Hauptseminar: Malicious Code - Viren, Würmer und Co. - Geschichte der Viren Fabian Prasser Technische Universität München Abstract. Dieser Teil des Themas ”Geschichte von Malicious Code” führt die Ausarbeitungen von Heike Lupold fort und beschäftigt sich mit der Geschichte der Computerviren von 1990 bis heute. Table of Contents 1 Das Jahr 1990 - VX BBS und Little Black Book . . . . . . . . 2 2 Das Jahr 1991 - Tequila, Polymorphe Viren . . . . . . . . . . . 2 3 Das Jahr 1992 - Michelangelo, DAME und VCL . . . . . . . . 2 4 Das Jahr 1995 - Denial of Service Attacken, Makroviren . . . 3 5 Das Jahr 1996 - Boza, Laroux und Staog . . . . . . . . . . . . . 3 6 Das Jahr 1998 - Strange Brew und Back Orifice . . . . . . . . 3 7 Das Jahr 1999 - Melissa, Tristate, HTML-Viren u.v.m. . . . . 4 8 Das Jahr 2000 - DoS, LoveLetter, Timofonica u.v.m. . . . . . 4 9 Das Jahr 2001 - Gnuman, Winux Windows/Linux Virus u.v.m. 5 10 Das Jahr 2002 - LFM-926, Donut, Sharp-A, SQLSpider u.v.m. 5 11 Das Jahr 2003 - Slammer, Sobig, Lovgate u.v.m. . . . . . . . . 6 12 Das Jahr 2004 - Trojan.Xombe, Randex, Bizex, Witty u.v.m. 6 1 Das Jahr 1990 - VX BBS und Little Black Book Das erste Virus-Exchange-Board (VX BBS) ging in Bulgarien online. VirenAutoren konnten nun mit ihren Codes handeln und Ideen austauschen. Ausserdem erschien mit Mark Ludwigs Buch über Viren-Programmierung (”The Little Black Book of Computer Viruses”) eines der ersten Bücher zu diesem Thema. 2 Das Jahr 1991 - Tequila, Polymorphe Viren ”Tequila” war der erste polymorphe Virus. Er kam aus der Schweiz und veränderte seinen eigenen Code, um sich so der Erkennung zu entziehen. Polymorphe Viren: Polymorphe Viren enthalten Mechanismen, um ihr Aussehen bei jeder Infektion zu verändern. Dazu werden unter anderem Befehlssequenzen ausgetauscht und Sprungbefehle eingefügt oder einfach zufällig unsinnige Befehlsgruppen eingestreut, die nicht ausgeführt werden. Diese Veränderungen beeinträchtigen das Funktionieren des Virus bei richtiger Implementierung nicht. So können leicht Milliarden von Varianten eines Virus entstehen. Um verschlüsselte und polymorphe Viren sicher zu erkennen und zu beseitigen, reicht der Einsatz klassischer Virensignaturen häufig nicht aus. Meist müssen spezielle Programme geschrieben werden. Der Aufwand zur Analyse und zur Bereitstellung geeigneter Gegenmittel kann dabei extrem hoch sein. So sind polymorphe Viren ohne Übertreibung als die Königsklasse unter den Viren zu bezeichnen. ”Tequila” im Speziellen befällt nur EXE-Dateien. Beim ersten Aufruf installiert er sich in der Bootpartition der Festplatte. Wird der Rechner einer so behandelten Festplatte neu gebootet, so wird der Virus resistent geladen und befällt EXE Dateien, bei ihrer Ausführung. Tequila hat seinen Namen von einem Textstring erhalten, der im Virus-Code in verschlüsselter Form implementiert ist: Welcome to T.TEQUILA’s latest production. Contact T.TEQUILA/P.o.Box 543/6312 St’hausen Switzerland. Loving thought to L.I.N.D.A. BEER and TEQU ILA forever !” ”Execute: mov ax, FE03 / int 21. Key to go on! Ausserdem hat der Tequila-Virus eine STEALTH-Funktion dahingehend, dass der Virus die Länge befallener Dateien bei speicherresidentem Virus um die Länge seines eigenen Codes vermindert. Wird der Befehl CHKDSK aufgerufen, so treten bei aktivem Virus ”Dateizuordnungsfehler” auf, die keinesfalls mit dem Befehl CHKDSK /F repariert werden dürfen, da sonst die Daten restlos verloren sind. 3 Das Jahr 1992 - Michelangelo, DAME und VCL ”Michelangelo” war der erste Medien-Liebling. Ein Weltweiter Alarm wurde ausgelöst und grosse Zerstörung vorhergesagt. Letztendlich passierte dann aber doch herzlich wenig. Im selben Jahr wurde ”Dark Avengers” ”Mutation Engine” (MtE) veröffentlicht. Mit ihr war es erstmals möglich jeden beliebigen Virus in einen polymorphen Virus umzuwandeln. Ausserdem wurde das erste Virus-Creation-Kit veröffentlicht: das ”Virus Creation Laboratory” (VCL). Nun war es auch ungeübten Programmierern möglich mittels Pull-Down Menüs auf sehr einfache Art und weise Viren zu erzeugen. 