Vienna (Computervirus)

Vienna
NameVienna
AliaseAustrian, Unesco
Bekannt seit1987
Erster FundortÖsterreich
VirustypDateivirus
Dateigröße648 Bytes
WirtsdateienCOM
Verschlüsselungnein
Stealthnein
Speicherresidentnein
SystemPC-kompatibles DOS
Programmiersprachex86-Assembler

Vienna ist ein Computervirus, das Programmdateien infiziert. Die Herkunft und der Autor sind unbekannt.

Bekanntheit erlangte das Virus vor allem, weil der IT-Sicherheits-Experte Bernd Fix im Jahr 1987 ein Programm veröffentlichte, das Infektionen aufspüren und entfernen konnte.[1][2]

Außerdem wurde der Viruscode in mehreren Fachbüchern veröffentlicht, was in der Folge zu einer sehr großen Zahl von Varianten führte und die unkontrollierte Verbreitung begünstigte.[1]


Herkunft

Zur Herkunft des Vienna-Virus gibt es unterschiedliche und widersprüchliche Angaben. Sicher dokumentiert wurde es erstmals 1987 in Österreich. Laut Ralf Burger, dem Autor des Fachbuchs Das große Computer-Viren-Buch, hat der Wiener Informatiker Franz Swoboda das Virus als Erster entdeckt.[3] Der Urheber und der Ursprung des Virus sind Swoboda nicht bekannt. Er gab den Viruscode vermutlich an Burger weiter, der ihn dann auch an Bernd Fix schickte.[1][4]

Einigen Quellen nach wurde Vienna erst am 1. April 1988 in Moskau in einem Computer-Camp, das die UNESCO für Kinder ausrichtete, zum ersten Mal entdeckt.[5] Vermutlich handelt es sich bei diesem Virus aber um eine Variante. Für die im Internet kursierende Behauptung, ein Schüler aus Wien habe das Virus als Experiment entwickelt, gibt es keine Belege.[6]

Aliasse

Das britische Fachmagazin Virus Bulletin und die Datenbank von F-Secure nennen folgende Bezeichnungen für das originale Virus:[7][8]

  • Vienna
  • Austrian
  • Unesco
  • DOS62

Versionen und Derivate

Auszug aus dem kommentierten Sourcecode von Vienna

Zu den bekanntesten Varianten gehören:

  • Lisbon wurde zuerst in Portugal entdeckt. Es wurde in großen Teilen modifiziert, um Antivirenprogramme zu täuschen. Der Anfang von ausführbaren Dateien wird mit @AIDS überschrieben.[8]
  • New Vienna ist eine auf Vienna basierende Virenfamilie und stammt aus Bulgarien, der Viruscode ist etwas kürzer als beim Originalvirus. Die Payload wurde geändert, er formatiert die Festplatte, sofern vorhanden. Zudem wurde eine Routine zur Behandlung von Standardfehlern eingebaut.[8]
  • Arf, Christmas Violator, Violator und Baby sind Varianten mit großen Übereinstimmungen im Quellcode. Daher wird angenommen, dass sie von demselben Autor stammen.[8]
  • Iraqui Warrior ist ein sogenannter Intended Virus, d. h., er enthält einen Programmfehler, der verhindert, dass das Virus sich nach der ersten Infektion weiter ausbreiten kann. Im Quellcode ist ein Text hinterlegt:
I come to you from The Ayatollah! (c)1990, VirusMasters
An Iraqui Warrior is in your computer
  • NTKC ist möglicherweise der längste Dateivirus, den es je gab. Abgesehen davon hat diese Vienna-Version keine nennenswerten Merkmale.[8]
  • Vienna.Reboot ist eine sehr destruktive Variante, die ausführbare Dateien mit einem kleinen Programm überschreibt, das den Computer neustartet.[8]
  • 1260 war der erste bekannte polymorphe Virus. Er wurde zu Demonstrationszwecken als Machbarkeitsstudie veröffentlicht.

Es gibt noch zahlreiche weitere Varianten:

  • Vienna.Ambalama
  • Vienna.Angel
  • Vienna.BboDong
  • Vienna.Bloodspill
  • Vienna.BNB
  • Vienna.Born
  • Vienna.Bua
  • Vienna.BY
  • Vienna.ByteWarrior
  • Vienna.DDrUS
  • Vienna.DearUser
  • Vienna.Dr. Q
  • Vienna.Ender
  • Vienna.Feliz
  • Vienna.FatherChristmas
  • Vienna.Grither
  • Vienna.Gustav
  • Vienna.Gympel
  • Vienna.Hybryd
  • Vienna.IRA
  • Vienna.Kuzmitch
  • Vienna.Monxla/Interceptor
  • Vienna.Norilsk
  • Vienna.Oscar
  • Vienna.Parasite
  • Vienna.Pivi
  • Vienna.Saigon
  • Vienna.SDI
  • Vienna.Sector
  • Vienna.Skate
  • Vienna.SPb
  • Vienna.Sunday
  • Vienna.TheseDays
  • Vienna.Viperize
  • Vienna.Westmont

Funktion

Infektion

Vienna infiziert COM-Dateien unter PC-kompatiblen DOS, darunter auch die COMMAND.COM. Bei Ausführung der infizierten Datei wird eine weitere noch nicht infizierte Datei im gleichen Verzeichnis (inklusive aller Unterverzeichnisse) infiziert. Am Ende der infizierten Datei hängt sich der Viruscode an, was die Datei um 648 Bytes erweitert.[7] Vienna ist also ein sogenannter Appender-Virus.

Nach der Infektion wird der Zeitstempel der betroffenen Datei verändert. Die Sekundenangabe im Zeitstempel der Datei wird auf den theoretisch unmöglichen Wert 62 geändert. Das hat praktisch keinen spürbaren Effekt, kann dem Anwender aber als Indiz für eine Infektion dienen. In der Praxis verhindert es Mehrfach-Infektionen, da der Viruscode den Zeitstempel abfragt und sich nicht erneut in eine bereits modifizierte Datei schreibt.[7]

Da sehr viele verschiedene Varianten von diesem Virus existieren, können sich die Merkmale einer Infektion im Einzelfall unterscheiden.[7]

Das Virus ist nicht speicherresident und führt seine Funktion beim Ausführen der Datei einmalig aus. Solche Computerviren nennt man direct action infector. Zusätzlich verbreitete sich das Virus natürlich auch, wenn die infizierte Datei mit üblichen Methoden kopiert wurde. Wird eine infizierte Datei auf einer schreibgeschützten Diskette oder einer CD-ROM ausgeführt, kann sich der Viruscode nicht in andere, potentiell vorhandene Wirtsdateien speichern.

Payload

Schädliche Auswirkungen treten in einem von acht Fällen bei der Infektion neuer Dateien auf.[7] Die Datei wird dann nicht wirklich infiziert, d. h., der Viruscode hängt sich nicht an die ausführbare Datei an. Stattdessen werden die ersten fünf Bytes mit dem Hexadezimalstring EAF0FF00F0 überschrieben. Werden diese Dateien später ausgeführt, kann es zu schweren Computerfehlern kommen, die einen Neustart zur Folge haben können. Eine solche Datei ist nicht infiziert, sondern beschädigt. Die meisten Antivirenprogramme erkennen auch solche Dateien. Eine Reparatur ist aber schwer bis unmöglich, sofern kein Backup angelegt wurde.[8]

Situation um 1987

Bernd Fix (2007)

Computerviren wurden in den Jahren 1986 und 1987 erstmals als Thema in Computerzeitschriften für private Computerbesitzer aufgegriffen. Sie waren zuvor noch kaum bekannt und lediglich in Fachkreisen ein theoretisches Thema. In diesen Jahren verbreiteten sich die ersten Malware-Programme für IBM-Rechner. Der Vienna-Virus erlangte durch Bernd Fix und Ralf Burger als einer der ersten Viren etwas breitere Aufmerksamkeit.

Da der Quellcode des Virus in verschiedenen Büchern veröffentlicht wurde, hatte Vienna auch großen Einfluss auf die Entwicklung von anderen zeitgemäßen Viren.[1] 1989 veröffentlichte Mark Washburn zu Anschauungszwecken den Virus 1260. Es handelte sich um eine komplexe Weiterentwicklung von Vienna. 1260 war der erste bekannte polymorphe Virus. Der erste bekannte Hybridvirus namens Ghostball verwendete für die Infektion von Dateien ebenfalls eine Routine, die auf Code von Vienna basiert.

Antivirusprogramm von Bernd Fix

Bernd Fix führte die erste öffentlich dokumentierte Entfernung eines Computervirus am Beispiel von Vienna durch. Dafür entwickelte und veröffentlichte er ein spezielles Programm. Das Tool wird häufig als das erste Antivirusprogramm der Welt bezeichnet.[1][4] Das ist aber nicht korrekt. Es gab schon zuvor andere derartige Programme, z. B. Master Create aus dem Jahr 1983, zum Entfernen des Bootsektorvirus Elk Cloner. Bereits 1972 wurde das Programm Reaper verwendet, um einen Netzwerkwurm im Arpanet zu bekämpfen, von dem die Öffentlichkeit aber kaum Notiz nahm.[9]

Das erste Modul für einen Suchlauf zur Erkennung und Entfernung wurde im Jahr 1987 von Ross Greenberg entwickelt. Er brachte mit seinem Programm FluShot Plus einen der ersten beiden kommerziellen Virenscanner auf den Markt. FluShot erkannte 81 verschiedene Schadprogramme. Einfache Schadmechanismen konnten auch heuristisch erkannt werden.[10][11] Zeitgemäß wurden solche Programme damals meist Virus-Killer genannt.

Sonstiges

  • Das Virus Eddie-2 aus Bulgarien und das Virus Zero Bug ändern den Zeitstempel ebenfalls auf den Wert 62. Die Viren haben ansonsten keine Gemeinsamkeiten mit Vienna, impfen die Dateien aber praktisch gegen eine Infektion.[7] Vermutlich wollte der oder die Autoren verhindern, dass Vienna die Verbreitung ihrer eigenen Viren behindert.

Einzelnachweise

  1. a b c d e https://web.archive.org/web/20120724073428/http://www.securelist.com/en/threats/detect?chapter=108 Securelist.com: History of malicious programs
  2. https://www.security-insider.de/die-geschichte-der-viren-wuermer-und-trojaner-a-343533 Security-Insider.de Die Geschichte der Viren, Würmer und Trojaner
  3. DNB 880490047 Ralf Burger: Das große Computer-Viren Buch (ISBN 3-89011-200-5)
  4. a b https://encyclopedia.kaspersky.de/knowledge/year-1987 Encyclopedia.Kaspersky.de Enzyklopädie von Kaspersky - 1987
  5. https://wiw.org/~meta/vsum/view.php?vir=1496 Wiw.org Vienna
  6. https://wiw.org/~meta/vsum/view.php?vir=1496 Wiw.org
  7. a b c d e f https://www.virusbulletin.com/uploads/pdf/magazine/1990/199003.pdf Virus Bulletin Ausgabe März 1990 (PDF-Download)
  8. a b c d e f g https://www.f-secure.com/v-descs/vienna.shtml F-Secure.com: Description of Vienna
  9. https://pandorafms.com/blog/creeper-and-reaper PandoraFMS.com Creeper and Reaper
  10. https://antivirusrankings.com/history-of-antivirus-software AntiVirusRankings.com: History of Antivirus-Software
  11. https://strom.wordpress.com/2010/04/01/ross-greenberg Strom.Wordpress.com Ross Greenberg

Weblinks

Auf dieser Seite verwendete Medien

Bernd Fix.jpg
Autor/Urheber: Yabba67, Lizenz: CC BY-SA 3.0
Speaker at 24C3 in Berlin
Vienna Computervirus Code.png
Autor/Urheber: Worm&Virus (Diskussion), Lizenz: CC0
Auszug aus dem Code des Computervirus Vienna