Einführung in die Geschichte von Malicious Code

Einführung in die Geschichte von Malicious Code

Hauptseminar: Malicious Code - Viren, Würmer
und Co. - Geschichte der Viren
Fabian Prasser
Technische Universität München
Abstract. Dieser Teil des Themas ”Geschichte von Malicious Code”
führt die Ausarbeitungen von Heike Lupold fort und beschäftigt sich mit
der Geschichte der Computerviren von 1990 bis heute.
Table of Contents
1 Das Jahr 1990 - VX BBS und Little Black Book . . . . . . . .
2
2 Das Jahr 1991 - Tequila, Polymorphe Viren . . . . . . . . . . .
2
3 Das Jahr 1992 - Michelangelo, DAME und VCL . . . . . . . .
2
4 Das Jahr 1995 - Denial of Service Attacken, Makroviren . . .
3
5 Das Jahr 1996 - Boza, Laroux und Staog . . . . . . . . . . . . .
3
6 Das Jahr 1998 - Strange Brew und Back Orifice . . . . . . . .
3
7 Das Jahr 1999 - Melissa, Tristate, HTML-Viren u.v.m. . . . .
4
8 Das Jahr 2000 - DoS, LoveLetter, Timofonica u.v.m. . . . . .
4
9 Das Jahr 2001 - Gnuman, Winux Windows/Linux Virus u.v.m.
5
10 Das Jahr 2002 - LFM-926, Donut, Sharp-A, SQLSpider u.v.m.
5
11 Das Jahr 2003 - Slammer, Sobig, Lovgate u.v.m. . . . . . . . .
6
12 Das Jahr 2004 - Trojan.Xombe, Randex, Bizex, Witty u.v.m.
6
1
Das Jahr 1990 - VX BBS und Little Black Book
Das erste Virus-Exchange-Board (VX BBS) ging in Bulgarien online. VirenAutoren konnten nun mit ihren Codes handeln und Ideen austauschen. Ausserdem erschien mit Mark Ludwigs Buch über Viren-Programmierung (”The Little
Black Book of Computer Viruses”) eines der ersten Bücher zu diesem Thema.
2
Das Jahr 1991 - Tequila, Polymorphe Viren
”Tequila” war der erste polymorphe Virus. Er kam aus der Schweiz und veränderte
seinen eigenen Code, um sich so der Erkennung zu entziehen.
Polymorphe Viren:
Polymorphe Viren enthalten Mechanismen, um ihr Aussehen bei jeder Infektion zu verändern. Dazu werden unter anderem Befehlssequenzen ausgetauscht und Sprungbefehle eingefügt oder einfach zufällig unsinnige Befehlsgruppen eingestreut, die nicht ausgeführt werden. Diese Veränderungen
beeinträchtigen das Funktionieren des Virus bei richtiger Implementierung
nicht. So können leicht Milliarden von Varianten eines Virus entstehen.
Um verschlüsselte und polymorphe Viren sicher zu erkennen und zu beseitigen, reicht der Einsatz klassischer Virensignaturen häufig nicht aus.
Meist müssen spezielle Programme geschrieben werden. Der Aufwand zur
Analyse und zur Bereitstellung geeigneter Gegenmittel kann dabei extrem
hoch sein. So sind polymorphe Viren ohne Übertreibung als die Königsklasse unter den Viren zu bezeichnen.
”Tequila” im Speziellen befällt nur EXE-Dateien. Beim ersten Aufruf installiert er sich in der Bootpartition der Festplatte. Wird der Rechner einer
so behandelten Festplatte neu gebootet, so wird der Virus resistent geladen und
befällt EXE Dateien, bei ihrer Ausführung. Tequila hat seinen Namen von einem
Textstring erhalten, der im Virus-Code in verschlüsselter Form implementiert
ist: Welcome to T.TEQUILA’s latest production. Contact T.TEQUILA/P.o.Box
543/6312 St’hausen Switzerland. Loving thought to L.I.N.D.A. BEER and TEQU
ILA forever !” ”Execute: mov ax, FE03 / int 21. Key to go on! Ausserdem hat der
Tequila-Virus eine STEALTH-Funktion dahingehend, dass der Virus die Länge
befallener Dateien bei speicherresidentem Virus um die Länge seines eigenen
Codes vermindert. Wird der Befehl CHKDSK aufgerufen, so treten bei aktivem
Virus ”Dateizuordnungsfehler” auf, die keinesfalls mit dem Befehl CHKDSK /F
repariert werden dürfen, da sonst die Daten restlos verloren sind.
3
Das Jahr 1992 - Michelangelo, DAME und VCL
”Michelangelo” war der erste Medien-Liebling. Ein Weltweiter Alarm wurde ausgelöst und grosse Zerstörung vorhergesagt. Letztendlich passierte dann aber
doch herzlich wenig. Im selben Jahr wurde ”Dark Avengers” ”Mutation Engine” (MtE) veröffentlicht. Mit ihr war es erstmals möglich jeden beliebigen
Virus in einen polymorphen Virus umzuwandeln. Ausserdem wurde das erste
Virus-Creation-Kit veröffentlicht: das ”Virus Creation Laboratory” (VCL). Nun
war es auch ungeübten Programmierern möglich mittels Pull-Down Menüs auf
sehr einfache Art und weise Viren zu erzeugen.
4
Das Jahr 1995 - Denial of Service Attacken, Makroviren
Hacker attackierten die Griffith Air Force Base, das koreanische Atomic Research
Insitute, die NASA, das Goddard Space Flight Center, und das Jet Propulsion Laboratory. GE, IBM, Pipeline und andere grosse Unternehmen wurden an
Thanksgiving von der ”Internet Liberation Front” attackiert. Mitte 1995 schlug
der Word-Makro-Virus ”Concept” wie eine Bombe ein. Das lag daran, dass man
bis dahin der festen Ansicht war, dass nur ausführbare Programme von Viren
infiziert werden könnten. Dokumente galten als sicher und wurden meisstens garnicht erst auf Viren hin untersucht. Nachforschungen zum Thema Makroviren
kamen zu dem Schluss, dass alle Anwendungen mit komplexen Makrosprachen
auch von Viren befallen werden könnten.
Makroviren:
Makroviren sind Viren, die meist mit den oft immer leistungsfähigeren Makrosprachen grosser Office- und Bildverarbeitungspakete programmiert sind.
Makrosprachen wurden ursprünglich dazu eingeführt um dem Anwender
das automatisieren häufiger Arbeitsschritte zu ermöglichen.
Durch Makros, die z.B. beim öffnen eines Dokumentes automatisch aufgerufen
werden kann ein Virus dann in Aktion treten.
Obwohl das zerstörerische Potential der Makrosprachen meistens sehr eingeschränkt ist, ist es trotzdem möglich zum Beispiel durch Aufrufe externer
Programme grossen Schaden anzurichten. Ausserdem bleibt auch zu erwähnen,
dass Makrosprachen wie z.B. Microsofts VBA meisst sehr einfach aufgebaut sind
und auch von ungeübten Programmierern sehr schnell erlernt werden können.
5
Das Jahr 1996 - Boza, Laroux und Staog
”Boza” war der erste Virus, der speziell für Windows 95-Dateien entwickelt
wurde. ”Laroux” war der erste Excel-Makro-Virus. ”Staog” war der erste LinuxVirus und wurde von der gleichen Gruppe entwickelt, die auch ”Boza” entwickelt
hatte.
6
Das Jahr 1998 - Strange Brew und Back Orifice
”Strange Brew” war der erste Java-Virus. ”Back Orifice” der erste Trojaner, der
als ”remote-administration-tool” konstruiert wurde und es anderen erlaubt über
das Internet die Kontrolle über einen Rechner zu erlangen. Ausserdem wurden
die ersten Access-Makro-Viren verbreitet.
7
Das Jahr 1999 - Melissa, Tristate, HTML-Viren u.v.m.
”Melissa” war die erste Kombination aus Word-Makro-Virus und Wurm, der sich
über das Outlook und Outlook-Express Adressbuch automatisch per Email an
andere Rechner verschickte. ”Tristate” war der erste Multi-Programm-MakroVirus der sowohl Word und Excel als auch PowerPoint Dateien infizierte. ”BubbleBoy”, eine Weiterentwicklung von ”Concept”, war der erste Virus, der sich
automatisch aktivierte, wenn der User einfach nur eine Email Nachricht in Outlook und Outlook-Express ansah. Dateianhänge waren nicht nötig.
In HTML-Dateien eingebettete virale Skripte:
Das Funktionieren dieser Virenart ist einzig und alleine auf eine Sicherheitslücke in Microsoft-Produkten zurückzuführen. Dadurch ist es in HTMLSeiten eingebetteten VBS-Skripten möglich die potentiell gefährlichen ActiveXSteuerelemente scriptlet.typelib und Eyedog zu starten.Anwender mit nichtMicrosoft-Browsern und Email-Programmen sind von solchen Viren meistens
nicht bedroht. Selbstverständlich hat auch Microsoft mittlerweile einen Patch
herausgebracht, der die Sicherheitslücke schliesst.
8
Das Jahr 2000 - DoS, LoveLetter, Timofonica u.v.m.
Die ersten grossen ”Denial of Service” Attacken brachte grosse Webseiten, wie
zum Beispiel die von ”Yahoo” oder ”Amazon.com” zum Zusammenbruch.
DoS - Denial of Service:
”Denial of Service” bedeutet sowas wie ”ausser Betrieb setzen”. Das Besondere an DoS-Attacken ist, dass man einen Computer über eine TCP/IPVerbindung auch über das Internet von jedem beliebigen Ort der Welt aus
zum Absturz bringen kann. DoS-Attacken nutzen immer diverse Schwachstellen in der TCP/IP-Implementierung. Obwohl auch UNIX-basierte Systeme
nicht grundsätzlich immun gegenüber solchen Attacken sind, ist vor
allem die besondere Anfälligkeit des Microsoft Windows Betriebssystems
bekannt. Denial of Service Attacken können auf die unterschiedlichsten
Arten und Weisen funktionieren. DoS-Attacken sind für das hier vorliegende Thema insofern relevant, als das auch Trojanische Pferde, die sich in
vielen Rechnern eingenistet haben dazu verwendet werden können andere
Rechner mit einer Datenflut in die Knie zu zwingen.
Im Mai entwickelte sich der ”Love Letter”-Wurm zum am weitesten verbreiteten Virus der damaligen Zeit und legte weltweit Email-Systeme lahm. Im
Juni war der erste Angriff auf ein Telefon-System zu verzeichnen: Der VisualBasic-Script-Wurm ”Timofonica” versuchte Nachrichten an Internetfähige Telefone in Spanien zu verschicken. Im August wurde der erste Trojaner für den
Palm PDA entdeckt. Von Aaron Ardiri, dem Co-Entwickler des ”Palm Game
Boy Emulator”, entwickelt und ”Liberty” genannt wurde dieser Trojaner als
Uninstall-Programm entwickelt und nur an wenige Leute verteilt, um sie so als
Raubkopierer zu entlarven. Als sich ”Liberty” aus versehen in der Öffentlichkeit
verbreitete half Adriri die Verbreitung einzudämmen. Am 9. November 2000
wurde mit ”Pirus” ein weiterer Prototyp in PHP entwickelt. Er versucht sich
selbstständig in HTML oder PHP Dateien einzubauen.
9 Das Jahr 2001 - Gnuman, Winux Windows/Linux
Virus u.v.m.
”Gnuman (Mandragore)” tauchte ende Februar auf. Dieser Wurm tarnte sich
vor dem Gnutella file-sharing-system als MP3-Datei und war der erste Virus, der
speziell dafür ausgelegt war peer-to-peer Kommunikationssysteme anzugreifen.
Im März wurde ein Prototyp eines Virus der sowohl Linux als auch Windows
Systeme infizieren konnte veröffentlicht: ”Winux” oder ”Lindose”, der seinen
Ursprung angeblich in der Tschechischen Republik hat, hatte aber einige Fehler.
Im Mai tauchte der erste Applescript-Wurm auf. Er verwendet Outlook Express
oder Entourage auf Macintosh-Systemen um sich mithilfe des Adressbuches per
Email zu verbreiten. Anfang August erschien der Wurm ”PeachyPDF-A”. Er war
der erste Wurm der sich mittels Adobes PDF-Software verbeitete. Da aber nur
die Vollversion und nicht der kostenlose Acrobat Reader den Wurm verbreiten
konnte, hielt sich die Ausbreitung in Grenzen. Im September demonstrierte der
Wurm ”Nimda” seine herausragende Flexibilität in der Verbreitung indem er
die unterschiedlichsten Möglichkeiten ausnutzte. Obwohl konzeptionell nicht neu
verursachten eine Menge Würmer weitere Schäden im Laufe des Jahres. Dazu
gehören z.B.: Sircam (Juli), CodeRed (Juli August), and BadTrans (November
Dezember).
10 Das Jahr 2002 - LFM-926, Donut, Sharp-A,
SQLSpider u.v.m.