4 Das Jahr 1995 - Denial of Service Attacken, Makroviren Hacker attackierten die Griffith Air Force Base, das koreanische Atomic Research Insitute, die NASA, das Goddard Space Flight Center, und das Jet Propulsion Laboratory. GE, IBM, Pipeline und andere grosse Unternehmen wurden an Thanksgiving von der ”Internet Liberation Front” attackiert. Mitte 1995 schlug der Word-Makro-Virus ”Concept” wie eine Bombe ein. Das lag daran, dass man bis dahin der festen Ansicht war, dass nur ausführbare Programme von Viren infiziert werden könnten. Dokumente galten als sicher und wurden meisstens garnicht erst auf Viren hin untersucht. Nachforschungen zum Thema Makroviren kamen zu dem Schluss, dass alle Anwendungen mit komplexen Makrosprachen auch von Viren befallen werden könnten. Makroviren: Makroviren sind Viren, die meist mit den oft immer leistungsfähigeren Makrosprachen grosser Office- und Bildverarbeitungspakete programmiert sind. Makrosprachen wurden ursprünglich dazu eingeführt um dem Anwender das automatisieren häufiger Arbeitsschritte zu ermöglichen. Durch Makros, die z.B. beim öffnen eines Dokumentes automatisch aufgerufen werden kann ein Virus dann in Aktion treten. Obwohl das zerstörerische Potential der Makrosprachen meistens sehr eingeschränkt ist, ist es trotzdem möglich zum Beispiel durch Aufrufe externer Programme grossen Schaden anzurichten. Ausserdem bleibt auch zu erwähnen, dass Makrosprachen wie z.B. Microsofts VBA meisst sehr einfach aufgebaut sind und auch von ungeübten Programmierern sehr schnell erlernt werden können. 5 Das Jahr 1996 - Boza, Laroux und Staog ”Boza” war der erste Virus, der speziell für Windows 95-Dateien entwickelt wurde. ”Laroux” war der erste Excel-Makro-Virus. ”Staog” war der erste LinuxVirus und wurde von der gleichen Gruppe entwickelt, die auch ”Boza” entwickelt hatte. 6 Das Jahr 1998 - Strange Brew und Back Orifice ”Strange Brew” war der erste Java-Virus. ”Back Orifice” der erste Trojaner, der als ”remote-administration-tool” konstruiert wurde und es anderen erlaubt über das Internet die Kontrolle über einen Rechner zu erlangen. Ausserdem wurden die ersten Access-Makro-Viren verbreitet. 7 Das Jahr 1999 - Melissa, Tristate, HTML-Viren u.v.m. ”Melissa” war die erste Kombination aus Word-Makro-Virus und Wurm, der sich über das Outlook und Outlook-Express Adressbuch automatisch per Email an andere Rechner verschickte. ”Tristate” war der erste Multi-Programm-MakroVirus der sowohl Word und Excel als auch PowerPoint Dateien infizierte. ”BubbleBoy”, eine Weiterentwicklung von ”Concept”, war der erste Virus, der sich automatisch aktivierte, wenn der User einfach nur eine Email Nachricht in Outlook und Outlook-Express ansah. Dateianhänge waren nicht nötig. In HTML-Dateien eingebettete virale Skripte: Das Funktionieren dieser Virenart ist einzig und alleine auf eine Sicherheitslücke in Microsoft-Produkten zurückzuführen. Dadurch ist es in HTMLSeiten eingebetteten VBS-Skripten möglich die potentiell gefährlichen ActiveXSteuerelemente scriptlet.typelib und Eyedog zu starten.Anwender mit nichtMicrosoft-Browsern und Email-Programmen sind von solchen Viren meistens nicht bedroht. Selbstverständlich hat auch Microsoft mittlerweile einen Patch herausgebracht, der die Sicherheitslücke schliesst. 8 Das Jahr 2000 - DoS, LoveLetter, Timofonica u.v.m. Die ersten grossen ”Denial of Service” Attacken brachte grosse Webseiten, wie zum Beispiel die von ”Yahoo” oder ”Amazon.com” zum Zusammenbruch. DoS - Denial of Service: ”Denial of Service” bedeutet sowas wie ”ausser Betrieb setzen”. Das Besondere an DoS-Attacken ist, dass man einen Computer über eine TCP/IPVerbindung auch über das Internet von jedem beliebigen Ort der Welt aus zum Absturz bringen kann. DoS-Attacken nutzen immer diverse Schwachstellen in der TCP/IP-Implementierung. Obwohl auch UNIX-basierte Systeme nicht grundsätzlich immun gegenüber solchen Attacken sind, ist vor allem die besondere Anfälligkeit des Microsoft Windows Betriebssystems bekannt. Denial of Service Attacken können auf die unterschiedlichsten Arten und Weisen funktionieren. DoS-Attacken sind für das hier vorliegende Thema insofern relevant, als das auch Trojanische Pferde, die sich in vielen Rechnern eingenistet haben dazu verwendet werden können andere Rechner mit einer Datenflut in die Knie zu zwingen. Im Mai entwickelte sich der ”Love Letter”-Wurm zum am weitesten verbreiteten Virus der damaligen Zeit und legte weltweit Email-Systeme lahm. Im Juni war der erste Angriff auf ein Telefon-System zu verzeichnen: Der VisualBasic-Script-Wurm ”Timofonica” versuchte Nachrichten an Internetfähige Telefone in Spanien zu verschicken. Im August wurde der erste Trojaner für den Palm PDA entdeckt. Von Aaron Ardiri, dem Co-Entwickler des ”Palm Game Boy Emulator”, entwickelt und ”Liberty” genannt wurde dieser Trojaner als Uninstall-Programm entwickelt und nur an wenige Leute verteilt, um sie so als Raubkopierer zu entlarven. Als sich ”Liberty” aus versehen in der Öffentlichkeit verbreitete half Adriri die Verbreitung einzudämmen. Am 9. November 2000 wurde mit ”Pirus” ein weiterer Prototyp in PHP entwickelt. Er versucht sich selbstständig in HTML oder PHP Dateien einzubauen. 9 Das Jahr 2001 - Gnuman, Winux Windows/Linux Virus u.v.m. ”Gnuman (Mandragore)” tauchte ende Februar auf. Dieser Wurm tarnte sich vor dem Gnutella file-sharing-system als MP3-Datei und war der erste Virus, der speziell dafür ausgelegt war peer-to-peer Kommunikationssysteme anzugreifen. Im März wurde ein Prototyp eines Virus der sowohl Linux als auch Windows Systeme infizieren konnte veröffentlicht: ”Winux” oder ”Lindose”, der seinen Ursprung angeblich in der Tschechischen Republik hat, hatte aber einige Fehler. Im Mai tauchte der erste Applescript-Wurm auf. Er verwendet Outlook Express oder Entourage auf Macintosh-Systemen um sich mithilfe des Adressbuches per Email zu verbreiten. Anfang August erschien der Wurm ”PeachyPDF-A”. Er war der erste Wurm der sich mittels Adobes PDF-Software verbeitete. Da aber nur die Vollversion und nicht der kostenlose Acrobat Reader den Wurm verbreiten konnte, hielt sich die Ausbreitung in Grenzen. Im September demonstrierte der Wurm ”Nimda” seine herausragende Flexibilität in der Verbreitung indem er die unterschiedlichsten Möglichkeiten ausnutzte. Obwohl konzeptionell nicht neu verursachten eine Menge Würmer weitere Schäden im Laufe des Jahres. Dazu gehören z.B.: Sircam (Juli), CodeRed (Juli August), and BadTrans (November Dezember). 10 Das Jahr 2002 - LFM-926, Donut, Sharp-A, SQLSpider u.v.m. Anfang Januar erschien ”LFM-926”. Er war der erste Virus der Shockwave Flash (.SWF) Dateien infizierte. Er wurde nach der Nachricht benannt, die er während der Infektion anzeigt: ”Loading.Flash.Movie...”. Er setzt ein Debug-Skript auf dem Rechner ab, welcheseine .COM-Datei erzeugt die wiederum andere .SWFDateien befällt. Ebenfalls im Januar tauchte mit ”Donut” der erste Wurm auf, der sich über .NET Services ausbreitet. Im März wurde der erste wirkliche .NETWurm ”Sharp-A” angekündigt. Geschrieben in C# war dieser Wurm ebenfalls aufgrund der Tatsache einzigartig, dass er von einer Frau geschrieben wurde. Im Mai wurde der Javascript-Wurm ”SQLSpider” veröffentlicht. Er war einzigartig, weil er Rechner auf denen der Microsoft SQL Server lief und Programme die die SQL Server-Technologie verwendeten angriff. Im gleichen Monat trat auch erstmals der Wurm ”Benjamin” auf, der sich über das Kazaa Peer-To-peer Netzwerk verbreitete. Mitte Juni trat die Presse einen grossen Hype über den Protoypen ”Perrun” los. Dies lag daran, dass ein sich ein Teil des Virus an JPEG-Bilddateien anhängte. JPEG-Dateien sind aber immer noch recht sicher, da man ein Stripper-Programm auf seinem Rechner laufen haben muss um dem Virus die Verbreitung zu ermöglichen. Am 28. Juni wurde der ”Scalper”-Wurm entdeckt, der FreeBSD/Apache Webserver angriff. 11 Das Jahr 2003 - Slammer, Sobig, Lovgate u.v.m. ”Sobig” ein Wurm, der sein eigenes SMTP-Mail-Programm in sich trug und sich über Windows Netzwerkfreigaben verbreitet fing ebenso wie einige weitere ”Sobig”-Varianten in diesem Jahr an sein Unwesen zu treiben. ”Slammer” nutzte Sicherheitslücken in Microsofts SQL 2000 Servern aus. Seine VerbreitungsTechnologie funktionierte so gut, dass zeitweise ganz Süd-Korea vom Internet abgeschnitten war, was ihm auch in den Medien grosse Beachtung einbrachte.. Im Februar erblickte ebenfalls eine einzigartige Schöpfung das Licht der Welt: ”Lovegate” war in dem Sinne einzigartig, als dass es eine Kombination aus Virus und Trojaner war, zwei Arten von Malware die sich normalerweise nicht miteinander kombinieren lassen. Anfang Mai verbreitete sich ”Fizzer” mithilfe der üblichen Email-Methoden, verwendete aber auch das KaZaa peer-to-peer Netzwerk um sich zu verbreiten. Obwohl grundsätzlich nicht einzigartig , wurde der August bekannt für seine Kombinationen aus ”Sobig.F”, ”Blaster” (auch ”Lovsan” oder ”MSBlast”), ”Welchia” (auch ”Nachi”), und ”Mimail”;die sich alle sehr schnell mittels einer Sicherheitslücke im Distributed Component Object Model (DCOM) Remote Procedure Call (RPC) interface von Microsoft ausbreiteten. 2003 traten auch erstmals Wurm-artige Techniken auf um Spam zu verbreiten. Sobig hinterlies z.B. auf den Rechnern eine Komponente, die später von Spammern dazu verwendet werden konnte um Emails von dem infizierten Rechner zu verschicken. Die Verschleierungstechniken der Viren/Wurm-Programmierer wurden ebenfalls dramatisch verbessert. Einige der Malware, die sich in diesem Jahr verbreitete zeigten z.B. realistische Graphiken und Links um den Nutzer im Glauben zu lassen er hätte wirklich eine Email von z.B. Microsoft erhalten. 12 Das Jahr 2004 - Trojan.Xombe, Randex, Bizex, Witty u.v.m. Das Jahr 2004 begann genau so, wie das Jahr 2003 endete: Mit der Entwicklung neuer Verschleierungstechniken. ”Trojan.Xombe” wurde an eine grosse Benutzeranzahl verschickt. Er zeigte eine Nachricht aus dem Microsoft Windows Update, dass den Benutzer dazu aufforderte ein angehängtes XP-Service-Pack-1Update auszuführen. Im Februar wurde gezeigt, dass Viren-Programmierer mit Versuchen begonnen hatten aus ihren Produktionen kapital zu schlagen. Ein deutsches Magazin schaffte es eine Liste der infizierten IP Adressen vom Produzenten des ”Randex”-Virus zu kaufen. Diese IP Adressen wurden an Spammer verkauft, die dann die infizierten Rechner als Mail-Zombies verwenden konnten. Ende Februar wurde ”Bizex” entdeckt, der ICQ-User befiel indem diese durch einen HTML-Link eine infizierte SCM (Sound Compressed Sound Scheme) Datei herunterluden. References 1. 2. 3. 4. http://www.antiviruslab.com/e-categories.php?lang=gb http://www.vhm.haitec.de/konferenz/makro.htm http://www.sophos.de/virusinfo/analyses/vbsbubbleboy.html http://www.computec.ch/dokumente/denial-of-service/tcp-ip-angriffe/tcp-ipangriffe.html This article was processed using the LATEX macro package with LLNCS style