sowohl PCs als auch Macs. Laroux infiziert als erster MS-Excel Dateien. Boza befällt als erster Virus das PE-EXE-Format von Windows 95 Dateien. Er wurde von Quantum, einem Mitglied der austalischen Virenautorengruppe VLAD geschrieben. |
1997 | Viren werden jetzt immer spezieller und greifen gezielt Schwachstellen in Programmen, Betriebssystemen oder Hardware an. Erste mIRC-Skripten erscheinen, die sich wurmartig unter den Nutzern des Internet Relay Chats verbreiten. Das erste Virus für das Betriebssystem Linux taucht auf. |
1998 | Strange Brew ist der erste Virus für Java. Abgesehen von Makroviren, die nun auch in Access und anderen Programmen unterwegs sind, waren PCs mit MacOS seit mindestens 3 Jahren nicht von Viren geplagt. Mit dem Wurm Autostart.9805 ändert ändert sich das. Autostart nutzt den Quicktime AutoStart Mechanismus auf PowerPCs und kopiert sich auf Festplatten und andere Datenträger. Bestimmte Dateien werden mit Datenmüll überschrieben und damit unbrauchbar gemacht. AutoStart verbreitet sich von HongKong über die ganze Welt. Mehr... Mit Netbus und Back Orifice erscheinen Backdoors, mit denen man einen Rechner vom Opfer unbemerkt überwachen und fernsteuern kann. Im Zusammenhang mit Back Orifice wird in der Folge immer wieder diskutiert, ob es eine Fernwartungs- oder eine Fernsteuerungs-Software ist. Da die Fernsteuerungs-Funktionen ohne Wissen des Nutzers ausgeführt werden können, ist Back Orifice als Trojaner zu bezeichnen. Mit BO gelang einem Angreifer Mitte 2000 ein Einbruch ins interne Firmennetz von Microsoft. Im Juni erscheint CIH (Spacefiller, Chernobyl) in Taiwan. Er hat einen der massivsten Payloads der Virengeschichte. Er belebt die Frage, ob Viren in der Lage sind, Hardware zu zerstören. Wenn seine Schadensfunktion (am 26. April) aktiv wird, überschreibt er das Flash-BIOS und die Partitionstabelle der Festplatte. Damit lässt sich der Rechner nicht mehr booten. Auf einigen Motherboards mussten die BIOS-Bausteine ausgetauscht oder neu programmiert werden. Aber selbst nach der Wiederherstellung des Systems waren die Daten verloren. Der Autor chinesische Student Chen Ing-Hau wird rechtlich nicht belangt. Mehr... VBS.Rabbit nutzt als erster den Windows Scripting Host (WSH). Er ist in Visual Basic geschrieben und greift andere VBS-Dateien an. HTML.Prepend zeigt, dass man mit VBScript, HTML Dateien infizieren kann. Dr. Solomons wurde von Network Associates gekauft. Wie vorher bei McAfee wandten sich die Kunden von dem Programm ab. |
1999 | Im März befällt der Wurm "Melissa" bereits am ersten Tag seines Erscheinens zigtausende Computer und verbreitet sich in Windeseile weltweit. Er versendet e-Mails an die ersten 50 Adressen im Outlook-Adressbuch und viele Mailserver brechen unter der Last der E-Mails zusammen. Im August gibt David l.Smith zu, dass er den Wurm geschrieben zu haben. Happy99 erzeugt von jeder vom Nutzer versendeten Mail eine Kopie und verschickt sie erneut mit dem gleichen Text und der gleichen Betreffzeile plus dem Wurm im Dateianhang. Das funktioniert auch bei Usenet-Postings. Im Juni tarnt sich ExploreZip als sich selbst entpackendes Archiv, das als Antwort auf eine eingegangene Email gesendet wird. Er verbreitet sich über Netzwerkfreigaben und kann Rechner im Netzwerk infizieren, wenn nur ein Nutzer des Netzwerks unvorsichtig ist. Die Schadensfunktion durchsucht die Festplatte nach C und C++ Programmen, Excel-, Word- und Powerpoint-Dateien und löscht sie. Mehr... Abgesehen von E-Mail verbreitet sich Pretty Park auch über Internet Relay Chats (IRC). Er hatte sehr effektive Schutz- und Tarnmechanismen, die verhinderten, dass der Wurm gelöscht werden konnte. Beim nächsten Virenscan wurde der Wurm als legitim erkannt. Manchmal wurden Virenscans auch blockiert. Durch eine Manipulation der Registry wurde Pretty Park vor EXE Dateien ausgeführt, was dazu führte, dass alle EXE-Dateien als verseucht gemeldet wurden. Für Nutzer von Outlook wird im November mit Bubbleboy die "Good-Times" Vision wahr, dass ein Virus den Rechner infiziert, wenn man eine Email öffnet (auch im Vorschau-Modus). Dazu nutzt Bubbleboy einen Fehler in einer Programmbibliothek. |
2000 | Trotz aller Prophezeiungen gibt es keinen Millenium-Wurm, der diesen Namen verdient hätte. Palm/Phage und Palm/Liberty-A sind zwar selten aber durchaus in der Lage PDAs mit PalmOS zu befallen. Der VB-Skript Wurm VBS/KAKworm nutzt eine Schwachstelle in Scriplets und Typelibs des Internet Explorers. Ähnlich wie BubbleBoy verbreitete er sich beim Öffnen einer Email (auch in der Voransicht). Im Mai versendet ein Wurm lawinenartig E-Mails aus dem Outlook-Adressbuch mit der Betreffzeile "I love you" und richtet vor allem in großen Unternehmens-Netzen Milliardenschäden an. Auch hier waren die Netze binnen Kurzem völlig überlastet. Von der Urfassung eines phillipinischen Studenten namens Onel de Guzman werden zahlreiche Varianten abgeleitet. US-Experten sprechen vom bösartigsten Virus der Computergeschichte. Der Autor von W95/MTX hat sich alle Mühe gegeben, um den Wurm/Virus-Hybriden vom Rechner zu entfernen. Er versendete eine PIF Datei mit doppelter Dateiendung per Email. Er sperrte den Zugriff des Browsers auf einige Websites von Antiviren-Herstellern, verseuchte Dateien mit der Viruskomponente und einige Dateien wurden durch die Wurmkomponente ersetzt. Nach dem Loveletter und seinen vielen Varianten wurden an den MailGateways einfach die Mails mit den entsprechenden Betreffzeilen herausgefiltert. Stages of Life variierte die Betreffzeile und schlüpfte so durch die Maschen Im September entsteht in Schweden mit Liberty der erste Trojaner für PDAs. Er überträgt sich bei der Synchronisierung mit dem PC und löscht dann Aktualisierungen. |
2001 | Im Februar kursiert ein Email-Wurm, dessen Anhang angeblich ein Bild der russischen Tennisspielering Anna Kournikova enthält. Wer es öffnet installiert den Wurm, der sich an alle Adressen im Outlook Adressbuch versendet. Auch Naked verbreitet sich per Email. Er gibt vor eine Flash-Animation einer nackten Frau zu sein. Nach dem Öffnen installiert er sich und versendet sich an alle Outlook Adressen. Da er auch Windows- und Systemverzeichnisse löscht, macht er den Rechner unbrauchbar. Nur mit einer Neuinstallation des Betriebssystems lässt sich der Rechner wieder in Betrieb nehmen. Code Red nutzt im Juli einen Bufferoverflow-Fehler in der Internet Information Server (IIS) Indexing Service DLL von Windows NT, 2000 und XP. Er scant zufällig IP Adressen auf dem Standardport für Internetverbindungen und überträgt einen Trojaner, der zwischen dem 20. und 27. eines Monats eine Denial of Service (DoS) Attacke gegen die Webseite des Weißen Hauses startet. Die Entfernung des Virus ist sehr aufwändig und verschlingt Milliarden. Im Juli verbreitet sich SirCam über Netzwerke und per Outlook Express und führt einige Neuerungen ein. Er sorgt dafür, dass er bei jedem Start einer EXE Datei aktiviert wird. Als erster Wurm bringt er eine eigene SMTP-Engine mit. Er versendet aber nicht nur sich selbst, sondern auch persönliche Dateien, die er auf dem Rechner findet. Mit Nimda verbreitet sich im September ein Internet-Wurm, der keine Benutzerinteraktion braucht. Er nutzt zur Verbreitung neben Emails auch Sicherheitslücken in Programmen. Zahlreiche Webserver werden überlastet und infizierte Dateisysteme sind für alle Welt lesbar. Im November nutzt der speicherresidente Wurm Badtrans eine Sicherheitslücke in Outlook und Outlook Express um sich zu verbreiten. Er installiert sich als Dienst, beantwortet Emails, spioniert Passwörter aus und zeichnet Tastaturfolgen auf. |
2002 | Der Wurm "MyParty" zeigt Anfang des Jahres, dass nicht alles, was mit ".com" endet eine Webseite ist. Wer den Mailanhang "www.myparty.yahoo.com" doppelklickt bekommt anstelle der erwarteten Bilder einen Wurm mit Backdoor-Komponente. Im Frühjahr und Sommer nutzt Klez die IFRAME-Sicherheitslücke im Internet Explorer um sich automatisch beim Betrachten der Mail zu installieren. Er verbreitet sich per Email und Netzwerk und hängt sich an ausführbare Dateien. Am 13. von geraden Monaten (in späteren Versionen waren es andere Tage) werden alle Dateien auf allen erreichbaren Laufwerken mit zufälligen Inhalten überschrieben. Die Inhalte lassen