Meilensteine der Malware, 1990 bis 2012

Invasion der Viren, Würmer und Trojaner

| Autor / Redakteur: Hans-Peter Lange, Bitdefender / Peter Schmitz

Die Zahl der Malware-Arten und ihrer Vertreter nimmt stetig zu.
Die Zahl der Malware-Arten und ihrer Vertreter nimmt stetig zu. (Bild: Archiv)

Makros, E-Mail, Soziale Netzwerke: Schadcodes machen sich die IT-Entwicklung seit jeher zunutze. Der zweite Teil unserer Virenhistorie beleuchtet die Malware-Verbreitung von den 90er Jahren bis 2012.

Im ersten Teil unserer „Geschichte der Viren, Würmer und Trojaner“ haben wir viel über die Malware-Evolution erfahren. Von anfänglichen Scherzprogrammen in den 70ern entwickelten sich Trojaner & Co. zu ernstzunehmenden Gefahren für den PC-User bis zu den „verseuchten Jahren“ 1987 und 1988. Seither nimmt die Zahl der Schadcode-Familien und ihrer Unterarten exponentiell zu.

Die Geschichte der Viren, Würmer und Trojaner

Meilensteine der Malware, 1970-1990

Die Geschichte der Viren, Würmer und Trojaner

09.01.12 - Anfang der 70er Jahre ahnte die IT-Welt noch nicht, welche Schlagkraft Computer-Viren einmal entwickelten sollten. Aus den anfänglichen Scherzprogrammen entwickelten sich immer neue Formen digitaler Übeltäter. Wir verfolgen für Sie die Anfänge der Malware von 1970 bis 1990. lesen

Zu Beginn der 1990er Jahre stellte ein Novum in der bisherigen Malware-Geschichte die Security-Anbieter vor Probleme: das polymorphe Virus „Chameleon“, entwickelt von Mark Washburn und Ralf Burger auf Basis von „Vienna“. Das Besondere an seiner Struktur war, dass das Schadprogramm analog zu seinem Namen nach jeder Infektion seinen Quellcode ändern konnte.

Die bisherigen statischen Virenprogramme waren damit nahezu nutzlos geworden. Sie boten Usern keinerlei Schutz vor den neuartigen Bedrohungen, die sich stets selbst verschlüsselten. Antivirus-Experten weltweit arbeiteten fieberhaft an einer Lösung des Problems. Kurze Zeit später entwickelten sie spezielle Algorithmen, mit denen sich die polymorphen Schadcodes identifizieren ließen.

1992: Bootsektor- und Makro-Viren

1992 brach „Michelangelo“ aus, ein Bootsektor-Virus speziell für MS-DOS. Sein Name ist darauf zurückzuführen, dass er am 6. März – dem Geburtsdatum des namensgebenden italienischen Malers – sein Unheil anrichtete.

Das Virus agierte auf BIOS-Ebene, überschrieb die ersten 100 Byte einer Festplatte mit Nullen und machte damit den kompletten Inhalt – zumindest für den Durchschnitts-User – unlesbar. Einige Anwender gingen dem Übeltäter in die Falle und setzten ihr gesamtes System neu auf, was die Daten letztlich endgültig löschte.

Während der folgenden Jahre trieben Virenautoren ihre Arbeit immer weiter voran und sahen ihre Entwicklungen aus einer ernsthafteren Perspektive als zuvor. Mit dem Aufkommen von CD-ROMs als Ersatz für konventionelle Disketten ergab sich für die Entwickler eine neue Möglichkeit, Schadcodes via Datenträger zu streuen.

Aufgrund seiner zunehmenden Verbreitung entdeckten die Malware-Autoren auch das neue Microsoft-Betriebssystem Windows 95 für ihre bösartigen Zwecke. Sie begannen damit, Malware an die neue Umgebung anzupassen. Innerhalb eines Jahres schufen sie dabei dutzende Viren und mehr als hundert Makroviren, darunter „Concept“ – der erste Schädling, der das Textverarbeitungsprogramm Microsoft Word befiel.

