Die Evolution der Malware-Entwicklung

Anja Schütz,

Vor mehr als 20 Jahren tauchte der erste Virus auf einem Computer auf. Seither haben sich die Malware-Bedrohungen radikal verändert. Heute sind sie komplexer denn je. silicon.de wirft einen Blick auf die Entwicklung von Trojanern, Exploits, Rootkits, Phishing-Mails sowie Spam und Spyware.

70 Prozent aller bekannten Infizierungen gingen bis zum Jahr 1995 auf das Konto von Bootsektor-Viren – aber es gab auch noch andere Schädlings-Typen. Zu dieser Zeit kamen auch Viren auf, die ausführbare DOS-Dateien infizierten. Das waren zunächst COM-Files, später auch EXE-Dateien. Von derartigen Viren modifizierte Dateien führen den schädlichen Code automatisch beim Programmstart aus. Es gab zahlreiche Möglichkeiten, den Virus einzuschleusen. Eine typische Methode bestand darin, den Viruscode ans Ende der Host-Datei anzuhängen und ihren File-Header zu instruieren, zuerst den Viruscode und erst dann die Original-Programminstruktionen zu laden.

Dateiviren waren um 1995 weniger verbreitet als Bootsektor-Viren, weil gerade im Geschäftsbereich nur sehr selten Programme von Rechner zu Rechner übertragen wurden. Man tauschte zwar Disketten untereinander aus, normalerweise aber nur zum Datentransfer. Trotzdem gab es auch in diesen Tagen bereits Dateiviren. Die sich am schnellsten verbreitenden unter ihnen waren speicherresident und in zwei Varianten aktiv. Indirect-Action Dateiviren überwachen die Systemaktivität und infizierten so jede Datei, die Anwender aufriefen. Im Gegensatz dazu schrieben sich die Direct-Action-Viren in eine Datei oder mehrere Dateien und lagen dann so lange in Wartestellung, bis eines der betroffenen Files gestartet wurde. Dieser Viren-Typ verbreitete sich weitaus weniger effektiv als Indirect-Action-Schädlinge. Dateiviren verbreiteten sich aber auch massenhaft über Disketten, die Computerzeitschriften beigelegt wurden.

Die Virenlandschaft der 80er

Obwohl die Zahl der Dateiviren seit den späten 1980ern stetig anstieg, beherrschten nur wenige, dafür aber äußerst effektive Viren die Szene. ‘Jerusalem’ etwa verbreitete sich in zahlreichen Unternehmen, wissenschaftlichen Organisationen und Regierungsbehörden und verursachte am 13. Mai 1988 die erste große Virenepidemie überhaupt. Dieser Tag ging als schwarzer Freitag in die Geschichte der Computerviren ein. Vom Virus ‘Vienna’ kursierten zahllose Varianten, nachdem sein Quellcode offengelegt wurde. ‘Cascade’ war der erste verschlüsselte Virus und noch bis weit in die 90er Jahre präsent. Mit der Zeit kombinierten Programmierer die Funktionen beider Virentypen und entwickelten daraus eine Mischung aus Bootsektor- und Dateivirus. Das Ergebnis waren überaus schlagkräftige Hybrid-Schädlinge wie etwa Tequila, Junkie und Natas.

Damals waren fast ausschließlich Viren in Umlauf. Es gab allerdings auch einige Würmer, unter denen sich besonders der ‘Morris Worm’ hervortat. Im November 1988 infizierte er etwa 6000 Rechner, was damals ungefähr 10 Prozent aller mit dem Internet verbundenen Computer entsprach. Das Internet wurde damals allerdings fast ausschließlich von Regierungen und wissenschaftlichen Einrichtungen genutzt. Die Zeit der Internet-Würmer war noch nicht gekommen.

Zu dieser Zeit gab es auch nur sehr wenige Trojaner. Die ersten Trojaner erschienen Ende der 80er-Jahre auf der Bildfläche und maskierten sich als saubere Programme. Sobald arglose Anwender sie starteten, luden die Schädlinge ihre schädliche Fracht. Dementsprechend lautet die Standarddefinition der meisten Hersteller von Antiviren-Software für diesen Malware-Typ wie folgt: Ein sich nicht selbst reproduzierendes, scheinbar legitimes Programm, das entwickelt wurde, um schädliche Aktivität auf einem befallenen Computer auszuführen.