1987 tritt der Vienna-Virus in Erscheinung. Sein Auftauchen und seine Ausbreitung rund um den Globus lösten heiße Diskussionen aus, insbesondere bezüglich der Frage nach der wahren Urheberschaft des Virus. Franz Swoboda wurde als erster auf den Virus aufmerksam und seine Warnung vor einem sich selbst reproduzierenden Programm namens Charlie wurde von vielen IT-Agenturen veröffentlicht und zog ebenfalls die Aufmerksamkeit der Medien auf sich. Verständlicherweise hatten viele Leute großes Interesse daran, den Autor und somit die Quelle der Epidemie zu entlarven. Es sickerte durch, dass Swoboda den Virus nach eigenem Bekunden von Ralf Burger erhalten haben sollte, was dieser wiederum entschieden bestritt. Er behauptete nun seinerseits, dass Swoboda ihm den Virus habe zukommen lassen. Es konnte nie aufgeklärt werden, wer tatsächlich der Autor dieses Schadprogramms war.
Neben der Verwirrung um die Urheberschaft von Vienna wird dieser Virus noch durch einen anderen Umstand so bemerkenswert: Einer der potentiellen Autoren, Ralf Burger, schickte den Virus an Bernt Fix, welcher es schaffte, den Virus zu neutralisieren. Das war bisher noch niemandem gelungen und macht Fix zu dem ersten modernen Antiviren-Experten. Allerdings darf man dabei nicht vergessen, dass heutige Antiviren-Fachleute die Viren nicht nur analysieren und neutralisieren - sie stellen darüber hinaus Module zum Schutz, zum Aufspüren und zur Desinfektion zur Verfügung.
Burger nutzte Fix' Arbeit und veröffentlichte den Code zur Neutralisierung des Vienna-Virus in seinem Buch mit dem Titel 'Das große Computervirenbuch', was als Pendant zu B. Khizhnyaks Arbeit 'Viruses and Antiviruses' angesehen werden kann. In seinem Buch beschreibt Burger, wie der Viruscode dahingehend modifiziert werden kann, dass dieser die Fähigkeit verliert, sich selbst zu reproduzieren. Allerdings erfreute sich das Buch vermutlich aus einem anderen Grunde großer Beliebtheit: Es erklärte, wie man Computerviren schreibt und diente somit als Anreiz für die Schaffung Tausender von Viren, die vollständig oder zumindest zum Teil auf Ideen zurückzuführen sind, die in Burgers Buch beschrieben werden.
Aber 1987 tauchten noch weitere IBM-kompatible Viren auf:
der berühmte Lehigh-Virus, der nach der Universität in Pennsylvania benannt wurde, an der er erstmals entdeckt wurde. Ironischerweise ist diese Universität gleichzeitig die Alma Mater des Vaters der modernen Computer-Virologie.
die Familie der Suriv-Viren;
verschiedene Viren, die den Boot-Sektor infizierten - 'Yale' in den USA, 'Stoned' in Neuseeland, 'Ping Pong' in Italien;
der erste sich selbst verschlüsselnde Datei-Virus, 'Cascade'
Lehigh schrieb Geschichte als erster Virus, der tatsächliche Daten-Schäden verursachte: Er zerstörte auf Diskette gespeicherte Informationen. Doch glücklicherweise arbeiteten an der Lehigh-Universität verschiedene Computer-Experten, die in der Lage waren, Viren zu analysieren, so dass der Virus niemals außerhalb der Universität in Erscheinung trat.
Der Lehigh-Virus brachte einen Zerstörungsprozess ins Rollen, der am Ende nicht nur brauchbare Daten, sondern auch sich selbst löschen konnte. Zunächst infizierte Lehigh nur die System-Dateien command.com. Nachdem allerdings 4 Dateien infiziert waren, begann er Daten zu zerstören und somit auch sich selbst.
Im Laufe der Zeit nahmen aber auch die Computer-User die Bedrohung durch Viren immer ernster und verstanden es bald, sich vor Virus-Attacken zu schützen. Viele beobachteten von nun an die command.com-Dateien besonders sorgfältig, nachdem klar geworden war, dass ein plötzliches Anwachsen dieser System-Dateien ein erstes Anzeichen für eine Infizierung sein konnte.
Die von einem unbekannten israelischen Programmierer geschriebene Viren-Familie Suriv (lesen Sie den Namen doch einmal rückwärts) war ebenso interessant. Ähnlich dem Brain-Virus lässt sich auch in diesem Fall nur noch schwer sagen, ob es sich um ein Experiment handelte, welches schließlich außer Kontrolle geriet oder um die bewusste Schaffung eines Schadprogramms. Viele Antiviren-Experten tendieren zu der Version eines Experiments, welche durch das Auffinden von Code-Fragmenten an der Yisrael Radai University unterstützt wurde. Die Universität konnte zeigen, dass der Autor versuchte, das Eindringen in EXE-Dateien zu stoppen und bei der letzten Modifikation des Virus handelte es sich lediglich um eine Reperaturversion.
Der erste Virus der Suriv-Familie - von seinem Autor passend Suriv-1 genannt - war in der Lage, ausgeführte COM-Dateien in Echtzeit zu infizieren, indem der Virus sich selbst in den Arbeitsspeicher des Computers lud und dort aktiv blieb, bis der Computer heruntergefahren wurde. So konnte der Virus alle Datei-Operationen abwehren und die COM-Datei in dem Moment infizieren, sobald der Anwender diese aufrief. So wurde die praktisch sofortige Infizierung von mobilen Speichermedien ermöglicht.
Im Gegensatz zu seinem Vorgänger war Suriv-2 auf EXE-Dateien spezialisiert und damit der erste Virus, dem es gelang in diesen Datei-Typ einzudringen. Die dritte Inkarnation dieses Virus vereinigte in sich die Eigenschaften seiner beiden Vorgänger und war daher in der Lage, sowohl COM- als auch EXE-Dateien zu infizieren.
Jerusalem, die vierte Version des Virus, erschien nur kurze Zeit später auf der Bildfläche und verbreitete sich schnell rund um den Globus, was 1988 zu einer weltweiten Virus-Epidemie durch Jerusalem führte.
Das letzte wichtige Ereignis des Jahres 1987 war das Erscheinen des verschlüsselten Cascade-Virus, der nach einem Teil seiner Schadroutine benannt war: Wurde der Virus aktiviert, so fielen die Zeichen des Textes in Kaskaden den Bildschirm hinunter und bildeten am Ende der Seite Buchstabenhaufen (siehe: cascade.bmp). Der Virus bestand aus zwei Teilen - dem Programmcode und der Verschlüsselungsroutine. Letzterer verschlüsselte den Programmcode des Virus, so dass dieser in jeder infizierten Datei ein anderes Erscheinungsbild aufwies. Nachdem die Datei aufgerufen wurde, übernahm die Verschlüsselungsroutine die Kontrolle, die den Programmcode nun entschlüsselte und die Kontrolle dann auf diesen übertrug.
Der Virus kann als ein Vorläufer der polymorphen Viren betrachtet werden, die auch ohne ein permanent gleiches Programm ihre Funktionalität aufrechterhalten können. Doch anders als die späteren polymorphen Viren, verschlüsselte Cascade nur der Programmsode des Virus. Die Kapazität der infizierten Datei wurde als Dechiffrierschlüssel genutzt. Die Entschlüsselungsroutine blieb unverändert, wodurch moderne Antivirenprogramme den Virus heute problemlos aufspüren können.
1988 verursachte Cascade einen ernsthaften Zwischenfall in der belgischen IBM-Niederlassung, was den Startschuss für IBMs eigene Antiviren-Produktentwicklung gab. Bis zu diesem Zeitpunkt waren die von IBM entwickelten Antiviren-Programme nur zum internen Gebrauch bestimmt gewesen.
Später verband Mark Washburn die von Ralf Burger veröffentlichen Informationen mit dem Konzept der Selbstentschlüsselung des Cascade-Virus und schuf damit die erste Familie von polymorphen Viren - die Chameleon-Familie.
Doch nicht nur IBM-Computer waren betroffen, auch für Apple Macintosh, Commodore Amiga und Atari ST wurden Viren geschrieben.
Im Dezember 1987 breitete sich die erste umfassende Epidemie in einem lokalen Netzwerk aus: der Wurm mit dem Namen Christmas Tree war in REXX verfasst und breitete sich über das Betriebssystem VM/CMS-9 aus. Der Wurm wurde am 9. Dezember von dem Bitnet-Netzwerk einer westdeutschen Universität erstmals verschickt und gelangte über das Portal des European Academic Research Network (EARN) ins IBM-Vnet. Innerhalb von vier Tagen - am 13. Dezember - hatte der Virus das Netzwerk lahm gelegt. Wurde der Virus geladen, zeigte sich ein Weihnachtsbaum auf dem Bildschirm und der Virus sendete Kopien seiner selbst an alle Netzwerk-User, deren Adressen in den Systemdateien NAMES und NETLOG aufgelistet waren.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt