Sie lieben uns.txt.vbs - Virenprogrammierer: Ihre Geschichte, ihre Communities, ihr Katz- und Mausspiel mit der Antivirus-Industrie
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
von Janko Röttgers am 30.08.2001
Sie lieben uns.txt.vbs
Virenprogrammierer: Ihre Geschichte, ihre Communities, ihr Katz- und Mausspiel mit der Antivi-
rus-Industrie
"Sachen zu sammeln ist etwas, was ich immer gern Seit fast zehn Jahren ist Luis nun schon unter dem
gemacht habe. Als Kind sammelte ich Briefmarken, Namen Virusbuster Teil einer vitalen Szene des elek-
jetzt sammle ich Computerviren." Luis ist 27, glücklich tronischen Undergrounds, die sich selbst als vXer be-
verheiratet, arbeitet in einem spanischen IT- zeichnen. Virenprogrammierer, Virensammler und an-
Unternehmen und widmet sich in seiner Freizeit mit dere Freunde sich selbst vervielfältigender Program-
Vorliebe Programmen, um die andere Computernutzer me, die sich in kleinen Gruppen zusammenschließen
lieber einen großen Bogen machen. und über ein eng gesponnenes Netzwerk aus Cha-
träumen, Websites und elektronischen Magazinen
Virensammler wie Luis gibt es ein paar wahrscheinlich austauschen. Luis ist Mitglied der 29a-Gruppe, ge-
hunderte. Doch nur wenige nehmen dieses Hobby so gründet 1996 von einem spanischen Programmierer
ernst wie er, und niemand besitzt eine derart große mit dem Pseudonym Mr. Sandman. 29a gilt sowohl
Sammlung. Wie viele elektronische Schädlinge auf unter vXern als auch unter Mitarbeitern von Antivirus-
seiner Festplatte schlummern, möchte er nicht sagen. Softwarefirmen - vXer nennen sie gerne AVler - als ei-
Luis ist in solchen Beziehungen sehr genau. Er weiß, ne der innovativsten Gruppen der Szene. Der erste
dass viel Unsinn über die Zahl der existierenden Viren Windows-2000-Virus, der erste Gnutella-Wurm, der er-
geschrieben wird. Er weiß, dass die Hersteller von An- ste Plattform-übergreifende Virus, der sowohl Windows
tivirus-Software sich gegenseitig mit Zahlen zu über- als auch Linux infiziert - 29a lotet ständig neue Mög-
bieten versuchen, die jenseits von gut und böse liegen. lichkeiten für elektronische Schädlinge aus. Ständig
Luis möchte diese Diskussion nicht noch weiter ansta- zwingt sie damit auch die Programmierer von Antivirus-
cheln. Er verrät nur so viel: Lediglich drei oder vier der Software, ihre eigenen Programme zu verfeinern und
größten Hersteller von Antivirus-Software besäßen ei- die ihnen zu Grunde liegenden Konzepte zu überden-
ne größere Sammlung als er. Letztlich geht es ihm ken. Ein ewiges Katz- und Mausspiel.
aber auch gar nicht um die Größe der Sammlung, son-
dern um jedes einzelne Exemplar. Ein echter Sammler
eben.
Würmer, Kaninchen und geklonte Elche
Es ist ein Spiel mit Tradition, das Luis und seine kann. Thomas arbeitet beim ARPANET-Entwickler Be-
Freunde da spielen. Die ersten programmierten ranek and Newman und ist dort aktiv an der Entwick-
Schädlinge tauchen bereits in den Sechzigern auf eini- lung der technischen Grundlagen des heutigen Inter-
gen Großrechnern auf. Sie vervielfältigen sich selbst nets beteiligt. Im wahrsten Sinne des Wortes ein Job
im Hauptspeicher der Maschinen, klauen damit ande- mit Zukunft. Einer, den man gerne behalten will. Dum-
ren Nutzern die zu dieser Zeit noch so kostbare Re- merweise erweist sich sein kleines Experiment - Tho-
chenzeit und werden wegen ihres Vermehrungsdrangs mas hat das Programm Creeper getauft - als äußerst
Kaninchen genannt. erfolgreich. Es pflanzt sich im Tenex-Netzwerk der
Firma unkontrolliert von Rechner zu Rechner fort und
Anfang der Siebziger experimentiert dann ein gewisser scheint nicht mehr zu stoppen. Kurzerhand program-
Bob Thomas mit einem Programm, das sich innerhalb miert Thomas ein zweites Programm namens Reeper,
eines Netzwerks von Rechner zu Rechner fortbewegen
Seite 1 von 11 aktuelle Infos über Viren, Würmer und Hoaxes auf der Seite „Viren-Infos“ unter www.torsten-fechner.dedas dem Schädling nachjagt und ihn erfolgreich aus- 3.3, ohne dabei Daten zu löschen. Startet man eine
schaltet. solche infizierte Diskette zum fünfzigsten Mal, er-
scheint ein kleines Gedicht auf dem Bildschirm:
Reeper ist damit gewissermaßen die erste Antiviren-
Software der Welt. Allerdings würden Antivirus-Ex- "It will get on all your disks
perten Creeper aus heutiger Sicht nicht Virus nennen, It will infiltrate your chips
da das Programm keine anderen Dateien infiziert, son- Yes it's cloner!
dern sich nur selbst autonom im Netzwerk fortpflanzt.
Solche Geschöpfe nennt man heute Wurm - ein Be- It will stick to you like glue
griff, den John Hupp und John Shoch vom Xerox Palo It will modify RAM too
Alto Research Center 1982 einführen. Die beiden Sci- Send in the Cloner!"
ence Fiction-begeisterten Forscher lassen sich dabei
von John Brunners Kultbuch "Der Schockwellenreiter" Später wird Rich Skrenta Mitgründer des Open Direc-
inspirieren. Brunner spricht darin schon Mitte der Sieb- tory Projects. Das er den wohl ersten Virus geschrie-
ziger von einem "Tape worm" - einem sich selbst ver- ben hat, hängt ihm allerdings heute noch nach: "Der
vielfältigenden Programm, mit dem der Held des Ro- dümmste Hack den ich je programmiert habe, aber er
mans das Computersystem einer totalitären Regierung erzeugte am meisten Aufmerksamkeit", erklärt er dazu
lahm legt. Jahre später.
In den Jahren 1981 und 1982 entwickeln einige Com- Joe Dellinger studiert zu dieser Zeit an der Texas A&M
puter-begeisterte Jugendliche dann das, was man als University und spielt ebenfalls viel mit dem Apple 2
erste Computerviren bezeichnen kann. Der fünfzehn- herum. Er schreibt wie Skrenta einige sich selbst ver-
jährige College-Freshman Rich Skrenta schreibt ein vielfältigende Programme. Ohne groß darüber nachzu-
Programm für den Apple 2 mit dem schönen Namen denken, nennt er sie Virus1, Virus2 und Virus3 und be-
Elk Cloner. Der sich selbst vervielfältigende Elch infi- setzt damit einen Begriff, der uns bis heute begleitet.
ziert Disketten mit dem Apple Disk Operating System
Fred Cohen: Jedes System ist infizierbar
Durchsetzen sollte sich dieser Begriff aber erst, als allenfalls durch Unachtsamkeit und schlechte Pro-
Fred Cohen 1984 seine Forschungsergebnisse mit grammierung. Wer in diesen Tagen etwas über Viren
sich selbst vervielfältigenden Programmen unter dem lehren oder lernen will, muss ganz zwangsläufig auch
Titel "Computer Viruses - Theory and Experiments" welche programmieren. Trotzdem ahnt Cohen bereits,
veröffentlicht. Cohen definiert hier erstmals, was genau dass man eines Tages Schutz vor Viren und Würmern
eigentlich ein Computervirus ist: ein sich selbst ver- brauchen wird, dass sie zur Bedrohung werden kön-
vielfältigendes Programm, das andere infizieren kann, nen.
indem es ihnen den eigenen Code einverleibt. Cohen
liefert in seiner Abschlussarbeit gleich auch einige ge- Er überprüft mögliche Sicherheitskonzepte auf ihre
ringfügig abstrahierte Beispiele für den Aufbau eines Wirksamkeit, stellt aber bald fest: Vollkommene Si-
solchen Viruses mit - ein Schritt, der heute wohl manch cherheit verspricht nur ein komplett abgeschlossenes
einen Professor zum Ablehnen der Arbeit bewegen System. Eines, das ohne Code von außen auskommt,
würde. nicht vernetzt ist und möglichst auch gar keine Einga-
ben zulässt. Sicher nicht das, was man von einem
Doch 1984 gibt es noch keine bösen Viren, keine Un- Computer erwartet. Alle anderen Systeme seien für Vi-
derground-Szene der Virenprogrammierer, keine Anti- ren anfällig, so Cohen. Dies gelte auch für noch zu
virus-Industrie und keine sensationsheischenden Zei- entwickelnde Systeme, denn: "Die vorgestellten Er-
tungsartikel. Wenn ein Virus Schaden anrichtet, dann gebnisse sind nicht Betriebssystems- oder Implemen-
Seite 2 von 11 aktuelle Infos über Viren, Würmer und Hoaxes auf der Seite „Viren-Infos“ unter www.torsten-fechner.detations-spezifisch, sondern basieren auf den grundle- Worten: Es gibt keinen absoluten Schutz vor Viren. Je-
genden Eigenschaften von Systemen." Mit anderen der Rechner, jedes System kann infiziert werden.
Die ersten Viren mit Impressum
Einige Systeme allerdings leichter als andere, wie sich sem Jahr das Schwerpunktthema der Veranstaltung.
bald zeigen wird. Im März 1982 erscheint die erste Erstmals kann sich eine breitere interessierte Öffent-
Version von Microsofts MS DOS. Dank eines geschickt lichkeit über das Phänomen informieren. Angeblich
ausgehandelten Vertrags mit IBM legt Firmengründer beteiligen sich bis zu 20 aktive Virenprogrammierer an
Bill Gates den Grundstein dafür, dass dieses System den angebotenen Workshops. Die Szene formiert sich.
binnen weniger Jahre zum Standard für Desktop-PCs
wird. Und dank seiner Architektur, die keinerlei Privile- Ab etwa 1987 tauchen immer mehr Viren für MS DOS-
gien und Schutzmechanismen kennt, wird es bald zur Rechner auf. Den Programmierern geht es längst nicht
wichtigsten Plattform der Virenprogrammierer. mehr nur um das reine Selbst-Vervielfältigen. Ihre Ge-
schöpfe mit Namen wie Cascade-Virus, Vienna-Virus
1986 verbreitet sich erstmals ein MS DOS-Virus um oder Jerusalem-Virus unterscheiden sich auch in dem,
den Erdball. Die beiden Brüder Basit und Amjad Fa- was sie mit dem befallenen Rechner anrichten - den so
rooq Alvi besitzen eine kleine Softwarefirma namens genannten Payloads. Burgers Virdem-Virus fordert den
Brain Computer Services in Pakistans Hauptstadt Benutzer irgendwann auf, eine Zahl zu raten. Nur wer
Lahore. Um gegen die immense Raubkopiererei in ih- richtig liegt, darf weiterarbeiten. Der Stoned-Virus wird
rem Land vorzugehen, programmieren sie den ganz dadurch berühmt, dass er verkündet: "Your PC is
und gar harmlosen Brain-Virus. Überrascht müssen sie stoned!" Doch einige Programmierer bedienen sich
allerdings feststellen, dass schon kurze Zeit später auf auch nur der bereits verbreiteten Viren-Quellcodes, um
der ganzen Welt Disketten verbreitet werden, in deren mit gefährlichen Payloads ihrer destruktiven Energie
Boot-Sektor sich ihr Virus findet - und mit ihm die gülti- freien Lauf zu lassen. Eine Variante von Burgers Vir-
ge Adresse und Telefonnummer der beiden. dem-Virus etwa formatiert am Freitag dem dreizehnten
die befallene Festplatte. Neben solch bösen Überra-
Ebenfalls ganz brav mit seinem echten Namen und schungen entwickeln die Virenprogrammierer auch er-
seiner Telefonnummer kennzeichnet der deutsche ste Techniken zur Verschleierung ihrer Aktivitäten. Der
Programmierer Ralf Burger seine ersten Viren. Mit sei- Cascade-Virus beispielsweise setzt auf Verschlüsse-
nem Virdem-Virus im Gepäck besucht er 1986 den lung - ein klares Tribut an die noch junge Antivirus-
Chaos Communication Congress, den der Chaos Industrie.