Anfang Januar erschien ”LFM-926”. Er war der erste Virus der Shockwave Flash
(.SWF) Dateien infizierte. Er wurde nach der Nachricht benannt, die er während
der Infektion anzeigt: ”Loading.Flash.Movie...”. Er setzt ein Debug-Skript auf
dem Rechner ab, welcheseine .COM-Datei erzeugt die wiederum andere .SWFDateien befällt. Ebenfalls im Januar tauchte mit ”Donut” der erste Wurm auf,
der sich über .NET Services ausbreitet. Im März wurde der erste wirkliche .NETWurm ”Sharp-A” angekündigt. Geschrieben in C# war dieser Wurm ebenfalls
aufgrund der Tatsache einzigartig, dass er von einer Frau geschrieben wurde. Im
Mai wurde der Javascript-Wurm ”SQLSpider” veröffentlicht. Er war einzigartig, weil er Rechner auf denen der Microsoft SQL Server lief und Programme
die die SQL Server-Technologie verwendeten angriff. Im gleichen Monat trat
auch erstmals der Wurm ”Benjamin” auf, der sich über das Kazaa Peer-To-peer
Netzwerk verbreitete. Mitte Juni trat die Presse einen grossen Hype über den
Protoypen ”Perrun” los. Dies lag daran, dass ein sich ein Teil des Virus an
JPEG-Bilddateien anhängte. JPEG-Dateien sind aber immer noch recht sicher,
da man ein Stripper-Programm auf seinem Rechner laufen haben muss um dem
Virus die Verbreitung zu ermöglichen. Am 28. Juni wurde der ”Scalper”-Wurm
entdeckt, der FreeBSD/Apache Webserver angriff.
11
Das Jahr 2003 - Slammer, Sobig, Lovgate u.v.m.
”Sobig” ein Wurm, der sein eigenes SMTP-Mail-Programm in sich trug und
sich über Windows Netzwerkfreigaben verbreitet fing ebenso wie einige weitere ”Sobig”-Varianten in diesem Jahr an sein Unwesen zu treiben. ”Slammer”
nutzte Sicherheitslücken in Microsofts SQL 2000 Servern aus. Seine VerbreitungsTechnologie funktionierte so gut, dass zeitweise ganz Süd-Korea vom Internet
abgeschnitten war, was ihm auch in den Medien grosse Beachtung einbrachte.. Im
Februar erblickte ebenfalls eine einzigartige Schöpfung das Licht der Welt: ”Lovegate” war in dem Sinne einzigartig, als dass es eine Kombination aus Virus und
Trojaner war, zwei Arten von Malware die sich normalerweise nicht miteinander
kombinieren lassen. Anfang Mai verbreitete sich ”Fizzer” mithilfe der üblichen
Email-Methoden, verwendete aber auch das KaZaa peer-to-peer Netzwerk um
sich zu verbreiten. Obwohl grundsätzlich nicht einzigartig , wurde der August
bekannt für seine Kombinationen aus ”Sobig.F”, ”Blaster” (auch ”Lovsan” oder
”MSBlast”), ”Welchia” (auch ”Nachi”), und ”Mimail”;die sich alle sehr schnell
mittels einer Sicherheitslücke im Distributed Component Object Model (DCOM)
Remote Procedure Call (RPC) interface von Microsoft ausbreiteten. 2003 traten
auch erstmals Wurm-artige Techniken auf um Spam zu verbreiten. Sobig hinterlies z.B. auf den Rechnern eine Komponente, die später von Spammern dazu
verwendet werden konnte um Emails von dem infizierten Rechner zu verschicken.
Die Verschleierungstechniken der Viren/Wurm-Programmierer wurden ebenfalls
dramatisch verbessert. Einige der Malware, die sich in diesem Jahr verbreitete
zeigten z.B. realistische Graphiken und Links um den Nutzer im Glauben zu
lassen er hätte wirklich eine Email von z.B. Microsoft erhalten.
12 Das Jahr 2004 - Trojan.Xombe, Randex, Bizex, Witty
u.v.m.
Das Jahr 2004 begann genau so, wie das Jahr 2003 endete: Mit der Entwicklung neuer Verschleierungstechniken. ”Trojan.Xombe” wurde an eine grosse Benutzeranzahl verschickt. Er zeigte eine Nachricht aus dem Microsoft Windows
Update, dass den Benutzer dazu aufforderte ein angehängtes XP-Service-Pack-1Update auszuführen. Im Februar wurde gezeigt, dass Viren-Programmierer mit
Versuchen begonnen hatten aus ihren Produktionen kapital zu schlagen. Ein
deutsches Magazin schaffte es eine Liste der infizierten IP Adressen vom Produzenten des ”Randex”-Virus zu kaufen. Diese IP Adressen wurden an Spammer
verkauft, die dann die infizierten Rechner als Mail-Zombies verwenden konnten.
Ende Februar wurde ”Bizex” entdeckt, der ICQ-User befiel indem diese durch
einen HTML-Link eine infizierte SCM (Sound Compressed Sound Scheme) Datei
herunterluden.
References
1.
2.
3.
4.
http://www.antiviruslab.com/e-categories.php?lang=gb
http://www.vhm.haitec.de/konferenz/makro.htm
http://www.sophos.de/virusinfo/analyses/vbsbubbleboy.html
http://www.computec.ch/dokumente/denial-of-service/tcp-ip-angriffe/tcp-ipangriffe.html
This article was processed using the LATEX macro package with LLNCS style