25 Jahre PC-Viren

“Brain” nannte sich einer der ersten Viren für PCs und er war ein Import aus Pakistan. Seit dieser Zeit hat sich in der Welt der Computer-Viren viel getan.

Eine 5 ¼ Zoll Floppy-Disk wedelnd betrat Anfang August Mikko Hypponen die Bühne auf der Hackerkonferenz DefCon 19. Hypponen ist heute CTO des finnischen Sicherheitsspezialisten F-Secure. Und auf dieser Floppy sei der älteste (IBM-Kompatible) PC-Virus gespeichert: “Das ist Brain.”

Vor rund einem Jahr habe Hypponen in einer Schublade in seinem Büro in Helsinki diese Floppy gefunden. Er besorgte sich ein Laufwerk schob die Diskette ein und knackte den Code des Virus, mit dem er sich bereits vor rund 25 Jahren zum ersten Mal beschäftigt hatte.

Diesmal aber fand Hypponen die Namen und neben einer Telefonnummer auch noch die Adresse der beiden Autoren des Virus: Basid und Amjad Farooq Alvi aus einem Ort nahe der Pakistanischen Hauptstadt Laore. Und der Name Brain war auch der Name des Unternehmens, das die Brüder an der gleichen Adresse auch heute noch als Brain Communications führen.

Hypponen hat sich sogar die Mühe gemacht, die beiden Autoren zu besuchen und hat die Reise zu den beiden Geschäftsmännern in einem Film festgehalten.

Die Alvi-Brüder verfolgten mit diesem Virus jedoch keine bösartigen Absichten. So richtete der Virus auch keinen Schaden auf dem System an, der seit September 1986 mehr oder weniger unbehelligt die Runde machte. Es sei ihnen vor allem darum gegangen, die Sicherheit der Systeme zu testen und einige neue Technologien auszuprobieren. Über Vorgänger wie etwa Creeper, der 1974 als Wurm das Arpanet heimsuchte oder Elk Cloner, der 1981 Apple-II-Systeme befiel, hätten die beiden laut eigenen Angaben keine Kenntnis gehabt. Brain versuchte sich aber vor der Entdeckung zu schützen. Wenn eine infizierte Datei geprüft werden sollte, stellte Brain die nichtinfizierte Originaldatei bereit.

Es sollten weitere PC-Viren folgen. Hypponen demonstrierte weitere Beispiele, von denen er den infektiösen Teil entfernt hatte. Disk Destroyer war ebenfalls ein früher Virus, der jedoch einigen Schaden anrichten konnte. Der Schädling kopierte den gesamten Inhalt der Festplatte in den RAM und lud dann ein rudimentäres Spiel. Wer nach fünf Versuchen nicht gewonnen hatte, musste sich vom Inhalt seiner Festplatte für immer verabschieden. Wer gewann bekam seine Daten zurück.

Richtig ernst wurde es aber erst 2003. Damals mussten Züge rund um Washington D.C. gestoppt werden, weil die Windows-basierten Rechner mit einem Schädling infiziert waren. Auch wuchs das Problem an und sorgte zu Datenengpässen und Informationsverlusten im Internet. Erst zu diesem Zeitpunkt wurde das Problem auch von den Herstellern ernst genommen.

Hypponen weiß aber auch noch von anderen Stationen der Viren-Evolution: “Fizzer, an den sich hier wohl niemand erinnert, ist einer der wichtigsten Viren in der Geschichte. Es war der erste Schädling, der nur aus einer einzigen Intention geschrieben wurde: Geld zu machen.” Fizzer sorgte für die Verbreitung von E-Mail-Spam, über den Geld verdient werden sollte. Das Problem sei weniger Fizzer selbst gewesen, sondern die Tatsache, dass nun gewisse Kreise gewahr wurden, dass sich mit Viren Geld machen lässt. Als zum ersten Mal Hacker im Irak versuchten, über Malware an Geld für Kämpfer in ihrem Land zu kommen, bekam das Thema Virus sogar noch eine politische Dimension.

Von 1986 bis 2003 wurden die meisten Viren in westlichen Ländern geschrieben. Seit 2003 kommen Russland, Osteuropa, Ukraine, China, Südamerika und ganz besonders Brasilien hinzu. Doch sei der Virus nicht nur ein Problem der Kriminellen. Auch Sony sorgte für einen Rootkit auf den Rechnern der Anwender. Das kam mit der Installation eines DRM-Systems auf die Systeme.

2008 tauchte dann Mebroot auf, der die Master Boot-Record eines Computers befiel und extreme schwer zu deinstallieren war. Auch GPCode machte Probleme. Er nahm den Rechner eines Opfers in Geiselhaft. Erst wer an die Hacker Geld überwiesen hatte, konnte seinen Rechner wieder verwenden.

Aber all das hätte die Sicherheitsindustrie nicht auf Stuxnet vorbereiten können, der sämtliche Sicherheitsforscher mehr oder weniger für ein Jahr beschäftigt hatte.

Heute würde man von einer Infizierung meist nichts merken. Die Schädlinge laufen still und heimlich im Hintergrund und verbrauchen auch so wenig Ressourcen, dass dem Nutzer nichts auffällt. Vieles habe sich in dem zurückliegenden Vierteljahrhundert geändert, aber nicht alles: “Brain hat sich nicht über das Internet verbreitet, weil es nicht existierte. Und Stuxnet verbreitete sich über USB-Key.”