Gestatten: Michelangelo
Enthüllungen eines Computervirus

von Peter Wienerroither (Ausgabe 97/3, September 1997)

 

Viren [lat. "Gift"]: Kleine infektiöse Partikel (30 nm - 1 µm), filtrierbare intrazelluläre Parasiten von sehr untersch. Bau, kristallisierbar u. ohne eig. Stoff- u. Energiewechsel. Die Vermehrung ist an die Wirtszelle gebunden, indem die Ribonucleinsäure der V. in der Wirtszelle freigesetzt wird u. den Wirtsstoffwechsel umfunktioniert, sodaß weitere V.-Nucleinsäure u. Eiweiß gebildet werden, die zu neuen V. zusammentreten. Durch V. hervorgerufene Krankheiten sind Aids, Grippe, Ziegenpeter, Pocken, Kinderlähmung u.a.

Bertelsmann Universallexikon, 1991

Prolog

Mein Name ist Michelangelo. Ich bin ein Computervirus. Geboren wurde ich im Februar 1991, wahrscheinlich in Australien, und ich bin stolz darauf, eines der ältesten Computerviren zu sein. Mein Vater ist unbekannt. Ich gehöre zum Clan der "Bootsektorviren" und beschreibe die Festplatte am 6. März - dem Geburtstag meines Namenspatrons Michelangelo Buonaroti - mit Datenmüll.

Wir Computerviren haben inzwischen weltweit für einiges Aufsehen gesorgt. Trotzdem ist es in den letzten zwei Jahren eher ruhig um uns geworden, was weniger auf unsere Abwesenheit als auf die Müdigkeit der Medien zurückzuführen ist. Unsere jüngste Generation, die Macroviren, hat nun aber wieder für Schlagzeilen gesorgt. Um einige Vorurteile und Wissenslücken zu beseitigen und endlich für den gebührenden Respekt zu sorgen, möchte ich uns hier einmal vorstellen.

Wer wir sind und was wir tun

Die Macroviren sind ein Kapitel für sich (siehe unten). Beim Rest der Familie handelt es sich um Programme, die sich auf Festplatten oder auf Disketten einnisten, beim Start von infizierten Programmen bzw. beim Start der Festplatte (Boot) den Arbeitsspeicher befallen, dann andere Programme bzw. Datenträger infizieren und sich so vermehren. Beim Eintritt eines bestimmten Ereignisses - zu einem bestimmten Datum, beim xten Start eines infizierten Programmes usw. - führen wir mehr oder weniger schädliche Aktionen aus, die üblicherweise mit Datenverlust verbunden sind. Daß diese vorerst meist unbemerkt ablaufen, macht uns besonders gefährlich.

Da wir Viren "nur" Programme (also Software) sind, können wir uns in allen Computersystemen festsetzen; leider sind aber manche Systeme widerstandsfähiger als andere. Als idealer Wirt haben sich Personal Computer unter dem Betriebssystem DOS erwiesen, da sie eine große Verbreitung haben und aufgrund mangelhafter Sicherheitsvorkehrungen des Betriebssystems leicht angreifbar sind.

Wie wir arbeiten

Wir Computerviren sind eine große Familie von etwa 2000 Mitgliedern. Uns allen - mit Ausnahme der Macroviren - ist gemeinsam, daß wir irgendwann erstmals aktiviert werden, uns dann zu vermehren versuchen und eines Tages eine meist zerstörerische Aktivität ausführen. Die Arbeitsweise ist jedoch von Clan zu Clan verschieden (die wichtigsten davon werden nachfolgend beschrieben), und jeder einzelne von uns hat natürlich seine besonderen Spezialitäten.

Programmvirus

Ein normales Computerprogramm für PCs besteht aus einer Startsequenz, dem eigentlichen Programm und einer Schlußsequenz. Ein Virus kann sich nun an das Ende eines Programms anhängen, in die Startsequenz einen Sprung auf den Viruscode einfügen, den Viruscode ausführen und dann zurück zum Programmstart gehen, um das Programm normal auszuführen (siehe Skizze). Dies geschieht so schnell, daß der Anwender nichts davon bemerkt. Das Virus hat sich nun im Arbeitsspeicher festgesetzt, und sobald ein anderes Programm gestartet wird, wird auch dieses infiziert. Daß sich unsereins eingenistet hat, erkennt man meist daran, daß das Programm etwas größer geworden ist als die Originalversion. Natürlich prüfen wir, ob ein Programm bereits von einem Virus befallen wurde, um zu vermeiden, daß es bei jedem Start nochmals infiziert und dadurch immer größer wird.

Als Beispiel sei mein Bruder "Lehigh I" genannt. Er hat sich auf die Datei command.com spezialisiert und eine Größe von etwa 530 Bytes. Die Dateigröße erhöht er jedoch nicht, da er Pufferplatz in der Datei verwendet. Bei jedem vierten Start schreibt er zufällige Daten auf die Festplatte, wodurch Programme und Daten unbrauchbar werden.

Bootsektorvirus

Der Bootsektor ist der Bereich auf der Festplatte oder Diskette, der nach dem Einschalten des Computers zuerst vom System gelesen wird - dort befinden sich die Informationen, die dem Rechner mitteilen, was er nach dem Einschalten machen soll. Da der Bootsektor bei jedem Computerstart gelesen wird, ist er prädestiniert für uns Viren. Wir überschreiben den originalen Bootsektor und verweisen auf eine Kopie des Bootsektors, die irgendwo auf dem Datenträger angelegt wird.

Partition Table Virus

Dieser Verwandte ähnelt stark dem Bootsektorvirus. Er nistet sich im Partition Table ein (das ist der Sektor Null der Festplatte) und kann von dort aus den Bootsektor infizieren. Eine Desinfektion des Bootsektors oder eine Neuformatierung der Festplatte ist also nutzlos.

Companion Virus

Der Companion Virus erzeugt eine .com-Datei mit demselben Namen wie die gestartete .exe-Datei. Weil DOS beim Start von z.B. Word zuerst word.com startet, kann sich hier das Virus aktivieren und dann word.exe starten.

Illustre Mitglieder meiner Verwandtschaft sind beispielsweise "Cruncher" (verwendet Komprimierungsroutinen), "Cascade" (läßt Buchstaben vom Bildschirm fallen), "Form" (erzeugt einen leisen Ton), "Yankee Doodle" (spielt eine Melodie) und "One Half" (verschlüsselt bzw. entschlüsselt Teile der Festplatte - was besonders gemein ist, da nach seiner Entfernung die Daten nicht mehr entschlüsselt werden können).

Macroviren (oder: Wie Dokumente zur Gefahr werden)

Macroviren sind sehr junge Viren und meine Lieblinge, denn sie sind sehr effizient. Ihre berühmtesten Vertreter sind "Concept", der leider einen Programmierfehler hat, "Nuclear", der am 5. April die Dateien io.sys, msdos.sys und command.com zerstört, "Wazzu", der Worte im Text durcheinanderbringt, und "CAP", der alle anderen Macros löscht.

Ein Macro ist eine Sequenz von Befehlen: Zur Erleichterung immer wiederkehrender Arbeitsschritte können diese in einem Macro zusammengefaßt und in einem Durchgang ausgeführt werden. Macroviren beschränken sich praktisch nur auf das Programm MS-Word für Windows, weil Word eine enorme Verbreitung hat und für Macroviren sehr viele Möglichkeiten bietet (so ist es z.B. möglich, aus Word ein anderes Programm wie "Format" zu starten und damit die Festplatte zu formatieren!!!). Word-Macros werden mit dem Textdokument gespeichert, was eine optimale Basis für die Verbreitung ist. Macros, die mit "Auto" beginnen (AutoOpen, AutoRun usw.), werden beim Öffnen des Dokuments sofort ausgeführt, wodurch ein Macrovirus unmittelbar aktiviert werden kann. Dieses manipuliert nun die Standardvorlage normal.dot, sodaß automatisch alle später geöffneten und neu angelegten Dokumente infiziert werden. Ein gewisses Problem für uns waren bisher die verschiedenen Länderversionen von Word, da Macros immer in der Landessprache geschrieben wurden (so kann z.B. das Virus "NOP" nur im deutschen Word aktiv werden). Aber dieses Problem ist zum Glück mit Word 97 Vergangenheit, da hier allgemein englisch programmiert wird.

Leider ist es relativ einfach, Macroviren zu entdecken und zu entfernen: Macros scheinen in der Macroliste (im Menü Extras / Macro) auf. Sind dort unbekannte Macros eingetragen, haben sich wahrscheinlich Viren eingenistet. Wenn man nun das Dokument mit WordPad öffnet oder in einem anderen Format wie WordPerfect oder RTF speichert, sind alle eingebauten Macros verschwunden. Gefinkelte Benutzer löschen zusätzlich noch die Datei normal.dot.

Viren im Internet

Dank Internet ist uns eine weitere, weltweite Verbreitungsmöglichkeit eröffnet worden. Das Kopieren von Gratis- und Shareware-Programmen aus dem Netz ist verlockend, und eine Virenprüfung dieser Programme durch den Benutzer erfolgt selten. So können wir im Nu viele Rechner infizieren. Daß die Programme meist in gepackter Form (z.B. als .zip-Datei) vorliegen und die wenigsten Virenscanner gepackte Dateien prüfen können, kommt uns ebenfalls sehr entgegen. Auf vielen Servern ist die Virenprüfung aber leider Standard, und gerade die renommierten Programmarchive auf FTP- oder WWW-Servern lassen uns kaum eine Chance zur Verbreitung.

Lustigerweise hört man in letzter Zeit immer wieder, daß Viren neuerdings auch in eMail-Nachrichten ihr Unwesen treiben. Zu meinem Bedauern ist das nicht möglich - nur über eMail verschickte Programme und Dokumente können infiziert sein, und die darin versteckten Viren können erst beim Start der Programme aktiv werden. Viren, die über WWW übertragen werden, sind aber dank Java und Microsofts ActiveX-Technologie sehr wohl denkbar, auch wenn bisher keine derartigen Fälle bekannt wurden. Besonders sicherheitsbewußte Benutzer deaktivieren schon jetzt in ihren WWW-Browsern das automatische Ausführen von Java- und ActiveX-Komponenten.

Wie man uns bekämpfen kann

Zum Glück gibt es keinen wirklichen Schutz vor uns. Wenn Methoden zu unserer Beseitigung gefunden werden, mutieren wir einfach oder lassen von unseren Programmierern neue, noch effizientere Nachkommen in die Welt setzen. Da sich z.B. die erste Generation der Programmviren beim Befall einer Datei durch die Änderung des Erstellungsdatums und der Dateigröße verriet, manipulierte die nächste Generation einfach das dir-Kommando, um das Originaldatum und die Originaldateigröße anzuzeigen. Manche von uns können sich auch beim Infizieren weiterer Dateien selbständig ändern, damit sie nicht so leicht gefunden werden. Sobald wir uns eingenistet haben, verhalten wir uns möglichst ruhig und unauffällig, um ja nicht entdeckt zu werden - und irgendwann schlagen wir gnadenlos zu ...

Für unsere Verbreitung sorgen weitergereichte Disketten mit Daten und Programmen, an Netzwerke angeschlossene Computer, Gratissoftware von Zeitschriften und Firmen, entlehnte, ausgetauschte oder öffentlich zugängliche Computer, Programme aus dem Internet oder von Mailboxen usw. Der einzige Rechner, der vor uns sicher ist, hat weder Netzwerkanschluß noch Diskettenlaufwerk oder sonstige von außen zugängliche Speichermedien. Selbst die verhaßten Antivirenprogramme können - sogar wenn sie immer am aktuellen Stand sind - noch lange nicht alle meine Verwandten identifizieren und vernichten.

Ich sollte das am besten gar nicht erwähnen, aber der einzige einigermaßen sichere Schutz vor uns sind Backups, Backups und nochmals Backups - wobei vor allem auf die Daten geachtet werden sollte, denn die Programme lassen sich ja jederzeit wieder installieren. Wenn man für genügend Backups der Daten (auch über einen längeren Zeitraum zurückreichend) gesorgt hat, ist man gegen Datenverlust halbwegs gewappnet. Erst der nächstbessere Schutz sind Antivirenprogramme, wobei mehrere verschiedene Programme und möglichst aktuelle Versionen die Trefferquote erhöhen. Und wenn man uns wirklich wirksam bekämpfen will, sollte man vor allem jede fremde Diskette und Datei auf Viren überprüfen (zum Glück ist diese Vorgangsweise nicht sonderlich verbreitet!). Es gibt auch sogenannte Wächter - neudeutsch "Guards" -, die den Computer ständig auf Virenaktivitäten prüfen und im Ernstfall sofort Alarm schlagen. Erfreulicherweise haben diese Wächter den Nachteil, daß sie sehr viele Rechnerressourcen benötigen und sich mit manchen Programmen nicht vertragen.

Und wenn ich schon aus der Schule plaudere, noch ein paar Geheimtips: Kein Fehler ist es, eine garantiert virenfreie Boot-Diskette bereitzuhalten, die MS-DOS und ein Antivirenprogramm enthält. Bei Virenverdacht kann man von dieser Diskette booten und das System auf Viren kontrollieren. Es ist jedenfalls keine Schande, einen oder mehrere von uns auf der Festplatte zu entdecken. In diesem Fall sollte man gar nicht erst versuchen, uns mit mehr oder weniger geeigneten Mitteln zu entfernen - das soll lieber der Systemadministrator tun, vor allem, wenn der Rechner an ein Netzwerk angeschlossen ist. Man sollte aber alle informieren, denen man Disketten oder Daten gegeben hat.

Die Antiviren-Aktivitäten des EDV-Zentrums

Das ist ein schmerzliches Kapitel, und ich warne meine Verwandten bei jeder Gelegenheit vor dem Kontakt mit dem EDV-Zentrum, das gut gegen uns gerüstet ist und außerdem Hetzkampagnen startet. Seit neuestem versuchen sie dort, uns mit dem allseits gefürchteten Antivirenprogramm von McAfee den Garaus zu machen. Nicht genug damit, daß sie es allen Benutzern mit Zutrittsberechtigung zum SWD-Server gratis zur Verfügung stellen - sie halten es auch noch ständig am neuesten Stand! Pfui Teufel!

Michelangelo

Epilog

Nun, die Sichtweise unseres "Freundes" Michelangelo ist wohl etwas einseitig und auch zu optimistisch. Tatsächlich gibt es nicht allzuviele Viren-Aktivitäten, nur ein kleiner Teil der Viren ist wirklich zerstörerisch und gefährlich und die Antivirenprogramme sind inzwischen sehr gut. Dennoch ist vor allem im Netzwerkbereich Vorsicht geboten.

Quellen: