Hacker

home *** CD-ROM | disk | FTP | other *** search

/ Hacker / Hacker.iso / HACKER / ANTIVIR / VIRSCANP / VIRUSDEF.DOC < prev next >

Wrap

Text File | 1997-05-14 | 122.2 KB | 2,689 lines

Virus Definition Die komplette Beschreibung aller Virenarten und Virengattungen unter dem Betriebssystem DOS Copyright (c) 1990-96 by ROSE, Ralph Roth, Finkenweg 24, D 78658 Zimmern o. R. ALL RIGHTS RESERVED! ALLE RECHTE VORBEHALTEN! ─══[ 1 ÜBERSICHT ]═════════════════════════════════════════════─ Seit dem ersten Auftreten von Computerviren unter MS-DOS im Jahre 1986 hat sich die Anzahl der existierenden Computerviren explosionsartig vermehrt. Zur Zeit existieren ca. 6000 verschie- dene DOS-Viren. Die ersten OS/2- und Windows-Viren sind vor kur- zem gefunden worden. Bei diesen ebenfalls relativ offenen Betriebssystemen ist der gleiche Trend wie unter DOS zu erwar- ten, ein Ende ist generell noch nicht abzusehen! Unter UNIX gibt es bis heute fast keine Viren, was darauf hindeutet, daß ein Betriebssystem mit Sicherheitsmerkmalen virensicherer ist! Der folgende Beitrag versucht das Phänomen "Computervirus" und die damit verbundene Mystik etwas aufzuklären. Das Thema Computerviren ist nicht ganz einfach zu verstehen, deshalb ist für das Verständnis des folgenden Artikel ein "gesundes" Maß an EDV Grundwissen erforderlich! 1.1 Das Handbuch Dieses Handbuch wurde mit WINWORD 6.0 erstellt und einem vom Programmautor entwickelten Hilfsprogramm nach ASCII portiert. Sie können deshalb dieses Handbuch auf JEDEM Drucker, der minde- stens 64 Zeilen pro Blatt und einen Seitenvorschub unterstützt, ausdrucken (auch auf Laserdruckern). Befehl: COPY VIRUSDEF.DOC PRN ACHTUNG: Das Originaldokument enthält Grafiken, Tabellen und Fußnoten, die natürlich nicht übernommen werden konnten! 1.2 Urheberrecht Der Autor - Ralph Roth - besitzt alle Rechte an dieser Dokumentationen. Eine Vervielfältigung oder sonstige anderweitige Vervielfältigung - auch auszugsweise- ist ohne schriftliche Genehmigung des Autors untersagt und stellt eine Urheberrechtsverletzung dar! Beschreibung aller Virenarten und Virengattungen Seite: 1 Eine Ausnahme stellt die Verbreitung im Zusammenhang mit vom Autor entwickelter Software dar: Ist der SHAREWARE Version eines vom Autor entwickelten Programmes diese Datei beigefügt, darf diese Datei nur zusammen mit dem Sharewareprogramm weitergeben werden. Eine separate Trennung dieser Datei ist jedoch unzulässig! Alle Warenzeichen werden anerkannt. Beschreibung aller Virenarten und Virengattungen Seite: 2 1.3 Inhaltsverzeichnis 1 Übersicht...............................................1 1.1 Das Handbuch........................................1 1.2 Urheberrecht........................................1 1.3 Inhaltsverzeichnis..................................3 1.4 Einige Definitionen.................................5 1.4.1 Softwareanomalien............................5 1.4.2 Der Computervirus............................5 1.4.3 Der Wirt.....................................6 1.4.4 Die Infektion................................6 1.4.5 Würmer (worms)...............................6 1.4.6 Kettenbriefe.................................7 1.4.7 Trojanisches Pferd...........................7 1.4.8 Speicherresident.............................7 1.4.9 Tarnkappenviren..............................7 1.4.10 Verschlüsselte Viren........................7 1.4.11 Selbst-upgradend............................7 1.5 Erste Attacken......................................8 1.5.1 Die ersten Netzwerkwürmer....................8 1.5.2 Die ersten Viren.............................8 1.5.3 Erste wissenschaftliche Untersuchungen.......8 1.6 Chronologischer Rückblick...........................9 2 Klassifizierung/Typologie..............................11 2.1 Einleitung.........................................11 2.1.1 Aufenthaltsbereiche von Viren...............11 2.2 Bootviren..........................................12 2.2.1 MBR-Viren (Partitionsviren).................13 2.2.2 DOS-Bootviren (DBS-Viren)...................14 2.3 Hybridviren........................................14 2.3.1 Multipartite................................14 2.4 Systemviren (Cluster-Viren)........................15 2.5 Kernel-Viren.......................................16 2.6 Dateiviren (Fileviren).............................16 2.6.1 Überschreibende Dateiviren..................16 2.6.2 Nicht überschreibende Fileviren (Linkviren).17 2.7 Companionviren.....................................17 2.8 Trojanische Pferde, Dropper und Scherzprogramme....18 2.8.1 Trojaner (trojans)..........................18 2.8.1.1 Namensvettern (spoofing programs)......18 2.8.1.2 Dropper................................19 2.8.2 Logische Bomben (bombs).....................19 2.8.2.1 Zeitbombe (time bomb)..................19 2.8.3 Scherzprogramme (jokes).....................19 2.9 Viren, die noch nicht aufgetreten sind.............20 2.9.1 Geisterviren................................20 2.9.2 "Hide and Seek" Viren.......................20 2.9.3 "Call" Viren................................20 2.9.4 Gepufferte Viren............................20 2.9.5 Hardware Viren..............................21 2.9.6 "Virus Desinformaticus".....................21 3 Verschiedene "Attribute" von Viren.....................21 3.1 Unterscheidung nach Infektionsmechanismus..........21 3.1.1 Direct action-Viren.........................21 3.1.2 Speicherresidente Viren (TSR)...............22 3.1.2.1 Unterscheidung der TSR-Viren nach Speicher- belegungsstrategien....................22 Beschreibung aller Virenarten und Virengattungen Seite: 3 3.2 Unterscheidung nach Infizierungsgeschwindigkeit....23 3.2.1 Normale Infizierung.........................23 3.2.2 Schnelle Infizierung (Fast-Infector)........23 3.2.3 Langsame Infizierung (Slow-Infector)........23 3.2.4 Spärliche Infizierung (Sparse)..............24 3.3 Tarnkappenviren und Tarnmethoden...................24 3.3.1 Stealthviren................................24 3.3.2 Dir-Stealthviren............................24 3.3.3 Tunneln (Tunneling).........................25 3.3.4 System File Table (SFT) Techniken...........25 3.3.5 Cavity Viren................................26 3.3.5.1 Header-Viren...........................26 3.3.5.2 Stackbereich Viren und "Zerohunting"...27 3.3.6 Slackbereich Viren..........................27 3.3.7 "Live and Die" Viren........................27 3.3.8 Armored (Gepanzert).........................28 3.3.9 Hardware Stealthtechniken...................28 3.3.9.1 Floppy Disc Boot Simulation............28 3.3.9.2 Hardware Level stealth.................28 3.3.9.3 Flash-BIOS stealth.....................28 3.3.10 Abhilfe bei Stealthviren...................29 3.4 Verschlüsselte und polymorphe Viren................29 3.4.1 Mutation....................................29 3.4.2 Verschiedene Arten von Polymorphismus.......30 3.4.2.1 Oligomorph.............................30 3.4.2.2 Weitere Arten von Polymorphismus.......30 3.4.2.3 Zerstückelt (Permutating)..............30 3.4.3 Slow Mutating (Langsames Mutieren)..........32 3.5 Retroviren.........................................32 4 Zukünftige Betrachtungen...............................33 4.1 Trends in der Virenentwicklung ....................33 4.1.1 Virenkits und Mutation Engines..............33 4.1.2 Multipartite Viren..........................34 4.1.3 Devicetreiberviren unter Windows............34 4.2 Internationale Vernetzung..........................34 5 Literaturverzeichnis...................................35 Beschreibung aller Virenarten und Virengattungen Seite: 4 1.4 Einige Definitionen Die meisten der hier eingeführten Begriffe sind allgemein bekannt, werden jedoch in der Literatur unterschiedlich gebraucht, so daß zur Klärung hier eine knappe formale Defi- nition erfolgt. Eine Definition erfolgt in kursiver Schrift. Eine weitere ausführliche Erklärung dieser Begriffe steht teilweise in den nachfolgenden Kapiteln oder kann z. B. folgender Fachliteratur [Bontch], [Esch93], [FAQG93], [FAQL92], [Ferb92] und [PB92] entnommen werden. 1.4.1 Softwareanomalien Die Software verhält sich nicht so, wie sie spezifiziert wurde, also nicht nach den Regeln, nach der sie entwickelt wurde. Tritt eine Softwareanomalie in einem Computersystem auf, so verhält es sich oder einzelne Systemkomponenten davon nicht mehr so wie erwartet. Dies hat Konsequenzen für die Umgebung, in der das Computersystem eingebettet ist, weil die Funktionalität und Systemsicherheit eingeschränkt ist. Ein anderer, gebräuchlicher Begriff hierfür ist auch der "Seiteneffekt". Der Begriff Softwareanomalie kann demnach als Oberbegriff für eine Anzahl von Phänomenen verwandt werden, unter die Computerviren und ver- wandte Programme fallen. Hierzu zählen u. a.: » Computerviren » Würmer und Kettenbriefe » Trojanische Pferde und Dropper » Logische Bomben und Trapdoors » Scherzprogramme Eine kurze Definition dieser Anomalien erfolgt auf den nachfolgenden Seiten. 1.4.2 Der Computervirus Ein Computervirus ist ein Computerprogramm, das die Fähigkeit besitzt, sich selbst zu reproduzieren (vermehren), indem es Betriebssystemkomponenten oder Betriebssystemabläufe (Umgebung) zu seinen Gunsten modifiziert1. Der Computervirus hat, im Gegensatz zum biologischen Virus (das Virus, von lat. virus = giftiger Saft), den männlichen Artikel und wird oft nur kurz als "der Virus" bezeichnet. Folgende weitergehende Folgerungen lassen sich aus dieser Definition ableiten: » ein Virus muß von jemanden geschrieben werden » damit ein Virus aktiv werden kann, muß er, z. B. durch Programmstart, aktiviert werden. » ein Virus benötigt einen Wirt (Wirtsprogramm) ____________________ 1Anmerkung: Diese Definition wurde allgemein gehalten, damit auch spezielle Computerviren, wie etwa "Companionviren" erfaßt werden können. Beschreibung aller Virenarten und Virengattungen Seite: 5 » ein Virus vervielfältigt sich demnach selbständig und deshalb meistens unkontrolliert (lack of control)! » ein Virus verändert seine "Umgebung" » es gibt keine "gutartigen" Viren, weil Viren in den Betriebssystemablauf eingreifen, was zu Softwareanomalien führt (unauthorized data modifica- tion). Mit einem "research virus" bezeichnet man Viren, die zwar geschrieben wurden, aber nie verbreitet wurden. Es handelt sich hierbei meistens um extrem primitive Viren2 oder Viren, die direkt vom Virenautor an Antivirenforscher geschickt wurden. Mit "in the wild" bezeichnet man Computerviren, die außerhalb von den Labors von Virenforschern gefunden wurden. Der Begriff "in freier Wildbahn" wird teilweise auch hierfür verwendet. Eine Variante ist ein Virus, der durch Modifizieren eines bekannten Virus entstanden ist. Beispiele hierfür sind hinzugefügte Funktionen oder Änderungen am Viruscode um eine Entdeckung zu erschweren. Trifft einer dieser Punkte nicht zu, so handelt es sich eventuell um ein Trojanisches Pferd, einen Wurm, eine logische Bombe oder eine andere Softwareanomalie. 1.4.3 Der Wirt In der Biologie bezeichnet man das Medium, daß einen Krankheitserreger transportiert als Vektor einer Infektion. Im Computerbereich hat sich hierfür die Bezeichnung Wirt eingebürgert. Ein Wirt ist eine Betriebssystemkomponente, die von einem Virus befallen (infiziert) werden kann und es dem Virus ermöglicht, sich weiterzuverbreiten. Einen infizierten Wirt bezeichnet man auch als verseucht. 1.4.4 Die Infektion Die Infektion ist der Befall eines Wirtsprogrammes durch einen Virus. 1.4.5 Würmer (worms) Ein Wurm ist ein eigenständiges Programm, das Kopien von sich selbst erzeugt und zum Ablauf bringt. Der Begriff Wurm kommt aus der UNIX-Welt. Die Bezeichnung "Wurm" ist etwas verwirrend. Vermutlich kommt die Bezeichnung Wurm von der Eigenschaft des Wurmprogrammes, sich von Benutzer zu Benutzer durchzufressen. Eine andere Erklärung für die Bezeichnung "Wurm" könnte eventuell von dem UNIX Spiel "worm" ____________________ 2Sogenannte "Virogen"-Viren. Beschreibung aller Virenarten und Virengattungen Seite: 6 abgeleitet werden: In diesem Spiel wird der Wurm beim Fressen immer länger. Ein Computerwurm "frißt" sich auch von System zu System durch und wird dabei immer "länger", solange bis die Systemlast so groß ist, bis das System zusammenbricht. Ein Wurm ist die Vereinigung aller einzelner Wurmsegmente. Ein Wurmsegment ist ein lauffähiges Programm, welches sich innerhalb von Netzwerken selbst vervielfältigt, ohne hierbei Wirtsprogramme zu verändern bzw. zu infizieren. Ein Wurm benötigt - im Gegensatz zu Computerviren- keinen Wirt. Wurmsegmente können sich gleichzeitig in verschiedenen Systemen befinden. Dies geschieht z. B. auf vernetzten Rechnern durch Prozeßgabelung (z. B. mit dem fork-Systemaufruf) oder, wie beim Tannenbaumwurm, durch Duplizieren und Versendung des eigenen Programmcodes an andere Rechner. Der Wurm kann mehrere Programme auf dem eigenen Rechner gleichzeitig ablaufen lassen (Multitasking) oder andere Rechner über Netzwerkdienste nutzen. Weil auf einem isolierten Rechner keine Verbreitung erfolgen kann, sind Würmer typisch für Netzwerke. Ein wichtiges Kriterium für einen Wurm ist, daß er sich selbst an andere Rechner versenden darf und dort sich selbst starten kann. Gerade der Fernstart ist aus Sicherheitsgründen normalerweise nicht möglich. Die Praxis hat jedoch gezeigt, daß dies möglich ist, z. B. Morris_s "Internet-Wurm" [Morr88]. 1.4.6 Kettenbriefe Der Kettenbrief ist eine Spezialform des Wurmes, der die Aufgabe hat, in den elektronischen Postkästen des Netzes Nachrichten abzulegen (Email). Beispiel: Clausthaler Weihnachtsbaum. 1.4.7 Trojanisches Pferd Ein trojanisches Pferd (kurz auch Trojaner) ist ein Programm, das eine bestimmte gewünschte Funktion ausführt, jedoch auch unerwartete (und unerwünschte) Funktionen enthält. Von diesem Gesichtspunkt aus ist ein Trojanisches Pferd einem Virus ähnlich, mit der Ausnahme, daß ein Trojanisches Pferd sich nicht vermehrt. 1.4.8 Speicherresident Ein speicherresidenter Virus installiert sich beim Ausführen eines verseuchten Wirtsprogrammes selbst als ein Teil des Betriebssystemes. Der Virus bleibt solange im Arbeitsspeicher, bis das System ausgeschaltet wird. Ist solch ein Virus erst einmal im Arbeitsspeicher installiert, kann er jeden passenden Wirt bei einem geeigneten Zugriff infizieren. 1.4.9 Tarnkappenviren Ein Tarnkappenvirus (engl. Stealthvirus, stealth = heimlich) ist ein speicherresidenter Virus, der versucht, eine Entdeckung von sich selbst zu verhindern, indem er sein Vorhandensein in infizierten Wirten verheimlicht. Beschreibung aller Virenarten und Virengattungen Seite: 7 Um dies zu erreichen, muß solch ein Virus Systemaufrufe, die einen Zugriff auf den infizierten Wirt durchführen, abfangen und entsprechend manipulieren. 1.4.10 Verschlüsselte Viren Ein verschlüsselter Virus besteht aus zwei Teilen: aus einem kurzen Entschlüsselungsteil (decryptor) und dem verschlüsselten Rest (encrypted body). Wird solch ein verschlüsselter Virus ausgeführt, wird zuerst der Decryptor ausgeführt, der den eigentlichen Virus entschlüsselt. Ein variabel verschlüsselter Virus benützt verschiedene Schlüssel oder verschiedene Verschlüsselungsalgorithmen. Solche Viren werden auch als oligomorph verschlüsselt bezeichnet. Ein polymorph verschlüsselter Virus ist ein variabel verschlüsselter Virus, der zwar funktionelle gleiche Kopien seiner selbst erzeugt, diese Kopien sind von ihrem Aussehen jedoch total unterschiedlich. Eine Routine, die solche polymorphen Decryptoren erzeugt, wird auch als "Mutation Engi- nes" bezeichnet. 1.4.11 Selbst-upgradend Ein Virus, der nach Vorgängerversionen seiner selbst sucht und diese durch sich selbst ersetzt, bezeichnet man als "selbst- upgradend". 1.5 Erste Attacken Die ersten sich selbstreproduzierenden Programme waren sogenannte "mainframe rabbits" ([Ferb92], S. 5), die 1966 am MIT, Boston von zwei Studenten geschrieben wurden. Diese Programme, die als Interpreterscript für den Batchbetrieb eines CTSS Timesharing-Systemes auf einer IBM 7090 geschrieben wurden, erzeugten von sich selbst Kopien und verlangsamten so den Systemdurchsatz enorm. Aufgrund eines Fehlers des Systems wurde der Rechner lahmgelegt. Der Interpreter unterstützt oft Kommandos für Prozeßgenerierung und Prozeßmanipulation. Der "rabbit" kann sich in diesem Fall zig mal kopieren und alle Prozeßqueues füllen, die erreichbar sind. Ältere Systeme, die noch keinen Prozessorscheduler besitzen, brechen dann irgendwann unter der Systemlast zusammen. 1.5.1 Die ersten Netzwerkwürmer 1972 beschrieb David Gerrold in seinem Buch "When Harlie Was One" das Konzept eines Netzwerkwurmes, der sich über Selbstwähl- Modems auf andere Rechner kopiert, sich dort aktiviert und seine alte Kopie löscht ([Ferb92], S. 6). Diese Beschreibung trifft grob auf die ersten Würmer ("Creeper" und "Reaper") zu, die von zwei Forschern in den 70_er Jahren zu Demonstrationszwecken entwickelt wurden. Creeper druckte ein Datei aus dem System aus, wartete und kopierte seinen Programm- code auf einen anderen vernetzten Rechner und löschte sich auf Beschreibung aller Virenarten und Virengattungen Seite: 8 dem Ursprungsrechner. Creeper "kroch" somit langsam von Rechensystem zu Rechensystem. Creeper wurde dahingehend modifiziert, daß er zusätzlich noch Kopien von sich selbst erzeugte und diese nicht mehr löschte! Der erste Netzwerkwurm war geboren. Nun wurde der Wurm Reaper entwickelt, der nach Kopien des Creaper-Programmes suchte und diese löschte. Somit war auch das erste "Antivirenprogramm" entwickelt worden. Solche Programme, die selbst von ihrem Aufbau Viren sind, jedoch den Auftrag haben, einen anderen Virus zu suchen und zu zerstören bezeichnet man als "Anti-Anti Virus". Im Xerox Alto Research Center wurden 1982 die ersten Würmer für verteilte Berechnungen erstellt. Aufgrund eines Programmfehlers vermehrte sich der Wurm unkontrolliert und brachte das System zum Zusammenbruch. Der Internet-Wurm, der 1988 von Morris freigesetzt wurde, vermehrte sich innerhalb eines Tages auf schätzungsweise hunderten bis mehreren Tausend Rechnern. Der Internet-Wurm war der erste Wurm, der weltweit publik wurde. 1.5.2 Die ersten Viren 1980 wird der erste Laborvirus auf einem APPLE II entwickelt. 1981 wird der Virus "Elk Cloner" auf einem APPLE II entdeckt. Er führt zufällige Aktionen aus, infiziert den Bootsektor und bindet sich speicherresident in die Interruptes ein. 1982 wird von Joe Dellinger der erste selbst-upgradende Virus für einen APPLE II mit DOS 3.3 verbreitet. 1.5.3 Erste wissenschaftliche Untersuchungen Professor L. Adelmann, Universität South California, prägt als erster den Begriff "Computervirus". Der erste, der sich wissenschaftlich mit der Untersuchung von Computerviren beschäftigte, war Fred Cohen. Ein Artikel von ihm "Computer Viruses - Theory and Experiments" erschien 1984, seine Doktorarbeit über das gleiche Thema beendete er 1986 ([Treb92], S. 16f). Cohen war auch einer der ersten, die experimentelle Viren auf Großrechnern entwickelte. Die nachfolgende Tabelle gibt einen kurzen Überblick über seine Tätigkeiten. Datum Beschreibung 03.11.83 Entwicklung eines Virus für UNIX (VAX 11/750). Die Programmierung dauerte 8 Stunden, die Systemrechte erlangt der Virus nach durchschnittlich 30 Minuten. 10.11.83 Experiment mit einem über ein Bulletin Board (BBS) eingeschleustem Programm. Juli 84 Tests auf Bell-LaPadula System (Univac 1108) August 84 Test unter UNIX (VAX) Beschreibung aller Virenarten und Virengattungen Seite: 9 31.08.84 Veröffentlichung seiner Arbeit "Computer Viruses - Theory and Experiments" bei Professor L. Adelmann. Tabelle: Erste wissenschaftliche Viren Dies waren die ersten experimentellen Viren auf wissenschaftlicher Basis. 1.6 Chronologischer Rückblick - 1985 - Am 11.12.85 veröffentlichte die Zeitschrift "Apples" ein Virus im Quellcode für den APPLE II. Die Zeitschrift "Computer Persönlich" zog mit ihrer Ausgabe Nr. 24 vom 12.11.86 nach, die ebenfalls den Quellcode für einen Virus für den APPLE II enthielt ([Treb92], S. 18). - 1986 - Im Januar 1986 wurde die erste Vireninfektion auf einem Großrechner für Datenverarbeitung an der FU in Berlin entdeckt. 19863 wurde der erste Virus für Rechner mit INTEL-Architektur entdeckt, der sog. Pakistani-Brain4 Virus. Mitte des Jahres tauchten die ersten DOS-Viren in englischsprachigen Programmen auf. Kurz darauf wurden die Dateiviren Vienna, Cascade, LeHigh sowie die Bootviren Yale, Stoned und Pingpong gefunden. - 1987 - Im November 1987 wird der Virus LeHigh gefunden, der eine neue Technik verwendet, ein sogenannter Stackbereich Infektor. Kurz darauf (Dezember 1987) wurde der Israeli-#1 (Suriv) Virus an der Universität von Jerusalem gefunden, der der Urvirus der Jeru- salem Familie5 ist. Im gleichen Jahr wird in Deutschland der Cascade Virus (1701/1704) gefunden. Er ist der erste speicherresidente verschlüsselte Virus, man spricht deshalb auch von der zweiten Virengeneration. Für andere Rechner tauchen ebenfalls die ersten Viren auf, ____________________ 3Hier gehen die Meinungen nach dem ersten Auftauchen des Brain- Virus auseinander. Laut [Esch93] wurde er im Oktober 1987 an der Universität von Dalaware entdeckt. Laut Experten, könnte der Vorgänger des Brain-Virus, der Ashar-Virus, jedoch aus dem Jahre 1986 oder früher stammen. Sicher ist jedoch, daß er im Januar 1986 in Pakistan gefunden wurde, siehe ([Ferb92], S. 11). 4Ein speicherresidenter Bootvirus, mit Tarnkappeneigenschaften. Er konnte jedoch nur 360 KB Disketten infizieren. 5Vom Jerusalem Virus gibt es schätzungsweise 300, zum Teil sehr stark modifizierte Varianten! Beschreibung aller Virenarten und Virengattungen Seite: 10 + MAC - nVir wird in Deutschland entdeckt, im Dezember der Peace Virus. + Amiga - Swiss Cracker Association Virus. + Atari - Pirate Trap Virus und Aladdin (der erste Cross- Platform Virus) + UNIX - IBM MVS 370 Virus, im Juni ein anderer UNIX Virus In der "c_t" wird 1987 ein Artikel mit dem Source-Code von einen Virus für den Atari ST veröffentlicht. Aus diesen Quellcode entsteht ein ganzer Virenstamm in der Nachfolgezeit. Es werden deshalb die ersten Kritiken zur Veröffentlichung von Viren Source-Codes laut. Der Clausthaler Weihnachtsbaum (Christmas Tree Exec) wird am 17.12.87 von der Hochschule Clausthal-Zellerfeld über IBM-VNet, EARN und BitNet um die ganze Welt geschickt. Es handelt sich hierbei um einen speziellen Wurm, einen sogenannten Kettenbrief, der sich über Email Adressen verbreitet. - 1988 - 1988 wird der erste Virenbaukasten (Virus Construction Set) für den Atari ST veröffentlicht. Im gleichen Jahr erlangen die Netzwerk Würmer "Internet-Worm" und "Father Christmas" weltweite Verbreitung. - 1989 - Der erste polymorphe Virus (1260, V2Px oder Washburn) wird 1989 gefunden. Es werden die ersten Dateiviren (Frodo) gefunden, welche Tarnkappeneigenschaften verwenden. Erste internationale Bemühungen, Viren zu klassifizieren. Die ersten gedruckten Dienste, die über Viren informieren (Virus Bulletin und Virus Telex) erscheinen. Weitere Würmer tauchen auf; der WANK (Worm against nuclear killers) und OILZ Wurm. Die AIDS Trojan Diskette wird weltweit versendet. Die Medien finden Interesse an der Thematik Computer Viren. Die ersten Artikel und Bücher werden veröffentlicht. - 1990 - Der Whale Virus wird 1990 entdeckt, er ist ein "Super"-Virus6, kann sich selbst modifizieren, ist oligomorph verschlüsselt und enthält Tarnkappeneigenschaften. Er ist bis heute der größte speicherresidente Virus für das DOS Betriebssysteme. Auf dem Ma- cinthosh wird ein Trojanisches Pferd gefunden, daß das LaserWriter Paßwort verändert. In diesem Jahr wurde der DIR-II Virus unter DOS freigesetzt. Es ist ein ganz neuer Virustyp, er infiziert nämlich nicht Programme sondern deren FAT Einträge. Das erste Virus Construction Set (VCS) vom "Verband deutscher Virenliebhaber" für DOS wird verbreitet. - 1991 - ____________________ 6Laut Gerüchten, soll er sogar von Virenforschern als "Laborvirus" programmiert worden sein. Dieser Virus hat eher wissenschaftlichen Charakter, der wurde nie groß in der "freien Wildbahn" (in the wild) gefunden. Beschreibung aller Virenarten und Virengattungen Seite: 11 Im Jahre 1991 taucht eine Vielzahl neuer Viren auf, die Anzahl der neu gefunden Viren wächst jetzt langsam aber sicher exponentiell an. Der Yankee.Login (Get Password) Virus wird entdeckt. Er wurde speziell für Novell-Netware (unter DOS) programmiert, um Paßwörter auszuspähen. Die weltweite Zusammenarbeit wird besser, es werden die Organisationen CARO (Computer Anti-Virus Research Organisation) und EICAR (European Institute for Anti-Virus Research) gegründet. - 1992 - Die erste Mutation Engine wurde 1992 von "Dark Avenger" als Objektdatei veröffentlicht. Seither gibt es eine wahre Flut an Mutation Engines. - 1993 - Ab 1993 kann man generell sagen, daß DOS Computerviren eine eigene Dynamik entwickelt haben. Fast jeden Tag tauchen zwei bis drei neue Computerviren auf und ca. jeden Monat taucht eine neue Mutation Engine oder ein neues Virenkit auf. Prinzipiell gibt es seit diesem Zeitpunkt keine neuen Viren mehr, nur altbekanntes in neuen Variationen, wie z. B. Kernel-Infektoren oder permutierenden polymorphe Viren. - heute - Mit den "neuen" Betriebssystemen wie OS/2, Windows oder UNIX Derivate für PC sind auch neue Viren für diese Betriebssysteme entstanden. Im Gegenzug kam die Virenentwicklung z. B. beim Macintosh oder bei UNIX Würmern fast zum Stillstand, weil einige Virenprogrammier erfolgreich verurteilt wurden, was zu einer Abschreckung führte. Weitere Trends in der Virenentwicklung habe ich in einem eigenen Kapitel "Trends in der Virenentwicklung" zusammengefaßt. Aus diesen Gründen konzentriert sich diese Arbeit hauptsächlich auf DOS Computerviren. ─══[ 2 KLASSIFIZIERUNG/TYPOLOGIE ]═════════════════════════════─ Im nachfolgenden Kapitel möchte ich existierende Viren nach ihrem Infizierungsverhalten klassifizieren. Im nächsten Kapitel wird dann auf die möglichen Attribute eingegangen, die Computerviren haben können. 2.1 Einleitung Die nachfolgende Beschreibung bezieht sich fast ausschließlich auf Computerviren, die unter dem Betriebssystem DOS7 auftreten. Abgesehen von Tarnkappentechniken und einigen speziellen Dateiformaten unter DOS/Windows ist die Beschreibung der Viren- arten auf jedes Betriebssystem übertragbar! ____________________ 7Anmerkung: Fast alle Viren laufen unter den verschiedenen DOS Versionen wie MS-DOS, PC-DOS, DR-DOS oder Novell-DOS. Beschreibung aller Virenarten und Virengattungen Seite: 12 2.1.1 Aufenthaltsbereiche von Viren PCs besitzen zwei Bereiche, die für eine Vermehrung von Viren generell in Betracht kommen. Es handelt sich um das Dateisystem und um den sogenannten Bootrecord. Somit kann zwischen zwei Virenarten unterschieden werden, nämlich + Dateiviren, die + Dateien (Programme) oder das + Dateisystem infizieren und + Bootviren, die + den Master Boot Record (MBR) oder + den aktiven Bootrecord infizieren. Kann ein Virus beide Bereiche infizieren, bezeichnet man in als Hybridvirus oder auch multipartite. Es folgt eine Klassifizierung von Viren nach Art und Weise der Infektion, anschließend werden die verschiedenen Virengattungen genauer beschrieben. «UNGULTIGES_FELD: Objekt» Abb.: Grobe Klassifizierung von Viren und deren hauptsächliche Verbreitung 2.2 Bootviren Bootviren infizieren keine Programme, sondern den sogenannten Bootsektor, auch Bootrecord genannt! Man unterscheidet zwischen zwei Arten von Bootviren, die sich in der Infizierung der Festplatte unterscheiden. Bei der Infizierung von Disketten verhalten sie sich jedoch gleich. Es handelt sich um + MBR-Viren (Partitionsviren)8 + DOS-Bootviren (DBR) ____________________ 8 MBR ist die Abkürzung für "Master Boot Record" Beschreibung aller Virenarten und Virengattungen Seite: 13 «UNGULTIGES_FELD: Objekt» Abb.: Klassifizierung von Bootviren Eine Zwitterstellung nehmen die Hybrid-Viren und Kernel-Viren ein, ihr Merkmal ist jedoch, daß sie auch den MBR, den DBR der Festplatte oder DOS Bootsektoren auf Disketten infizieren können. Achtung: Bootviren sind normalerweise speicherresident und extrem infektiös! Bei einem aktiven Bootvirus wird jede Diskette, die nicht schreibgeschützt ist, von dieser Virenart infiziert! Bootviren verbreiten sich somit schnell und sehr effektiv. Im Zeitraum September 1994 bis Mai 1995 waren die 10 am häufigsten auftauchenden Viren Bootviren! Knapp dahinter folgen dann die Hybridviren, die ebenfalls den MBR von Festplat- ten infizieren. 2.2.1 MBR-Viren (Partitionsviren) Fast alle Viren, die auf Diskette den Bootsektor befallen, infizieren auf der Festplatte nicht den DOS-Bootsektor, sondern den Master-Boot-Record (MBR), im Sprachgebrauch fälschlicherweise auch "Partition Table" (Partitionstabelle) genannt. Der MBR (Master Boot Record) befindet sich auf dem er- sten physikalischen Sektor der Festplatte und hat bei allen PCs ein einheitliches Format9. Die Partitionstabelle, welche die Daten über die einzelnen Plattenpartitionen enthält, ist ein zusätzlicher Bestandteil des MBR. In der Partitionstabelle können bis zu vier Partitionen aufgenommen werden. Eine dieser Partitionen wird normalerweise als aktiv markiert. Der MBR enthält zusätzlich ein kleines Programm (Lader), welches bei Rechnerstart direkt vom BIOS her geladen und aufgerufen wird und den Rechner auf das Booten des eigentlichen Betriebssystems vorbereitet. Das Ladeprogramm prüft anhand der Partiti- onstabelle, welche Partition als aktiv markiert ist. Anhand der weiteren Daten in der Partitionstabelle wird dann der erste Sektor der aktiven Partition geladen und ausgeführt. Diesen Vorgang nennt man "bootstrapping". Dieses Ladeprogramm wird nun von einem MBR-Infektor entweder überschrieben, verschoben und ersetzt, oder teilweise manipulie- rt. Viren, die so verfahren, zählen im Sprachgebrauch zu den Bootviren. Manche Viren, die Dateien infizieren, sind so pro- grammiert, daß sie auch den MBR infizieren (siehe Hybrid-Viren). MBR-Viren sind somit nicht auf das Betriebssystem DOS beschränkt, sondern können auch OS/2 und Linux-Rechner infizieren, die den PC Befehlssatz verwenden! Viren, die den MBR infizieren, können dies auf mehrere Arten tun: ____________________ 9 Siehe auch im Anhang: "MBR- und Partitionstabellen-Layout" und "Boot- und MBR-Beschreibung". Beschreibung aller Virenarten und Virengattungen Seite: 14 + Ersetzen des MBR und Verwenden von Tarnkappeneigenschaften. Sobald der Virus aktiv ist, scheint somit der MBR unverändert zu sein. + Überschreiben oder Ersetzen des Ladeprogrammes, die Partitionstabelle wird jedoch übernommen. Dies ist sehr gefährlich, falls z. B. ein UNIX oder OS/2 Betriebssystem nachgeladen werden soll, weil im Ladeprogramm teilweise schon betriebssystembezogene Aktionen durchgeführt werden, die der Virus natürlich nicht durchführen kann. Oftmals hängt dann ein solches System. + Es gibt auch Viren, die den MBR anders als hier beschrieben infizieren. Sie verändern z. B. nur Teile des MBR, legen für sich selbst eine neue Partition in der Partitionstabelle an, von wo aus sie dann weiterbooten lassen, oder sie codieren den gesamten MBR samt Partitionstabelle so, daß dieser nur bei geladenem Virus lesbar ist (z.B. ExeBug). Auch gibt es Viren, die den MBR aufgrund eines Programmierfehlers (oder absichtlich) einfach überschreiben (z. B. Monkey oder Azusa). Abb.: Infektionsmechanismus von MBR-Viren Viren, die den MBR infizieren, müssen mit speziellen Antiviren- programmen entfernt werden, weil die Partitionstabelle nicht gelöscht werden darf und der Virus durch ein entsprechendes Ladeprogramm ersetzt werden muß. Andernfalls muß die Festplatte formatiert werden! Mit dem Programm Norton Disk Doktor kann unter Umständen solch ein Virus entfernt werden. Bekannte Beispiele für Bootviren sind: Monkey, Jack The Ripper, Parity Boot, Stoned, Cansu (V-Sign), AntiExe, Michelangelo und Pakistani Brain. 2.2.2 DOS-Bootviren (DBS-Viren) Diese Sorte Viren benutzen den sogenannten DOS-Bootsektor als Wirt, in den sie sich einklinken. Sie werden jedesmal beim Starten von DOS geladen. Der DOS-Bootsektor ist der erste logische Sektor einer Diskette oder einer Festplatte. Er enthält ein kurzes Programm, anhand dessen DOS das Betriebssystem laden kann, wenn die Partition bzw. Diskette bootfähig ist. Dieses Programm wird nun von einem Bootsektorvirus entweder an eine andere Stelle des Datenträgers kopiert, während der Virus den Bootsektor überschreibt und eine Referenz auf das original Bootprogramm erstellt, oder es wird der Code im Original Bootprogramm manipulieren, so daß beim Booten zuerst der Virus- code ausgeführt wird und dieser sich hinterher zum Origi- nalprogramm rückverzweigt. Es wird also zuerst der MBR aus- geführt, der als aktive Partition DOS angemeldet hat, dann der Virus und erst dann wird der original DOS-Bootsektor nachgeladen! Die meisten Bootviren lassen sich jedoch sehr einfach durch Verwendung des SYS-Befehls entfernen. Ein Beispiel hierfür ist der Form-Virus, der schon manchen OS/2 Anwender zur Verzweiflung gebracht hat. Szenario: OS/2 ist als aktive Partition in der Partitionstabelle angemeldet. Der Form- Virus lädt jetzt den ersten Sektor der OS/2 Partition, speichert ihn am Ende der Festplatte ab und ersetzt ihn durch sich selbst. Beschreibung aller Virenarten und Virengattungen Seite: 15 Wird jetzt OS/2 gebootet, wird zuerst Form aktiv, der dann versucht, den original OS/2 Bootsektor nachzuladen. Dies kann jedoch fehlschlagen, weil eventuell OS/2 ihn überschrieben hat. Das System hängt dann! Das gleiche Problem kann auftreten, falls eine Komprimierungssoftware wie Stacker oder DoubleSpace verwen- det wird. 2.3 Hybridviren Hybridviren sind Viren, die einerseits Programme und anderer- seits den Partitionssektor der Festplatte infizieren. Die Hybridviren werden dann beim "Hochfahren" des Systems schon aktiviert und sind dementsprechend schwierig zu entfernen (Bsp.: Natas, Junkie, Flip-B und Tequila). Inzwischen gibt es Hybridviren, die zusätzlich in der Lage sind, auch Bootsektoren von Disketten zu infizieren! Bekannte Beispiele für Hybridviren sind Natas, Goldbug, Junkie oder Neuroquila. 2.3.1 Multipartite Eine weitere Bezeichnung für Hybridviren ist "Multipartite". Ein solcher Virus kann Wirte auf verschiedene Weise infizieren, wie z. B. Companiondateien erzeugen und zusätzlich den MBR infizieren. Der Virus Goldbug, der Partitionssektoren und Diskettenbootsektoren infiziert und zusätzlich Companiondateien erzeugt, ist z. B. ein solcher Multipartite Virus. 2.4 Systemviren (Cluster-Viren) Diese Virenart benutzt eine besondere Eigenschaft von DOS aus, um ein DOS-Dateisystem zu infizieren. Diese Methode wird bislang ausschließlich vom DIR-II (Creeping Death) Virus und dessen Varianten benutzt. Die zusätzlich verwendeten Techniken läßt DIR-II zugleich in die Gattung der Stealthviren fallen. Geschrieben wurde der DIR-II Virus 1990 in Bulgarien, Varna, von zwei Mathematikstudenten. Der DIR-II Virus ist extrem virulent, weshalb er zu den meistverbreiteten Viren gehört, obwohl er im Original nur mit DOS 3.0 bis DOS 5.0 Beta funktioniert. Wirkungsweise: Wird der Virus das erste Mal gestartet, nistet er sich als Bestandteil des Betriebssystems (im CONFIG-Bereich) speicherresident ein. Der Virus bindet sich als weiterer Devicetreiber ein, deklariert sich aber als Bestandteil von COMMAND.COM. Durch die Deklarierung als Betriebssystembestandteil kann man ihn schwerer lokalisieren. Wird jedoch ein schon infiziertes System gebootet, vergrößert er den Bereich des Kommandointerpreters um ca. 1.5 KB! Als nächsten Schritt schreibt sich der Virus selbst in die letzten 1024 Bytes des Datenträgers, d. h. bei Festplatten, 360 KB & 720 KB Dis- ketten in den letzten Cluster, bei 1.2 MB & 1.44 MB Disketten in die zwei letzten Cluster. Diese Cluster werden vom Virus als belegt markiert (als EOF). Daten, die dort standen, sind verloren! Anschließend versucht er auf dem C: Laufwerk die Datei c:" " (Alt-255) auszuführen, was dazu führt, daß DOS das aktuelle Verzeichnis und den ganzen Pfad (PATH=...) durchsucht. Beschreibung aller Virenarten und Virengattungen Seite: 16 Weil der Virus schon aktiv ist, werden beim Durchsuchen alle Programme im Pfad infiziert! Der Virus selbst verwendet selbst keine Interrupts, sondern fängt DOS Device Treiberaufrufe ab, die er entsprechend modifiziert. Infiziert werden vom Virus Einträge aller aus- führbaren Dateien (COM & EXE) in der ersten FAT (File Allocation Table). Der Virus kopiert und verschlüsseltet deren Zeiger auf die ungenützten Einträge in der ersten FAT, während er den Originaleintrag auf sich selbst umsetzt. Ruft der Benutzer nun ein Programm auf, wird aufgrund des umgesetzten Eintrags zuerst der Virus aufgerufen. Dieser sieht nun in seiner "eigenen FAT" nach, welches Programm der Benutzer eigentlich starten wollte und lädt nun dieses von der Festplatte in den Speicher, wo es gestartet wird. Stealthtechniken: Die Disketten- und Festplattengröße wird vom Virus als um einen Cluster kleiner deklariert, weshalb nicht auf den eigentlichen Virus zugegriffen werden kann. Wenn von DOS aus auf einen infizierten Directorysektor zugegriffen wird, verän- dert der Virus den Sektor im Arbeitsspeicher derart, daß er uninfiziert erscheint (100% Stealtheigenschaften). Der Benutzer merkt also vom Virus nichts, weil der eigentliche Wirt überhaupt nicht verändert wurde, sondern nur dessen Directory-Eintrag! So- lange der Virus im Speicher ist, sehen nämlich alle Ver- zeichnisse und Einträge völlig normal aus. Bootet man jedoch von sauberen Diskette und schaut sich ein Verzeichnis auf der Festplatte an, so haben alle ausführbaren Dateien die Länge 1024 Bytes (Anmerkung: Länge des Virus) und zeigen auf die gleiche Datei, nämlich den Virus, der sich am Ende des Datenträgers befindet (s. o.). Durch die "Cluster"-Technik kann diese Virenart nicht von Checksummenprogrammen und Monitorprogrammen erfaßt werden! Dieser Virus ist so vermehrungsfreudig, daß er sich, einmal resident, bei bloßen Lesezugriffen auf nicht schreibgeschützte Disketten kopiert und dort in gleicher Weise den Datenträger infiziert. Die Aliasbezeichnung "CD = Creeping Death" (schleichender Tod) ist in diesem Fall sehr treffend! DIR-2 hat sich nach seiner "Freisetzung" durch seine Autoren wie ein Flächenbrand von Bulgarien aus durch Osteuropa über die ganze Welt verbreitet. 2.5 Kernel-Viren Diese neue Virenart wurde erstmals im Oktober 1994 im russischen Virus "3APA3A" entdeckt. Dieser Virus benützt einen komplexen Infektionsmechanismus, jedoch einen komplett neuen. Wie herkömmliche Bootviren infiziert der Virus Bootsektoren von Dis- ketten auf die "herkömmliche" Art. Seine Art, die Festplatte zu infizieren, ist jedoch (noch) einzigartig. Bei Festplatten wird die Datei IO.SYS bzw. IBMBIO.COM infiziert, die zum DOS Kernel gehört. Der Virus erzeugt hierbei eine Kopie der Datei IO.SYS, die dann jedoch ein anderes Attribut (Volumelabel) trägt. Wird DOS gestartet, wird der Virus durch das Ausführen der Datei IO.SYS aktiv. Weil der Virus nicht die Partitionstabelle infiziert und eine Kopie von IO.SYS als geschützte Volumendatei anlegt, kann der Virus nicht mit FDISK oder SYS entfernt werden. Beschreibung aller Virenarten und Virengattungen Seite: 17 2.6 Dateiviren (Fileviren) Unter dem Betriebssystem MS-DOS gibt es verschiedene Pro- grammarten (BAT, COM, EXE, SYS, Overlays, Linklibaries oder Windowsprogramme), die sich teilweise erheblich voneinander unterscheiden. Dateiviren unterscheiden deshalb normalerweise diese Programmarten bei einer Infektion. Man unterscheidet generell zwischen + überschreibenden Dateiviren und + sich anhängenden Viren (Linkviren oder Prepend- /Appendviren) Eine weitere genauere Klassifikation erfolgt weiter unten. Wie schon unter der Beschreibung zu Bootviren erwähnt, ist es schwierig Hybridviren und Systemviren genau einer Kategorie zuzuordnen, weshalb sie hier nochmals aufgeführt werden. «UNGULTIGES_FELD: Objekt» Abb.: Verschiedene Klassen von Dateiviren 2.6.1 Überschreibende Dateiviren Der Virus überschreibt den Anfang des befallenen Wirtspro- grammes. Das heißt, daß das Wirtsprogramm nicht mehr lauffähig ist! Durch das Überschreiben ändert sich die Dateilänge nicht (falls der Wirt größer als der Virus ist). So ein Virus ist selten, . weil er schon bald auffällt, und . weil bald kein Programm mehr läuft! . weil er meistens nicht speicherresident (= gute Vermeh- rung) ist Aus diesen Gründen sind solche Viren leicht zu entdecken, ein Entfernen aus dem Wirt ist jedoch durch das Überschreiben nicht mehr möglich! Der am meisten verbreitete überschreibende Virus unter DOS dürfte der Burger10 (560) Virus sein. Die Mini Viren (Länge unter 80 Bytes) sind zwar auch überschreibend, jedoch so kurz (z. B. 22 Bytes), daß das Wirtsprogramm oft noch lauffähig 'bleibt'. Überschreibende Viren sind die einfachste Virengattung, weshalb z. B. der erste OS/2-Virus überschreibend ist. Abb.: Infektionsmechanismus von überschreibenden Viren ____________________ 10Der Buchautor Ralf Burger hat diesen Virus als Assemblerlisting in einem seiner Bücher veröffentlicht! Beschreibung aller Virenarten und Virengattungen Seite: 18 2.6.2 Nicht überschreibende Fileviren (Linkviren) Werden auch Append-Viren oder Linkviren genannt. Sie kopieren sich von Programm zu Programm, bis das ganze System verseucht ist. Das Weiterkopieren geschieht durch Aufruf eines verseuchten Programmes. Von diesen Viren merkt man lange nichts, weil die verseuchten Programme noch lauffähig sind! Die Lauffähigkeit wird dadurch erreicht, indem sich der Virus + an das Ende des Wirtes anhängt ("to append") und den Einsprungspunkt des Programmes auf den Virencode "umbiegt" oder + den Wirt überschreibt und die am Anfang überschriebenen Programmteile sichert ("to prepend"). Nach erfolgreicher Infektion wird das Programm vom Virus rekonstruiert und ausgeführt. Ein Virus, der beide Arten an- wendet, ist der Jerusalem Virus. COM-Dateien enthalten den Virus am Programmanfang, während bei EXE-Dateien der Virus am Ende hängt und der Einsprungspunkt geändert wurde. Dies ist eine der einfachsten Virengattungen, ca. 60 Prozent aller Viren sind Link-Viren. Abb.: Infektionsmechanismus von Linkviren 2.7 Companionviren Eine eigene Gattung sind die Companionviren (Begleiter). Eine besondere Eigenschaft ist, daß sie sich nicht in den Wirt hineinschreiben, sondern sie infizieren ein Wirtsprogramm, indem sie eine neue, eigenständig ausführbare Datei erzeugen, die beim Aufruf aufgrund gewisser Umstände vor dem gewünschten Programm oder anstatt des gewünschten Programmes ausgeführt wird. Diese Datei enthält den Virus, der hinterher das vom Benutzer ge- wünschte Programm aufruft11. Eine beliebte Technik solcher Viren ist es, EXE-Files zu befallen, indem sie im gleichen Verzeichnis eine versteckte COM-Datei gleichen Namens erzeugen. COM-Dateien werden von COMMAND.COM (ab DOS 3.3) immer vor gleichnamigen EXE- Files ausgeführt, so daß der Virus beim Aufruf zuerst aktiv wird. Ein relativ neuer Virus (Goldbug) nennt seine Wirte einfach um (EXE-Endung wird durch Leerzeichen ersetzt) und erzeugt eine EXE-Datei, die beim Starten diesen Vorgang wieder rückgängig macht. Abb.: Infektionsmechanismus von Companionviren ____________________ 11Dieses Verfahren wird auch von einigen UNIX Viren ausgenützt. Es wird dann z. B. der Programmname "ProgrammXYZ" in ".ProgrammXYZ" (bitte beachten: Punkt ProgrammXYZ) umbenannt, welches durch den ls-Befehl nicht mehr sichtbar ist! Beschreibung aller Virenarten und Virengattungen Seite: 19 Companionviren werden oft in Hochsprache (PASCAL, BASIC oder C) geschrieben, weil es fast unmöglich ist, einen Linkvirus in Hochsprache zu schreiben. Da diese Viren das eigentliche Wirtsprogramm völlig unangetastet lassen, ist es für den normalen Anwender extrem schwierig, solch einen Virus zu entdecken. Insbesondere Prüfsummen-Software, die alle bisher genannten Virengattungen finden würde, könnten an dieser Stelle keine Veränderungen der Datei bemerken. Aufgrund der Eigenart von Companionviren, ihren Wirt zu infizieren, ist es nicht so einfach, eine allgemeingültige Definition für einen Computervirus zu machen. Einige Virenforscher sehen Companionviren immer noch nicht als Virus an! Nach meiner Definition sind Companionviren aber eindeutig Viren, weil sie Betriebssystemabläufe zu ihren Gunsten modifizieren, und zusätzlich sich reproduzieren. Ein Beispiel für einen Companion-Virus ist "Little Brother" oder "ACME" 2.8 Trojanische Pferde, Dropper und Scherzprogramme 2.8.1 Trojaner (trojans) Ein trojanisches Pferd (Trojaner) ist ein Programm, welches vorgibt, zum einen eine nützliche Funktion zu haben, zum anderen aber nach dem Aufruf eine unerkannte unzulässige Nebenwirkung durchführen. Die meisten Trojaner sind Programme, die unmittelbar nach der Ausführung aktiv werden und z. B. die Platte formatieren oder sonstwie Daten durcheinanderbringen (vgl. "Logische Bombe"). Trojaner haben nicht die Fähigkeit, sich zu vermehren, was sie von Viren und Würmern unterscheidet, sind jedoch weitaus zer- störerischer als die meisten Computerviren. Trojanische Pferde haben oft einen einladenden Programmnamen (ARJ, SCAN, LESBOSEX, MANDY, RUNME oder PORNO); vgl. auch Namensvetter. Diese Programme sind sehr rar, es wurden erst wenige Fälle weltweit bekannt. Trojanische Pferde sind meistens in Hochsprache geschrieben und mit 'Online-Komprimierer' ge- packt, um eine Analyse/Entdeckung zu erschweren! 2.8.1.1 Namensvettern (spoofing programs) Namensvettern sind Trojanische Pferde, die durch ihren Dateinamen den Anwender verleiten, das Programm auszuführen. Beschreibung aller Virenarten und Virengattungen Seite: 20 Folgende Tabelle zeigt ein paar populäre Programme, die jedoch Trojanische Pferde sind: Flushot Version 4 Flushot Plus Version 1.3 Virus SCAN Versionen 51, 65, 68, 70 und 72 Tabelle: Einige Beispiele für Namensvettern 2.8.1.2 Dropper Eine spezielle Art eines Trojaners ist ein Dropper (to drop = fallen lassen). Ein Dropper, der meistens verschlüsselt ist, in- stalliert einen Virus als Dateivirus oder überschreibt z. B. den Bootsektor einer Diskette mit einen Bootvirus. Ein Dropper kann sich nicht vermehren, jedoch der vom Dropper installierte Virus! 2.8.2 Logische Bomben (bombs) Eine logische Bombe ist eine Spezialart eines Trojanischen Pferdes. Logische Bomben sind lauffähige Programmteile, die in einen nützlichen Code eingebettet sind und aus einem "Auslöser" (engl. trigger) und einer "Nutzlast" (engl. payload) bestehen. Ihre zerstörerischen Funktionen werden eine gewisse Zeit lang überhaupt nicht aufgerufen. Später, wenn irgend eine Triggerbe- dingung erfüllt ist (z. B. ist ein bestimmtes Datum erreicht oder das Programm 100 mal aufgerufen wurde), "explodiert" die Bombe und ruft ihre Zerstörungsfunktion auf. Im erweiterten Sinn kann man auch den zerstörerischen Teil eines Virus als logische Bombe bezeichnen, wenn der Virus auf die Erfüllung seiner Triggerbedingung wartet, um dann aktiv zu werden, z. B. Löschen von Programmen am Freitag, den 13 ten oder wie beim Michelangelo Virus, das Formatieren der Festplatte am 6. März. Es gibt auch Trojanische Pferde und Viren, die harmlose Programme so abändern, das aus diesen Programmen eine logische Bombe wird! Beispiele hierfür sind mehrere MMIR-Viren. 2.8.2.1 Zeitbombe (time bomb) Wird die Ausführung der logischen Bombe an eine Zeitbedingung gekoppelt, spricht man auch von einer Zeitbombe. Sharewareprogramme, die z. B. die 30 tägige Testphase erlauben, haben so gesehen eine Zeitbombe einprogrammiert. 2.8.3 Scherzprogramme (jokes) Sie sollen lediglich jemanden erschrecken und zur allgemeinen Belustigung dienen, ohne schädlich zu sein (vgl. Trojaner) oder sich selbst zu vermehren. Meist fängt der Computer nach dem Auf- ruf eines Scherzprogramms irgendwann an, eine Melodie zu spielen oder sonst etwas Ungewohntes auf dem Bildschirm anzuzeigen. Scherzprogramme haben gemeinsam, daß sich das Computersystem abnormal verhält, wenn ein Scherzprogramm aktiv ist (vgl. Beschreibung aller Virenarten und Virengattungen Seite: 21 Softwareanomalien). Gerade Computerneulinge bekommen -bei Aktivierung des Scherzprogrammes- einen gehörigen Schreck oder richten in Panik und Unwissenheit sogar tatsächlichen Schaden an. Ferner kann es durch unsaubere Programmierung des Scherzprogrammes zu ungewollten Seiteneffekten kommen. Es gibt jedoch auch Scherzprogramme, die von Hackern in Tro- janischen Pferde umgewandelt wurden (z.B.: der SLOD-Trojan). Der Cascade-Virus (Herbstlaub) entstand ebenfalls aus einem Scherzprogramm, dem Programm "FALLDOWN". 2.9 Viren, die noch nicht aufgetreten sind Der nachfolgende Abschnitt beschreibt einige "Virenarten", die noch nicht entdeckt wurden oder einfach nur Mythen sind, die sich hartnäckig halten. 2.9.1 Geisterviren Geisterviren sind Viren, die von Antivirensoftware fälschlicherweise gefunden werden. Hierzu gibt es verschiedene Gründe: + Ein Virensuchprogramm hinterläßt seine Sucherkennungen un- verschlüsselt im Speicher. Das Konkurrenzprodukt, welches die gleichen Erkennungen verwendet, findet beim Durchsuchen des Arbeitsspeichers jetzt einen "Geistervirus" (z. B. TSAFE, VSAFE oder VDEFEND). + Ein Programm wurde mit einem selbstüberprüfenden Viren- schutz versehen, der für ein Virensuchprogramm wie ein Virus aussieht (z. B. TNT-Virus, F-XLOCK oder VSS). Gerade regelbasierende Virensuchprogramme melden oft einen solchen Selbstschutz als verdächtig an, weil dieser vom Codeaufbau ähnliche Strukturen wie ein Dateivirus besitzt. + Wenn eine verseuchte Diskette unter DOS mittels des DIR Befehles betrachtet wird: DOS speichert den Bootsektor der zuletzt eingelegten Diskette aus Performancegründen im Ar- beitsspeicher zwischen. Das Virensuchprogramm findet jetzt einen Geistervirus im niedrigen Arbeitsspeicher, obwohl dieser Virus tatsächlich nie aktiv ist, sondern nur im Diskettenpuffer zwischengespeichert wurde! Beim nächsten Einlegen einer virenfreien Diskette oder nach einem Kaltstart ist der Virus durch die neuen Daten überschrieben worden. 2.9.2 "Hide and Seek" Viren Das sind Viren, die sich nur eine gewisse Zeit innerhalb des Systems aufhalten. Als Verstecke könnten beispielsweise die Puf- ferbereiche intelligenter Terminals oder DFÜ-Einrichtungen die- nen. 2.9.3 "Call" Viren Diese Viren verändern unter Umständen nur ein einziges (!) Byte am Wirtsprogramm. Der eigentliche Virus wird im Massenspeicher abgelegt und wird lediglich durch den Aufruf des infizierten Programms aktiviert. Der "Nachteil" dieser Art von Viren ist aber, daß beim Fehlen des eigentlichen Virusprogrammes auf dem Beschreibung aller Virenarten und Virengattungen Seite: 22 externen Massenspeicher die infizierten Programme nicht mehr lauffähig sind! Eine Verwendung im PC-Bereich ist mir nicht bekannt. Der weiter oben beschriebene DIR-II Virus (Cluster- Virus) verwendet vom Prinzip her eine ähnliche Taktik! 2.9.4 Gepufferte Viren Das sind Viren, die sich ins batteriegepufferte RAM einnisten und ähnliche Eigenschaften wie Hardware Viren haben. Durch Ent- fernen der Pufferbatterie sind diese Viren leicht zu entfernen! Es muß jedoch damit gerechnet werden, daß sich die Viren von infizierten Programmen aus beim erneuten Starten des Systems wieder ins gepufferte RAM installieren. Ein typisches Beispiel hierfür sind Viren für den Amiga. Hinweis: Es herrscht oft die falsche Annahme, Viren könnten sich im CMOS von PCs einnisten, was aber grundsätzlich falsch ist! Das CMOS kann nur Daten speichern, jedoch keinen ausführbaren Maschinencode! 2.9.5 Hardware Viren Diese Art von Viren ist zur Zeit noch nicht existent, weil sie nur durch Veränderung der Hardware ins System eingebracht werden können. Beispiel: Austausch eines Boot-ROMs. Diese Art von Viren ist zwar recht schwierig zu installieren, aber sehr effektiv, da sie sehr schwer ausmachbar ist. Es muß jedoch beachtet werden, das dies keine Softwaremanipulation ist, sondern eine Hardwaremanipulation! Der Virus "BIOS Menegetis" ist von seiner Eigenschaft am ehesten als Hardwarevirus einzuordnen. 2.9.6 "Virus Desinformaticus" Die meisten Computeranwender sind schon einmal mit dem Thema "Viren" über die Presse, durch den Rundfunk, von Freunden oder auch durch entsprechende Software konfrontiert worden. Die Medien verstehen es, dieses Thema publikumswirksam auf- zubauschen, jedoch nutzbare Informationen werden selten weitergegeben. Viel schlimmer noch, die meisten Anwender werden dadurch regelrecht verunsichert. In unüberlegten Aktionen und durch nicht vorhandenes Wissen werden mehr Daten, Zeit und letztlich Geld zerstört, als es je ein Virus könnte. Viele Benutzer wissen deshalb nicht, welche Folgen eine Vireninfektion des Computers haben kann und wie sie sich bei einer Infektion verhalten sollen oder sich davor schützen können. Deshalb ist es bitter nötig, ein Bewußtsein für Viren unter den Computeranwendern zu schaffen. Für "Hygienehinweise" und Disziplinmaßnahmen zum Umgang mit Computerviren sowie zur Auswahl von geeigneter Antiviren Software möchte ich auf folgende Literatur verweisen: [Esch93], [FAQG93], [FAQL92] und [PB92]. ─══[ 3 VERSCHIEDENE "ATTRIBUTE" VON VIREN ]════════════════════─ In diesem Kapitel möchte ich die verschiedenen Attribute von Computerviren näher erläutern. Komplexere Viren machen oft von Beschreibung aller Virenarten und Virengattungen Seite: 23 mehreren Attributen Gebrauch, um sich dadurch erfolgreicher vermehren zu können. 3.1 Unterscheidung nach Infektionsmechanismus 3.1.1 Direct action-Viren Diese Virenart installiert sich beim Aufruf nicht resident im Speicher, belegt also auch keinen Speicherplatz. Vielmehr durchsucht der Virus direkt beim Ausführen die Laufwerke und Verzeichnisse, für die er programmiert wurde, nach Wirtsprogrammen und versucht, diese sofort zu infizieren. Man unterscheidet grob folgende Suchverfahren: + im aktuellen Verzeichnis (current directory) + 'Dot Dot'-Methode (rekursiv im nächsthöheren Ver- zeichnis -> CD ..) + über die Variable PATH + zufällige Verzeichniswahl Danach läuft das Programm, welches eigentlich gestartet werden sollte, ganz regulär ab. Solche Viren brauchen keine Inter- ruptvektoren zu verbiegen und sind von einigen residenten Wächterprogrammen, die nur Interruptvektoren kontrollieren oder überprüfen, ob sich ein Virus im Speicher einnistet, nicht zu entdecken. Sie verraten sich aber oft durch lange Zugriffszeiten bei sonst recht schnell aufgerufenen Programmen, weil das Suchen nach Wirtsprogrammen mitunter recht lange dauert. Oft haben solche Viren überhaupt keine Fehlerbehandlung und fallen dann auf, wenn z. B. ein Schreibschutzfehler bei schreibgeschützten Disketten auftritt. "Direct-action"-Infektoren können keine herkömmlichen Stealth- Techniken ausnutzen, weil dazu der Virus resident im Speicher sein muß. Die einzigen Stealthfunktionen, die solche Viren tragen können, sind das Ausschalten von Wächterprogrammen, das Benützen von SFT (s. u.) oder Tunneln. Beispiele für "Direct-Ac- tion"-Viren sind der Vienna, Danish.Tiny und VBasic-Virus sowie praktisch alle Viren mit einer Größe unter 180 Bytes. Solche Viren sind relativ einfach zu programmieren, weshalb sie die Mehrzahl der Viren darstellen! 3.1.2 Speicherresidente Viren (TSR) Bei dieser Virengattung handelt es sich fast ausnahmslos um Linkviren, die sich als TSR (TSR = Terminate but stay resident) permanent im Speicher installieren und Funktionen von DOS übernehmen, überwachen und entsprechend manipulieren oder um Bootviren, die Sektorzugriffe manipulieren. Hierzu werden entwe- der Interruptvektoren verbogen ("Interrupt-Hooking"), oder der Virus deklariert sich als Bestandteil des Betriebssystems selbst. Viren, die sich resident im Speicher befinden, können ihre potentiellen Wirte auf wirkungsvollere Weise attackieren als "Direct-action"-Infektoren, weshalb die bekanntesten Viren fast alle speicherresident sind. So können sie z. B. gewisse Stealth-Techniken ausnützen (siehe "Stealthviren"). Die meisten warten nur darauf, daß der Anwender eine potentielle Wirtsdatei startet, um sie im selben Moment zu infizieren. Oft wird dabei der "Critical-Error-Handler" (Fehlerbehandlung) von DOS ersetzt, Beschreibung aller Virenarten und Virengattungen Seite: 24 damit bei mißlungener Infektion (z. B. aufgrund eines Schreib- schutzes bei Disketten) keine Fehlermeldung erscheint. TSR Viren erzeugen meistens jedoch Nebeneffekte, weil diese Virenart mit anderer Software interferiert. 3.1.2.1 Unterscheidung der TSR-Viren nach Speicherbelegungs- strategien Es gibt verschiedene Plätze im Speicher, in denen sich unter DOS Viren einnisten. Folgende Bezeichnungen sind gebräuchlich: + TOM + Systemholes + MCB + HMA + UMB 3.1.2.1.1 TOM (Top Of Memory) Diese Virengattung dekrementiert den TOM-Zeiger (TOM = Top Of Memory, ist normalerweise 640 KB), der die Obergrenze des konventionellen DOS-Speichers angibt, und installiert sich in dem Bereich, der dann für DOS nicht mehr belegt wird. Diese Technik wird von vielen Dateiviren (G2 & PS_MPC) und fast ausschließlich von allen Bootviren verwendet (Ausnahmen: Horse.Boot und Hybrid-Viren). Man erkennt den fehlenden Speicher daran, daß beim CHKDSK für den "Konventionellen Arbeitsspeicher" nicht mehr 640 KB (655360 Bytes), sondern ein niedrigerer Wert angezeigt wird. Dies ist aber noch kein sicheres Zeichen für eine Infektion, da manche Rechner diesen Bereich als BIOS oder SCSI Stack-Bereich benutzen. Trotzdem sollte man in diesem Fall sehr vorsichtig sein. 3.1.2.1.2 Systemholes (Systemlöcher) Diese Virengattung sucht nach nicht verwendeten Speicherbereichen im DOS-Kernel oder anderen residenten Programmen (COMMAND.COM) und kopieren sich dort hinein. Diese verändern die Größe des freien Speichers nicht, wodurch sie schwierig zu finden sind. Solche Viren sind jedoch oft an eine bestimmte DOS-Version gebunden. Viele, sehr kurze Viren nisten sich auch in anderen Löcher des Arbeitsspeicher ein. Als Beispiel sei hier der obere Teil der Interrupttabelle oder der ungenutzte Videospeicher genannt. 3.1.2.1.3 MCB (Memory Control Blocks) DOS verwendet intern MCB's zur eigenen Speicherverwaltung, die auch vom Anwendungsprogramm angefordert werden können. Viren, die MCB benützen, installieren sich als TSR im normalen Speicher zwischen 0 und 640 KB. Diese kann man unter Umständen mit Speicher-Map-Utilities wie z. B. MEM von DOS, Resident oder MapMem entdecken. Fast alle Viren "entfernen" den anforderten MCB aus der MCB-Kette und markieren diesen als DOS-Bestandteil, um eine Entdeckung zu erschweren. Modernere Viren versuchen jedoch einen MCB im hohen Speicher anzufordern (s.u.), der dann über der magischen 640 KB Grenze liegt. 3.1.2.1.4 HMA und UMB Eine weitere Möglichkeit für TSR-Viren ist, sich resident in sogenannte UMBs (Upper Memory Blocks) oder in die HMA (High Memory Area) zu installieren. Aus diesem Grunde sollte man diese Speicherbereiche immer mituntersuchen lassen. Diese Methode wird Beschreibung aller Virenarten und Virengattungen Seite: 25 immer beliebter, weil heute fast jeder Rechner über hohen Arbeitsspeicher (HMA & UMB) verfügt. 3.2 Unterscheidung nach Infizierungsgeschwindigkeit Man kann hier auch noch zwischen den Infizierungsarten un- terscheiden, die sich dann in der Vermehrungsfreudigkeit des Virus bemerkbar machen. Hinter der Infizierungsgeschwindigkeit steht die "Philosophie" des Virenautors. Es wird grob zwischen folgenden Arten unterschieden: + Normale Infizierung + Schnelle Infizierung + Langsame Infizierung + Spärliche Infizierung Die Infizierungsgeschwindigkeit wird unabhängig von dem Infektionsmechanismus betrachtet. 3.2.1 Normale Infizierung Eine Infizierung erfolgt gewöhnlicherweise bei Programmaus- führung12 oder beim Öffnen des Wirtes. Dies ist die gewöhnliche Verbreitungsart der meisten Viren. 3.2.2 Schnelle Infizierung (Fast-Infector) Es gibt Viren, die jede aus irgendeinem Grunde geöffnete13 ausführbare Datei infizieren oder z. B. schon beim Lesen eines Verzeichnisses darin vorhandene Wirtsprogramme infizieren. So infiziert der DIR-Virus Dateien nur bei Anwendung des DOS- Befehles DIR oder der Lawine Virus zusätzlich bei einem Ver- zeichniswechsel. Diese Virenart wird "Fast Infector", (schneller Infektor) genannt, weil sie sich mit rasanter Geschwindigkeit in infizierten Systemen ausbreitet. Durchsucht man zum Beispiel die Platte mit einem Virenscanner, der den Virus nicht im Speicher erkennt und den Suchvorgang daher nicht abbricht, so wird durch das Scannen jede untersuchte Datei infiziert! Ein Beispiel für einen "Fast Infector" sind der "Dark Avenger" (welcher der erste war, der diese Technik verwendete), Frodo, DIR-II oder "Tiny.CPP". 3.2.3 Langsame Infizierung (Slow-Infector) Eine weitere Variante von TSR-Viren sind die "slow infectors", die "langsamen Infektoren". Ihre große Gefahr liegt darin, daß sie selbst einen ansonsten "narrensicheren" Schutzmechanismus eines Integrität-Prüfers, eines Wächterprogrammes oder sogar den eines Hardwareschutzes umgehen können. Diese Viren infizieren eine Wirtsdatei nur dann, wenn der Benutzer absichtlich in diese Datei schreibt, etwas löscht oder ein Programm z. B. durch Kompilation neu erzeugt oder sonstwie modifiziert. Dadurch kön- nen Veränderungen ausführbarer Dateien von Wächterprogrammen nicht mehr als illegal erkannt werden, weil der Benutzer ja die ____________________ 12Hierzu wird -unter DOS- meistens die EXEC-Funktion 21h/AH=4Bh vom Virus kontrolliert. 13Der Virus kontrolliert hierzu die FileOpen-Funktion von DOS, z. B. 21h/AH=6Ch oder AH=3Ch Beschreibung aller Virenarten und Virengattungen Seite: 26 befallene Datei selbst verändert hat. Ein neuer Virentyp dieser Gattung ist z. B. der "Objective"-Virus, der sich nur bei der Erzeugung von COM Programmen aus Objektdateien vermehrt. Anmerkung: Viele der EXE-Headerviren (s.o.) sind Slow-Infectors. 3.2.4 Spärliche Infizierung (Sparse) "Slow Infectors" vermehren sich, wie der Name schon sagt, sehr langsam. Dem Benutzer fällt somit das Vorhandensein eines Virus im System deshalb kaum auf. Auch sind Viren so programmiert worden, daß sie nur zu bestimmten Zeiten aktiv werden (z. B. Infizierung nur an Sonntagen, nur im Herbst oder erst nach 17 Uhr usw.). Die Eigenschaft, sich nur zu bestimmten Ereignissen zu vermehren, bezeichnet man als "Sparse". Ein Beispiel ist der Toni Virus, der am Monatsersten nur Dateien infiziert, die mit "A" anfangen, am zweiten Tag Dateien, die mit "B" beginnen usw. 3.3 Tarnkappenviren und Tarnmethoden 3.3.1 Stealthviren Die Stealthviren gehören zur sogenannten 4. Generation der Viren und stellen eine der gefährlichsten Gattungen dar. Stealthviren werden oft auch als Tarnkappenviren bezeichnet, weil er für den Anwender nicht sichtbar ist. Ein Stealthvirus besitzt die Eigenschaft, sämtliche Dateizugriffe zu überwachen und entsprechend zu manipulieren. Die Manipulation besteht auch darin, beim Öffnen einer infizierten Datei den vom Virus infi- zierten Programmteil herauszufiltern. Mittels dieser Taktik wird selbst einem Virensuchprogramm eine unverseuchte Datei sugge- riert, mit dem Ergebnis, daß kein Virus gefunden wird, wenn der Stealthvirus aktiv ist. Man spricht hier von "Pure-Stealth"- Viren (100% Stealthviren) und "disinfect on the fly" ("im Vorbeiflug desinfizieren"). Ein Längenzuwachs infizierter Da- teien mittels des DIR Befehles ist NICHT erkennbar! Stealthviren sind typisch für das Betriebssystem DOS! Es gibt Stealthviren, die Bootsektoren (z. B. Natas, Brain, Stoned III), Partitionssektoren (z. B. Natas, Tequila, Parity Check) und/oder Dateien (z. B. Natas, 4096, Holocaust, Tremor, Neuroquila, Lockout oder Pure) befallen! 3.3.2 Dir-Stealthviren Dir-Stealthviren14 sind meistens nicht -wie z. B. die Stealthvi- ren- in der Lage, den Virencode aus dem Infizierten Programm "herauszufiltern". Eine Längenänderung ist jedoch nicht er- kennbar (z. B. mit DIR). Die sogenannten Slackbereichviren (LeHigh & ZeroHunt) werden ebenfalls zu den Dir-Stealthviren gezählt, weil für den Anwender ein Längenzuwachs NICHT erkennbar ist! Der Unterschied besteht darin, daß mit einem Checksummenprogramm bei aktivem Virus dieser erkannt wird, während "echte" Stealthviren selbst Checksummenprogramme umgehen! Beispiele: ZeroHunt, Diamond oder Dark Avenger III. ____________________ 14Eine andere Bezeichnung ist auch FCB-Stealth Beschreibung aller Virenarten und Virengattungen Seite: 27 3.3.3 Tunneln (Tunneling) Mit "tunnelnden" Viren bezeichnet man eine Gruppe Viren, die versuchen, residente Monitorprogramme (z.B.: SDRES oder VSAFE) zu umgehen. Diese Monitorprogramme erkennen unter anderem, wenn illegal Interrupts aufgerufen werden oder eine andere virentypische Aktion durchgeführt wird und warnen dann den Benutzer. Hierzu binden sie sich, ähnlich wie Viren, in die überwachende Interrupts ein15. Anschließend warten auf einen Interruptaufruf, den sie dann zurückverfolgen können. Ein tunnelnder Virus verfolgt nun innerhalb des Speichers den Weg, den ein Interruptaufruf nehmen würde, und sucht auf diese Weise im BIOS bzw. im DOS-Kernel nach dem Anfang des Original- Interrupthandlers. Hat er ihn gefunden, ruft er diese Adresse direkt auf16. Dadurch wird das Wächterprogramm umgangen, und der Virus hat sein Ziel erreicht. Der erste Virus, der diese Technik verwendete, war der Yankee Doodle (1989), der damit das eigene Wächterprogramm (VACSINE) des gleichen Autors umging! Man kann sich diese Technik wirklich bildlich vorstellen: Um eine Festung zu erstürmen, wird ein Tunnel gegraben, um dann von innen angreifen zu können. Man kann also tunnelnde Viren im weiteren Sinne zu den Stealthviren rechnen. Die meisten Stealthviren verwenden deshalb auch diesen Techniken, um Wächterprogramme umgehen zu können. Diese Technik, das sogenannte "Interrupt Tracing", wird von guten residenten Monitoren mittels spezieller Methoden ver- hindert. Sehr viele jedoch können so umgangen werden. Neben dem Interrupt Tracing gibt es weitere sehr effektive Tunneltricks. Eine sehr fortgeschrittene Technik benützt das Programm MBR- Kill, das eine sogenannte Emulation-Engine besitzt und damit fast alle Programme und Viren umgehen kann, die das "normale" Tunneln abfangen können! Weitere Techniken will ich hier noch kurz erwähnen: die Benutzung eines undokumentierten Multiplex- Aufrufes, der die Einsprungsadresse des original Disk-Interrupt- Handlers im BIOS frei Haus liefert17, das Verwenden des von kaum einem Monitorprogramm überwachten Dateihandles CON und das Ersetzen des Block-Device-Treibers für die Laufwerke. Die weiteren Methoden werden weiter unten detailliert beschreiben. Anzumerken ist, daß auch viele Viren Monitorprogramme erkennen können und teilweise deaktivieren oder entfernen. So werden z. B. die Programme VSAFE & TSAFE von jedem besseren Virus deakti- viert! 3.3.4 System File Table (SFT) Techniken Wenn ein Virus versucht, ein Wirtsprogramm zu infizieren, so muß er hierzu die Schreiberlaubnis besitzen. Dieser Umstand wird von vielen Wächterprogrammen ausgenützt, um virentypische Aktionen erkennen zu können. ____________________ 15Meistens handelt es sich um die Interruptes 01h, 09h, 13h, 15h, 21h, 2Fh und 40h, siehe auch [Brow44]. 16Siehe auch Anmerkungen zur Tunnelroutine des Programmes MBR- Kill. 17Diese Technik benützt das Programm MBR-Kill ebenfalls! Beschreibung aller Virenarten und Virengattungen Seite: 28 Es gibt jedoch einen Trick, solche Wächterprogramme zu umgehen, indem die zu infizierende Datei im Lesemodus geöffnet wird und intern (im Arbeitsspeicher) Systemdaten vom Virus so geändert werden, daß der Zugriffsmodus auf "Schreiben" gesetzt wird. Dies kann sehr elegant durch die sogenannten System File Tables von MS-DOS erfolgen. Alle mir bekannten Wächterprogramme können so umgangen werden! Ein weiterer "Vorteil" von der Verwendung von SFT ist, daß einige Dateizugriffe vermieden werden können, was zu einem sehr schnellen Infizieren führt! 3.3.5 Cavity Viren Unter Cavity-Viren versteht man Viren, die in einem Wirt einen Bereich suchen, der aus lauter gleichen Zeichen (in der Regel Nullen) besteht. Wenn die Anzahl dieser Zeichen groß genug ist (größer als die Virenlänge), kann der Virus, analog zu einem Komprimierungsprogramm, diesen Bereich für seinen eigenen Code nutzen. Hierzu merkt sich der Virus das Zeichen und die Anzahl, wie oft dieses Zeichen an dieser Stelle auftritt. Dann wird dieser Bereich mit dem eigenen Viruscode überschrieben. Der Dateianfang wird genauso manipuliert, wie bei normalen Dateiviren. Der Unterschied zu Dateiviren besteht darin, das kein Code mehr an den Wirt angehängt, sondern direkt in den Wirt hineingeschrieben wird, ohne den Wirt aber dabei zu schädigen. Logischerweise nimmt die Dateigröße des Wirtes bei dieser Infektionsart nicht zu. Man unterscheidet zwischen folgenden Cavity-Virengattungen: + Header-Viren + Zerohunting-Viren + Stackbereich-Viren 3.3.5.1 Header-Viren 1994 tauchte eine ganze Serie neuer Viren auf, die sich alle folgender Technik bedienen: EXE-Programme haben oft hinter dem eigentlichen Programmkopf (EXE-Header) einen Bereich von ca. 480 Bytes, der ungenützt ist und aus Nullen besteht. Die Header- Viren überschreiben diesen Bereich mit ihrem Code. Um aktiv zu werden. muß der EXE Programmkopf so abgeändert werden, daß der Virus zuerst aktiv wird. Dies erfolgt meistens durch das Überschreiben der "MZ"-Erkennung des EXE-Headers mit einen Sprungbefehl (near jump) auf den Virus. Solch eine infizierte Datei sieht jetzt für DOS wie eine normale COM-Datei aus, weil der EXE-Header teilweise zerstört ist. Weil COM-Dateien maximal 64 KB groß sein dürfen, werden von dieser Virenart auch nur EXE- Programme infiziert, die kleiner als 64 KB sind. Eine andere Methode den Programmkopf abzuändern ist unter 4.) beschreiben. Wird solch ein infiziertes Programm gestartet, wird dadurch der Virus aktiv. Allen Header-Viren ist jedoch gemeinsam, daß es keinen Programmzuwachs gibt, weil einfach Teile des Programmes überschrieben wurden. Es gibt zur Zeit vier unterschiedliche Methoden, wie der Virus das Originalprogramm wiederherstellt und startet: . Relocation des EXE-Programmes durch den Virus mit anschließendem Start (z. B. BootEXE-Virus). Beschreibung aller Virenarten und Virengattungen Seite: 29 . Installieren eines speicherresidenten Disketteninterrupthandlers, der bei Lesezugriffen den Virus herausfiltert und bei Schreibzugriffen geeignete Programme infiziert (siehe auch "Slow Infector"). Danach versucht der Virus, das Programm neu zu starten. Weil der Disketteninterrupthandler aktiv ist, wird der Virus beim Startvorgang herausgefiltert und das Programm scheint unverseucht zu sein. Solche Viren haben durch die verwendete Methode 100-prozentige Tarnkappeneigenschaften. Diese Methode wird von mehreren Viren verwendet, z.B. Pure, XYZ, Cluster oder Skid_Row. . Eine weitere Methode ist, beim Programmstart den Master Boot Record der Festplatte mit dem Virus zu infizieren und anschließend das System neu zu booten. Der Virus wird nun als erstes Programm aktiv und kann die gleichen Tarnmethoden wie unter 2.) beschrieben verwenden. Startet man ein verseuchtes EXE-Programm, wird der Virus beim Laden herausgefiltert, d.h. es liegt das original Programm vor, der Virus wird gar nicht mehr ausgeführt. Das besondere an diesem Virus ist, daß er multipartite ist, d.h. er infiziert Programme, also auch den Master Boot Record der Festplatte. Zusätzlich hat solch ein Virus hervorragende Tarnkappeneigenschaften. Ein Beispiel ist hierfür der Lockout Virus, der insgesamt nur 331 Bytes lang ist! . Eine weitere Möglichkeit besteht darin, den EXE-Kopf intakt zu lassen und nur dessen Einsprungsadresse auf den Virus umzubiegen. Durch diese Taktik können auch EXE-Dateien größer als 65 KB infiziert werden! Bei Programmausführung installiert der Virus einen INT 13h-Handler der den Virus bei Lesezugriffen herausfiltert. Anschließend versucht der Virus das Programm neu zu starten. Weil der Disketteninterrupthandler aktiv ist, wird der Virus beim Startvorgang herausgefiltert und das Programm scheint unverseucht zu sein. 3.3.5.2 Stackbereich Viren und "Zerohunting" Es gibt auch Stackbereich-Viren, die sich -ähnlich den Header Viren- in ungenutzten Programmteilen aufhalten und diese über- schreiben, weshalb auch eine Längenänderung nicht auftritt! Solche Viren suchen innerhalb von Wirtsprogrammen nach Ketten gleicher Zeichen (gewöhnlich nach Nullen, z. B. Stackbereich des Programmes) und überschreiben diesen Bereich, wenn er lang genug ist, mit ihrem Code. Hierzu zählen u. a. die Viren + LeHigh (im Stackbereich des Programmes COMMAND.COM) + ZeroHunt und Darth Vader (in COM Dateien) Da diese Bereiche vom Virus anschließend wieder mit Nullen aufgefüllt werden, sind fast keine Symptome zu erkennen. Heute sind jedoch fast alle Programme komprimiert, weshalb Stackbereichviren fast keine potentielle Wirte mehr finden! 3.3.6 Slackbereich Viren Die Slack-Area ist der Bereich des letzten Clusters eines Programmes, der nicht mehr vom Programm belegt wird. Bei größeren Festplatten ist somit die Slack-Area 4 KB und größer. Diese Virengattung ist sehr hinterhältig, weil sie sich nur sehr schwer entdecken läßt und zudem weil sie äußerst destruktiv ist. Die Wirkungsweise ist folgende: Beschreibung aller Virenarten und Virengattungen Seite: 30 Der Virus kopiert sich hinter den Wirt in die sogenannte Slack- Area, ohne jedoch die Länge des Wirtes zu ändern. Diese Methode wurde jedoch noch nicht in existierenden Viren gefunden! Eine andere Methode ist es, den Anfang des Wirtes in die Slack-Area zu kopieren (zu sichern) und den Wirt mit dem Viruscode zu über- schreiben. Beim Start des Virus lädt dieser die entsprechenden fehlenden Programmteile nach. Beispiel: Number of the Beast (666). Eine Längenänderung des befallenen Programmes ist also aus Sicht des Virus nicht nötig, weshalb z. B. Integritätsprüfer diesen Virus nur bei eingeschalteter Checksumme findet. Diese Viren sind nicht ungefährlich, weil sie in vielen Fällen zerstörte Programme und querverkettete Dateien ("cross linked files") erzeugen. Ist die Slack-Area eines Opfers nämlich zu klein für den Virus, so belegt dieser auf dem Medium auch noch den näch- sten Sektor, ohne daß dafür jedoch ein Eintrag in die FAT erfolgt. Ist oder wird dieser Sektor nun legitimerweise von einer anderen Datei belegt, so entsteht ein querverketteter Sektor, und das Wirtsprogramm ist nicht mehr startfähig, da der Viruscode überschrieben wurde. Hängt der Virus sich jedoch vor den Wirt, so ist das Ende des Wirtes zerstört (z.B.: Number of the Beast)! Weil die Länge des Wirtes nicht angepaßt wird, wird bei einem einfachen Kopieren auch nicht die Slack-Area mitko- piert, was wiederum zum Abscheiden von Virus- oder Programmcode führt. Aus diesen Gründen sind Slackbereich-Viren nicht weit verbreitet. Der einzige lauffähige Slackbreich-Virus ist der Virus "Number of the Beast (666)". Es gibt noch einen weiteren Slackbreich-Virus, nämlich den Virus "Assassin", er ist jedoch nicht lauffähig! 3.3.7 "Live and Die" Viren Unter "Live and Die" - Viren versteht man Viren, die sich nur für eine bestimmte Zeit in einem Programm aufhalten. Nach Ablauf eines Zeitraums entfernt sich der Virus selbständig aus dem befallenen Programm. Das Programm ist meist nach der selb- ständigen Entfernung noch lauffähig, unter Umständen sogar wie- der im Originalzustand! Aktive Stealthviren kann man im weiteren Sinne zu den "Live and Die" Viren rechnen. Der Pure und Goldbug Virus dürfte diese Definition erfüllen, weil er sich teilweise selbst wieder entfernt, und eine weitere Infizierung des Wirtes unterläßt. 3.3.8 Armored (Gepanzert) Eine immer beliebtere Technik ist, daß sich Viren vor Analyse oder Entschlüsselung selbst schützen. Dadurch soll den Antivirenforschern das Analysieren des Virus erschwert werden, was dazu führt, daß das Entwickeln entsprechender Antivirensoftware verzögert wird. Durch diese Techniken können auch viele Virenscanner ausgetrickst werden, die anhand von regelbasierenden Modulen (AVR-Modulen18) Verschlüsselungs- routinen erkennen können. ____________________ 18AVR = Algorithmic Virus Recognition. Beschreibung aller Virenarten und Virengattungen Seite: 31 3.3.9 Hardware Stealthtechniken Inzwischen sind drei Methoden bekannt geworden, wie sich Viren mittels Hardwareeigenschaften Stealthtechniken zunutze machen. 3.3.9.1 Floppy Disc Boot Simulation Das CMOS der modernen PCs enthält Informationen, in welcher Reihenfolge gebootet werden soll (A:;C: oder C:;A:). Ein Virus kann diese Reihenfolge jedoch zu seinen Gunsten abändern, z. B. der ExeBug-Virus. Der Virus (Bootvirus) hat schon die Festplatte infiziert und meldet durch eine bestimmte Technik die Bootsequenz so um, daß zuerst von der Festplatte und dann erst von der Diskette gebootet wird. Versucht nun der Anwender, von der Diskette hochzubooten (in der Absicht eventuelle Viren zu deaktivieren), wird zuerst der Virus von der Festplatte aktiviert. Der Virus schaut nun nach, ob im Laufwerk eine Diskette eingelegt ist und bootet gegebenenfalls von dort weiter. Weil der Virus zusätzlich Sektor-Stealthtechniken verwendet, ist der Virus nach dem "erfolgreichen" Booten von der Diskette nicht zu erkennen. Es gibt inzwischen schon zwei verschiedene Techniken, um diesen Effekt zu erreichen: + Ummelden der Bootsequenz im CMOS + Andauerndes An- und Abmelden des Laufwerkes im CMOS (diese Technik verwendet z. B. der ExeBug-Virus). 3.3.9.2 Hardware Level stealth Das ist ein anderer neuer Trick, der in zwei existierenden Viren gefunden wurde (Strange und MegaStealth). Der Virus fängt das "Device Ready" Signal des Disk Kontrollers ab, wenn ein Festplattenzugriff erfolgen soll (ATs) oder erfolgt ist (XTs). Anschließend manipuliert der Virus den Puffer, der gelesen/geschrieben werden soll zu seinen Gunsten. Selbst ein Wächterprogramm oder sogar ein Hardwareschutz, der die unterste Ebene, nämlich die Festplattenzugriffe kontrolliert, kann so umgangen werden. 3.3.9.3 Flash-BIOS stealth Neuere Computer haben unter Umständen ein sogenanntes Flash-BIOS integriert19, das durch Softwarebefehle beschreibbar ist. Das normale BIOS ist im Gegensatz zum Flash-BIOS nicht beschreibbar. Ende 1994 tauchte ein neuer Bootvirus auf (BIOS Menegetis), der sich in das Flash-BIOS einnistet, den Bootinterrupt auf sich selbst umsetzt und Schreibzugriffe auf das Flash-BIOS abblockt. Anschließend infiziert der Virus die Festplatte. Danach verhält sich dieser Virus wie ein "normaler" Bootvirus, d. h. er infi- ziert alle Disketten, die nicht schreibgeschützt sind. Wenn der Virus von der Platte entfernt wurde, wird beim nächsten Bootvorgang der Virus aus dem Flash-BIOS wieder aktiviert und infiziert sofort wieder die Festplatte! Weil der Virus Schreibzugriffe auf das Flash-BIOS blockiert, kann der Virus nicht ohne weiteres aus dem Flash-BIOS entfernt werden! ____________________ 19Vor allem neuere Pentium- und 486 DX/2-Motherboards sind mit Flash BIOS ausgerüstet. Beschreibung aller Virenarten und Virengattungen Seite: 32 Erst Anfang Juni 1996 wurde bekannt, das die API, die der Virus "BIOS Menegetis" verwendet gar nicht existierte, d.h. der Virus wurde selbst von seinem Autor nicht auf Lauffähigkeit getestet. Es ist jedoch bemerkenswert, daß Virenprogrammier jede Schwach- stelle von Betriebssystem und BIOS ausnützen, um den Virus noch bessere "Überlebenschancen" und Tarnkappeneigenschaften mitzugeben. 3.3.10 Abhilfe bei Stealthviren Meistens sind die Viren im Arbeitsspeicher unverschlüsselt und können so erkannt werden. Die meisten Stealthviren besitzen folgenden 'Fehler': Der DOS-Befehl CHKDSK zeigt bei einem aktiven Virus pro infizierter Datei einen oder mehrere verlorene Cluster zu der infizierten Datei an. Diese Cluster dürfen jedoch erst mit dem Befehl CHKDSK /F beseitigt werden, wenn der Virus entfernt wurde! 3.4 Verschlüsselte und polymorphe Viren Verschlüsselung ist die umkehrbare Umwandlung einer Informationsdarstellung in eine andere, die keine Rückschlüsse mehr auf den ursprünglichen Inhalt erlaubt. Verschlüsselung wird verwendet, damit keine virentypischen Texte im Viruscode auftauchen und damit regelbasierende Virenscanner keine verdächtigen Befehle finden. Die Routine, die den verschlüsselten Virus wieder entschlüsselt, wird als "Decryptor" bezeichnet. Polymorphe Viren sind Viren, die verschlüsselt sind. Im Gegensatz zu den meistens verschlüsselten Viren, die eine konstante Ent- und Verschlüsselungsroutine besitzen (und somit anhand ihrer Entschlüsselungsroutine erkannt werden können), ist die Entschlüsselungsroutine bei polymorphen Viren überhaupt nicht mehr konstant. Oftmals sind nur noch drei Bytes 'Programmskelett' konstant, der Rest ist oft mit sinnlosen Maschinenbefehlen aufgefüllt. Deshalb stellt diese Virenart -wie die Stealthviren- eine ernstzunehmende Gefahr dar, weil sie teilweise nicht mehr erkannt wird. So kann z. B.: 1 + 1 = 2 auch durch 1 - (-1) = 2 ausgedrückt werden. Gerade im Computerbereich gibt es zig Möglichkeiten, eine logische Aktion durch verschiedenste Al- gorithmen zu programmieren. Manche Viren verwenden auch verschiedene Verschlüs- selungsmethoden (SUB/ADD, NOT, XOR oder Negieren), damit gewähr- leistet ist, daß jedes infizierte Programm anders aussieht. Eine Suche nach derart komplex verschlüsselten Viren: + ist sehr zeitaufwendig + benötigt einen komplexen Suchalgorithmus + ist meistens anfällig für Fehlalarme + benötigt Erfahrung: Es ist oft sehr schwer, eine verläßliche Suchroutine für polymorphe Viren zu programmieren. Beschreibung aller Virenarten und Virengattungen Seite: 33 3.4.1 Mutation Unter Mutation versteht man die selbständige Veränderung des Virus während seiner Reproduktion. Polymorphe Viren sind im höchsten Maße mutierend. Es gibt polymorphe Viren, bei denen kein einziges Byte mehr konstant ist. Solche Routinen, die das Ver- und Entschlüsseln durchführen und teilweise als eigenständige Programmbibliotheken vorliegen (Virenbaukästen), werden auch "Mutation Engines" genannt. Beispiele: MtE (Mutation Engine), TPE (TridenT Polymorph Engine), NED (Nuke Encryption Device), DAME (Dark Angel's Mutation Engine), DSCE (Dark Slayer Confusion Engine) oder DSME (Dark Slayer Mutation Engine). Diese Liste ist noch nicht vollständig, die o. g. Mutation Engines sind jedoch die bekanntesten20. Solche polymorphen Viren werden von Scannern nicht mehr mit festen Bytefolgen oder Platzhaltern gesucht, sondern mit Hilfe von algorithmischer Untersuchung (AVR-Module). Das untersuchte Programm wird deshalb auf Techniken hin untersucht, die ein- deutig von diesen polymorphen Viren stammen. So muß jede Verschlüsselung einen Schlüssel, den Startbereich und Endbereich und eine Entschlüsselungsvorschrift besitzen. Werden diese Codierungstechniken in einem Programm entdeckt, so spricht der Virenscanner an. Jedoch ist es extrem schwer, Algorithmen zu schreiben, die wirklich jeden Aspekt eines polymorphen Virus abdecken. So ist es auch nicht hundertprozentig sicher, ob ein Virenscanner wirklich alle erzeugten Mutationen eines Virus überhaupt aufspüren kann. Teilweise ist es noch nicht einmal möglich, hierfür einen mathematischen Beweis zu erbringen! 3.4.2 Verschiedene Arten von Polymorphismus Zur Zeit teilt man polymorphe Viren in sechs verschiedene Klassen ein, die sich dadurch unterscheiden, wie hochgradig ein Virus mutiert [Bont94]. Die TPE ist z. B. eine der besten Mutation Engines, sie wird deshalb zur Klasse 5 gezählt. Die mit der TPE erzeugten Viren sind in ihrem Aussehen so variabel, daß fast jeder herkömmliche verschlüsselte Virus eine Untermenge der TPE darstellt. 3.4.2.1 Oligomorph Die erste Art des Polymorphismus: Der Virus benützt eine begrenzte Anzahl (mehrere) von konstanten Decryptoren, die ebenfalls mit einer konstanten Anzahl von Sucherkennungen erkannt werden. Beispiele hierfür ist der Whale-Virus der insgesamt 34 Decryptoren verwendet. Will ein Virensuchprogramm den Whale-Virus sicher entdecken, muß es hierfür 34 Sucherkennungen verwenden! Weitere bekannte Viren sind: Cheeba, Marauder, Screaming_Fist, Slovakia und V-Sign (Cansu). 3.4.2.2 Weitere Arten von Polymorphismus Die zweite Klasse unterscheidet sich von der ersten Klasse dadurch, daß der Decryptor zwar jedesmal die gleichen Befehle verwendet, deren Reihenfolge jedoch willkürlich angeordnet sein kann. Beispiel hierfür HWF oder WordSwap. ____________________ 20Weitere Mutation Engines sind: PME, SPE, GCAE, ViCE oder GPE. Beschreibung aller Virenarten und Virengattungen Seite: 34 Von der dritten Klasse spricht man, wenn zwischen den einzelnen Befehlen des Decryptors sinnlose Befehle eingefügt werden. Beispiele hierfür Tequila oder Flip-Virus. In der vierten Klasse werden dann noch zusätzlich die Befehle zufällig vertauscht, die den eigentlichen Entschlüsselungsvorgang nicht beeinflussen. Die fünfte Klasse faßt alle bisherigen Klassen zusammen. Diese Art von Polymorphismus stellt alle Entwickler von Virensuchprogrammen vor große Probleme, weil solche Viren nicht mehr zuverlässig erkannt werden können. Ein Ausweg aus diesem Dilemma ist, daß das Virensuchprogramm den Virus entschlüsselt, indem es den Decryptor des Virus selbst verwendet. Das heißt es muß in einer kontrollierten Umgebung der Decryptor des Virus solange schrittweise ausgeführt werden, bis sich der Virus selbst entschlüsselt hat! Beispiele hierfür sind fast alle Viren, die mit einer Mutation-Engine "arbeiten". 3.4.2.3 Zerstückelt (Permutating) Die sechste Art des Polymorphismus: Diese Technik besteht darin, . den eigenen Virencode in kleinere Stücke zu zerteilen und diese wahllos im Wirt unterzubringen. Es muß nur noch eine Routine hinzugefügt werden, die den Virus beim Starten wieder korrekt zusammenfügt. . daß der Virus sich irgendwo im Wirt unzerstückelt un- terbringt und mehrere (polymorphe) Lademodule in den Wirt einfügt, die nichts anderes tun, als bestimmte Register zu la- den (z. B. sinnlose Befehle) und zum nächsten Lademodul springen. . daß die Entschlüsselungsroutine des Virus irgendwo im Wirt über mehrere (polymorphe) Lademodule verteilt im Wirt abgelegt wird, welche nichts anderes tun, als bestimmte Register zu la- den und zum nächsten Lademodul zu springen, um in solch einer Schleife den eigentlichen Virus zu entschlüsseln. Das Problem liegt darin, daß sämtliche herkömmlichen Scannertechniken (Anfang und Ende scannen und Entrypointtracing) hier versagen; der Scanner muß die ganze Datei durchsuchen, was zu Fehlalarmen und Geschwindigkeitseinbußen führt. Kurz nachdem ich diese Beschreibung fertig gestellt hatte, tauchte der erste polymorphe, permutierende Virus auf (One_Half, Hybrid-Virus mit Stealtheigenschaften). Dieser Virus hat die komplette Entschlüsselungsroutine (die zusätzlich polymorph ist) wahllos im Wirt untergebracht und mittels Sprüngen "verbunden". Meines Erachtens ist es fast nicht mehr möglich, solche Viren mit irgendeiner Art von herkömmlichen Scanalgorithmen zu finden, geschweige denn den Virus zu entfernen. Die einzige verläßliche Möglichkeit ist es, den Virus im Arbeitsspeicher Schritt für Schritt abzuarbeiten (Codeablauf simulieren oder debuggen), bis er sich selbst entschlüsselt hat. Ist er erst mal entschlüsselt, kann man solche Viren mit einem einfachen Suchmuster erkennen oder mit einem geeigneten Programm entfernen. Dies ist einfacher gesagt als getan: Der Versuch, den Virus One_Half von Hand mit einem Debugger zu entschlüsseln, kann eine echte Geduldsprobe werden. Beschreibung aller Virenarten und Virengattungen Seite: 35 Die nachfolgenden zwei Grafiken sollen veranschaulichen, wie die oben beschriebenen unterschiedlich permutierenden Viren funktionieren. Wirtsprogramm V W V W V ■ Virus ■ V W V Virus Wirtsprogramm V W Abb.: Infektionsmechanismus von permutierenden Viren Weitere permutierende Viren sind: Bad_Boy, Fly, Leech oder Commander Bomber. Einen ähnlichen Infektionsmechanismus wie permutierende Viren hat die Uruguay-Virus Familie. Die Mutation Engine dieser Viren hat Polymorphismus der fünften Klasse und wird einstimmig von Virenexperten als die zur Zeit leistungsfähigste Mutation Engine bezeichnet. Der Virus kann COM Dateien infizieren. EXE-Dateien, die kleiner als 65 KB sind wandelt der Virus zuerst einmal in COM-Dateien um. Anschließend wird die Mutation-Engine dazu verwendet einen Sprung zu verschlüsseln, der den eigentlichen Decryptor des Virus am Dateiende anspringt. Der am Anfang eingefügte Sprung besteht nicht aus einem "einfachen" Sprung sondern kann auch direkt, über Register oder auch indirekt ausgeführt werden. Alleine um den Sprung zu erzeugen, erzeugt der Virus Decryptoren oder fügt sinnlose Maschienenbefehle von bis zu 200 Bytes Länge ein. Das Problem für alle Virensuchprogramme ist, sie den Sprung auflösen müssen um den eigentlichen polymorphen Decryptor ermitteln zu können. Weil der Virus hochpolymorph ist und dadurch Decryptoren mit unterschiedlicher Länge erzeugt, kann das Suchprogramm auch nicht einfach hingehen und den Decryptor am Dateiende suchen. variabler Sprung Wirtsprogramm Virus Abb.: Infektionsmechanismus der Uruguay-Virusfamilie Beschreibung aller Virenarten und Virengattungen Seite: 36 3.4.3 Slow Mutating (Langsames Mutieren) Um den Antivirenforschern das Leben schwer zu machen, mutieren manche Viren nur sehr langsam. Es ist extrem schwierig, alle möglichen Varianten zu erzeugen, was dazu führt, daß der ganze Virus analysiert werden muß. Ein Beispiel ist der Tremor-Virus, der für sein Mutieren computerspezifische Parameter verwendet. D. h. solch ein Virus muß auf den verschiedenen Testmaschinen ausgetestet werden. Der Effekt beim Tremor-Virus war, daß die erste Scannergeneration nicht alle Tremorvarianten entdecken konnte, was zu einer weiteren Verbreitung führte. 