Computer Club jährlich organisiert. Viren bilden in die-
Mit Ghostbuster-Attitüde gegen elektronische Schädlinge
Eine der schillerndsten Gestalten dieser Branche ist zu schafft Mcafee es, in den Augen der Öffentlichkeit zum
dieser Zeit John McAfee, Chef der Firma Interpath und prominentesten aller Virenjäger zu werden.
später Gründer von McAfee Associates. 1988 gründet
er den Branchenverband "Computer Virus Industry As- Der für seine Utility-Sammlung bekannte Peter Norton
sociation". Zahlreiche Antivirus-Firmen wollen jedoch soll angeblich zu dieser Zeit noch öffentlich verkündet
nicht beitreten, weil sie McAfee bezichtigen, als Grün- haben, er glaube nicht an die Existenz von Viren. Das
der des National Bulletin Board Society-Netzwerks sei doch alles nur eine Legende, vergleichbar mit den
selbst Viren zu verbreiten. Auch wenn ihm dieser Vor- Alligatoren in der öffentlichen Kanalisation New Yorks.
wurf unter Experten noch über Jahre nachhängt, John McAfee findet dagegen schnell heraus, dass der
Seite 3 von 11 aktuelle Infos über Viren, Würmer und Hoaxes auf der Seite „Viren-Infos“ unter www.torsten-fechner.deunbedarfte Computer-Nutzer sehr wohl gerne an unbe- sogar samt einer Diskette mit Beispielviren ausgeliefert
rechenbare Gefahren in diesem ihm unverständlichen wird. Diese Veröffentlichtungen stoßen in der Antivirus-
Kasten glaubt. 1988 baut er ein Wohnmobil mit Com- Community auf große Kritik. So wirft der bulgarische
putern aus, tauft es "Virus Bug Buster" und lässt ein Antivirus-Experte Vesselin Bontchev den Autoren vor,
Team damit im Silicon Valley von Kunden zu Kunden Wissenschaftlichkeit nur als Schutzschild zu missbrau-
fahren, um ihnen die Computer zu säubern. Rent to kill chen und Nachahmer zu provozieren. In Bezug auf
meets High Tech Ghost Busters - das sind Metaphern, Ludwigs Buch urteilt er:
die bei den Computernutzern besser ankommen als
die leiseren Töne der Konkurrenz. "Alles, was wir dort zu sehen bekommen, ist ein Hau-
fen unsinniger MS DOS-Viren, die kaum funktionieren."
Zu diesem Zeitpunkt liegt die Zahl der existierenden Vi-
ren noch im zwei- bis dreistelligen Bereich. Tatsächlich Doch auch die einfachste Beschreibung des Phäno-
in freier Wildbahn findet man davon noch sehr viel we- mens reicht aus, um weltweit Computerfreaks zu be-
niger. Dafür beginnen die Viren jetzt, die Medien zu in- geistern. In der Septemberausgabe der deutschen
fizieren. Neben den ersten Horror-Meldungen in diver- Computerzeitschrift Chip erscheint ein Artikel von
sen Tageszeitungen werden auch erstmals Viren im Chaos Computer Club-Mitglied Steffen Wernery unter
Source-Code publiziert und einer breiteren Öffentlich- dem Titel "Comuterviren - Die neue Gefahr?". Die bul-
keit zugänglich gemacht. Ralf Burger veröffentlicht garische Computerzeitschrift "Computer za vas" druckt
1987 im Data Becker Verlag "Das Große Computer- den Artikel ein halbes Jahr später übersetzt nach und
Virenbuch" mit dem Sourcecode einiger teilweise legt damit den Grundstein für eine der vitalsten Viren-
selbst programmierter Beispielviren. Ein Jahr später programmierer-Szenen. Innerhalb von drei Jahren er-
erscheint das Buch auch in englischer Übersetzung. reichen die bulgarischen Viren einen Anteil von zehn
Prozent am Gesamt-Weltmarkt.
1990 zieht dann der Amerikaner Mark Ludwig mit sei-
nem "Little Black Book of Computer Viruses" nach, das
Das sozialistische Computerparadies
Aber warum gerade Bulgarien? Glaubt man den Über- wickeln eigener Software. Statt dessen werden an die-
lieferungen des Antivirus-Experten Bontchev , dann ist sen Maschinen ganze Generationen von Informatikern
Bulgarien Ende der Achziger so etwas wie das soziali- in Reverse Engineering ausgebildet. Ihre Studienauf-
stische Computerparadies. Das ZK der bulgarischen gaben müssen ungefähr so ausgesehen haben: Nimm
Kommunisten entscheidet Anfang des Jahrzehnts, mit dir etwas Hardware aus dem Westen und bau es mög-
der Produktion eigener Microcomputerserien zu begin- lichst billig nach. Oder nimm dir Microsofts neueste
nen, diese an den gesamten Ostblock zu liefern und so DOS-Version, portier sie auf den Pravetz - aber lass
das Exportverbot des Westens zu unterlaufen. Aller- bitte die Bugs weg.
dings entwickelt man keine völlig neuen Systeme, son-
dern spezialisiert sich auf das Klonen bereits existe- Als dann Wernerys Chip-Artikel in bulgarischer Über-
render Modelle. setzung erscheint, sind einige dieser Studenten sofort
infiziert. Viren waren ihnen bis dahin unbekannt. Also
Zuerst werden mit dem IMKO und dem Pravetz 82 Sy- besorgen sie sich den Vienna-Virus, der auch im Arti-
steme entwickelt, die möglichst perfekte Nachbildun- kel beschrieben wird und verfahren damit so, wie sie
gen des Apple 2 darstellen. 1984 wird schließlich der es mit westlicher Software gewohnt sind: Disassem-
Pravetz 8 entwickelt - ein 8bit-Mikrocomputer, der auch blieren, analysieren, optimieren. Weil es in Bulgarien
mit Microsofts DOS 3.3 arbeitet. Eine wichtige Voraus- auch keine Antivirus-Industrie gibt, mit der man das
setzung für seinen Erfolg, denn um den Vorsprung des Katz- und Maus-Spiel spielen könnte, müssen sie die
Westens aufzuholen, setzt man hier nicht auf das Ent- Katze gleich mit erfinden. Der Programmierer des Jan-
Seite 4 von 11 aktuelle Infos über Viren, Würmer und Hoaxes auf der Seite „Viren-Infos“ unter www.torsten-fechner.dekee Doodle-Virus schafft sich deshalb sein eigenes unterladen will, muss dafür neue Viren hochladen. Weil
Antiviren-Programm namens Vacsina. Daran probiert bald alle bekannten Viren in das System eingespeist
er seinen Virus aus, verstärkt den Schutz, verbessert sind, müssen die User wohl oder übel neue program-
den Virus, und so weiter. Einige seiner Viren verbinden mieren. Bald wird die BBS mit ihren knapp 300 Nutzern
sogar beide Techniken und deaktivierten andere Viren, weltweit als "virtuelle Virenuniversität" bekannt. Einer
die sich auf dem befallenen System befinden. der aktivsten Studenten dieser Universität nennt sich
Dark Avenger und ist ein höchst talentierter Program-
1990 entsteht dann in Sofia das erste Virus Exchange mierer aus Sofia. Anfang 1991 kündigt er an, einen Vi-
(vX) Bulletin Board - ein Mailboxsystem zum Aus- rus mit mehr als 4 000 000 Mutationsmöglichkeiten zu
tausch elektronischer Schädlinge, das mit einer entwickeln.
Upload/Download-Ratio arbeitet. Wer sich Viren her-
Wir sind die Guten
Etwa zur gleichen Zeit kauft sich in den USA die Sozi- die Mutation Engine nichts weiter als eine nette Neu-
alarbeiterin Sarah Gordon ihren ersten PC. Nach kur- jahrspostkarte.
zer Zeit erscheint auf ihrem Bildschirm ein kleiner, um-
herspringender Ball - ein sicheres Zeichen für den In der Antivirus-Community heißt der Mutation Engine
Ping-Pong-Virus. Gordons Interesse ist geweckt. Da zunächst nur "Dedicated", und Sarah Gordon ist mit
sie schon früh Erfahrungen mit Mailboxen gesammelt einem Mal bekannt wie ein bunter Hund. Doch das hält
hat, sucht sie im Fido-Netz nach mehr Informationen, sie nicht davon ab, sich weiter mit dem Thema zu be-
und stößt dabei auf die Newsgroups der Virenpro- schäftigen. Anfang der Neunziger sind die Fronten
grammierer-Szene. zwischen Virenprogrammieren und Antivirus-Forschern
bereits deutlich verhärtet. Viele in der Antivirus-
Ein Name fällt ihr immer wieder auf: Dark Avenger. Er Industrie fordern bereits härtere Strafen für das Ver-
ist der Autor des gleichnamigen Viruses, der als ex- breiten von Computerviren und bemühten sich redlich,
trem gefährlich gilt, weil er sich vor Virenscannern zu Virenprogrammierer per se als kriminell darzustellen.
verbergen weiß, diese infiziert und damit auch jede
überprüfte Datei befällt. Sarah Gordon versucht ver- Doch Sarah Gordon besitzt als Sozialarbeiterin andere
geblich, mit Dark Avenger Kontakt aufzunehmen. Dann Zugriffsmethoden:
probiert sie es mit einem Trick. In einer einschlägigen
Newsgroup wünscht sie sich einen Virus, der ihren "Ich stellte fest, dass es eine echte Diskrepanz zwi-
Name trägt. Wieder hört sie nichts von Dark Avenger. schen dem, was die Antiviren-Leute über die "Bad
Bis im Januar 1992 sein lange angekündigter Muta- Guys" sagten, und meinen Beobachtungen gab." (Aus
tions-Virus erscheint, ein Generator für polymorphe Vi- Sarah Gordons FAQ
ren mit abertausenden von Erscheinungsmöglichkei-
ten. [Gordon beschließt, sich intensiver den "Bad Guys" zu
widmen und erstmals systematisch deren Strukturen
Erstaunlicherweise erkennen die meisten Antiviren- und Motivationen zu erforschen. Die Szene akzeptiert
Programme Dark Avengers "Mutation Engine" schon sie zwar, viele halten sie aber wiederum für eine von
nach wenigen Tagen. Doch offenbar waren einige Pro- den "Bösen" - schließlich lässt sie sich ihre For-
grammierer bei der Anpassung der Scanner zu eifrig. schungsarbeit von Firmen wie IBM und Symantec be-
Neben Dark Avengers Mutationen werden jetzt plötz- zahlen. Sarah Gordon ironisiert diese wechselseitige
lich auch tausende von nicht infizierten Dateien als Vi- Schwarzweißmalerei gerne. Ihre private Website fir-
ren erkannt. Die Antivirus-Industrie hat ein Problem. miert konsequenterweise unter der Adresse
Und mitten in diesem Problem steht der Satz: "Wir www.badguys.org.
widmen diesen kleinen Virus Sarah Gordon" - als wäre
Seite 5 von 11 aktuelle Infos über Viren, Würmer und Hoaxes auf der Seite „Viren-Infos“ unter www.torsten-fechner.deAus Luis wird der Virusbuster
Wie Sarah Gordon kommt auch Luis Anfang der Neun- ste Strukturen gebildet. Von ganz elementarer Bedeu-
ziger zum ersten mal mit dem Ping-Pong-Virus in tung sind dabei neben den Mailboxen zwei Internet-
Kontakt. Unfreiwillig, versteht sich. "Mein einziges In- Dienste: Im August 1988 entwickelt der Finne Jarkko
teresse an dem Virus war, ihn zu killen", erklärt er dazu Oikarinen das Internet Relay Chat-Netzwerk (IRC).
heute. Damals sammelt und tauscht er raubkopierte 1989 erfindet Tim Berners-Lee das World Wide Web,
Programme. Auf der Suche nach ein paar neuen 1990 entwickelt er den ersten Web Browser. Das IRC
Spielen stößt er auf jemanden, der wie er Warez ist noch heute für die vX-Szene das wichtigste Medium
tauscht, aber auch ein paar ganz besondere Pro- zum informellen Austausch. Das World Wide Web hat
gramme im Angebot hat. "Er zeigte mir, dass Viren ei- dabei geholfen, aus diesen informellen Strukturen feste
ne interessante Sache sein können, wenn du mit ihnen Bünde zu schmieden. Man schließt sich zu einer
umzugehen weißt. Er gab mir seine Virensammlung, Gruppe zusammen, gibt sich mit einer Website ein Ge-
ungefähr 40 oder so, und ich begann mit meinen eige- sicht, tauscht darüber Viren aus und gründet E-Zines.
nen Experimenten." Im Juni 1991 erscheint die erste Ausgabe des 40hex-
Magazins mit einer Mischung aus Viren-Sourcecode
1994 entdeckt Virusbuster das Internet und damit die und Programmier-Anleitungen. Es dient zahlreichen
vX-Szene. Diese Szene hat im Netz seit etwa 1990 fe- Magazinen dieser Art als Vorbild.