Makroviren zeichnen sich dadurch aus, dass sie Dokumente, Spreadsheets und andere Objekte befallen, die Makros beinhalten. Bis zum Auftauchen der Massenmailing-Würmer behaupteten sich Makroviren als am weitesten verbreitete Infektoren.

1999: Nachricht von Melissa

Der erste Massenmailing-Wurm hieß „Melissa“ und erschien gegen Ende der Dekade, geschrieben von David L. Smith, einem Programmierer aus dem US-Bundesstaat New Jersey. Bei diesem Schädling handelte es sich um einen E-Mail-Wurm mit Virus-Funktionalitäten: er verschickte über das Mail-Programm Microsoft Outlook eine Kopie seiner selbst an die ersten 50 gefundenen Adressen.

Nicht nur, dass sich der der Wurm auf diese Weise enorm schnell verbreiten konnte. Durch den Versand von Milliarden Nachrichten legte er auch die Server zahlreicher Unternehmen lahm, darunter selbst die von Microsoft und IBM. Allerdings war „Melissas“ Struktur nicht sehr komplex aufgebaut, so dass die AV-Hersteller relativ zeitnah reagieren und Schutzsoftware bereitstellen konnten.

Mit der Jahrtausendwende hielten immer raffiniertere Programmiermethoden Einzug in das Repertoire der Schadcode-Autoren, was die Artenvielfalt der Malware-Fauna steigerte. Die oftmals propagierte Schädlingsflut zur Umstellung der Uhren auf 1/1/00 blieb jedoch aus. Zwei der bekanntesten Bedrohungen bis 2005 waren die Massenmailer „ILoveYou sowie „MyDoom“.

2000: ILoveYou liebäugelte mit Passwörtern

ILoveYou alias LoveLetter kam im Gewand eines anonymen Liebesbriefs und machte sich die Neugier des Users zunutze, indem er versprach, die mitgeführte VBS-Datei (Visual Basic Script) enthielte weitere Informationen zum Absender. Sobald der Anwender jedoch den Anhang öffnete, löschte der Wurm im Hintergrund verschiedene Dateien und erstellte eine Kopie von sich selbst, die er an alle Outlook-Kontakte versendete.

Von der Datenlöschung waren dabei nicht nur die lokalen Festplatten betroffen, sondern auch alle mit dem Computer verbundenen externen Laufwerke. Darüber hinaus lud „Win32.Loveletter“ ein Programm namens „WIN-BUGSFIX.exe“ aus dem Internet herunter, das alle Passwörter des gesamten Netzwerkes ausspähte und die gesammelten Daten an die Autoren sendete. Insgesamt verursachte der vermeintliche Romantiker einen Schaden von geschätzten 5,5 Milliarden US-Dollar.

2004: Von MyDoom zum Backdoor-Trojaner

LoveLetters artverwandter Schädling MyDoom gilt bis heute als der Mailing-Wurm, der sich am schnellsten verbreitet hat. Rund 75 Prozent der kompromittierten Rechner sendeten den Schadcode 2004 per E-Mail weiter.

Das restliche Viertel attackierte die Website der Firma SCO, die zur damaligen Zeit eine Klage gegen Linux-Distributionen führte und deshalb in puncto Beliebtheit stark sank. Diese Angriffe ermöglichte eine sogenannte Backdoor-Funktion (engl. für „Hintertür“), die den Wurm-Autoren die Möglichkeit gab, remote auf den PC zuzugreifen und ihn fernzusteuern. Die Backdoor-Trojaner waren geboren.

2006: Malware für Mac

Kaum war die Sorge um MyDoom einigermaßen abgeebbt, versetzte „OSX/Leap A“ 2006 die Apple-Entwickler und -User in Unruhe. Bei diesem Trojaner handelte es sich um die erste Malware, die auf das Betriebssystem Mac OS X zugeschnitten war.

