Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

In The Wild Viren

Nur relativ wenige Viren sind wirklich weit verbreitet

Copyright (C) 06/1996 by Howard Fuhs

Obwohl die Anzahl der bekannten Computerviren ständig ansteigt - derzeit geschätzte 8000 - 8500 Viren - trifft man in der alltäglichen Praxis beim Computeranwender eigentlich immer auf den gleichen Set von hartnäckig verbreiteten Viren. Diese am weitesten verbreiteten Viren werden auch als "In The Wild" oder auch "ITW" (in freier Wildbahn) bezeichnet.

Definition von In The Wild
Welcher Virus wirklich verbreitet, also "In The Wild" ist, wird anhand der Häufigkeit von Infektionsmeldungen statistisch ermittelt. Die wohl bekannteste und umfassendste Liste von In The Wild Viren dürfte wohl die ITW-Liste von Joe Wells sein. Hier melden weltweit verteilte Virenfachleute ihre Infektionen. Damit ist die ITW-Liste von Joe Wells die umfassenste Liste, die derzeit erhältlich ist und gibt einen sehr guten Überblick über die internationale Virensituation. Die ITW-Liste von Joe Wells erscheint alle 1-2 Monate, wird als ASCII-Text über Datennetze wie Internet oder Compuserve verteilt und enthält derzeit ca. 200 Vireneinträge.

Auch wenn die In The Wild Liste von Joe Wells als international aussagekräftig angesehen werden kann, so gibt es doch regionale Unterschiede, die aus dieser Liste nicht zu ersehen sind. Das können z.B. Viren sein, die in einem regionalen Brennpunkt weit verbreitet sind, aber in der In The Wild Liste nicht vorkommen durch ihre stark lokal begrenzte Ausbreitung. Andererseits befinden sich Vireneinträge in der In The Wild Liste, die in Deutschland nicht weiter verbreitet sind.

Bezogen auf Deutschland kann man davon ausgehen, daß ca. 30 - 40 Computerviren als In The Wild gelten.

Verbreitung von In The Wild Viren
Ein Virus, der erfolgreich über einen längeren Zeitraum In The Wild ist, vereinigt in der Regel zwei Eigenschaften in sich.

1. Zuverlässige Funktion.
Es ist sehr interessant festzustellen, daß ITW-Viren zuverlässig und sicher programmiert sind und ohne viele technische Tricks auskommen. Diese Art der Programmierung stellt sicher, daß der Virus auf sehr vielen unterschiedlichen Computersystemen und unterschiedlichen DOS Betriebssystemen funktioniert (MS-DOS, PC-DOS, PTS-DOS usw.) ohne irgenwelche auffälligen Effekte auszulösen. Auffällige Effekte wären z.B. Absturz des Computers (Kaltstart erforderlich), Programme können nicht mehr aufgerufen werden, Dateien können nicht geöffnet werden oder sind nicht mehr vorhanden, usw. Werden von einem Computer solche Effekte ausgelöst beginnt unweigerlich die Suche nach den Ursachen für diese Erscheinungen und früher oder später wird der Virus entdeckt. Nur ein Virus der sich unverdächtig verhält und weiterverbreitet hat so die Chance eine größere Anzahl von Computern zu infizieren.

Was die Zuverlässigkeit angeht, muss man sich die beiden Viren betrachten, die Platz 1 und Platz 2 der "Virenhitparade" belegen, den Parity_Boot.B Virus und den Form Virus. Bei beiden Viren handelt es sich um einfache Bootsektor-Viren die bereits seit Jahren bekannt sind, auch von schlechten Anti-Virenprogrammen entdeckt werden müßten, aber trotzdem die Spitzenplätze der gemeldeten Virenvorfälle ausmachen.

Beispiel 1 - Paritiy_Boot.B Virus
Der Parity_Boot.B Virus ist ein weltweit sehr verbreiteter Bootsektor- Virus. Obwohl der Virus schon viele Jahre alt ist und von jedem besseren Antiviren-Programm einwandfrei erkannt werden sollte ist die Erklärung für die weite Verbreitung des Parity_Boot.B Virus in seiner einfachen und damit zuverlässigen Funktion zu sehen. Er funktioniert unter jedem DOS- Betriebssystem und verursacht keine Probleme bei der Infektion verschiedener Datenträger.

