Michelangelo (Computervirus)

Michelangelo
NameMichelangelo
AliaseStoned.March6.a
Bekannt seit1991
Erster FundortAustralien
VirustypBootsektorvirus
Dateigröße512 Bytes
WirtsdateienBootsektor, Master Boot Record
Stealthnein
Speicherresidentja
SystemIBM-PC-kompatibler Computer
Programmiersprachex86-Assembler
InfoDer Payload kann nur bei AT
und PS/2 ausgelöst werden

Das Michelangelo-Virus ist ein Bootvirus für DOS-Systeme auf AT- oder PS/2-Rechnern. Es war das erste Computervirus, das große Aufmerksamkeit in den Medien und Nachrichten erlangte.[1][2] Im Nachhinein etablierte sich für die übertriebene Berichterstattung die Bezeichnung „Michelangelo-Hysterie“.

Das Virus war keine Neuentwicklung. Michelangelo basierte auf dem bereits seit 1987 bekannten Bootvirus Stoned, das auch unter den Namen Marijuana oder New Zealand Virus bekannt ist. Der Viruscode war entsprechend modifiziert, damit Antivirus-Programme ihn nicht mehr erkennen konnten.

Herkunft

Zum ersten Fund des Virus' gibt es unterschiedliche Angaben. Am verlässlichsten dürfte die Fachzeitschrift Virus Bulletin sein, die in der Ausgabe vom Oktober 1991 Australien als ersten Fundort nannte. Möglicherweise wurde dort aber auch nur der Viruscode erstmals isoliert.[3]

Laut einigen anderen Quellen wurde Michelangelo erstmals im April 1991 in Neuseeland entdeckt.[4] Als im Juli 2017 ein Rückblick zur Michelangelo-Hysterie abgedruckt wurde, gab der Heise-Verlag in der Zeitschrift c't an, dass das Virus bereits im Februar 1991 gefunden wurde.[1][5] Außerdem geben einige Websites an, dass Michelangelo erstmals in den Niederlanden oder in Schweden entdeckt wurde, meist wieder mit April 1991 als Datum.[6]

Der Urheber der Malware ist unbekannt.[7]

Aliasse

Der Quellcode von Michelangelo enthält keine Signatur, Versionsnummer, Daten oder Namen. Der Entdecker des Virus, der australische Ingenieur und Programmierer Roger Riordan, stellte fest, dass der Payload am 6. März ausgelöst wird. Er wollte das Schadprogramm nach einem Freund benennen, dessen Geburtstag auf dieses Datum fällt. Dieser schlug vor, stattdessen den Namen einer bekannten Persönlichkeit zu verwenden. Das Geburtsdatum des Renaissance-Künstlers Michelangelo erwies sich dann als passend.[8] Da es für Computerviren keine festgelegte Nomenklatur gibt, sind mehrere Trivialnamen gebräuchlich. Ebenso verwenden Hersteller von Antivirensoftware verschiedene Bezeichnungen für Malware. Aufgrund der Medienpräsenz, die das Virus 1992 erlangte, ist es aber vor allem unter dem Namen „Michelangelo“ ein Begriff.

Weitere Namen sind Stoned.March6.a und Stoned.Michelangelo.[9]

Funktion

Das Virus soll zu MS-DOS/PC DOS kompatible DOS-Systeme infizieren, es greift das Betriebssystem jedoch nicht an und führt auch keine internen Befehle aus. Michelangelo agiert größtenteils, wie es typisch für Bootviren ist, auf BIOS-Ebene. Michelangelo ist eine Variante des Stoned-Virus. Dabei wurden weite Teile des Codes neu geschrieben, es handelt sich nicht um eine simple Modifikation. Das Virus verwendet keine Stealth- oder Polymorph-Techniken, um sich vor dem Anwender oder vor Antiviren-Scannern zu tarnen.[10]

Infektion

Wird ein passender Rechner von einem infizierten Datenträger gebootet, reserviert sich Michelangelo zwei Kilobyte Systemspeicher unter der Adresse 40h:13h. Dann kopiert sich der Viruscode in diesen Bereich. Ist eine Festplatte vorhanden, liest der Virus den Master Boot Record (MBR) und prüft, ob dieser bereits infiziert ist. Genau wie der Stoned-Virus vergleicht auch Michelangelo die ersten 4 Bytes des MBR mit den ersten Bytes seines eigenen Code. Bei Nichtübereinstimmung versucht das Virus zu infizieren.[11] Michelangelo speichert den ursprünglichen MBR in Spur 0, Kopf 0, Sektor 7. Die letzten 66 Bytes des MBR, die die Partitionstabelle enthalten, werden an das Ende des Viruscodes kopiert und dann in Spur 0, Kopf 0, Sektor 1 geschrieben. Nach der Infektion der Festplatte überträgt der Virus die Kontrolle im Chainloading-Prinzip an den ursprünglichen Boot-Code des MBR.

  • Auf Festplatten verschiebt das Virus den ursprünglichen Master Boot Record zu Zylinder 0, Kopf 0, Sektor 7.
  • Auf Disketten, falls deren Kapazität 360 kB beträgt, wird der original Bootsektor zu Zylinder 0, Kopf 1, Sektor 3 verschoben.

Auf anderen Disketten verschiebt das Virus den ursprünglichen Bootsektor zu Zylinder 0, Kopf 1, Sektor 14.

  • Das ist das letzte Verzeichnis einer 1,2-MB-Diskette.
  • Das ist das vorletzte Verzeichnis einer 1,44-MB-Diskette.
  • Dieses Verzeichnis existiert nicht auf 720-kB-Disketten.

Obwohl das Virus DOS-Systeme infizieren sollte, kann es auch leicht unter anderen Betriebssystemen zu Schäden kommen, da es, wie viele andere Viren auch, den Master Boot Record einer Festplatte infiziert. Nachdem ein System infiziert wurde, wird jede Diskette, auf die das System zugreift, unverzüglich infiziert. Auf IBM-PC-kompatiblen Rechnern besteht durch ein Programm grundsätzlich keine direkte Möglichkeit, um zu prüfen, ob aktuell eine Diskette ins Laufwerk eingelegt ist. Schreib- und Lesevorgänge werden auch bei leerem Laufwerk ausgeführt, geben dann aber eine Fehlermeldung zurück. Eine unbemerkte Infektion war erst möglich, nachdem durch den Anwender ein aktiver Zugriff auf das Laufwerk stattfand.[12] Da das Virus die meiste Zeit keine Auswirkungen zeigte, war es durchaus möglich, dass eine Infektion über Jahre unentdeckt blieb. Dass Michelangelo aufgrund seiner Art, Disketten zu infizieren, in den kommenden Jahren aussterben würde, war somit absehbar. Das Virus konnte sich nicht effektiv über 3,5"-Disketten verbreiten, und das 5,25"-Format war bereits veraltet. Der Vervielfältigungs-Code des Virus ist für Disketten mit 15 Sektoren pro Spur sowie auf Festplatten ausgelegt. 3,5"-Disketten mit 720 KByte waren somit komplett immun gegen Michelangelo. Die HD-Variante mit 1,44 MByte wird infiziert und könnte beim Bootvorgang auch weitere Infektionen verursachen. Solche Disketten sind aber nach der Infektion nicht mehr lesbar und müssen (virusfrei) neu formatiert werden. Es erscheint dann die Fehlermeldung: Allgemeiner Fehler beim Lesen von Laufwerk X:. Für die Weiterverbreitung von Bootviren ist eine defekte Diskette in der Praxis weitgehend sinnlos. Für effektive Ausbreitung ist ein solches Virus auf nicht-schreibgeschütze Bootdisketten angewiesen. Rechner mit dem Betriebssystem DR-DOS können jedoch auch diese Disketten einwandfrei lesen und verarbeiten.[10]

Wird der Bootsektor nicht nur von Michelangelo, sondern zusätzlich von einem anderen Bootvirus infiziert, kann das zur Folge haben, dass beim Systemstart der MBR nicht mehr gefunden werden kann. In diesem Fall muss der Rechner mit einer Diskette gebootet werden, um den MBR anschließend neu zu schreiben.

Payload

Das Virus enthält eine Logikbombe, die am 6. März, dem Geburtstag von Michelangelo Buonarroti, gezündet wird. Es gibt keinen Hinweis auf den Künstler innerhalb des Viruscode, und es ist generell zu bezweifeln, dass der Autor eine Verbindung zwischen dem Virus und Michelangelo herstellen wollte. Ein wahrscheinlicheres Szenario ist, dass der Virus ein Angriff gegen das zu dieser Zeit besser bekannte Jerusalem-Virus war, das an jedem Freitag, den 13. einen ähnlichen Payload aktivierte. Da dieser Angriff genau eine Woche vor Freitag, 13. März 1992 lag, wären Computer-User betroffen gewesen, die glaubten, sich vor dem Jerusalem-Virus schützen zu können, indem sie am 12. März das Systemdatum verändern. Einer weiteren spekulativen Annahme nach wurde das Virus vom Entwickler kurz nach dem 6. März fertiggestellt. Den Trigger erst in einem Jahr zu aktivieren gab Michelangelo die nötige Zeit, um sich zu verbreiten. Allgemein werden Viren, die ihren Payload an einem bestimmten Tag im Jahr aktivieren, als „Geburtstagsvirus“ bezeichnet. Ein weiterer bekannter Vertreter ist die erste Version des CIH-Virus. Bei jedem Start eines infizierten Systems prüft Michelangelo das Systemdatum. Wird am 6. März kein Bootvorgang ausgeführt, löst man den Payload nicht aus. Durch Dauerbetrieb, der 1992 bei Netzwerkservern bereits üblich war, konnte ein System dem Schaden entgehen. Sollte es sich bei dem bootenden PC um einen AT oder einen PS/2 handeln, überschreibt das Virus an diesem Datum die ersten 100 Sektoren der Festplatte mit Nullen. Das Virus geht von einer Geometrie von 256 Zylindern, 4 Köpfen und 17 Sektoren je Spur aus. Obwohl sämtliche Benutzerdaten weiterhin auf der Festplatte vorhanden sind, waren sie für den durchschnittlichen Benutzer unauffindbar und somit verloren.

Die Auswirkungen auf Datenträger waren im Einzelnen:

  • Bei Disketten überschreibt der schädliche Code zuerst alle Informationen auf Spur 0, dann auf Spur 1 etc.
  • Auf einer 360K-Diskette werden die Sektoren 1–9 sowie die Köpfe 0 und 1 zerstört.
  • Auf anderen Diskettentypen werden die ersten 14 Sektoren jeder Spur zerstört.
  • Auf einer Festplatte zerstört der Virus die ersten 17 Sektoren auf jeder Spur, Kopf 0, 1, 2 und 3.

Zum Überschreiben verwendet Michelangelo den Inhalt von Speicherort 5000h:0000h. Da der Payload noch vor dem eigentlichen Systemstart ausgelöst wird, handelt es sich dabei vermutlich um einen Block Zero-Bytes.[13] Bei mehreren Systemplatten überschreibt Michelangelo diese nacheinander. Ein sofortiges Abschalten des Rechners konnte somit die Daten auf der zweiten Platte retten. Eine Datenwiederherstellung war mit üblichen Mitteln aussichtslos.

Situation 1992

Die Michelangelo-Hysterie

Der Entdecker von Michelangelo, Roger Riordan, schrieb kurz nach dem Virusfund ein maßgeschneidertes Antiviren-Programm und vertrieb es als Shareware über seine parallel laufende Softwarefirma Cybec.[14][1] Als das britische Virus Bulletin Michelangelo im Oktober 1991 zum ersten Mal in seiner Malware-Hitliste aufführte, gingen IT-Kundige von einer eher moderaten Gefahr aus. Der Schädling hatte verglichen mit bereits bekannten Viren nichts wirklich Neues zu bieten.

Michelangelo erlangte im Januar 1992 große internationale Aufmerksamkeit, als sich herausstellte, dass einige Computer- und Softwarehersteller das Virus versehentlich mit ihren Produkten ausgeliefert hatten, z. B. der LANSpool-Printserver von Intel. Obwohl von der Printserver-Software nur 839 betroffene Disketten verschickt wurden, berichteten die Massenmedien meist von ungleich höheren Zahlen.[15] Eine schlimmere Infektionsquelle stellte vermutlich eine verseuchte Master-Diskette in einem taiwanischen Kopierwerk dar. Über die Treiberdiskette der beliebten Artec-Maus konnte man sich daher den Michelangelo-Virus einfangen, wenn sie versehentlich beim Bootvorgang noch im Laufwerk eingelegt waren. Die Maus wurde 20.000-mal verkauft, der Anteil der infizierten Disketten ist aber unklar.[1] Auch Treiber für Grafikkarten wurden in diesem Kopierwerk mit dem Virus verseucht.

Schon bald wurde in Presse und Nachrichtenmagazinen behauptet, 5 bis 15 Millionen Computer könnten mit Michelangelo infiziert sein.[1] In Deutschland sprang Reuters auf den Zug auf und berichtete ebenfalls von Millionen befallenen Rechnern.[15] Die Jugendzeitschrift Bravo brachte einen Artikel mit dem reißerischen Titel: „Computer-Besitzer in Angst! Gehen am 6. März alle Computer kaputt?“. Die Medienaufmerksamkeit war weltweit groß, in Deutschland prägte sich später der Begriff „Michelangelo-Hysterie“. In englischsprachigen Ländern spricht man gleichbedeutend von der „Michelangelo Madness“.