Das trojanische Pferd verfügte über Wurm-Attribute, da es über das Instant Messaging-Programm iChat von Mac zu Mac gelangte. Dabei tarnte es sich als Bilddatei und gab vor, Fotos des bevorstehenden Mac-Betriebssystems Leopard bereitzustellen. Beim Klick auf das Zeichen lud sich der User jedoch eine ausführbare Datei herunter, die neben der Verbreitung via iChat versucht, die vier zuletzt geöffneten Programme zu kompromittieren.

2007: Verschmelzung von Schadcode-Funktionen

Nur ein Jahr später erlebte die Computerwelt erneut eine Attacke stürmischen Ausmaßes. Diesmal agierte der Wurm „Storm“ als Massenmailing-Gefahr, der außerdem Trojaner- und Backdoor-Attribute in sich trug. Er tarnte sich als Newsletter, der einen Link zu Videos über aktuell diskutierte Themen enthielt.

Klickte der User den Link an, startete der Wurm sein Werk und fügte den Rechner zum „Storm“-Botnet hinzu, einem Netzwerk aus ferngesteuerten Zombie-Rechnern, die massenweise Spam-Mails versendeten. Experten schätzen, dass ein Rechner rund 1.800 Nachrichten innerhalb von nur fünf Minuten versendete. Insgesamt infizierte „Storm“ geschätzte zehn Millionen Computer weltweit.

2008: Direkte Attacken gegen den Security-Feind

Im Jahr 2008 tauchten zum ersten Mal sogenannte „Rogue AV“-Lösungen auf, die Antiviren-Suiten imitieren und vorgeben, den Rechner zu überprüfen sowie zu desinfizieren. Tatsächlich tun sie aber das genaue Gegenteil und gaukeln dem User nur vor, er habe die Vollversion einer Security-Suite erhalten.

Um diesen Eindruck noch zu untermauern, blenden sie fingierte Scan-Prozesse ein. Zu dieser Zeit waren diese Fake-Programme sehr populär, zu Spitzenzeiten kursierten bis zu 1000 Varietäten im Netz.

Im selben Jahr erblickten „Rustock“ das Licht der Welt. Dieser Backdoor-Trojaner verfügte über die Fähigkeiten eines Rootkits, wodurch er erstens die Infektion des Rechners sowie zweitens den Remote-Zugriff von Internetkriminellen verschleiern konnte.

Dazu versteckte er schlicht die infizierten Dateien vor dem User und verwendete den Rechner im Stillen als anonymen Proxy-Server. Auf Grund der sehr guten Tarnung gelang es der AV-Industrie erst nach rund einem halben Jahr, wirksame Schutzmaßnahmen gegen den Trojaner zu konzipieren.

Soziales Engagement durch Koobface

Während „Rustock“ so gut wie ungesehen sein Unwesen trieb, vermeldeten soziale Netzwerke starken Mitgliederzuwachs. Dies blieb auch Hackern nicht verborgen, und sie begannen, spezielle Malware für diese Plattformen zu konstruieren, darunter „Koobface“.

Dieser Schädling gefährdete 2008 die Sicherheit auf Twitter, Facebook, Friendster und ähnlichen Websites, indem er private Daten abgriff, ein Botnet einrichtete sowie Werbekampagnen im Browser startete. Sie Attacken auf Social Networks nehmen auch jetzt noch kontinuierlich zu.

Dabei nutzen die digitalen Schädlinge eine Vielzahl von Wegen, um an ihr Ziel zu gelangen. Beispielsweise gaukeln Fake-Meldungen vor, der User könne mit einem speziellen Programm einsehen, wer seine Facebook-Seite besucht hat.

Lädt der Nutzer dieses vorgebliche Programm jedoch herunter, infiziert er seinen Rechner. Ebenso geläufig sind gefälschte Warnmeldungen, die das Mitglied auffordern, Kreditkartendaten, Geburtsdatum oder ähnliche sensible Informationen einzugeben, um das Konto zu verifizieren.

2009: Conficker-Epidemie

2009 begann der nach wie vor anhaltende Raubzug von „Win32.Worm.Downadup.A“, besser bekannt als „Kido“ oder „Conficker“. Dieser Wurm nutzt eine Schwachstelle in der Server-Software von Microsoft und verbreitet sich über die Lücke an tausende Rechner – Schätzungen gehen von rund zehn Millionen befallenen Systemen aus. Spätere Versionen verbreiteten sich zusätzlich per USB-Stick.

Das Spektrum der betroffenen OS-Varianten reicht von Windows 95 über 2000, ME, 98, Server 2003 bis hin zu Windows XP und Vista. Seine Ausbreitung ist aggressiv, sein Verhalten ebenso, denn er hindert den infizierten Rechner daran, auf Windows Update-Webseiten oder die Homepages von Virenschutzherstellern zuzugreifen, um die lokale Security-Software zu aktualisieren.

Finanzielle und politische Interessen

Die vergangenen beiden Jahre standen in Sachen Malware unter dem Motto „Datendiebstahl ist (finanzieller) Trumpf“. Zum einen hatten es die Cybergangster auf Online-Banking-Kunden abgesehen, zum anderen aber auch auf die zunehmende Zahl der Social-Networking-Nutzer.

Zudem erweiterte sich der Kreis potenziell gefährdeter Endgeräte von Computern, Note- und Netbooks auf die mobilen Smartphones und Tablet PCs. 2010 tauchte in Form von „SMS.AndroidOS.FakePlayer“ der erste Schädling speziell für Android-betriebene Geräte auf. Des Weiteren sorgte 2011 „Android.NickiBot“ dafür, dass auch mobile Devices Opfer eines Botnet-Angriffs werden können.

2010: Stuxnet und Duqu

Abgesehen von finanziellen Interessen rücken immer mehr politische Faktoren in den Vordergrund der Malware-Autoren. Erstes und bislang bekanntestes Beispiel für eine Cyber-Kriegsführung ist „Stuxnet“ aus dem Jahr 2010.

Der Trojaner war darauf ausgelegt, iranische Atomanlagen auszuspionieren und lahmzulegen. Auf dem Quellcode dieses Schädlings fußt der kürzlich entdeckte Trojaner „Duqu“, der zusätzlich mit einer Backdoor-Applikation sowie Keylogger-Funktionen ausgerüstet ist.

Einmal installiert, verbleibt der E-Threat für 36 Tage auf dem jeweiligen Rechner und greift in dieser Zeit alle Daten ab, die der User über die Tastatur eingibt, sprich Passwörter, Gespräche via Instant Messaging, Banking-Informationen etc. Danach entfernt sich „Duqu“ mitsamt der Keylogger-Komponenten selbsttätig.

Fazit

Seit den Anfängen in den 1970er Jahren hat sich Malware von harmlosen Scherzprogrammen zu hochgefährlichen Bedrohungen weiterentwickelt. Regierungsorganisationen, Banken, Unternehmen, aber auch die privaten User stehen in der Schusslinie der Internetkriminellen, die insbesondere den Diebstahl vertraulicher Informationen anstreben, um daraus Gewinn zu schlagen.

Um sich heutzutage sicher im Internet bewegen zu können, sollten sich Nutzer im Hinblick auf aktuelle Online-Bedrohungen stets auf dem aktuellen Stand bewegen. Ergänzend dazu hilft ein gesundes Misstrauen dabei, private Daten nicht leichtsinnig herauszugeben, sondern erst zu prüfen, ob der jeweilige Verwendungszweck als seriös eingestuft werden kann.

Für den umfassenden technologischen Schutz sollte außerdem eine Sicherheitssoftware installiert werden, die sowohl aktuelle Gefahren als auch noch unbekannte Zero-Day-Attacken abwehren kann.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 31202950 / Malware)