Computervirus

Computervirus (bei klarem Themenbezug meist kurz Virus) ist die Bezeichnung für ein schädliches Computerprogramm und sich analog der biologischen Viren selbstständig vermehrt. Es benötigt hierzu nur einen Wirt in Form eines Datenträgers. Die Verbreitung erfolgt nachdem unbewussten Laden des Computervirus durch die normale Nutzung von Datenträgern am Computern. Häufig eingebaute Schadfunktionen, wie beispielsweise das Löschen von Daten, nennt man Payload.

In der Heimcomputerzeit erfolgt die Infektion nur über Datenträgern, und zwar über die Disketten (andere Datenträger sind aber auch denkbar!). Mittlerweile (seit den 1990er Jahren) auch über Netzwerke wie dem Internet.

Die Beseitigung von Computerviren erfolgt über Antivirenprogramme oder Virenkiller. Hierbei ist es erforderlich, dass neben der Verwendung einer aktuellen Datenbank mit Virussignaturen auch der Hauptspeicher des Computer virenfrei ist und das Antivirenprogramm von einem virenfreien Speichermedium geladen wird, um eine erneute Infektion des Computervirus auszuschließen.

Bekannte C64-Viren[Bearbeiten | Quelltext bearbeiten]

Geschichte[Bearbeiten | Quelltext bearbeiten]

Die nachfolgende Auflistung zeigt einen Überblick über das Auftauchen und die Entwicklung von Computerviren. Noch 1985 schätzten Sicherheitsexperten das Risiko von Datenverlust durch zerstörerische Programme, die heute den Namen Computervirus tragen, für nahezu ausgeschlossen ein. Ein Jahr später wurden sie eines besseren belehrt. Und schon 1988 wurde von der USA das erste Computernotfallteam gegründet.

1949[Bearbeiten | Quelltext bearbeiten]

Der ungarische Mathematiker John van Neumann (1903-1957) stellte die Theorie von selbst produzierenden Automaten auf.

1970[Bearbeiten | Quelltext bearbeiten]

In den 1970er Jahren konkurrierten an den Unis Studenten mit kleinen Programmen "Rabbits", um kostbare Rechenzeit für sich zu beanspruchen.
Der erste Wurm namens Creeper verseucht das ARPA-Net. Ray Tomlinson, der auch als Erfinder der E-Mail gilt, programmiert daraufhin das vermutlich erste Anti-Malware-Tool namens Reaper. Reaper verbreitet sich selbst wie ein Wurm, richtet aber keinen Schaden an, sondern "jagt und vernichtet" Creeper.
Das Spiel "Core War", entwickelt von Mitarbeiter der Bell Laboratories, kam dem Prinzip eines Computervirus oder Wurms ziemlich nah. Angeblich waren die Programmierer durch den Vorfall mit Creeper und Reaper auf die Idee für das Spiel gekommen.

1972[Bearbeiten | Quelltext bearbeiten]

Daniel Edwards stellt das theoretische Konzept eines Trojanischen Pferd vor. Die originale Bezeichnung "Trojan Horse" stammt von ihm. Edwards war sich sicher, das derartige Programme künftig eine enorme Bedrohung für die Sicherheit von IT-Systemen darstellen werden.

1975[Bearbeiten | Quelltext bearbeiten]

Knapp drei Jahre später wurde aus Edwards Trojaner-These bereits Praxis. Das Computerspiel "Pervading Animal" wurde für die Univac 1108 geschrieben. Das Programm gilt als das erste bekannte Trojanische Pferd. Es handelte sich um ein Frage-Antwort-Spiel, die gestellten Fragen waren aber auch der Trigger für einen lästigen Nebeneffekt: Das Programm kopierte sich nach und nach heimlich in allen andere Verzeichnisse. Das war in der Praxis aber nicht weiter schlimm, da das Programm sehr klein war. Pro Verzeichnis wurde nur eine Kopie angelegt, bei einer erneuten Infektion wurde die Kopie überschrieben. Gerüchten nach soll das Programm in kürzester Zeit das komplette System vermüllen, das ist aber nicht korrekt. Ob es sich bei der Vervielfältigung um einen Programmierfehler oder um eine beabsichtigte Schadensroutine handelt, ist ungeklärt.
Das theoretische Konzept eines Computerwurms für Netzwerke wird erstmals vorgestellt. Ein solches Programm wird im Science-Fiction-Buch "The Shockwave Rider" (Der Schockwellenreiter) von John Brunner erwähnt.

1980[Bearbeiten | Quelltext bearbeiten]

Das Programm "Status Message" schaltete für kurze Zeit das ARPA-Net durch Überlastung ab.
An der Universität Dortmund erschien die Diplomarbeit "Selbstreproduktion von Programmen" von Jürgen Krauss. Diese wurde nie veröffentlicht und befindet sich im Archiv. ^[1]

1981[Bearbeiten | Quelltext bearbeiten]

Im Gespräch von Professor Adleman und seinem Doktoranden Fred Cohen fiel zum ersten Mal der Begriff "Computervirus".

1982[Bearbeiten | Quelltext bearbeiten]

Im Xerox Alto Reserach Center wurden die ersten Würmer für verteilte Berechnungen programmiert. Durch einen Programmierfehler vermehrten sich diese unkontrolliert und überlasteten das System.
Das Programm "Elk Cloner" infiziert Disketten des Apple II, ist aber nicht schädlich. Es war der erste Linkvirus.
Außerdem schreibt Joe Dellinger während seines Studiums einige reproduzierende Programme für den Apple II, die er "Virus 1, Virus 2..." nennt.

1983[Bearbeiten | Quelltext bearbeiten]

Der Amerikaner Fred Cohen stellt seinen ersten funktionsfähigen Computervirus unter Unix vor, der sich im Befehl vd (visual directory) versteckt, das über ein BBS angeboten und verteilt wurde.^[2]

1984[Bearbeiten | Quelltext bearbeiten]

Die Doktorarbeit "Computerviruses, Theory and Experiments" von Fred Cohen wurde veröffentlicht. Sie enthielt neben der Definition auch Virenquellcodes (in einer Pseudosprache) und von da an nahm die rasante Entwicklung von Viren seinen Lauf.

1985[Bearbeiten | Quelltext bearbeiten]

Ebenfalls befasst sich die Bayrische Hackerpost mit der Übersetzung von Cohens Doktorarbeit ins Deutsche und entwickelt den BHP-Virus für den Commodore 64. Nach Ansicht vieler, ist dies der erste Cluster-Virus und der erste Stealth-Virus.
Einige Programmierer entwickeln harmlose Scherzprogramme wie Buchstabenfresser.
Trojanische Pferde die angeblich das PC-DOS von IBM verbessern sollten, hießen u.a EGABTR oder SURPRISE und löschten die Festplatten. Diese wurden über Mailboxen verbreitet.
In der Computerzeitung "Apples" wurde ein Virenquellcode für den Apple II veröffentlicht.

1986[Bearbeiten | Quelltext bearbeiten]

Bei den Großrechnern der FU Berlin tauchte im Januar die erste Vireninfektion auf.
Den ersten MS-DOS-Virus namens "Brain" (alias Pakistani oder Ashar) programmierten zwei Software-Händler aus Pakistan, um die Kunden an sich zu binden. Die beiden Brüder gaben an, dass sie lediglich einen Schutz gegen Raubkopien entwickeln wollten. Von der weiten Verbreitung ihres Virus waren sie selbst erstaunt. Dass die beiden keine böse Absicht hatten, ist glaubhaft - der Brain-Virus zeigt Adresse und Telefonnummer ihrer Firma an.
Ein amerikanischer Student programmierte einen Computervirus, der 50.000 Computer des ARPAnets lahmlegte. Mit dabei waren auch die Rechner der NASA und die US-Navy. Sozusagen war es die erste Denial-of-Service-Attack (DoS-Attack), die sich allerdings nicht gegen ein bestimmtes Ziel richtete.
Die Computerzeitung Computer Persönlich veröffentlichte ebenfalls einen Virenquellcode für den Apple II.
Der IT-Unternehmer John McAfee bekämpfte mit dem fahrbaren Virenlabor namens "Bugbuster" Computervirenherde in San Francisco. Später räumte er ein, dass das Wohnmobil voll Computertechnik eine reine Werbeshow ohne praktischen Nutzen war.
Außerdem stellt der Chaos Computer Clubs das Virus Virdem (Bootsektorvirus) vor, das sich in Bootsektoren von Disketten festsetzt.
Weitere Viren in diesem Jahr: Cascade, Stoned (alias New Zealand) und Pingpong. Der Virus Stoned wurde Jahre später leicht modifiziert und bekam 1991 unter dem Namen Michelangelo große Medienaufmerksamkeit.
Im April des Jahres ist auch auf der Heftdiskette des 64'er Sonderheftes ein Viruskiller enthalten.
Der als Hacker und Experte für Computersicherheit bekannte Bernd Fix veröffentlicht in der Datenschleuder #17 den Code eines selbst entwickelten Virus namens Rushhour. Fix ist Mitglied des Chaos Computer Clubs er hatte sich in den 1980ern auf Viren spezialisiert.

1987[Bearbeiten | Quelltext bearbeiten]

Ein Programm von Bernd Fix, das den Vienna-Virus entfernen kann, ist laut vieler Quellen das erste dokumentierte Antivirenprogramm aller Zeiten. Allerdings kursiert im Internet hartnäckig die Angabe, dass der Vienna-Virus erst 1988 programmiert und bekannt wurde. Das ist nicht möglich, Bernd Fix' Antivirenprogramm ist verlässlich für das Jahr 1987 belegt. Ausführlich beschrieben wird es z. B. in "Das grosse Computer-Viren Buch" (ISBN ISBN 3-89011-200-5). Vermutlich ist mit dem 1988 in Moskau entdeckten Vienna-Virus eine der zahlreichen Varianten gemeint, die später in Umlauf kamen. Der Code von Vienna wurde in einem Buch veröffentlicht und erläutert. Das führte zu einer regelrechten Schwemme an abgekupferten Versionen, von denen viele auch in Umlauf gerieten.
Erster Virus für Macintosh aufgetaucht. Apple lieferte dazu ein Antivirenprogramm für diese Virenfamilie.
Erstes Auftreten des speicherresidenten Casacde-Virus, dessen Quellcode verschlüsselt ist.
Auch das c't-Magazin veröffentlichte eine Virenquellcode für den Atari ST.
Für folgende Computer tauchen die ersten Computerviren auf: Mac (nVir, Peace), AMIGA (SCA-Virus) und Atari ST (PT, Aladdin).
Weitere Viren für IBM-PC aus dieser Zeit sind Lehigh und Jerusalem (alias PLO und Freitag-der-13.).
Christmas Tree EXEC war einer der ersten weit verbreiteten Computer-Würmer. Im Dezember 1987 legte er mehrere internationale Computernetzwerke lahm. Der Wurm wurde von einem Studenten in der Skriptsprache REXX geschrieben. Er zeichnete einen groben Weihnachtsbaum als Textgrafik und verschickte sich dann selbst an jeden Eintrag in der E-Mail-Kontaktdatei. Auf diese Weise verbreitete sich Christmas Tree EXEC auf das European Academic Research Network (EARN), das BITNET und das weltweite VNET von IBM. Auf all diesen Systemen verursachte es massive Störungen. Der Mechanismus für die Verbreitung per E-Mail war im Wesentlichen bereits der selbe, mit dem sich dann im Jahr 2000 der Wurm Loveletter verbreitete. Der verwendete allerdings Visual Basic als Skriptsprache und hatte andere Umgebungsbedingungen.
Ross Greenberg von der Software-Firma Fifth Generation Systems veröffentlicht Flushot Plus. Das Programm gilt als einer der ersten beiden Virenscanner mit heuristischer Erkennung. Das Programm wird als Shareware für 10 US-Dollar vertrieben. In IT-Fachkreisen wird Flushot Plus überwiegend positiv bewertet.
Der Programm-Virus Jerusalem wird erstmals entdeckt. Er wird sich in den nächsten Jahren recht weit verbreiten. Al Payload verlangsamt er zum einen das System, zum anderen löscht er am Freitag den 13. alle Programme von der Festplatte. Jerusalem war anfänglich sehr häufig anzutreffen und es entstanden eine große Zahl von Varianten. Seit dem Aufkommen von Windows werden die DOS Interrupts, die Jerusalem benutzt, nicht mehr verwendet. Der Virus und alle seine verschwanden dann sehr schnell von er Bildfläche.

1988[Bearbeiten | Quelltext bearbeiten]

Der "Internet Worm" (Wurm) infizierte ca. 6.000 Computer des ARPA-Nets.
Die Organisation CERT wird von der DARPA gegründet. Der Virenbaukasten für den Atari ST wird veröffentlicht.
Den Zuk von Denny Yanuar Ramdhani aus Indonesien entwickeln eine Anti-Viren-Software gegen den Brain-Virus.
Im April erschien McAfees erster Virenscanner für MS-DOS, der 19 Virenarten erkennt.
In der Zeitschrift 64'er wird ein Listing für einen Viruskiller abgedruckt. Damit ist es möglich den BHP-Virus von infizierten Disketten zu entfernen.
Ebenfalls erschien bei Data Becker "Das Anti-Cracker-Buch".

1989[Bearbeiten | Quelltext bearbeiten]

Erstes Auftauchen des polymorphen (vielfältigen) Virus namens "V2Px" (alias 1260 oder Washburn) und des Stealth-Virus (Tarnkappen-Virus) "Frodo".
Mit einem Virus verseuchtes Exemplare des MS-DOS-Spiels Leisure Suite Larry richten in englischen Banken und Devisenfirmen mehrere Millionen £ Schaden an. In den Medien zog dieser Vorfall erstmals Aufmerksamkeit der Öffentlichkeit zum Thema Computerviren nach sich. Außerdem wurde dabei Gerücht geboren, dass grundsätzlich alle Larry-Spiele mit einem Virus infiziert sind. Von dieser später weit verbreiteten Urban Legend gab es im Lauf der Zeit Varianten, zum Beispiel, dass das Virus sich nur bei der Eingabe bestimmter Wörter aktivieren würde.
Der Virus Disk Killer infiziert aufgrund seiner Größe neben den Bootsektoren zusätzlich Cluster. Er gilt als die erste Malware, deren Schadensroutine Dateien verschlüsseln kann.
IBM entwickelte ebenfalls ein Antivirenprogramm, das 22 Viren erkannte (McAfee erkannte schon 44).
Eine der beliebtesten Plattformen für Computerviren stellt in dieser Zeit noch der Amiga dar. Bei vielen Raubkopierern sammelten sich unfreiwillig gleich mehrere verschiedene Viren auf einer Diskette an.
Ein Trojanische Pferd wurde im Dezember 1989 die erste bekannte Ransomware. Der Urheber dieser Erpresser-Software war Dr. Joseph W. Popp, ein Wissenschaftler aus Cleveland. Er verschickte angeblich 20.000 Disketten die mit "AIDS Information Introductory Diskette" beschriftet waren. Der von Popp geplante Nebeneffekt verschlüsselte die sämtliche Dateinamen und hinterließ auf dem Rechner eine Aufforderung, für die Wiederherstellung 378 US-Dollar (laut anderen Quellen nur $189) an die "PC Cyborg Corporation" zu senden. Die Firma war fiktiv und bestand lediglich aus einem Postfach in Panama. Der Ransomware-Trojaner wurde unter dem Namen "AIDS" (aka "PC Cyborg") berühmt. Popp musste trotz seiner Erpressungen nicht sonderlich lange ins Gefängnis. Aufgrund psychischer Probleme wurde er nach einigen Monaten als haftuntauglich entlassen. Als Gegenmaßnahme wurde das Programm "AIDSOUT" entwickelt. Es war in der Lage, die verschlüsselten Daten wiederherzustellen. Der Programmierer des Tools erhielt Anfragen aus über 90 verschiedenen Ländern.
Erste Vireninformationsdienste wie "Virus Bulletin" und "Virus Telex" entstehen.
Weitere Viren und Würmer: Dark Avenger.1800, Marijuna, OILZ und WANK.

1990[Bearbeiten | Quelltext bearbeiten]

Ein polymorpher Stealth-Virus namens Whale (alias Motherfish) tauchte auf. Er ist der bis dahin größte speicherresidente Virus (ca. 9 KByte).
Im zweiten Golfkrieg wurden 5000 PCs der US-Streitkräfte mit "Jerusalem-B-Virus" verseucht.
Ein Virenkonstruktionskit für DOS wurde vom "Verband Deutscher Virenliebhaber" herausgegeben und der "DIR-II-Virus", der FAT-Einträge unter DOS verändert, erscheint.
Die Firma Peter Norton Computing veröffentlicht das Programm Norton AntiVirus. Obwohl das Antivirenprogramm seit 2014 nicht mehr als Einzelprodukt verkauft wird, gilt es bis heute als das insgesamt meistgenutzte Tool dieser Art. Noch im selben Jahr wird Peter Norton Computing von Symantec übernommen.
Weitere MS-DOS-Viren: 4096, Anthrax, Flip, Happy Birthday Joshi, Ping-Pong (alias Bouncing Ball oder Italiener), V1, Virus-90 und Virus-101.
In der Schweiz wird erstmals der Bootsektor-Virus Form entdeckt. Er ist in den frühen 1990ern der am weitesten verbreitete Virus. Es werden noch bis ins Jahr 2006 Infektionen gemeldet.

1991[Bearbeiten | Quelltext bearbeiten]

Die Organisationen EICAR und CARO wurden gegründet.
Mit dem "Saddam-Hussein-Virus" tauchte eine Virusart auf, die den gesamten Datenbestand verschlüsselt und nur noch Zugriff mit diesem Virus auf den Datenbestand erlaubt.
Der erste multipartite Virus names "Tiequila" wurde gesichtet.

1992[Bearbeiten | Quelltext bearbeiten]

Eine Engine um mutierende Viren zu erzeugen wurde vom Virenprogrammierer mit Synonym "Dark Avenger" veröffentlicht.
Der erste schädliche Windows-Programm namens "WinVir1.4" (alias Involuntary) erscheint.
Michelangelo wird durch die weltweite Hysterie zum bekanntesten Virus. Michelangelo wurde gut ein Jahr zuvor entdeckt und kam ursprünglich in die Presse, da amerikanische Computerfirmen versehentlich einige infizierte Geräte und zahlreiche infizierte Software an Kunden ausgeliefert hatten. Darunter waren auch Produkte wie das Programm LANSpool Printserver, das von Intel hauptsächlich an große Firmen verkauft wurde. Heute weiss man, dass es sich um knapp 900 Exemplare handelte, 1992 wurde noch von mehreren Tausend berichtet. Ein größeres Problem dürfte Disketten mit Gerätetreibern gewesen sein, die ebenfalls verseucht in den Handel kamen. Mit dem Treiber der Artec-Maus handelte man sich auch den Michelangelo-Virus ein. Ebenso waren VGA-Treiber und andere betroffen. Mutmaßlich kann das daran gelegen haben, dass Firmen große Mengen beschriebener Disketten von sogenannten Kopieranstalten in Taiwan produzieren ließen. Daher ist der Verdacht naheliegend, dass sich dort eine infizierte Master-Diskette eingeschlichen hatte. Die Maus wurde beispielsweise 20.000 mal verkauft, aber es ist unbekannt, wie viele davon infizierte Disketten beigelegt hatten. Der Virus hatte durchaus einen gefährlichen Payload, denn er überschreibt am 6. März, dem Geburtstag von Michelangelo, die ersten 100 Sektoren der Festplatte mit Nullen. Michelangelo geht von einer Geometrie von 256 Zylindern, 4 Köpfen und 17 Sektoren je Spur aus. Datenverlust im eigentlichen Sinne war das nicht, aber der Anwender kam dann nicht mehr an seine Daten heran. Allerdings wurde das Ausmaß der Gefahr, die von Michelangelo ausging, maßlos übertrieben dargestellt. Dafür wurde insbesondere John McAfee verantwortlich gemacht, der vor allem bei Mitgliedern der Hacker-Szene durch diesen mutmaßlichen Werbetrick zu einem Feindbild wurde. Auch seriöse Informatiker sagten ihm damals nach, dass er lediglich ein selbsternannter Viren-Experte sei. Denn laut Presse sprach John McAfee von fünf Millionen mit Michelangelo infizierten Rechnern. Später stellte McAfee allerdings klar, dass ihn die Journalisten gedrängt hätten, irgendeine Zahl zu nennen. Da er sich nicht festlegen wollte, gab er absichtlich eine schwammige Antwort: "Vielleicht sind es 5000, vielleicht auch fünf Millionen". Der Presse gefielen die fünf Millionen besser und die erste globale Computerviren-Panik brach aus. So oder so, die Folgen waren für McAfee wie ein Lotteriegewinn: Er verkaufte dadurch in einem Jahr über 7 Millionen Exemplare seiner Anti-Viren-Software. Auch in Deutschland sprang die Presse auf den Zug auf, eine Boulevardzeitung hatte die Schlagzeile "Gehen am 6. März alle Computer kaputt?". Das BSI gründete extra eine Virus-Hotline. IT-Experten machten sich über Michelangelo nicht mehr Gedanken als nötig - Das Problem war bekannt, die Vorbereitungszeit war ausreichend, und Möglichkeiten den Virus zu entfernen gab es auch. Daher sah man in Fachkreisen keinen Anlass zur Sorge vor einer weltweiten Katastrophe. Entgegen der übertriebenen Erwartungen und trotz der vielen Warnungen verursachte Michelangelo am 6. März 1992 dann vermutlich 10.000 bis 20.0000 Schadensfälle. Für Deutschland liegen genauere Zahlen vor, es waren 95 gemeldete Schadensvorfälle, insgesamt mit 150 Computern. Die Dunkelziffer soll bei etwa 1500 Rechnern liegen. Das ist verglichen mit anderer Malware dieser Zeit eigentlich eine enorme Menge, aber der Mainstream hatte ganz andere Dimensionen erwartet. Einen Tag später war das Thema Virus wieder aus den Nachrichten und Schlagzeilen verschwunden. Das Ausmaß war in Anbetracht der Erwartungen viel zu gering gewesen. Im folgenden Jahr wurde das Thema noch einmal halbherzig aufgegriffen, wieder wurde den Benutzern geraten ihre PCs am 6. März nicht einzuschalten, oder zumindest die Systemuhr entsprechend zu verstellen - Dabei waren Virenscanner mittlerweile einfach und günstig zu beschaffen. Bis im Jahr 1999 der Makro-Virus Melissa ausbrach, hatte die Presse absolut kein Interesse mehr, über Viren zu berichten. Vermutlich war man von Michelangelo zu enttäuscht. Obwohl man 1992 prophezeite, dass sich das Horror-Szenario bis in alle Ewigkeit jedes Jahr am 6. März wiederholen werde, blieb es sehr ruhig um den Virus. In den nächsten zwei Jahren waren deutlich weniger Firmenrechner in Gefahr, da der 6. März auf das Wochenende fiel. 1993 wurden dem BSI nur noch 50 Schadensfälle gemeldet. 1994 waren es noch 20, wovon die Presse bereits absolut keine Notiz mehr nahm. 1995 gab es keine Meldungen über Infektionen oder Schäden durch Michelangelo. Der Virus konnte sich nämlich nicht effektiv über 3,5"-Disketten verbreiten, und das 5,25"-Format war mittlerweile ausgestorben. Der Vervielfältigungs-Code des Virus ist für Disketten mit 15 Sektoren pro Spur sowie auf Festplatten ausgelegt. 3,5"-Disketten mit 720 KByte waren komplett "immun", nur die mit 1,44 MByte werden infiziert und könnten beim Bootvorgang auch die Festplatte infizieren, sind aber nach der Infektion nicht mehr lesbar. Eine defekte Diskette ist aber sinnlos und wird somit in der Praxis auch keinen Virus mehr verbreiten. Im Nachhinein war die Aufklärungskampagne wohl der beste Virenschutz, denn die Jagd nach Michelangelo erwischte in vielen Fällen zumindest einen anderen Virus. Die britische Fachzeitschrift Virus-Bulletin stuft die gesamten Auswirkungen von Michelangelo in einer Rückschau als "moderat". In Großbritannien wurden 117 betroffene PCs gemeldet. In den USA, wo die Hysterie am größten war, ging die Firma Dr. Salomon von etwa 7000 Schadensfällen aus. McAfee berichtet von knapp 10.000. In Südafrika hatte es etwa 1000 Rechner in Apotheken erwischt, weil sie eine Preisliste in elektronischer Form bezogen, und der Großhändler infizierte Disketten verschickt hatte. Jahre später hatte man nur noch Spott für die Hysterie von 1992. Schließlich wurde Michelangelo sogar scherzhaft nachgesagt, er sei mehr Hoax als Virus gewesen, oder, den größten Schaden durch ihn habe die Glaubwürdigkeit der Presse erlitten.

1993[Bearbeiten | Quelltext bearbeiten]

Die Antivirenhersteller veröffentlichen die erste Liste über alle bekannten Computerviren (Wild-List).
Microsoft rüstet MS-DOS mit einem Antivirenprogramm aus, das jedoch von neuen Viren wie z.B. "Tremor" deaktiviert wurde.
Neue Virenarten der Rasse "Web-Worms" verbreiten sich über das neu entstandene World Wide Web.
Weitere MS-DOS-Viren: Monkey, Neuroquila, One-Half und SatanBug.

1994[Bearbeiten | Quelltext bearbeiten]

Der multipartite Virus "One_Half" (alias Free_Love) tauchte auf, der sich in Bootsektoren und Master-Boot-Record einnistet.
Weiterhin tauchte der Uruguay- bzw. Kernel-Virus namens "3APA3A" auf, der Bootsektoren und eine Systemdatei befällt, sowie der erste OS/2-Virus "OS2_First", der seine Wirtsdatei zerstört.
Im Channel Videodat wurde versehentlich über einen Fernsehsender der polymorphe Stealth-Virus "Tremor" übertragen.
Weitere Viren in diesem Jahr waren Kaos4 (Usenet) und SMEG.Paragon.
Good Times ist ein fiktiver Virus und war Gegenstand des ersten bekannten Hoax.
In Moskau wird der erste und bisher einzige bekannte Kernel-Virus entdeckt. Er hat den Namen Zaraza und wurde 1994 in Moskau entdeckt. Die Bezeichnung Kernel-Virus für diese trickreiche Mischung aus einem Cluster-Virus und einem Bootsektor-Virus, rührt von der Eigenart, die spezielle Vorgänge beim Laden des Kernels während dem Boot-Vorgang auszunutzen. Zaraza manipuliert auf MS-DOS-Rechnern die Systemdatei IO.SYS, da sich hier der beste Angriffspunkt befindet. Bei Disketten befällt er auf altbekannte Art den Bootsektor, bei Festplatten verwendet Zaraza eine interessantere Technik: Der Virus erzeugt eine zweite, unsichtbare IO.SYS, in welcher der Viruscode enthalten ist. Beim Start des Rechners wird anstelle der sichtbaren, uninfizierten IO.SYS die Kopie mit dem Viruscode in den Speicher geladen. Zaraza enthält zwar keine Schadensfunktion, kann aber aufgrund eines Programmfehlers in manchen Fällen 386er- und 486er-Systeme abstürzen lassen. Steht das Systemdatum auf August, zeigt der Virus beim Booten folgende Meldung an: B BOOT CEKTOPE 3APA3A! (= Der Bootsektor ist infiziert).

1995[Bearbeiten | Quelltext bearbeiten]

Die ersten Linux-Viren die sich unkontrolliert verbreiten, tauchen auf: Linux.Bliss und Stoag. Stoag nützte eine Sicherheitslücke aus. Einfache Bugfixes führten schnell zur Ausrottung des Virus.
MS Windows 95 erscheint in den USA am 24. August 1995. Microsoft hatte im Vorfeld vollmundig behauptet das neue Betriebssystem sei für Viren unantastbar. Das bezog sich vermutlich lediglich darauf, dass keine DOS-Interrupts mehr verwendet wurden, die sich Viren gern zunutze machten. Ein großer Teil der bekannten Viren hatte damit aber keine Probleme. Bootsektor-Viren, die rein auf BIOS-Ebene arbeiteten, kümmerte es erst recht nicht.
Dadurch das Vorgänge in Office-Programmen nun mit Hilfe von Makros erleichtert werden können, taucht 1995 auch der erste Makro-Virus für MS Word auf. Es Folgen u. a. Concept und DMV. Der erste Makro-Virus soll angeblich auf einer Werbe-CD von Microsoft verteilt worden sein. Da Dokumente öfter als Programme getauscht wurden, wurden Makroviren in den nächsten Jahren ein sehr großes Problem für die Anwender. 1997 gab es die ersten Makroviren für Excel, 1988 für Powerpoint und Access, im Jahr 2000 folgte Visio. Um die Jahrtausendwende herum waren sie eine Weile lang die häufigste Malware, bis die Szene bevorzugt auf Würmer setzte. Da Makro-Viren sehr leicht zu entwickeln sind, wurden zwar immer noch mehr davon entwickelt als Würmer, diese verbreiteten sich aber effektiver. Makros wurden 2009 aus Sicherheitsgründen weitgehend überarbeitet. Seither sind Makro-Viren selten geworden, aber keineswegs ausgestorben.

1996[Bearbeiten | Quelltext bearbeiten]

In Mitteleuropa ist bereits seit einigen Jahren der lästige Boot-Sektor-Virus Parity Boot (alias Generic) die am meisten verbreitete Malware. Er verwendet keine DOS-Befehle und kann sich betriebssystemunabhängig auf x86-kompatiblen Rechnern einnisten. 1996 verursachte er in Deutschland noch fast ein Drittel aller bekannten Malware-Infektionen. In Großbritannien machte er laut dem Malware-Fachmagazin "Virus Bulletin" im Schnitt immerhin jeden zehnten gemeldeten Malware-Fund aus.
Das im Vorfeld als für Viren unantastbar gepriesene Betriebssystem Windows 95 bekommt es mit dem Virus Boza zu tun. Er ist als Erster speziell auf das noch recht neue Betriebssystem angepasst.
Das erste bekannte Virus-Constructor-Kit für Makroviren wird veröffentlicht. Personen ohne Vorkenntnisse können damit einfache Viren erstellen.
In Deutschland wurden das IBM-Programm "VoiceType Vokabular" versehentlich auf Datenträgern verkauft, deren Bootsektoren mit dem Virus Quandary verseucht waren. Die Anzahl der infizierten Exemplare, die verkauft wurden, ist nicht bekannt.

1997[Bearbeiten | Quelltext bearbeiten]

Im Februar veröffentlicht der Autor des Linux-Virus Bliss den Quelltext. Das Virus geriet nie in Umlauf und sollte beweisen, dass auch Linux mit Computerviren infiziert werden kann. Derartige Proof-of-Concept-Viren gab es schon öfter.

1998[Bearbeiten | Quelltext bearbeiten]

IBM tappte drei Jahre später noch einmal in das selbe Fettnäpfchen: Einige IBM-Aptiva-PCs wurden im März 1999 mit dem berüchtigten CIH-Virus infiziert ausgeliefert. Dieser Virus breitete sich gleich mehrmals über kommerzielle Quellen aus. Im August 1998 war ein Download zum Spiel Wing Commander: Secret Ops infiziert. Auch Heft-CDs von europäischen Spiele-Magazinen sowie die Firmware-Aktualisierung eines Yamaha-CD-Laufwerks waren davon betroffen. Der Schädling CIH erlangte Berühmtheit als einer der gefährlichsten Viren für Windows-Rechner. Er überschrieb Daten auf der Festplatte und griff nach Möglichkeit auch das BIOS an. Benannt ist er nach den Initialien seines Entwicklers, dem Taiwanesen Chen Ing Hau. Nach damaliger Rechtslage konnte man ihn in Thailand nicht anklagen, erst 2003 wurden derartige Gesetze erlassen. Er entschuldigte sich mehrfach bei der Öffentlichkeit für die Schäden, die durch sein Programm verursacht wurden. Das Halbwissen um Malware brachte CIH den Ruf als "der gefährlichste Virus aller Zeiten" ein, zudem wird ihm bis heute nachgesagt, er könne die Hardware zerstören. Das ist technisch falsch, denn das BIOS ist keine Hardware, es ist ein Programm. Es werden also nur Daten überschrieben, somit handelt es sich um einen Firmware-Schaden und nicht um einen Hardware-Schaden.

1999[Bearbeiten | Quelltext bearbeiten]

Auf der Diskette 01/1999 des Magazins GO64! war auf Seite B das Demo We hate PCs enthalten. Kurz nach dem Erscheinen dieser Ausgabe wurde am 1. Februar bekannt, dass das Programm - unwissentlich von der Redaktion - mit dem Virus HIV verseucht war.
Ausgabe 02/1999 hatte dann einen passenden Virenkiller auf der Heftdiskette.
Erstmals seit der Michelangelo-Hysterie schafft es am 26. März ein IT-Schädling die Aufmerksamkeit der Presse zu erlangen: Melissa sorgte bei Benutzern von Microsoft Word 97 und Word 2000 für Chaos. Das Makro-Virus ist in ein Dokument eingebettet und aktiviert sich automatisch nach Aufruf der Datei. Über Adressen aus Microsoft Outlook 97 und 98 konnte Melisse sich nach dem Schneeballsystem verbreiten. Damit war das Makro die erste bekannte Malware, die sich mit automatisierten Vorgängen per E-Mail ausbreitete. Melissa verschickte mit seiner lawinenartigen Verbreitungsmethode insgesamt Millionen von E-Mails - teilweise sprach die Presse von absolut unrealistischen Milliarden. Sie enthielten einen knappen Text, dass es sich um "die wichtigen Dokumente handle", dazu eine Doc-Datei als Anhang. wurde sie geöffnet, verschickte sich Melissa an die ersten 50 Personen aus dem Outlook-Adressbuch. Unzählige Mailserver waren überlastet. Etliche Firmen mussten ihre Netzwerke zeitweise abschalten, darunter waren auch die IT-Riesen IBM und Microsoft. Der Schaden betrug angeblich rund 80 Millionen Dollar. Kaum ein Anwender war 1999 auf einen solchen Vorfall vorbereitet, eine so schlagartige und effektive Malware-Attacke hatte es zuvor noch nicht gegeben. Das Misstrauen gegenüber E-Mail-Anhängen war damals auch noch keine Selbstverständlichkeit. Zudem war der Absender ein Bekannter. Selbst wenn sich bereits mehrere Dutzend Melissa-Mails im Postfach angehäuft hatten, wurde aus reiner Neugier hineingeschaut. Malware als globales Phänomen war unbekannt. Die großen E-Mail-Anbieter richteten wegen solcher Vorfälle später Schutzsysteme ein, die derartige Malware-Aktivitäten erkennen konnten und dann den Versand blockierten. Zudem lassen sich, seit DSL etabliert hat, auch problemlos einzelne Mail-Ports durch den Anbieter sperren. Dennoch gelingt es auch zukünftig immer wieder, mittels Malware einen Massen-E-Mail-Versand auszulösen. Der Programmierer, David L. Smith, wurde fünf Tage später verhaftet und im Dezember 1999 schuldig gesprochen. Am 1. Mai 2002 wurde das Strafmaß verkündet, er wurde zu 20 Monaten Haft und 5000 US-Dollar Strafe verurteilt. Man konnte ihn überführen, da er Melissa mit dem Pseudonym Kwyjibo signierte. Indem man Word-Dokumente mit derselben globalen Kennung verglich, konnte man ermitteln, dass Kwyjibo identisch mit zwei anderen, bereits auffällig gewordenen Makro-Autoren ist. Mit diesen Hinweisen gelang es, Smith ausfindig zu machen, da er unter den bereits länger bekannten Namen genug Spuren im Internet hinterlassen hatte. In der Presse wurde Melissa teilweise als Wurm bezeichnet, vor allem in späteren Jahren, da Würmer für ihre schnelle Verbreitung durch das Internet bekannt wurden. Das ist in doppelter Hinsicht falsch. Das Macro erfüllt die Definition zum Virus, da es Dokument-Dateien infiziert und sich selbstständig verbreitet. Außerdem ist Melissa kein eigenständiges Programm, was aber für einen Wurm Voraussetzung ist. Die Infektionszahlen von Melissa sind schwer festzulegen, das Makro hat zwar mehrere Milliarden Kopien von sich verschickt, geöffnet wurden davon vermutlich weniger als 100.000, sofern ist die Menge der wirklich betroffenen Rechner kaum zu sagen. Man kann aber wohl sicher davon ausgehen, das Melissa der Virus ist, der sich am schnellsten verbreitete und am meisten Kopien von sich erzeugte. Vermutlich wurde auch die Anzahl der betroffenen Systeme nie von einem anderen Virus übertroffen. Außerdem ist das Makro der Rekordhalter-Virus was den größten finanziellen Schaden betrifft. Diese Rekorde galten 1999 nicht nur für Viren, sondern allgemein für Malware, Melissa hatte völlig neue Maßstäbe gesetzt. Eine noch effektivere und schädlichere Verbreitung als Melissa gelang in den folgenden Jahren ausschließlich Malware vom Typ Wurm.

2000 - 2005[Bearbeiten | Quelltext bearbeiten]

Die Anzahl von Computerviren und anderen schädlichen Computerprogrammen nimmt um die Jahrtausendwende rasant zu. In diesen Zeiten verdoppelt sie sich nahezu jährlich. Zwar wird durch die weite Verbreitung des Betriebssystems Windows bevorzugt Computerviren für dieses Betriebssystems entwickelt, aber auch andere Betriebssysteme wie OS/2, Linux oder andere Plattformen wie der Mac sind genauso Angriffsziele wie Computersysteme, die in den verschiedenen Netzen erreichbar sind. Da das Internet nun zum Alltag gehört, sind Würmer bei ihrer Verbreitung den herkömmlichen Viren seit Beginn des 21. Jahrhunderts im Vorteil. Sie werden in den nächsten Jahren alle bisherigen Infektionszahlen durch herkömmliche Viren weit übertreffen. Eine realistische Vorstellung von Viren und Würmern haben viele der Anwender immer noch nicht. Das liegt auch daran, dass ein PC zum Standard für Jedermann geworden ist. Das Gerücht, man müsse bei einem Virus sofort die Festplatte löschen und das Betriebssystem neu aufspielen, hält sich in diesen Zeiten hartnäckig. Sichere Informationen zu den Infektionszahlen und der Höhe der angerichteten Schäden von Malware sind nur noch schwer möglich, da weitaus mehr Nachrichtenmagazine über die Vorfälle berichten und die angegeben Zahlen teils meilenweit auseinander liegen. Zum einen sind diese Zahlen schwer abzuschätzen, zum anderen werden sie von der Sensationspresse teils maßlos übertrieben.
Die populärste Malware des Jahres 2000 wurde der Wurm Loveletter. Abgesehen von den Berichten über Michelangelo 1993 und Melissa im Vorjahr hatte die Massenmedien das Thema Malware bisher nicht weiter gewürdigt, so etwas interessierte bis dato nur Computerfreaks, aber nicht den Durchschnittsmenschen. Das änderte sich im Mai 2000. Wer damals unter seinen E-Mails eine mit dem Betreff ILOVEYOU fand, war besser beraten, nicht darauf zu klicken. Dadurch aktivierte man die Malware, die sich selbst weiter verschickte und noch dazu diverse Dateien auf dem Benutzer-PC mit Kopien von sich selbst ersetzte. Es wurden über 500.000 infizierte PCs weltweit gemeldet, das war der bisherige Malware-Infektionsrekord. Der Wurm konnte sich nicht nur per E-Mail verbreiten und bestand zudem aus einem leicht verständlichen Visual-Basic-Script. Das führte dazu, das über 100 Derivate davon bekannt wurden. Diese konnten sich aber nicht annähernd so weit verbreiten, da die unzähligen Pressemeldungen schlagartig für eine gewisse Aufmerksamkeit zum Thema Malware sorgte. Nach dem Vorfall achtete der durchschnittliche Anwender allgemein mehr auf Sicherheitsupdates und Virenschutz. Die groß angelegte Berichterstattung in der Presse war gleichzeitig auch ein effektives Mittel gegen die Ausbreitung des Wurms. Viele waren bereits vorgewarnt, als sie die ILOVEYOU-E-Mail sahen und öffneten sie nicht. Zudem sorgten die großen E-Mail-Anbieter so zügig für eine Sperrung dieser Mails. In den ersten Stunden seiner unkontrollierten Verbreitung verursachte Loveletter so viel E-Mail-Verkehr, dass einige Mailserver überlastet wurden. Der Schaden wird auf etwa 10 Milliarden US-Dollar geschätzt. Urheber war der Filipino Onel de Guzman, dem man nach philippinischer Rechtslage im Jahr 2000 aber keinen Prozess machen konnte. Gesetze für Cyberkriminalität gab es noch nicht und Sachbeschädigung war nur bei Vorsatz strafbar. Guzman gab vor Gericht an, das er den Wurm aus Versehen freigelassen habe, damit wurden alle Anklagen fallen gelassen. Bereits zwei Monate später erließ man ein Gesetz gegen das Programmieren von Malware. 2019 räumte Guzman ein, dass er damals durchaus im Sinn gehabt hatte, Passwörter zu stehlen.
Die im Jahr 2001 noch aktive Tennisspielerin Anna Kurnikova bekam von einem niederländischen Studenten den Email-Wurm Vbs.OnTheFly, besser bekannt als AnnaKournikova-Wurm, gewidmet. Er enthielt keinen schädlichen Code, überlastete bei seiner explosionsartigen Verbreitung aber unzählige Systeme und Mailserver.
Der Computer-Wurm Blaster befällt 2003 weltweit innerhalb von nur rund 24 Stunden nach Schätzungen etwa 120.000 bis 150.000 Windows-Computer. Der von einem 18 Jahre alten amerikanischen Schüler entwickelte Wurm nutzt eine Schwachstelle in den Microsoft-Betriebssystemen Windows NT, 2000, 2003 und XP aus, nistet sich ein und verbreitet sich dann selbstständig über das Internet. Vorwiegend betroffen sind Privatanwender. Daten werden zunächst nicht zerstört, der Wurm kann aber zu Rechnerabstürzen führen und öffnet den Computer für Angriffe. Der Wurm enthielt den Inhalt "billy gates why do you make this possible ? Stop making money and fix your software!!"
Ebenfalls 2003 tauchte dann überraschend ein sogenannter "Hilfreicher Wurm" namens Welchia auf. Er verbreitete sich auf gleichem Weg wie Blaster über die selben Sicherheitslücken. Microsoft hatte Bugfixes herausgebracht, aber es gab noch mehr als genug offene Systeme. Welchia löscht auf infizierten Systemen den Blaster-Wurm (falls vorhanden), zieht den betreffenden Sicherheitspatch aus dem Internet und installiert ihn. Anschließend bootet Welchia den Rechner sofort neu, um den Patch einzurichten. 120 Tage nach der Infektion, spätestens aber am 1. Januar 2004, löschte Welchia sich selbst. Damit war er schlagartig wieder ausgerottet. Das Entfernen von Blaster funktionierte problemlos, allerdings wurde das Sicherheitsupdate laut Angaben von Microsoft nicht in allen Fällen korrekt installiert.
2004 wurde der bisherige Speedrun in Sachen Computer-Infektion aufgestellt. Mydoom ist ein Computerwurm und befällt Microsoft-Windows-Systeme. Es handelt sich um den bisher am schnellsten verbreiteten Computer-Wurm, der den damaligen Rekord des Sobig-Wurms ein Jahr zuvor übertroffen hat. Als Payload installiert der Wurm eine Backdoor, richtet eine DDoS-Attacke gegen die Webseite einer amerikanischen Server-Firma ein. Eine erweiterte Version blockiert auch den Zugriff auf die Websites von Microsoft sowie bekannten Herstellern von AntiViren-Programmen. Von Januar bis Juli 2004 kommt es zu mehreren Infektionswellen, da der Wurm nach Modifikationen nicht mehr erkannt und abgewehrt werden kann und erneut ausbricht. Er kam auf zwei bis drei Million Infektionen. Das Internet und vor allem der Aufruf von Webseiten lahmten wegen des Wurms stundenlang, die Auswirkungen waren weltweit zu bemerken. MyDoom richtete etwa 30 Milliarden Euro Schaden an. Bis heute (Stand August 2020) hat sich keine Malware schneller oder weiter verbreitet oder mehr Schaden angerichtet. Die Ur-Version von MyDoom konnte bereits von einer korrekt eingestellten Firewall aufgehalten werden. Im Jahr 2004 waren Personal Firewalls aber noch nicht ausreichend etabliert.
2005 machte die bekannte Firma Sony negative Schlagzeilen, Computerbetrug und Urheberrechtsverletzungen wurden dem Konzern vorgeworfen und später teilweise auch gerichtlich festgestellt. Hintergrund war der Kopierschutz für Musik-CDs, dessen Funktionen einen regelrechten Skandal verursachten. Die Software auf den CDs installierte sich automatisch auf Windows-Rechnern, sobald man dort versuchte, die CD abzuspielen. Die Software war aber de facto ein "Rootkit" und machte den Rechner komplett für Angriffe verwundbar. Sony musste alle betroffenen CDs zurückrufen und die Käufer sogar entschädigen. Der XPC-Kopierschutz war ohne Zweifel ein XCP-Trojaner. Die Malware installierte sich heimlich und sammelt Informationen über den Benutzer und schickt diese über das Internet an Sony. Zudem schafft sie neue Sicherheitslöcher und bremst aufgrund einer Designschwäche das System aus - auch wenn keine CD abgespielt wird. Zwei Wochen später erschien bereits eine Backdoor namens Ryknos, die sich gezielt der Sicherheitslücken bedient, die von XCP geschaffen werden. Weiterhin versteckt das Rootkit sämtliche Dateien und Ordner, deren Name mit $sys$ beginnt, unabhängig davon, ob es sich dabei um fremde Programme handelt oder nicht. Dieses Vorgehen birgt die Gefahr, dass sich andere Schadsoftware mit Hilfe von Sonys Rootkit vor Viren- und Malware-Scannern verbergen kann. Das lies in der Praxis nicht lange auf sich warten, die Malware Backdoor.IRC.Snyd.A. war darauf ausgelegt. Die Kritikpunkte nahmen aber kein Ende, weiterhin wurde festgestellt, dass der von Sony verwendete Treiber unsauber programmiert ist. Im schlimmsten Fall kann das Datenverlust führen oder Windows komplett unbrauchbar machen. Später wurden Beweise dafür veröffentlicht, dass in XCP Teile des LAME-MP3-Encoders, von mpglib, FAAC, id3lib (ID3-Tags), mpg123 und dem VLC Media-Player enthalten sind. Die nötigen Lizenzen für die Nutzung wurden nicht erworben. Seine Primärfunktion erfüllte XCP dafür nur mangelhaft, ein sicherer Kopierschutz war die Software nämlich keineswegs: Anwender konnten mit einem kleinen Stück undurchsichtigen Klebeband auf der CD den Zugriff auf XCP unterbinden.

2005 - 2010[Bearbeiten | Quelltext bearbeiten]

2005 bringt Microsoft einen einfachen Scanner für eine begrenzte Anzahl der verbreitetsten Malware heraus. Das Tool zum Entfernen bösartiger Software lief auf allen damals verbreiteten Windows-Versionen und war kostenlos. Nach den ersten 15 Monaten wurden damit laut Microsoft 16 Millionen Würmer, Trojaner und Viren gefunden und entfernt. Den größten Anteil machten diverse Trojaner aus. Um Würmer effektiv zu bekämpfen hat die schnelle Bereitstellung von Sicherheits-Updates Priorität, um die Neuinfektion auszuschließen. Das Tool verfügt nur bedingt über die nötigen verhaltenserkennenden Komponenten die zum Auffinden der meisten Würmer zwingend notwendig sind. Es gibt nur ein Update pro Monat, daher ist auch keine angemessen schnelle Reaktion auf aktuelle Würmer und Makros möglich.
2008 tauchte ein recht raffinierter Wurm namens Conficker auf. Er kombinierte eine ganze Menge Malware-Techniken und war ungewöhnlich schwer zu bekämpfen. Ursprünglich nutze er unter anderem eine Sicherheitslücke in Windows XP aus. Außerdem verbreitete er sich über die Dateifreigabe und über Wechseldatenträger. Ist die Dateifreigabe passwortgeschützt, kann das bei zu vielen erfolglosen Anmeldeversuchen zu einer Sperrung des Nutzerkontos führen, denn Conficker versucht es in solchen Fällen mit einer Wordlist-Attacke. Der Wurm versuchte unregelmäßig, sich über selbstregistrierte Domains gegenseitig ein Upgrade auf eine neuere Version zukommen zu lassen. Spätere Varianten konnten auch P2P-Verbindungen einrichten, um sich weitere Programmteile nachzuladen. Da er keine Rechner aus der Ukraine angriff, vermutete man den Ursprung des Wurms dort. Die ersten Versionen von Conficker griffen nur in das System ein um sich vor Anti-Malware-Programmen und Sicherheitsupdates zu schützen, und natürlich um sich weiter zu verbreiten und um Spuren zu verwischen. Die Version C von Conficker war etwas ärgerlicher, denn sie lud von einem Server aus der Ukraine einen Scareware-Virenscanner (=Rougeware) herunter und installierte ihn ungefragt. Von den vielen Funktionen, die Conficker möglich waren, war seine Hauptaufgabe wohl das Bildung eines Bot-Netzwerks. Es wurde aber nicht verwendet. Die letzte Version war Conficker E, sie erschien im April 2009 und installierte einen Spambot auf infizierte Rechner. Als Urheber wurde vier Ukrainer verhaftet, davon wurde einer zu vier Jahren Haft verurteilt. Vermutlich war weltweit eine halbe Million Rechner mit mindestens einer Conficker-Variante infiziert. Die Menge der komprimittierten Rechner ließ sich durch das Beobachten der Wurm-Aktivität im Internet nicht wirklich abschätzen, da Conficker sein Verhalten ständig änderte. Vor allem unter den Informatikern und Netzwerkadministratoren bekam der Wurm schnell einige Fans, die die Aktionen des Wurms rege verfolgten. War das eigene System gepatcht, konnte man sich die Show der Malware ganz entspannt ansehen. Verhaftet wurden am Ende vier Verdächtige aus der Ukraine, damit nahmen auch die Wurm-Updates ein Ende. Trotz Sicherheitsupdates und neuen Betriebssystemen erweist sich Conficker als enorm zäher Wurm. 2019 konnte wurde er teilweise noch 20.000 mal pro Monat aufgespürt, allerdings können davon nur ungepatchte Uralt-Systeme wie Windows XP, Windows 2000 und Windows Server 2003 betroffen sein. Vermutlich treiben sich in solch unsicheren Systemen auch andere Würmer noch in großer Zahl herum. Da Conficker nach wie vor versucht Updates und Malware nachzuladen, macht er bis heute täglich auf sich Aufmerksam.
Im März 2009 hat sich Skimer-A auf einigen russischen Geldautomaten eingenistet und klaut dort fleißig PINs. Als man die auffälligen Geldautomaten überprüfte, stieß man auf drei Malware-Samples. Sie waren speziell auf die Geräte der Firma Diebold zugeschnitten. Wie die Malware auf die Automaten kam, blieb ungeklärt. Sie war so konzipiert, das der oder die Täter alle Transaktionen analysieren konnten und auch die PIN erhielten. Die Daten wurden offenbar verschlüsselt über ein alternatives User-Interface bereitstellt. IT-Sicherheitsexperten vermuteten einen Insider-Job, da es für Außenstehende schwer möglich ist, ausreichenden Zugriff auf die Automaten zu bekommen.
2010 wurde bekannt, dass eine iranische Atomanlage bereits seit 2007 mit dem Wurm Stuxnet angegriffen und gezielt sabotiert wird. Es gilt mittlerweile als gesichert, dass die USA und Israel den Cyberkrieg gegen die Perser starteten. Die Sabotage-Software war professionell entwickelt, gründlich getestet und verwendete Schwachstellen in Betriebssystemen, die zuvor von Niemanden entdeckt worden waren. Wie bei nahezu jedem Wurm gab es in der Folge zahlreiche Varianten mit mehr oder weniger geändertem Code. Der Virus nutzte gleich vier Sicherheitslücken von Windows aus und arbeitete unter anderem mit gefälschten Software-Zertifikaten.

ab 2010[Bearbeiten | Quelltext bearbeiten]

Der sogenannte Staatstrojaner ist bereits seit einigen Jahren ein Dauerthema in der Presse. Anfang Oktober 2011 veröffentlicht der Chaos Computer Club eine technische Analyse einer angenommenen Version einer staatlichen Spionagesoftware. Eine der untersuchten Varianten wurde zu diesem Zeitpunkt bereits in einem Ermittlungsverfahren in Bayern verwendet, wie später gerichtlich festgestellt wurde, ohne Berechtigung. In der Analyse kam der CCC zu dem Schluss, dass die verfassungsrechtlich vorgeschriebenen Befugnisse in vielerlei Hinsicht weit überschritten worden seien. Es war entgegen früheren Angaben des Bayrischen Innenministeriums (vor dem Amtsgericht Augsburg) problemlos möglich, Daten auf dem infizierten System zu verändern oder angeschlossene Mikrofone und Kameras für einen "großen Lauschangriff" zu missbrauchen. Derartige Maßnahmen gestattet das Gesetz zur Online-Durchsuchung nicht. Am 10. Oktober bestätigt der bayerische Innenminister Joachim Herrmann, dass es sich wirklich um die Software handle, die vom Landeskriminalamt eingesetzt wurde. Die Angaben gegenüber dem Amtsgericht Augsburg waren also eine uneidliche Falschaussage gewesen. Es stand aber auch die Frage im Raum, ob sich der CCC strafbar gemacht habe, da die Veröffentlichung des Quellcodes von einem sogenannten staatlichen Trojaner von einigen Personen als Strafvereitelung gemäß §258StGB angesehen wurde.
Im Mai 2017 machte dann ein Ransomware-Vorfall durch den Wurm WannaCry große Schlagzeilen. Er nutze eine uralte Sicherheitslücke in Windows-Systemen, weswegen Microsoft schließlich sogar noch ein Sicherheitsupdate für Windows XP herausbrachte, dessen Support eigentlich seit 2014 eingestellt ist. WannaCry wurde der bisher größte Fall von Ransomware-Erpressung. Zum Ärger von Microsoft und der Besitzer von rund 230.000 infizierten Rechnern, war die Sicherheitslücke dem amerikanischen Auslandsgeheimdienst NSA bereits seit über fünf Jahren bekannt. Anstatt Microsoft zu benachrichtigen, nutze der NSA die Sicherheitslücke lieber aus um mit dem Tool EternalBlue Zugriff auf fremde Rechner zu erlangen. Als 2016 eine Hackgruppe stückweise Informationen über EternalBlue veröffentlichte, sah sich der NSA gezwungen, Microsoft doch noch zu informieren. Ein Patch für die Windows-Versionen die 2017 noch unterstützt wurden, erschien im März. Er etablierte sich aber nicht rechtzeitig genug vor dem Ausbruch von WannaCry. WannaCry verschlüsselte gezielt wichtige Dateien mit einem 2048-Bit-RSA-Schlüssel. Außerdem installierte er eine Backdoor auf dem System. Für die Entschlüsselung wurde ein Betrag in Bitcoin gefordert, der von Fall zu Fall unterschiedlich ausfiel und eventuell mit der Art und Menge der verschlüsselten Daten zu tun hatte. Jeder befallene Computer sollte dazu eine individuelle Bitcoin-Adresse zu generieren, um erhaltene "Lösegelder" dem Rechner zuordnen zu können. Wegen eines Bug in WannaCry gab es aber nur drei Bitcoin-Adressen. Ein Nachweis, wer bezahlt habe, war somit nicht möglich, in Folge dessen konnte man auch keine Entschlüsselungs-Codes an die Opfer übermitteln. Der Wurm hatte eine Funktion integriert, die man in der Informationstechnik als Notausschalter bezeichnet. Vor seiner Aktivierung baut er eine Verbindung zu einer Domain auf. Bekommt er als Rückmeldung, dass es diese Domain nicht gebe, dann verbreitet er sich weiter. Als der Name dieser Domain einem Programmierer beim Untersuchen des Programmcodes auffiel, registrierte er sie. Er erhoffte sich dadurch irgendwelche Erkenntnisse über den Ransomware-Wurm. Die Ausbreitung stoppte damit schlagartig. Spätere Versionen des Wurms, bei denen der Notausschalter entfernt wurde, konnten sich nicht mehr so effektiv verbreiten, da mittlerweile zu viele Rechner gepatcht waren. Online-Firmen und US-Regierung beschuldigten Nordkorea als Urheber der Malware. Der damalige Präsident von Microsoft, Brad Smith machte dem NSA Vorwürfe wegen der ausnutzung der Sicherheitslücke: "Wir brauchen Regierungen, die sich des Schadens für Zivilpersonen bewusst sind, der aus dem Anhäufen und Ausnutzen solcher Software-Sicherheitsprobleme entsteht". Ein Tool, mit dem Anwender ihre Daten selbst wieder entschlüsseln konnten, erschien eine Woche später. Es funktionierte aber leider nur, wenn der Rechner nach der Infektion nicht ausgeschalten wurde, weil Teile des RAM-Inhaltes wichtig waren. Dadurch kam es für die meisten Opfer der ersten Infektionswelle natürlich viel zu spät.
2017 wurde die Softwarefirma Piriform von Avast aufgekauft. Piriform ist für das Programm CCleaner bekannt, Avast vertreibt mehrere Antivirenprogramme und weitere Security-Tools. Umso ärgerlicher war das Malheur, das umgehend nach der Firmenübernahme passierte. Die neueste Version des CCleaners, die auf dem offiziellen Portal zum Download angeboten wurde, enthielt einen Backdoor-Trojaner. Das fiel erst nach einem Monat auf. Laut Ermittlungsergebnissen wurden damit überwiegend Firmen ausspioniert, keine Privatpersonen. Da es sich bei dem infizierten Download um zertifizierte Software handelte, geht man davon aus, dass der verantwortliche Täter ein Angestellter mit hoher Position bei Avast ist, und kein Hacker von ausserhalb. Für Spott sorgte auch die von Avast empfohlene Lösung: Man solle sich eines der hauseigenen Antivirenprogramme installieren. Den gravierenden Sicherheitsvorfall für das Marketing eigener Produkte ausnutzen zu wollen, wurde allgemein als recht dreist empfunden.
Im Juni 2019 versteigerte der Künstler Guo O Dong sein Werk "Persistance of Chaos" (Das Fortbestehen des Chaos). Dabei handelte es sich um einen Samsung-Laptop der mit sechs der schädlichsten Computer-Programme aller Zeiten verseucht war. Am Ende kamen 1,345 Millionen Dollar, also etwas über 1,2 Millionen Euro zusammen.

Viele dieser Gefahren sind heutzutage nicht mehr zeitgemäß. Veraltete Viren können heutige Systeme größtenteils gar nicht mehr infizieren. Im Gegensatz zu früher werden viele Schwachstellen und Sicherheitslücken nach ihrer Entdeckung auch umgehend durch Updates geschlossen.
Ebenso können auch Handys, Smartphones und internet-fähige Videospielekonsolen, deren Hardware heutzutage auf aktueller Computertechnik basiert, von Schadensprogramme und Viren befallen werden und verursachen neben Datenverluste z. B. auch erhebliche Telefonkosten oder belasten die Internet-Anbindung extrem bzw. führen zu deren Einschränkung oder gar Sperre.

Funktionsprinzipien von Computerviren[Bearbeiten | Quelltext bearbeiten]

Die allgemein anerkannte Definition des Begriffes (Computer-)Virus umschließt lediglich einen sich vermehrenden Virencode, der eventuell eine Schadroutine beinhaltet. Diese Definition wird aber in der Praxis (oft von Laien) nur selten genau eingehalten. Aus Unwissenheit und Gewohnheit bezeichnen viele Personen grundsätzlich jede Art vonMalware als "Virus".
Eine vollständige Auflistung aller Typen und Varianten kann man nur schwer zusammenstellen und aktuell halten, da ständig neue Computervirus-Varianten entwickelt werden.

Eine Übersicht verschiedener Funktionsprinzipien von Computerviren zeigt diese Liste:

Armored-Virus: Computervirus, der überflüssigen Programmcode beinhaltet, um schwerer von Antivirenscanner erkannt zu werden.

Boot-Block-Virus: Befällt Blöcke eines Datenträgers, wie Diskette oder Festplatte. Lässt sich meist nicht ohne Datenverlust bereinigen. Diese Viren waren vor allem am Amiga verbreitet.

Boot-Sektor-Virus: Befällt Sektoren eines Datenträgers wie Diskette oder Festplatte. Leicht zu bereinigen, aber fast immer speicherresident. Ende der 1980er bis Mitte der 1990er waren sie die häufigsten Viren. Bei dieser Malware-Art handelt es sich oft um plattformunabhängige Programme, die theoretisch jeden auf x86-Technologie basierenden Computer infizieren können. Wichtig für Bootsektor-Viren ist das BIOS. Daher nennt man einen solchen Virus gelegentlich auch System-Virus. Ist der Virus aktiv, kann er aber auch auf Funktionen des Betriebssystems zugreifen. Nötig ist das aber nicht zwangsläufig, alle typischen Virus-Funktionen lassen sich auch durch Interrupts und Maschinenbefehle bewerkstelligen. Der erste Boot-Sektor-Virus für MS-DOS hat den Namen (c)Brain und war von den pakistanischen Entwicklern laut eigener Aussage eigentlich als Schutzvorrichtung gegen Software-Piraterie gedacht. Ein besonders Ärgerniss war es für Anwender in den Disketten-Zeiten, wenn sie sich einen Bootsektor-Virus einfingen, obwohl sie zuvor schon mit einem anderen infiziert waren. Da nun der neue Virus auf den alten verwies, wurde beim Booten gar kein funktionsfähiger Bootsektor mehr angesprochen. Eine doppelte Umleitung entstand in solchen Fällen nicht, da der umkopierte Virus beim Verschieben zwangsläufig seine Funktion verlor. Eine Neuinfektion mit dem ersten Virus würde den Systemstart kurioserweise wieder ermöglichen. Das Booten von einer nicht infizierten Diskette und das neue Anlegen des MBR auf der Festplatte behob das Problem.

Cavity-Virus: Versteckt sich in Anwendungen oder Teilbereichen von Anwendungen ohne dessen Lauffähigkeit oder Funktionalität zu beeinflussen.

Companion-Virus: Besitzt den gleichen Namen wie eine bekannte Anwendung, aber anstelle der eigentlichen Anwendung wird das Virus geladen und gestartet und erst anschließend die eigentliche Anwendung geladen. Bei MS-DOS machten sich diese Viren gern dem Umstand zunutze, das .com-Dateien vor gleichnamigen .exe-Dateien ausgeführt werden.

Cluster-Virus: Infiziert das Verzeichnis (engl. Directory) und wird über den Umgang mit Directory aufgerufen. Der erste bekannte Virus ieser Art war der BHP-Virus für den C64.

Datei-Virus: Verändert den aktuellen Programmcode einer Anwendung, ggf. führt dies bis zur vollständigen Nicht-Lauffähigkeit dieser Anwendung. Bereinigung durch einen Virenscanner ist schwer, meist muss die betroffene Datei gelöscht werden. Dateien werden durch die Infektion mit einem Dateivirus etwas größer, da der Viruscode auch Speicherplatz benötigt. Die infizierte Datei nennt man Wirtsdatei. Die Wirtsdatei selbst zählt praktisch auch als Trojanisches Pferd.

Fake-Virus: Dabei handelt es sich um Scherzprogramme die Malware, bzw. deren mögliche Auswirkungen, lediglich simuliert. Fake-Viren richten keinen Schaden im System an, können je nach Auswirkung aber selbst erfahrenen Usern einen gehörigen Schrecken einjagen.

Geburtstags-Virus: Die Bezeichnung bezieht sich auf den Auslöser des Payload, der an einem bestimmten Datum im Jahr aktiviert wird. Ausschlaggebend ist die Systemzeit. Einen solchen Trigger kann man in fast jeder Malware einbauen, sofern der Payload sich dafür eignet, nur einmal im Jahr ausgelöst zu werden. Bekanntester Vertreter der Geburtstags-Viren ist der bootsektor-infizierende Michelangelo, der am 6. März einen wichtigen Teil der Festplatte überschreibt. Um die Jahrtausendwende war auch CIH ein Thema in der Fachpresse, dessen Original-Version ihren katastrophalen Payload am 26. April aktiviert. Hier trifft die Bezeichnung Geburtstags-Virus sogar besonder gut zu, weil der Entwickler Chen Ing-hau das Datum wirklich nach seinem eigenen Geburtstag gewählt hatte. Da es sich gleichzeit um den Jahrestag der Reaktorkatastrophe von 1986 handelt, ist ein Trivialname von CIH auch Tschernobyl-Virus.

Hoax-Virus Sind fiktive Viren, die lediglich als weit verbreitetes Gerücht existieren. Die Fehlinformationen wurden mit Absicht gestreut. In Einzelfällen griffen sogar Softwarehersteller auf den Spaß zurück und nahmen einen solchen Hoax in ihre Datenbank auf. Der bekannteste davon ist Tuxissa, der auf dem infizierten Rechner das Windows-Betriebssystem gegen eine Linux-Distribution austauscht.

Hybrid-Virus: Damit kann allgemein eine Mischung verschiedener Computerviren mit unterschiedlichen Mechanismen gemeint sein. Speziell wurde der Begriff aber für eine Kombination aus Datei- und Bootsektor-Virus geschaffen. Die infizierten Dateien versuchen nicht nur andere Dateien zu infizieren, sondern droppen auch den Bootsektor-Virus. Dieser wiederrum verbreitet sich nicht nur auf andere Bootsektoren, sondern nistet seinen Code auch in Dateien ein. Sofern der Hybrid-Virus speicherresident ist, ist diese gegenseitige Infektion kein großer Aufwand für den Virus-Entwickler. Dadurch konnte sich der Virus in den Zeiten der Diskette sehr effektiv verbreiten. Wird im Englischen multipartite virus genannt.

Intended Virus: Ein Virus mit teilweise fehlerhaften Code, der sich aus diesem Grund nicht weiter verbreiten kann. Kann alle Arten von Virus betreffen.

Kernel-Virus: Eine trickreiche Mischung aus einem Cluster-Virus und einem Bootsektor-Virus. Die Bezeichnung rührt von der Eigenart, die spezielle Vorgänge beim Laden des Kernels während dem Boot-Vorgang ausnutzen. Unter MS-DOS manipuliert ein Kernel-Virus daher am sinnvollsten IO.SYS oder MSDOS.SYS, da sich hier der beste Angriffspunkt befindet. Unkontrolliert verbreitet hat sich ein Kernel-Virus bisher nur in einem Fall. Er hat den Namen Zaraza und wurde 1994 in Moskau entdeckt.

Krypto-Viren: Nach Meinung vieler Experten wird in naher Zukunft Kryptografie zum Entwerfen von leistungsfähiger Malware verwendet werden. Das würde in der Folge für die Hersteller von Antivirus-Programmen bedeuten, dass sie im selben Zug neue Erkennungsverfahren entwickeln müssen. Die derzeit etablierten Methoden wären gegen einen solchen Virus quasi machtlos. Teilweise wird Kryptografie wird schon seit den 1980er Jahren von Viren zur Selbstverschlüsselung verwendet, oder im Payload zum Verschlüsseln von Dateien. Die Presse verwendete den Begriff Krypto-Malware bereits 2017, allerdings mit einer völlig anderen Bedeutung. Man bezog sich auf den Erpesser-Wurm WannaCry, der von geschädigten Anwendern eine Zahlung in der Krypto-Währung BitCoin forderte.

Link-Virus: Eine Variante der Programm-Viren. Das Programm wird aber nicht direkt mit dem schädlichen Code infiziert, stattdessen wird die Startroutine des Programms auf einen Dateivirus, ein Trojanisches Pferd oder andere geeignete Malware umleitet, also verlinkt. Klassisch infiziert wird die Wirtsdatei nur mit der Verfielfältigungsroutine und der Link-Funktion. Auch Bootsektor-Viren verwenden diese Technik manchmal. Der Viruscode schreibt sich dann nicht selbst in den Bootsektor, sondern versteckt sich im Dateisystem, meist getarnt als defekter Sektor. Im Bootsektor selbst wird dann ein Link gesetzt, um den Virus beim Systemstart zu aktivieren. Häufiger war aber die klassische Variante, den originalen Bootsektor zu verschieben und vom Viruscode darauf zu verlinken.

Makro-Virus: Eine Virusart, die über Makros aus Office-Anwendungen (wie Tabellenkalkulation, Textverarbeitung, usw.) verbreitet wird. Makros sind zum automatisieren von einfachen Arbeitsabläufen gedacht. Man kann mit ihnen aber auch zahlreiche Schadensroutinen zusammenstellen. Seit 2007 sind Makro-Viren selten geworden, da Micrsoft deutlich sichere Formate für die betroffenen Anwendungen und Dokumente einführte. Makro-Viren werden manchmal fälschlicherweise zu den Skript-Viren gezählt. Als sichere Schutzmaßnahme empfiehlt es sich, das automatische Ausführen von Makros in der entsprechenden Anwendung zu deaktivieren. Makro-Viren die auch Programmdateien infizieren sind eher Ausnahmeerscheinungen und stellen eine Mischform mit einem Programm-Virus dar, normal infiziert ein Makro-Virus nur Office-Dokumente. Makros haben einfach zu erkennende Muster, daher können sie von Virenscannern besonders leicht entdeckt werden. Aufmerksam erregte 1999 ein Makro-Virus namens Melissa, der sich als erste bekannte Malware mit automatisierten Vorgängen rasant per E-Mail ausbreitete. Da er sich dabei nach Schneeballsystem vermehrte, erzeugte Melissa insgesamt Millarden von E-Mails. Der Schaden betrug rund 80 Millionen Dollar, nach anderen Angaben auch deutlich mehr. Die Vermehrung von Melissa wurden von keinem anderen Virus mehr übertroffen, daher handelt es sich bei diesem Makro vermutlich um den am meisten verbreiteten Virus mit dem größten angerichteten Schaden (Verschiedene Würmern haben Melissa in dieser Hinsicht bald darauf übertroffen).

Metamorpher Virus: Veränderung seines Programmcodes nach der Infizierung komplett, d. h. er schreibt sich komplett neu und ist dadurch schwerer für Virenscanner erkennbar. Dafür verwendet er eine Metasprache. Vor der Auslösung des Virencodes muss dieser wieder kompiliert werden.

Polymorpher Virus: Leichte Veränderung seines Programmcodes nach der Infizierung und ist dadurch schwerer für Virenscanner erkennbar. Daher verwenden Scanner bei solchen Viren oft den Schlüssel als Signatur, bzw. Erkennungsmuster. Das ist aber meist nicht so einfach wie der Scan nach einem richtigen Virus-Code. Der Schlüssel ist meist winzig klein und schwer einwandfrei zu identifizieren. Außerdem kann sich ein bereits bekannter Virus auch oft durch sein typisches Verhalten an die Heuristik eines Antivirenprogrammes verraten. Das funktioniert auch bei neuen Viren, wenn sie veraltete Infektions- oder Payload-Techniken verwenden, die der Heuristik von anderer Malware bereits bekannt ist.

Programm-Virus: Er hängt sich entweder vor, meist aber nach dem eigentlichen Programmcode an. Eine Sonderform ist der EPO-Virus (Entry Point Obscuring), der sich eine je nach Code der Wirtsdatei passende Stelle inmitten des Codes sucht, und so schwerer von einem Scanner zu entdecken ist. Der CIH-Virus sucht sogar gezielt nach leeren Stellen, an die sich der Code setzen kann, damit die Dateigröße identisch bleibt. Im Gegensatz zum reinen Datei-Virus kommt es meist nicht zu einer Zerstörung der Datei und ein Virenscanner kann sie problemlos bereinigen. Nimmt der Virus darauf keine Rücksicht, spricht man von einem überschreibenden Virus, eine Variante die als sehr dilletantisch gilt. Der Programm-Virus ist die bekannteste und klassische Art eines Virus. Wie bei den Datei-Viren wird die infizierte Anwendung als Wirtsdatei bezeichnet. Wenn ein Programm-Virus eine Datei bereits bei der Infektion beschädigt, ist dies vom Entwickler vermutlich nicht gewünscht, was bedeutet, dass der Virus buggt. Naheliegend ist, dass der Virus dadurch sonst seine Verbreitung behindert. Ist das Wirtsprogramm funktionsfähig, bleibt der Virus unentdeckt und wird eventuell sogar weitergegeben. Ist eine Datenveränderung oder -vernichtung gewünscht, wird sie sinnvollerweise per Payload umgesetzt, und nicht als Begleiteffekt der Infektionsroutine. Bekannt für einen solchen Bug war beispielsweise die erste Version des Jerusalem-Virus. Com-Dateien infizierte er problemlos, bei Exe-Dateien zerstörte er aber häufig Teile der Wirtsdatei.

Retro-Virus: Retro-Viren zielen darauf ab, Virenschutzprogramme und Personal Firewalls zu deaktivieren. Da sie sich dadurch nicht nur selbst vor Entdeckung schützen, sondern auch anderen Schadprogrammen Tür und Tor öffnen, sind sie auch ohne speziell schädlichen Code indirekt gefährlich.

Script-Virus: Der Virus ist in einer Scriptsprache programmiert worden. Das kann im einfachsten Fall auch eine simple Stapelverarbeitungsdatei sein. Dann spricht man auch von einem Batch-Virus. In HTML oder Java geschriebene Viren werden allgemein ebenfalls zu den Skriptviren gezählt. Einige verbreitete Viren wurden auch als Visual Basic Skript umgesetzt, eine deutlich höhere Bekanntheit und Verbreitung erreichte allerdings ein Skript-Wurm (Loveletter im Jahr 2000). Viele der einfachen Skript-Viren erfüllen die üblichen Definitionen für einen richtigen Virus eigentlich nicht, weil sie keine Dateien infizieren. Die richtigen Viren unter den Skript-Viren infizieren andere, bereits bestehende Skripte.

Speicherresidenter Virus: Der Virus lädt sich beim Booten, bei seinem Programmstart oder nach einem anderen geeigneten Auslöser in den Arbeitsspeicher. Von dort aus versucht er dann meist in zeitlichen Intervallen, oder auf bestimmte Trigger hin, sich zu verbreiten. Der Speicherverbrauch beträgt meist nur ein oder zwei Kilobyte. Das fiel z.B. unter MS-DOS kaum einem User auf, da die Anzeige des freien und belegten RAM recht unübersichtlich war.

Stealth-Virus: Eine Virusart, die sich vor Antivirensoftware bzw. -scanner verstecken kann und so gesehen getarnt ist. Die Stealth-Technik kann entweder den Viruscode auf dem Datenträger betreffen und/oder den Code im RAM, sofern der Virus speicherresident ist. Er ist in Folge dessen auch nicht so einfach aus dem Computerspeicher zu entfernen. Die ersten Programmiertricks zum Tarnen waren meist entsprechend gesetzte Umleitungen im Dateisystem, die dafür sorgten, dass der Scanner den infizierten Bereich auslässt. Diese Technik lies sich auch sehr einfach bei Boot-Sektor-Viren anwenden, die den originalen Boot-Sektor an eine andere Stelle kopierten und alle Zugriffe auf die Kopie umleiteten. Später wurden auch deutlich raffinierte Techniken entwickelt. Im deutschen Sprachraum spricht man manchmal von einem Tarnkappen-Virus, was aber ungenau ist, da manchmal auch ein Polymorpher Virus so genannt wird.

Test-Virus: Ist kein richtiger Virus und auch sonst keine Malware. Es handelt sich lediglich um eine Datei mit einer bestimmten Zeichenfolge im Code, auf die ein Antivirenprogramm beim Scan anschlagen sollte. Am bekanntesten ist die EICAR-Testdatei. Nach dem Download der Datei kann man damit die Effektivität siner Sicherheitsprogramme überprüfen. Wird vor allem in Fachkreisen auch Viren-Dummy genannt. Seit den MS-DOS-Zeiten ist die Eicar-Testdatei der bekannteste Vertreter. Er hat üblicherweise die Dateiendung .com und enthält nur eine Zeile Code: X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* Absolut ungefährlich - Microsofts Virenscanner melden bei dieser Datei aber trotzdem fälschlicherweise eine "schwere Bedrohung". Auf einem alten PC mit 16-Bit-Kompatiblität kann man die Datei auch gefahrlos ausführen, dann zeigt sie die Meldung "EICAR-STANDARD-ANTIVIRUS-TEST-FILE!" auf dem Bildschirm an.

Windows-Virus: Bezeichnung für alle Arten von Viren, die nur Windows-Betriebssysteme infizieren, bzw. bestimme Versionen von Windows. Die Gründe für plattformabhängigkeit sind unterschiedlich, Viren für Windows aber schon wegen der weiten Verbreitung beliebt. Ebenso werden die Begriffe Linux-Virus, Amiga-Virus, C64-Virus oder MS-DOS-Virus verwendet.

Weitere Schadprogramme[Bearbeiten | Quelltext bearbeiten]

Neben Computerviren existieren weitere schädliche Computerprogramme, siehe Auflistung von weiteren schädlichen Computerprogrammen (kurz: Schadsoftware) (engl. Malware), deren Anzahl leider ebenfalls weiter zu nimmt.

Weblinks[Bearbeiten | Quelltext bearbeiten]

Wikipedia: Computervirus

Commodore C64 Virus List Stand 2007
Jan Frankenberg: "Computer-Viren", 10.02.2005, Ruhr-Uni Bochum (PDF)

Quellen[Bearbeiten | Quelltext bearbeiten]

[1] Jürgen Kraus: "Selbstreproduktion bei Programmen", 1980

[2] Computer Viruses - Theory and Experiments, 1984, Fred Cohen

[1]

[2]