Das BSI richtete eine spezielle Hotline ein. In der Zeit vom 17. Februar bis zum 1. März 1992 gingen rund 1.000 Anrufe ein, die allgemeine und spezielle Fragen zu Computerviren und Antivirusprogrammen betrafen. Man gab eine behördliche Warnung heraus.[10] Das CERT gab im Februar 1992 Hinweise für den Umgang mit Michelangelo heraus.[16]

Mehrere Fachleute, darunter einige Vertreter des Chaos Computer Clubs, sprachen von einer grundlosen Panikmache.[17]

Professor Klaus Brunnstein, der damals an der Universität Hamburg ein Viren-Test-Center leitete, vertrat dagegen die Meinung, Michelangelo sei eine ernstzunehmende Gefahr. Der Virus sei sehr schädlich und vermutlich weit verbreitet.[18][1]

Die Auswirkungen

Am 6. März 1992 berichteten die Morgennachrichten in Deutschland bereits von ersten Fällen in Uruguay. Bei einigen militärischen Rechnern war die Systemzeit falsch eingestellt gewesen, daher wurde Michelangelos Payload vorzeitig ausgelöst.[17] Im Laufe der nächsten Tage zeigte sich dann, dass es lediglich 10.000 bis 20.000 Fälle von Datenverlust weltweit gegeben hatte. In Deutschland wurden 150 betroffene Computer gemeldet, der erste Fall betraf den Firmenrechner einer Druckerei aus Aachen. Das war weit unter den Erwartungen der Öffentlichkeit.[1]

Die britische Fachzeitschrift Virus Bulletin stuft die gesamten Auswirkungen von Michelangelo in einer Rückschau als „moderat“ ein. In Großbritannien wurden 117 betroffene PCs gemeldet. In den USA, wo die Hysterie am größten war, ging die Firma Dr Solomon's von etwa 7.000 Schadensfällen aus. McAfee berichtete von knapp 10.000. In Südafrika hatte es etwa 1.000 Rechner in verschiedenen Apotheken erwischt, weil sie eine Preisliste in elektronischer Form bezogen. Der Großhändler hatte versehentlich infizierte Disketten verschickt.[19][1]

Laut BSI betrug die Schadensbilanz in den Folgejahren in Deutschland für 1993 rund 50 gemeldete Fälle und 1994 rund 20 Fälle. Der 6. März fiel in diesen Jahren auf ein Wochenende, weswegen vergleichsweise wenige Firmen-PCs betroffen waren.[10][1] Als Gründe für das unerwartet geringe Ausmaß gelten:

  • Die Verbreitung von Michelangelo und seine Infektionszahlen waren weit geringer als angenommen. Die unseriöse Berichterstattung hatte ein falsches Bild der Lage vermittelt.
  • Im Vergleich zu anderen Viren von 1992 sind die bekannten Fälle plus Dunkelziffer nicht unbedingt gering. Realistische Vergleiche sind hier kaum möglich, da andere Schadensfälle durch Viren in der Öffentlichkeit nicht dieselbe Aufmerksamkeit wie Michelangelo bekamen.
  • Viele Betroffene hatten ihren PC bereits gescannt und gesäubert.
  • Eine mutmaßlich nicht geringe Anzahl von Anwendern schaltete den Rechner am Stichtag sicherheitshalber nicht ein.
  • Andere Computerbesitzer verstellten rechtzeitig das Systemdatum, um den kritischen Tag zu überspringen.
  • Viele Serveranlagen werden nach Möglichkeit durchgehend betrieben. Der Payload wurde aber nur beim Bootvorgang getriggert.

Die Nachrichten verloren das Interesse und das Virus wurde schnell vergessen. Trotz des oben beschriebenen Szenarios, dass ein System über Jahre unbemerkt infiziert bleibt, wurden bis 1997 kaum entsprechende Fälle bekannt.[15] 1998 wurden lediglich bei der Firma Symantec wieder zwei Fälle gemeldet, dann war es endgültig ruhig um Michelangelo.[15] Mittlerweile werden anfällige Systeme wohl kaum noch betrieben.