sich nur durch Backups wiederherstellen. Im Mai verbreitet sich Benjamin als erster Wurm über das KaZaA-Netzwerk. Er kopiert sich unter vielen verschiedenen Namen in einen Netzwerkordner. Auf infizierten Rechnern wurde eine Webseite mit Werbung angezeigt. Zuvor waren auch Gnutella basierte P2P Netzwerke befallen. Lentin ist ein Wurm, der es ausnutzt, dass viele Leute nicht wissen, dass SCR Dateien nicht nur einfache Bildschirmschoner, sondern auch ausführbare Dateien sind. Verglichen mit Klez ist sein Videoeffekt als Schadensfunktion nur störend. Auch seine Verbreitung erreicht nicht die von Klez. Ende September verbreitet sich Opasoft (auch Brazil genannt) wie eine Epidemie. Auf Port 137 scant er Rechner im Netzwerk und prüft, ob es dort Datei- und/oder Drucker-Freigaben gibt. Dann versucht er sich auf den Rechner zu kopieren. Wenn es einen Passwortschutz gibt, wird Liste mit Passwörtern durchlaufen und eine Schwachstelle in der Speicherung von Passwörtern ausnutzt. Tanatos alias BugBear ist der erste Wurm, der Klez seit dem Frühjahr von seinem Spitzenplatz verdrängt. Der Wurm verbreitet sich per Email und Netzwerk, installiert eine Spyware-Komponente und versendet Aufzeichnungen der Tastaturanschläge. |
2003 | Im Januar infiziert "SQL-Slammer" in einer Stunde mindestens 75000 SQL-Server und legt damit für Stunden das Internet lahm. Er nutzt eine seit 6 Monaten bekannte Schwachstelle im Microsoft SQL-Server, um Datenbankserver zu neuralisieren. Da SQL-Slammer nur aus einer fehlerhaften Anfrage besteht und nicht als Datei in den Speicher geladen wird, blieb er von Antiviren-Programmen unerkannt. Die Folge: In Seattle fielen die Notrufnummern von Polizei und Feuerwehr aus, Bankautomaten der Bank of America funktionierten nicht, 14.000 Postämter in Italien blieben geschlossen, der Online-Börsenhandel litt dramatisch. In Korea war KT Corp zeitweilig komplett vom Netz. Dort sank mit dem stark verringerten Handelsvolumen auch der Index um 3%. In China blockierte man den gesamten ausländischen Netzverkehr. Im August verbreitet sich Lovesan (alias Blaster) selbständig im Internet. Er nutzt eine erst 4 Wochen zuvor von Microsoft geschlossene Sicherheitslücke im RPC/DCOM Dienst und infiziert zufällig per IP-Adresse ausgewählte Rechner. Innerhalb kürzester Zeit waren Hunderttausende von Rechnern (man sagt 570 000) infiziert. Kurz darauf begann Welchia (alias Nachi) Lovesan/ Blaster von den Rechnern zu entfernen und die RPC/DCOM Sicherheitslücke zu schließen. Ende August 2003 wurde der 18 jährige Jeffrey Lee Parsons als Autor von Lovesan festgenommen. Er wurde im März 2005 zu einer hohen Geldstrafe verurteilt, die mit Zustimmung von Microsoft in einen wöchentlichen Sozialdienst über 3 Jahre umgewandelt wurde. Der Massenmailwurm "Sobig.F" stellt mit seiner eigenen Mailengine einen neuen Rekord für die Verbreitungsgeschwindigkeit auf. Er verbreitet sich 10 mal schneller als bisherige Würmer. |
2004 | Viren werden zur Waffe in der organisierten Kriminalität. Zahllose Trojaner spionieren Passwörter, Kreditkartennummern und andere persönliche Informationen aus. Backdoors machen Rechner fernsteuerbar und integrieren sie in sog. Botnets. Mit den Zombies eines Botnets werden während der Fußball-EM Denial-of-Service Angriffe auf Online-Wettbüros ausgeführt. Die Betreiber zahlen notgedrungen die Forderungen der Erpresser. Rugrat ist der erste Virus für 64-bit Windows. Cabir, der erste Virus für Mobiltelefone mit Symbian Betriebssystem und Bluetooth Schnittstelle wird von der für ihre Proof-of-Concept-Viren bekannte Gruppe 29A entwickelt. Kurz darauf folgt von der gleichen Gruppe mit WinCE.4Dust.A der erste PoC-Virus für Windows CE. |
2005 | Als erster Wurm für Symbian Smartphones verbreitet sich CommWarrior.A per MMS. Die MMS-Nachrichten versendet er an alle Einträge des Telefonbuchs und werden von variablen begleitenden Texten als Antiviren-Software, Spiele, Treiber, Emulatoren, 3D Software oder interessante Bilder dargestellt. |
Malware-Geschichte
- Die frühen Tage
- 1988 -1994
- 1996 - heute
Verwandte Themen
© 2007 - 2010 G Data Software AG. Alle Rechte vorbehalten