Erste Verhaftungen
1992 ist ein schlechtes Jahr für die Antivirus-Industrie. 18 Monaten Gefängnis verurteilt. Viele Virenprogram-
Für den sechsten März kündigen einige Firmen Millio- mierer sind von dem Urteil gegen den Black Baron, wie
nen von Computerausfällen durch den Michelangelo- er in der Szene heißt, schockiert. Vom Schreiben eige-
Virus an. Betroffen sind jedoch letztendlich nur etwa 10 ner Viren lassen sich dadurch aber nur die wenigsten
000 Rechner weltweit. Gleichzeitig tauchen in diesem abhalten. Doch viele überlegen es sich seitdem zwei-
Jahr die ersten wirklich einfach bedienbaren Virusge- mal, ob sie einen Virus in die Wildnis entlassen. Die
neratoren auf, mit denen sich jeder Laie seinen eige- meisten Viren zirkulieren nur in der Szene, nur ein ge-
nen Virus zusammenklicken kann. ringer Prozentsatz infiziert jemals die Rechner Unbe-
teiligter. Allein das Programmieren von Programmen,
Im Gegenzug verstärkt man den Druck auf die vX- die sich selbst vervielfältigen, ist in den meisten Staa-
Szene. 1993 kommt es zu den ersten Verhaftungen bei ten aber nicht verboten.
Mitgliedern der britischen Association of Really Cruel
Viruses (ARCV). Das Antivirus-Lager feiert dies als Wer seine Viren dennoch in die Wildnis entlässt, bleibt
Erfolg und hofft, dass ähnliche Aktionen weiteren Vi- gerne vollkommen anonym. "Virenprogrammier, die ih-
renautoren das Leben schwer machen könnten. Doch re Geschöpfe verbreiten, verbinden sich mit dem IRC
bei genauerer Betrachtung des Falls stellt sich heraus, über Proxy-Server", erklärt Luis eine der verbreiteteren
dass die ARCV-Mitglieder sich eines anderen Verbre- Vorsichtsmaßnahmen. Er selbst hat nie einen Virus
chens schuldig gemacht haben: Sie benutzten Geräte programmiert, würde seine eigenen Kreationen aber
zur Manipulation des Telefonnetzes (so genannte auch nicht in die Wildnis entlassen. Ähnlich geht es
Brown Boxes), um mit kostenlosen Telefonaten Kon- den meisten seiner Freunde von der 29a-Gruppe. In
takt zu vX-Mailboxen in den Vereinigten Staaten auf- deren Policy heißt es:
zunehmen.
"Wir programmieren Viren aus Spaß an der Sache,
Zu einer ersten Verurteilung eines Virenprogrammie- weil es unser Hobby ist, und nicht, um anderen zu
rers kommt es erst 1995. Der 26-jährige Brite Chris schaden." Distanzieren möchten sie sich von Viren, die
Pile wird wegen der Verbreitung seiner SMEG-Viren in der Wildnis auftauchen, jedoch nicht.
und der eines manipulierten Antivirus-Programms zu
Seite 6 von 11 aktuelle Infos über Viren, Würmer und Hoaxes auf der Seite „Viren-Infos“ unter www.torsten-fechner.deWindows 95: Neuanfang oder Terror?
Für Schlagzeilen sorgen meist nur die Viren, die tat- Dazu liefern die 29a-Mitglieder einen eigenen Textbe-
sächlich Infektionen auslösen, unzählige Computersy- trachter, der als Bildschirmschoner die Payload-
steme außer Betrieb setzen oder sich besonders ei- Ausgabe des LSD-Virus verwendet. Solche Gimmicks
gentümlich verbreiten. Wie etwa der Tremor-Virus, der wiederholen sich in den nächsten Ausgaben. Nummer
im 1994 als erstes Programm seiner Art über das zwei des 29a-Magazins erscheint mit einem animierten
Fernsehen unters Volk gebracht wird. Zu dieser Zeit Intro, wie man es von Veröffentlichungen der Demo-
nutzt die deutsche Firma Channel Videodat die Aus- Scene kennt.
tastlücke des Fernsehsenders Pro 7, um mit etwa
15kBit pro Sekunde Software an Käufer des Videodat- Intern ist die Gruppe gewissermaßen basisdemokra-
Decoders zu vertreiben. Im Mai 1994 findet auf diesem tisch organisiert. Es gibt keinen Anführer, lediglich für
Weg auch eine infizierte Version des Dekompressions- eine neue Ausgabe ihres Magazins wird eine Art Re-
Programms PkUnzip den Weg auf zahlreiche Fest- dakteur bestimmt. Ganz auf die Gruppe ausgerichtet
platten. Drei Monate nach der Infektion werden tau- sind auch die Initationsregeln: "Wenn jemand Mitglied
sende von Videodat-Usern damit konfrontiert, dass die bei 29a werden will, muss er uns seine Artikel und Vi-
Darstellung ihres Monitors wackelt, bevor sich der ren schicken, damit wir die Qualität seiner Arbeit be-
Rechner ganz aufhängt. In einigen Fällen meldete sich urteilen können. Die Mitglieder überprüfen dann sein
Tremor auch mit dem Front 242-Zitat "Moment of Ter- Material und auch ihn als Person. Wenn alle dafür
ror is the Beginning of Life" zu Wort. sind, kann er Mitglied werden. Bei nur einer Gegen-
stimme wird er nicht Mitglied", erklärt Luis. Andere Ent-
Neuanfang oder Terror - diese Frage stellt sich 1995 scheidungen werden per Mehrheitsbeschluss gefasst.
auch so manch ein Betatester von Windows 95. Micro-
soft verschickt in einigen Fällen Disketten, die mit dem Nach Schätzungen von Sarah Gordon gibt es derzeit
Form-Virus infiziert sind. Doch diese peinliche Panne rund 20 beständig aktive Gruppen wie 29a. Daneben
ist fast bedeutungslos gegen all die neuen Möglich- existieren noch eine ganze Zahl von Gruppierungen,
keiten, die das System Virenprogrammierern bietet. die nur kurz auf der Bildfläche erscheinen, sich aber
Anfang 1996 erscheint mit Bizatch der erste Win- sofort wieder auflösen oder mit einer anderen Gruppe
dows95-spezifische Virus. Schon ein paar Monate vor- verschmelzen. 29a jedoch beweist Kontinuität - zwar
her taucht mit Concept der erste Word-Macrovirus in veröffentlichen sie gerade mal ein Magazin pro Jahr,
freier Wildbahn auf. Beide legen den Grundstein für dafür gehen auf das Konto der Gruppenmitglieder eini-
unzählige Nachfolger. 1996 kommt es zur ersten Win- ge der innovativsten und kreativsten Viren der letzten
dows-Virenepidemie. Jahre.
Im selben Jahr gründen einige Virenprogrammierer um In der zweiten Ausgabe ihres Magazins erscheint mit
einen gewissen Mister Sandman die vX-Gruppe 29a, Esperanto der erste Virus, der sowohl Windows- als
der wenig später auch Luis alias Virusbuster beitritt. Ihr auch Macintosh-Rechner infizieren kann. An jedem 26.
Name ist die hexadezimale Darstellung des satani- Juli - dem Tag, an dem 1887 das erste Buch über die
schen 666, und auch sonst lieben die 29a-Mitglieder Kunstsprache Esperanto erschien - verkündet der Vi-
kleine Zahlenspielereien. Am Freitag, dem 13. Dezem- rus:
ber 1996 um 6 Uhr 66 morgens erscheint die erste
Ausgabe ihres Magazins, mit dem die Gruppe sozusa- Never mind your culture / Ne gravas via kulturo, Espe-
gen offiziell ihre Gründung begeht. Es enthält Pro- ranto will go beyond it / Esperanto preterpasos gxin;
grammieranleitungen, Viren-Sourcecode und - never mind the differences / ne gravas la diferencoj,
analysen und ein Dutzend Viren als ausführbare Da- Esperanto will overcome them / Esperanto superos ilin.
teien, sowie Tipps zum Umgehen von Antivirus-
Schutzmechanismen, die hier "Klingon Tech" genannt Never mind your processor / Ne gravas via procesoro,
werden. Esperanto will work in it / Esperanto funkcios sub gxi;
never mind your platform / Ne gravas via platformo,
Esperanto will infect it / Esperanto infektos gxin.
Seite 7 von 11 aktuelle Infos über Viren, Würmer und Hoaxes auf der Seite „Viren-Infos“ unter www.torsten-fechner.deVon diesem kleinen Sprachkurs abgesehen richtet der ren Schaden an.
von Mr. Sandman programmierte Virus keinen weite-
Viren: Politik, Forschung, pubertäter Spaß?
Im gleichen Magazin erscheint auch der Anti-ETA- Antwort darauf kann sie bis heute nicht geben, denn
Virus von Griyo, mit dem die Gruppe kollektiv gegen Virenprogrammierer "sind so verschieden wie ihre Vi-
den baskischen Terrorismus Stellung bezieht. Es ist ren", so Gordon. Einige handeln aus Spaß an der Sa-
nicht der erste Virus mit einer politischen Botschaft. che, andere wollen es in der Szene zu etwas bringen
Aber taugen Viren als Mittel politischer Meinungsäuße- oder genießen es, wenn Antivirus-Firmen ihre Pro-
rung? Heute sehen die 29a-Mitglieder dies selbst eher gramme rezensieren. Wieder andere üben einfach ihre
skeptisch und tun es als eine Art Jugendsünde ab. Programmierkenntnisse an diesen Kreationen, oder sie
Griyo hat sich als Autor des Viruses mittlerweile von genießen den Kitzel am Illegalen - etwa, wenn sie eine
dieser Aktion distanziert, und Luis erklärt: ihrer Kreationen in die Wildnis entlassen. Perikles, ein
mit Luis befreundeter Virensammler, begründet seine
"Das ist eher eine persönliche Leidenschaft einiger Leidenschaft im Gespräch scherzhaft so:
Mitglieder der Szene. Die Mehrheit der Virenprogram-
mierer vermischt Politik und Viren nicht. Ich bezweifle "Vielleicht bin ich an Viren interessiert, weil ich einen
sogar, dass die große Mehrheit der Virenprogrammie- Entomologen-Komplex habe, wie Jünger. Jedenfalls
rer in der Szene sich überhaupt um so etwas küm- finde ich es interessant, die Schwächen eines Be-
mert." triebssystems zu erforschen."
Auch den Versuch, das Programmieren von Viren Dieses Forschungsmotiv taucht immer wieder in der
selbst als politisch, weil ja irgendwie diffus gegen das Szene auf. Die 29a-Homepage nennt sich "29a Labs",
System gerichtet zu begreifen, blockt er sofort als un- und deren Mitglied Griyo betreibt nebenbei noch seine
zulässige Projektion ab: "Ich sehe im Programmieren private Website unter dem Namen "BiO.net - Virus Re-
eines Virus keinen politischen Akt." search Labs". Antivirus-Forscher werden dagegen
nicht müde, zu betonen, dass ohne eine entsprechen-
Aber warum machen sie es dann? Mit dieser Frage de Ethik, einen verantwortungsvollen Umgang mit dem
beschäftigt sich auch Sarah Gordon, seit die die Szene Virencode, keine Forschung möglich ist. Doch die vX-
als ihr Forschungsobjekt entdeckt hat. Eine eindeutige Szene ignoriert solche Belehrungen forsch.
Gefängnis oder Job-Offerte?
Am 26. April 1998 entlässt der taiwanesische Wehr- Taiwan verklagt, bald ohne Anklage wieder freigelas-
dienstleistende Chen Ing-hau seinen CIH-Virus in die sen. Wenig später wird er vom taiwanesischen Linux-
Wildnis. Schon nach einer Woche gelangt der Virus Distributor Wahoo als Sicherheits-Experten eingestellt.
über das Internet nach Europa und in die USA, wo er
versehentlich mit Promotion-Downloads und kostenlo- Die Antivirus-Industrie reagiert empört. Ein Jahr später
sen CD-ROMs vertrieben wird. CIH wird damit kurzzei- allerdings wird sein Virus wieder aktiv. Diesmal findet
tig zu einem der meistverbreiteten Viren, und zu einem sich ein taiwanesischer Student als Kläger, und Chen
der gefährlichsten noch dazu: Am 26. April 1999 löscht wird zu drei Jahren Gefängnis verurteilt. Ein Vetreter
er Daten auf dem Wirtscomputer. Auf einigen wenigen der Firma Sophos Anti-Virus erklärt: "Dies ist ein deut-
Rechnern gelingt es ihm sogar, das BIOS zu über- liches Signal an Virenprogrammierer, dass sie der
schreiben. Chen Ing-hau wird nach Enthüllung seiner Strafe für ihre Handlungen nicht entkommen werden."
Identität kurzzeitig verhaftet, doch da niemand ihn in
Seite 8 von 11 aktuelle Infos über Viren, Würmer und Hoaxes auf der Seite „Viren-Infos“ unter www.torsten-fechner.deDoch das Verhältnis zwischen Antivirus-Experten und Weise in die Hände des rumänischen Antivirus-
der vX-Szene wird nicht allein von solch harten Law Spezialisten Adrian Marinescu. Marinescu veröffent-
and Order-Töne bestimmt. Sarah Gordon beispielswei- licht eine Analyse des Schädlings, und Benny ist voll
se beschreibt die 29a-Mitglieder als "sehr nette Leute. des Lobs: "Gute Arbeit, Adrian!" Spaßeshalber fordert
Es hat mir immer Spaß gemacht, mich mit ihnen aus- er ihn in einem Szene-Magazin auf: "Fuck of AV, join
zutauschen." Ganz ohne Austausch kommen sie und 29a!" (BadByte Magazine Issue 3)
ihre Kollegen aber auch gar nicht aus, wenn sie wollen,
dass ihre Antiviren-Scanprogramme neue Schädlinge Adrian Marinescu gehört zu einer jungen Generation
möglichst frühzeitig erkennen. von Antivirus-Experten, die schon optisch nicht mehr
viel mit den John McAfees und Peter Nortons dieser
Oft bekommen Antivirus-Programmierer diese direkt Welt gemeinsam hat. Er trägt einen Kinnbart, schlab-
von den Autoren zugeschickt, die sich über eine kom- brige Klamotten und bezeichnet Biertrinken als eines
petente Analyse ihrer Programmierleistung immer seiner großen Hobbys. Bennys Angebot lehnt er trotz-
freuen. Luis berichtet außerdem, dass er seit Jahren dem dankend ab:
mit Antivirus-Programmierern in Kontakt steht. "Sie be-
nutzen mich als Quelle für ihre Arbeit und ich benutze "Ich würde nie auf die andere Seite gehen. Für mich
sie als Quelle für meine Sammlung." Glaubt man ihm, ist es kein Spaß, anderen Usern zu schaden. Einige
arbeiten in einigen dieser Firmen ehemalige Virenpro- Virenprogrammierer erklären, dass sie nur lehrreiche
grammierer und sogar aktive Mitglieder der Szene. Ob Viren schreiben, die niemandem schaden. Das ist nicht
er sich selbst vorstellen könnte, irgendwann bei solch wahr. Schon weil sie sich selbst vervielfältigen, richten
einer Firma unterzukommen? "Irgendwann? Wenn sie sie Schaden an."
gut genug zahlen schon morgen!"
Er selbst gehe Virenprogrammierern nicht aus dem
Überlaufangebote werden allerdings auch an die ande- Weg, sondern versuche sie davon zu überzeugen, ihr
re Seite gemacht. Als der tschechische 29a- Hobby aufzugeben. Schließlich weiß er durch seine
Programmierer Benny seinen Win98.Millenium-Virus tägliche Arbeit: "Einige von ihnen sind begabte Pro-
entwickelt, gelangt eine Beta-Version auf unbekannte grammierer."
Primitive Makros und autonome Mutanten
Aber zur Umkehr bewegen konnte er noch keinen. Und untergelassenen Hosen", erklärt Network Associates-
so geht das Katz- und Mausspiel weiter. Am Freitag, Forscher John Bloodworth ein Jahr später auf der Vi-
dem 26. März 1999 taucht in der Newsgroup alt.sex rus Bulletin Conference. Durch die Kombination von
erstmals ein Word-Makrovirus namens Melissa auf. In- Word-Macros und Fortpflanzung per E-Mail verbreitet
nerhalb weniger Stunden verbreitet er sich über Micro- sich der Virus so schnell, dass kaum ein PC ausrei-
softs Outlook E-Mail-Client in ganz Nordamerika. Das chend dagegen geschützt, kaum ein Nutzer darauf
FBI beginnt mit der Suche nach dem Melissa-Autor. vorbereitet ist.
Als am Montag dem 29.März in zahlreichen Büros die
Desktop-PCs wieder eingeschaltet werden, beschleu- Antiviren-Firmen müssen beobachten, wie tausende
nigt sich die Melissa-Verbreitung exponentiell. Mehr als von Computerbesitzern sich durch das Öffnen des Me-
100 000 PCs werden angeblich an diesem Tag infi- lissa-Attachments ins Verderben klicken. Doch auch
ziert. Am ersten April wird David L. Smith als mutmaß- die vX-Szene hat in den folgenden Wochen unter Me-
licher Melissa-Autor festgenommen. Zu seinem Ver- lissa zu leiden. Das FBI besucht verscheidene ISPs
hängnis wird eine geklaute AOL-Adresse, mit der er und Webmaster von vX-Websites. Einige löschen dar-
den Virus in die Newsgroup eingespeist hat. aufhin vorsichtshalber ihr komplettes Angebot. Auf der
Seite des mutmaßlichen Melissa-Autors prangt heute
Melissa überrascht Antivirus-Hersteller wie Virenpro- nur noch ein Logo der Antivirus-Software AVP.
grammierer gleichermaßen. "Es erwischte uns mit her-
Seite 9 von 11 aktuelle Infos über Viren, Würmer und Hoaxes auf der Seite „Viren-Infos“ unter www.torsten-fechner.deFür Schlagzeilen sorgen auch in den kommenden Mo- dass sie über einfachen Codeabgleich nicht mehr auf-
naten Melissa-ähnliche Makroviren wie etwa der IL- findbar sind.
oveYou-Virus. Doch aus Sicht der Szene sind diese
Geschöpfe eher primitiv. Hier bastelt man lieber an Doch damit nicht genug: Noch komplexer wird die An-
möglichst schwer zu entdeckenden Viren wie dem gelegenheit, wenn sich zwei solcher Viren gegenseitig
Marburg-Virus oder dem HPS-Virus, die beide auf das infizieren. Die Chancen, sie dann noch zu entdecken,
Konto von 29a-Mitglied Griyo gehen und versehentlich sinken stark. Wird doch einer gefunden, kann dies
von PC-Spielemagazinen verbreitet werden. Beide Vi- noch katastrophalere Folgen haben. Wenn das Antivi-
ren benutzen polymorphe Techniken, um Virenscan- renprogramm ihn entfernt und dabei den Code des un-
nern zu entgehen. Mittels zufallsbasierter Verschlüs- entdeckten Virus modifiziert, entsteht unter Umständen
selung verstecken sie sich in immer neuem Code, so als autonome Mutation ein völlig neuer Virus - einer,
der nicht entdeckt werden kann, der keinen Autor hat.
Viren im Reich der Pinguine
Im Februar 1997 erscheint dann mit Lin-Bliss der erste und detaillierte Fehlerbeschreibungen gehören dabei
Linux-Virus. Viele haben bis dahin das Open Source- geradezu zum guten Ton.
Betriebssystem für immun gehalten, doch sie hatten
offenbar noch nie etwas von Fred Cohen gehört. Für Antivirus-Experten ist dagegen jede Publikation ei-
Schließlich hatte der schon 13 Jahre vorher festge- nes Viren-Sourcecodes unmoralisch. Sie tauschen Vi-
stellt: Kein System ist sicher. Der einsetzende Linux- ren nur in geschlossenen Zirkeln aus und veröffentli-
Boom verschärft das Problem noch. Gerade Linux- chen lediglich Analysen ohne Source Code.
Anfänger, die sich die ganze Zeit als Systemadmini-
strator (Root) einloggen, sind für Viren wie Lin.Bliss In der Sprache der Open Source-Gemeinde heißt
besonders anfällig. Im März 2001 gelingt 29a-Mitglied solch eine Praxis verächtlich "Security by Obscurity".
Benny schließlich etwas außergewöhnliches. Er ver- AV-Forscher argumentieren dagegen, das man einen
öffentlicht den ersten Virus, der sowohl Windows- als Virus nicht mit einer Sicherheitslücke in einer Firewall
auch Linux-Rechner infizieren kann. vergleichen kann. Diese könne mit den regelmäßig
veröffentlichten Bug-Fixes schnell gestopft werden,
Viren wie dieser bieten Antivirus-Softwareherstellern danach sei das System sicher. Ein Virus müsse dage-
zwar die Möglichkeit, ihren Markt auf neues Terrain gen nur minimal verändert werden, um wieder ein Si-
auszudehnen, bergen aber auch neue Konflikte. Die cherheitsrisiko darzustellen. Der Moderator der Bug-
Linux-Gemeinde ist eine völlig andere Informationspo- traq-Mailingliste Elias Levy will dies nicht gelten lassen:
litik gewöhnt als AV-Firmen. Taucht unter Linux eine "Darin liegt das Problem der ganzen Antivirus-
Sicherheitslücke auf, so wird dies auf einschlägigen Community. Der Hersteller hat niemals einen Bugfix
Mailinglisten und in Weblogs wie Slashdot.org publi- veröffentlicht. Ihr seid so dadurch konditioniert, dass
ziert, damit Administratoren die Lücke auf ihrem Sy- der Hersteller nie einen Bugfix veröffentlicht hat, dass
stem möglichst schnell schließen können. Quellcode ihr glaubt, es gibt keinen Bugfix."
Ein RFC für Netzwerk-Viren
Der Hersteller, von dem Levy hier spricht, ist natürlich ge der Zeit ist, steht doch fest: Windows bleibt das
Microsoft. Und auch wenn sich die Zahl der Linux- Hauptbetätigungsfeld der Virenprogrammierer. Schon
Viren sicher noch erhöhen wird, auch wenn mittlerweile jetzt danken sie in ihren Publikationen gerne mal spa-
schon Viren für Palm Pilots aufgetaucht sind und es bis ßeshalber Microsoft für die vielen Dinge, die ihnen die-
zum ersten Playstation2-Virus wohl nur noch eine Fra- se Firma bisher ermöglicht hat.
Seite 10 von 11 aktuelle Infos über Viren, Würmer und Hoaxes auf der Seite „Viren-Infos“ unter www.torsten-fechner.deLuis ist sich sicher, dass sich daran auch in Zukunft Doch das ist erst der Anfang. Längst feilen die Viren-
nichts ändern wird: " Die interessantesten Trends wer- programmierer an komplexeren Netzwerk-
den weiterhin die sein, die mit Microsoft zusammen- Nutzungsmöglichkeiten. Ein Testfall dafür könnte der
hängen. Viren werden, wie schon bisher, sehr davon Gnutella-Wurm Gspot von 29a-Mitglied Mandragore
abhängig sein, was Microsoft tun wird." Ein weiterer gewesen sein. Er breitet sich im Juni 2000 unter Nut-
Trend liegt im Netz. Neben IRC-Würmern und Makrovi- zern des Napster-ähnlichen Filesharing-Netzwerks
ren der zweiten Generation scheinen sich selbst up- aus, indem er Suchanfragen auswertet und diese pau-
datende Viren der letzte Schrei unter Virus-Autoren zu schal positiv beantwortet. Sucht jemand etwa nach
sein. Erfunden hat diese Funktion ironischerweise die Photoshop, gibt Gspot sich als Photoshop.exe aus.
Antivirus-Industrie, um Kunden regelmäßig mit neuen Interessanter als dieser einfache Trick ist jedoch das
Virendefinitionen zu versorgen. Netzwerk, dessen sich der Wurm bedient. Was, wenn
Viren ein eigenes Peer-to- Peer-Netzwerk aufbauen
Doch schnell haben Virenprogrammierer entdeckt, würden, um über infizierte Computer unbemerkt Infor-
dass sich auch ihre Geschöpfe neue Komponenten mationen und Updates auszutauschen? Was wie Zu-
übers Netz besorgen können. Im 29a-Magazin vier kunftsmusik klingt, ist vielleicht gar nicht mehr so weit
veröffentlicht ein Programmierer namens Venca erst- von der Realität entfernt. Im 29a-Magazin Nummer fünf
mals einen Virus, der sich zusätzliche Module - Venca beschreibt ein gewisser Bumblebee ein Konzept, mit
nennt sie "Plug-Ins" - über eine Webseite herunterla- dem sich Viren selbst verschlüsselt über eine eigene
den kann. Eine ähnliche Technik nutzt auch der MTX- Netzwerkstruktur updaten können. Scherzhaft be-
Virus, der im Herbst 2000 große Verbreitung findet. schließt er seinen Artikel mit der Aufforderung: "Let's
start our own RFC!"
Noch einen Schritt weiter geht der ebenfalls von Venca
programmierte Hybris-Wurm: Für ihn existieren bis zu Wem das einen kalten Schauer über den Rücken jagt,
32 Plug-Ins, die verschlüsselt von einer Website her- der sollte sich lieber an die Zukunftsperspektive eines
untergeladen werden können. Diese ist mittlerweile Experten wie Adrian Marinescu halten: "Internet-
geschlossen worden, doch Hybris ist damit nicht aus basierte, selbst-updatende, metamorphe Viren werden
dem Rennen. Zusätzlich kann er sich seine Plug-Ins wir in den nächsten Jahren immer häufiger begegnen.
auch über die Newsgroup alt.comp.virus besorgen - Das sind die Techniken der Zukunft - aber ich wette,
ein Diskussionsforum, das auch von Antivirus-Experten dass die in der Wildnis vorkommenden Viren im näch-
genutzt wird. Andere Viren und Würmer updaten sich sten Jahr genau so albern sein werden wie etwa der
selbst über FTP-Server oder loggen sich automatisch ILoveYou-Virus."
in einen bestimmten IRC-Channel, um weitere "Fern-
wartungskommandos" abzuwarten.
Seite 11 von 11 aktuelle Infos über Viren, Würmer und Hoaxes auf der Seite „Viren-Infos“ unter www.torsten-fechner.deSie können auch lesen