Die Rolle von John McAfee

Als Hauptverursacher der Medienpanik um den Michelangelo-Virus wird oft der amerikanisch-britische Unternehmer John McAfee genannt. Er war 1991 einer der noch wenigen Hersteller von Antivirensoftware. Die utopische Zahl von bis zu 15 Millionen infizierten Rechnern geht ursprünglich auf ihn zurück. Allgemein wird ihm bis heute vorgeworfen, dass er mit diesem Werbetrick nur den Umsatz seiner Firma erhöhen wollte.[20]

Später stellte McAfee in einem weiteren Interview klar, dass er damals von den Journalisten gedrängt wurde, eine Zahl zu nennen. Da er sich aber nicht festlegen konnte und wollte, gab er bewusst eine schwammige Antwort. Er sagte, es können „5.000 oder 15 Millionen infizierte Rechner“ sein. In der Folge wurde er dann fehlerhaft zitiert, da den Medien die 15 Millionen anscheinend besser gefielen.[21][22] Eine Panik auslösen oder einen Werbebetrug veranstalten sei nicht seine Absicht gewesen.

Die Verkaufszahlen des Antivirenprogrammes von McAfee schossen Anfang 1992 auf jeden Fall in die Höhe, er verkaufte in diesem Geschäftsjahr sieben Millionen Programme. Dieser Boom betraf im Lauf der Michelangelo-Hysterie aber auch alle anderen Hersteller von Virenscannern.[15]

Einzelnachweise

  1. a b c d e f g h i https://www.heise.de/ct/ausgabe/2017-6-25-Jahre-Michelangelo-Virus-ein-Rummel-mit-Folgen-3638531.html Heise-Verlag, Zeitschrift c't: 25 Jahre Michelangelo-Virus von Detlef Borchers, 3. März 2017
  2. „Michelangelo“ griff 10000 Rechner an, michaelsimm.de/DIE WELT, 7. März 1992
  3. PDF-Download - Virus Bulletin Ausgabe Oktober 1991
  4. pspl.com (Memento vom 22. September 2008 im Internet Archive) pspl.com: Virus-Info
  5. http://www.today-in-history.de/index.php?what=thmanu&manu_id=1388&lang=en Today-in-history.de: Michelangelo 1992
  6. https://wiw.org/~meta/vsum/view.php?vir=874 Today-in-Hisory.de Michelangelo
  7. https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-michelangelo-virus-25-years-later TrendMicro.com: The Michelangelo virus - 25 years later
  8. https://nakedsecurity.sophos.com/2012/03/05/michelangelo-virus/ NakedSecurity.Sophos.com: Memories of the Michelangelo virus
  9. https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Michelangelo.aspx Sophos.com: Virus-Datenbank, Michelangelo (Übersicht)
  10. a b c d https://www.hgb-leipzig.de/~hilko/boot_sector/ HGB-Leipzig.de: The worldwide Michelangelo virus scare of 1992 - (Der Fall Michelangelo)
  11. https://www.virusbulletin.com/virusbulletin/2017/03/throwback-thursday-michelangelo-graffiti-not-art/ VirusBulletin.com - Analyse von Michelangelo, von Fridrik Skulason, Januar 1992
  12. https://malware.wikia.org/wiki/Michelangelo Malware.Wikia.com: Virus-Datenbank, Michelangelo
  13. https://www.csie.ntu.edu.tw/~wcchen/asm98/asm/proj/b85506050/ORIGIN/MICHEL~1.HTM CSIE.ntu.edu.tw: Michelangelo -- Graffiti Not Art
  14. https://www.internetx.com/news/michelangelo-25-jahre-nach-der-grossen-virushysterie/ InternetX.com: Michelangelo - 25 Jahre nach der großen Virenhysterie
  15. a b c d e Truth About Computer Virus Myths & Hoaxes (Memento vom 12. Dezember 2005 im Internet Archive) – vmyths.com
  16. https://resources.sei.cmu.edu/library/asset-view.cfm?assetID=496264 Empfehlungen des CERT bezüglich Michelangelo
  17. a b https://taz.de/Michelangelo-schlapper-Master-of-Disaster/!1679068/ taz.de: Michelangelo - Schlapper Master of Disaster
  18. https://www.spiegel.de/spiegel/print/d-9274748.html Spiegel.de: Panikmache mit Michelangelo vom 2. März 1992
  19. https://ajrarchive.org/Article.asp?id=1673 AjrArchive.org: Michelangelo
  20. https://www.computerwoche.de/a/john-mcafee-wird-70,3216026 Computerwoche.de: John McAfee wird 70
  21. https://www.wz.de/digital/john-mcafee-software-pionier-und-schlitzohr_aid-30187615 WZ.de: John McAfee, Softwarepionier und Schlitzohr
  22. https://www.infosecurity-magazine.com/blogs/mcafee-michelangelo/ InfoSecurity-Magazine.com: McAfee und Michelangelo

Weblinks