3.5 Retroviren Retroviren sind Viren, die gezielt Antivirenprogramme aus- schalten, angreifen oder deren Funktion einschränken. Retroviren sind auch als Anti-Anti Viren bekannt. Folgende Techniken sind erwähnenswert (siehe auch [FBul216]): + Modifizieren des Antivirenprogrammes auf dem Datenträger oder im Arbeitsspeicher (vgl. Trojanische Pferde). + Das Erkennen von Speicherwächtern und deren Deaktivierung oder das Ausschalten von Virenfunktionen, damit der Speicherwärter nicht mehr anspricht. + Das Benützen von Hintertüren oder Fehlern gewisser Antivirenprogramme. + Löschen oder Verändern von wichtigen Dateien, die zum Antivirusprogramm gehören, z. B. Checksummendateien. + Das Verwenden von Codesequenzen im Viruscode, die für Antivirenprogramme problematisch sind. + Das Verursachen von Fehlalarmen. + Verwendung von Techniken, die das Erkennen, Entfernen oder Identifizieren des Virus erschweren (vgl. polymorphe Viren, Stealthviren, "Sparse" und "Armored"). Es sind Viren bekannt, die z. B. Checksummendateien gewisser Antivirenprogramme derart manipulieren, daß eine Infektion nicht mehr bemerkt wird. Fast jeder moderne Virus kann heute den Speicherwächter VSAFE.COM, welcher zum Lieferumfang von MS-DOS 6.xx gehört, deaktivieren. Hierzu reicht ein 8 Byte großes Programm namens "VSLAY.ASM" das unter Virenprogrammieren weit bekannt ist. Viele Viren stoppen die Ausführung von Antivirenprogrammen, was die Entdeckungswahrscheinlichkeit eher erhöht. Oder sie unterlassen gerade aus diesem Grund das Infizieren solcher Programme. Der Virus Mirror läßt alle Programme als infiziert erscheinen: Falls versucht wird, den Virus zu entfernen, werden uninfizierte Programme zerstört! Diese Aufzählung könnte beliebig fortgesetzt werden. ─══[ 4 ZUKÜNFTIGE BETRACHTUNGEN ]══════════════════════════════─ Computerviren sind die erste und bis jetzt einzige Form von künstlichen Leben, die einen nachweisbaren Eindruck bei der Bevölkerung hinterlassen haben. Zur Zeit sind Computerviren noch eine "lästige" Begleiterscheinung, die noch einigermaßen be- Beschreibung aller Virenarten und Virengattungen Seite: 37 herrscht werden kann. Daß dies jedoch in Zukunft nicht mehr so sein wird, möchte ich im folgenden erläutern. 4.1 Trends in der Virenentwicklung Die Qualität der neu auftauchenden Viren (Hybrid-, Stealth- und polymorphe Viren) hat zwischenzeitlich sehr stark zugenommen, eine Entfernung stellt den Anwender deshalb oft vor nicht mehr überwindbare Hürden. Durch die internationale Vernetzung ver- breiten sich die Viren jetzt auch viel schneller als in den vergangenen Jahren. Von vielen "alten" Viren tauchen modifizierte Varianten auf, die oft so verändert wurden, daß sie nicht mehr von einem Virensuchprogramm erkannt werden. Die Rate neuer Viren hat in den letzten Jahren stetig zugenommen, es herrscht zur Zeit fast eine exponentielle Verdopplung der neu gefundenen Viren (siehe auch [Keph94]). Laut [Keph94] dürfte dann die Anzahl der gefunden Computerviren für MS-DOS im Jahre 2000, etwa 10 Millionen erreichen, was ich aber eher für unwahrscheinlich halte. Zur Zeit werden täglich zwei bis drei neue Viren für das Betriebssystem MS-DOS gefunden! Die Hersteller von Antivirenprogrammen kommen zur Zeit kaum nach, alle neuen Viren zu erfassen, ein paar kleinere Hersteller sind deshalb auch schon "auf der Strecke geblieben". 4.1.1 Virenkits und Mutation Engines Die "Profis" unter den Virenschreibern programmieren nicht mehr Viren, sondern Virenkits oder Mutation Engines. Virenkits ermöglichen es auch dem blutigen Anfänger verschiedene lauffähige Viren bzw. compilierbaren Assemblerquellcodes zu erzeugen. Das Fatale daran ist, daß jeder Virus anders aussieht und sich auch anders verhält. Der Benutzer kann auch den er- zeugten Quellcode ändern, modifizieren oder erweitern, um eine eventuelle Entdeckung durch Virenscanner zu vermeiden. Zur Zeit existieren über 30 verschiedene Virenkits! Es existieren z. B. von den bekanntesten Virenkits schon mindestens 500 verschiedene Viren, welche teilweise hervorragend programmiert sind. Ein weiterer Trend sind polymorphe (polymorph = vielgestaltig) Viren, die in den letzten zwei Jahren sprunghaft zugenommen haben. Polymorphe Viren sind so komplex verschlüsselt, daß sie teilweise nicht mehr mit einem Virensuchprogramm erkannt werden können! Jeder Virenschreiber, der etwas auf sich hält, "muß" eine Mutation Engine programmiert haben. Seit "Dark Avenger" als erster seine MtE veröffentlicht hat, gibt es eine Flut von Mutation Engines, die oft als Objectfile verteilt werden. Wie schon unter "polymorphe Viren" erwähnt, wird es immer schwieriger, Erkennungsroutinen für polymorphe Viren zu entwickeln, die zuverlässig sind. Es ist auch schon vorgekommen, daß einfach eine neue Mutation Engine zu einem alten Virus hinzugefügt wurde. So entstand z. B. Beschreibung aller Virenarten und Virengattungen Seite: 38 aus dem CoffeeShop-Virus der MtE:CoffeeShop und aus diesem der TPE:CoffeeShop.1_0a. Aus dem TPE:CoffeeShop.1_0b-Virus entstand dann die TridenT Polymorph Engine (TPE.1_1), eine weitere Mutation Engine. 4.1.2 Multipartite Viren Ein weiterer Trend sind Multipartite- oder Hybrid-Viren mit Stealtheigenschaften, die sowohl Dateien als auch Bootsektoren und/oder Masterbootrecords infizieren. Da solche Viren schon zum Zeitpunkt des Bootens aktiv werden, können sie sehr schwer ent- deckt und entfernt werden. Zusätzlich ist diese Virenart extrem virulent, weshalb sich ein Hybrid-Virus wie z. B. Natas oder Junkie innerhalb von ein paar Wochen weltweit verbreitet. Zusätzlich sind die meisten Hybrid-Viren verschlüsselt, teilweise sogar polymorph. Der Tequila- und Flip-Virus (ca. 1992) waren die ersten "richtigen" polymorphen Hybrid-Viren mit minimalen Stealtheigenschaften, die sich rasant vermehrten und deshalb wahrscheinlich viele Nachahmer fanden. Für die Antivirenforscher ist es zudem mühsam, solch einen Virus zu analysieren, den sie haben ohne weiteres eine Größe von 3 bis 6 KB (teilweise sogar 8 bis 10 KB), was ungefähr 40-120 Seiten disassemblierten Assembler-Code entspricht! 4.1.3 Devicetreiberviren unter Windows Unter Windows gibt es die Möglichkeit, sogenannte Gerätetreiber (Devicedrivers oder Devicetreiber) für Windows zu programmieren. Dies geht relativ einfach mit dem SDK21 für Windows. Diese Devicetreiber können, nach Einbindung in Windows, sämtliche Dateizugriffe überwachen - und entsprechend manipulieren. Wenn man sich den Clustervirus DIR-II22 anschaut, der sich innerhalb kürzester Zeit weltweit verbreitet hat, kann man sich vorstellen, wie effektiv sich ein solcher Windows Devicetreiber- Virus verbreiten könnte. Anscheinend ist noch niemand auf diese Idee gekommen oder es fehlt immer noch an genügend Hintergrundwissen, solch einen Virus zu entwickeln. Vielleicht liegt es auch an der Tatsache, daß das SDK relativ teuer ist, und deshalb nicht von Virenprogrammiern verwendet wird. Meiner Meinung nach, könnte 1995 das Jahr sein, in dem eine Flut von Windowsviren auftauchen könnte. Der Hintergrund: Viele Virengruppen sind nicht mehr daran interessiert die hundertste gehackte Variante vom xyz-Virus zu veröffentlichen. Die Pro- grammierung von einem Windowsvirus ist hier noch eine echte Herausforderung23. Den gleichen Trend gibt es zur Zeit bei Mutation Engines und Hybridviren, der hoffentlich in nächster Zeit wieder abflacht. ____________________ 21 SDK = Software Developper Kit von Microsoft. Zum Programmieren von Windowsanwendungen. 22 DIR-II fängt Devicetreiberaufrufe ab und infiziert dabei geeignete Wirte. 23 Sozusagen als Bestätigung kam eine Woche, nachdem ich diesen Abschnitt geschrieben habe, der erste residente Virus (Winsurfer) für Windows von der Gruppe "VLAD" heraus. Er soll auch unter Windows-95 funktionieren! Beschreibung aller Virenarten und Virengattungen Seite: 39 4.2 Internationale Vernetzung Seit der Zugang zu Netzen wie FIDO oder Internet relativ einfach ist, wird dieses Medium von den Virenprogrammiern benutzt. So wird auf IRC24 im Kanal #virus offen Quellcodes von Viren und lauffähige Viren verteilt. Es existieren eine Vielzahl von BBS Mailboxen und ftp-sites, in denen man anonym Viren, Quellcode, Mutation Engines und Virenkits herunter- oder hochladen kann. Hier stellt kein Sysop oder Sysadmin lästige Fragen, weshalb hier auch viele illegale Transaktionen stattfinden! Ein weiterer Trend ist das Fluten von Nachrichtenbereichen (news groups) mit Viren und Quellcodes, wie etwa die Nachrichtenbereiche "FIDO: Virus.Germany" oder "alt.comp.virus". Diese Nachrichtenbereiche beschäftigen sich hauptsächlich mit der Bekämpfung von Viren! Die Moderatoren sind meistens absolut hilflos, dieses Fluten zu unterbinden, weil die Mails meistens von sog. "Fake-Accounts"25, anonymen Accounts oder gehackten Accounts versendet werden! So wurden alleine im April 1995 mehr als 3200 verschiedene Computerviren in dem Forum "alt.comp.virus" veröffentlicht, eine wahre Fundgrube für jeden Hacker und angehenden Virenprogrammierer! Das sich so neue Viren innerhalb von nur einer Woche weltweit verbreiten können, dürfte mit diesem Hintergrundwissen jetzt einleutender sein. ─══[ 5 LITERATURVERZEICHNIS ]══════════════════════════════════─ Folgende Literatur wurde in dieser Arbeit verwendet: Abkürzun Autor, Titel, Beschreibung und Verlag g [Bont94] Bontchev, Vesselin "Known Polymorphic Viruses", 1994 ftp.informatik.uni-ham- burg.de:/pub/virus/texts/viruses/plymrphs.zip [Bont94b Bontchev, Vesselin "Are _Good_ Computer Viruses ] Still A Bad Idea?", 02.11.94 ftp.informatik.uni-ham- burg.de:/pub/virus/texts/viruses/goodvir.zip [Bontch] Bontchev, Vesselin; "Future Trends in Virus Writing". ftp.informatik.uni-ham- burg.de:/pub/virus/texts/viruses/trends.zip [Brow44] Brown, Ralf; Interrupt List, Revision 44 Site: FTP.CS.CMU.EDU [128.2.206.173] Dateien: /afs/cs.cmu.edu/user/ralf/pub/inter??a. zip bis inter??d.zip ____________________ 24 Internet Relay Chat - Foren, in denen man sich Online unterhalten kann. 25 z. B. vom Benutzer "dunno" oder "slash" vom Rechner "i.dont.know" Beschreibung aller Virenarten und Virengattungen Seite: 40 [Dier90] Dierstein, Rüdiger. Kommentar: Amerika und die europäischen IT-Sicherheitskriterien. Nr. 6 1990, S. 405-407 [Esch93] Virus Ratgeber Version 2.0; Reiner Eschen; 11. Juli 1993 BBS: Reign in Blood, 30455 Hannover, FIDO: 2:241/23, Magic: VIRRAT, Telefon: 0511/493521 [FAQG93] VIRUSGER.FAQ - FAQ der FidoNet-Area VIRUS.GER, Malte Eppert, Version 1.2, 03.03.1993 [FAQL92] VIRUS-L.FAQ - Frequently Asked Questions on VIRUS-L/comp.virus, Last Updated: 18 November 1992, 7:45 AM EST, Anonymus FTP on cert.org (192.88.209.5) in the file: pub/virus- l/FAQ.virus-l [FBul216 F-PROT Professional Update Bulletin 2.16 - ] Information on the global computer virus situation. ASCII version. 1995 ftp.datafellows.fi:/pub/f-prot/bull-216.zip [Ferb92] Ferbach, D. "A Pathology of Computer Viruses", 312 pp. pb. ca. DM 74,-- Springer Verlag London Limited 1992 [Jour86] Jourdain, Robert L. "Programmer_s problem solver for the IBM PC, XT and AT"; Prentice Hall Press, 1986 [Keph94] Kephart, Jeffrey O. "A Biologically Inspired Immune System for Computers"; 1994 ftp.informatik.uni-ham- burg.de:/pub/virus/texts/viruses/immune.zip [LANl95] Zeitschrift "LANline - Das Magazin für Netze und Kommunikation", AWI LANline Verlagsgesellschaft mbH, Ausgabe 3/95, S. 20 ff. [Micr94] Microsoft, "Systemhandbuch Microsoft Win NT Workstation - Version 3.5", 1994 [Morr88] "Die großen Systeme reizten Robert". Der Spiegel, Nr. 47 1988, S. 252-265. Anmerkung: Der "Internet-Worm" [Nort92] Norton, Peter: Windows 3 - Programmiertechniken für Profis - "Hungarian Naming nach Charles Simonyi", S. 56, Markt & Technik, 1992. [PB92] Polk, W. T. & Bassham, L. E.; "A Guide to the Selection of Anti-Virus Tools and Techniques", National Institute of Standards and Technology - Computer Security Division, 2. Dec. 1992 [Rada93] Radai, Yisrael "The Anti-Viral Software of MS- DOS 6", 9. Sept. 1993 ftp.informatik.uni-ham- burg.de:/pub/virus/texts/viruses/msaveval.zip Beschreibung aller Virenarten und Virengattungen Seite: 41 [Slad95] Slade, Robert M.; "VirEthics", 20.03.1995 ftp.informatik.uni-ham- burg.de:/pub/virus/texts/viruses/virethics.zip [Smad94] Smadja, Birgit "Novell Netware: Einführung, Arbeitsbuch, Nachschlagewerk", Markt und Technik, Haar bei München, ISBN 3-87791-487-X; 1994 [Treb92] Treber, C. "Systemprogramme gegen Computerviren", 1992, Hanser-Verlag /* ENDE */ Beschreibung aller Virenarten und Virengattungen Seite: 42