2. Schneller Verbreitungskanal
Nicht jeder Virus der heute als ITW gilt hätte es auch wirklich geschafft, wenn nicht besondere Umstände dazu beigetragen hätten den Virus unter das (Computer) Volk zu bringen. Als besonders schnelle Verbreitungskanäle gelten bestimmte Formen einer zahlenmäßig hohen Softwaredistribution.

Beispiel 1 - Neuroquila Virus
Nach dem Motto "alles was verboten ist, macht besonders viel Spaß" wurde der Neuroquila-Virus mit einer Raubkopie des Spiels DOOM über Datennetze verbreitet. Der besondere Reiz der Leute an dem Spiel liegt darin begründet, dass DOOM in Deutschland indexiert ist und damit nicht beworben und auch nicht Personen unter 18 Jahren zugänglich gemacht werden darf. Auf diese Art und Weise zum "Kultobjekt" erhoben, nahm die Schar der Interessenten an der Raubkopie kein Ende und der Virus wurde innerhalb weniger Wochen in Deutschland weit verbreitet.

Beispiel 2 - Tremor Virus
Channel Videodat ist ein System bei dem Daten in den 3 Bildzeilen die nicht zum Aufbau eines Fernsehbildes benötigt werden zusammen mit dem Fernsehbild über terrestrische Sender oder über Satellit ausgestrahlt werden. Um diese Daten zu empfangen muß man einen Dekoder an seinen Fernsehempfänger und an seinen Computer anschließen. So wurde im Mai 1993 eine mit dem Tremor-Virus infizierte Datei über Channel Videodat ausgestrahlt. Obwohl bereits ein Tag später die verantwortliche Firma auf die Vireninfektion hingewiesen wurde und ein spezielles Programm zur Erkennung des Tremor Virus zur Verfügung gestellt wurde, geschah keinerlei Reaktion auf die Warnung. Einige Wochen später wurde der Tremor Virus nochmals in der Datei PKUNZIP.EXE ausgestrahlt. Erst nach diesem zweiten Vorfall reagierten die Verantwortlichen und stellten den Empfängern noch am gleichen Tag eine Anti-Virensoftware zur Verfügung, die allerdings nicht in der Lage war den Tremor zu erkennen.

Beispiel 3 - AntiEXE Virus.
Gerade der AntiEXE Virus wurde wiederholt auf Treiberdisketten gefunden die zu No-Name Hardware aus Fernost gehörten. Da viele Anwender Disketten von Herstellern vertrauen und diese No-Name Hardware oftmals durch ihren geringen Preis eine weite Verbreitung findet, wird auch entsprechend schnell der Virus weltweit verbreitet. Es ist auf alle Fälle empfohlen, solche Treiberdisketten vor dem Gebrauch auf Virenbefall hin zu untersuchen!

Beispiel 4 - Shareware CD-ROMs
Trotz Schutzvorkehrungen ist es bisher schon öfters passiert, das CD- ROMs vollgepackt mit aktuellen Shareware-Programmen auch infizierte Programme enthielten. Da auch hier der Anwender der Firma vertraut wird sehr selten eine CD-ROM auf Viren hin gescannt. Erschwerend kommt hinzu, das sich der Virus von der CD-ROM nicht entfernen läßt und damit das Infektionsrisiko nicht dauerhaft beseitigt werden kann.

Makro-Viren
Obwohl viele der Viren die als In The Wild gelten doch schon einige Jahre alt sind, so ist es einer Newcomer-Gattung von Viren gelungen innerhalb kürzester Zeit nach ihrer Entdeckung auf die ersten Plätze der ITW-Viren zu gelangen. Die Rede ist hier von Makro-Viren für MS Word für Windows. Zur rapiden Verbreitung dieser Viren hat die Tatsache beigetragen, daß es heute sehr oft üblich ist, Informationen als WinWord DOC-Datei weiterzugeben. Statistisch gesehen werden des weiteren wesentlich mehr DOC-Dateien ausgetauscht und verbreitet als ausführbare Dateien (EXE-, COM-Dateien). Erschwerend kommt hinzu, daß die Möglichkeit der Virenprogrammierung unter einer Makro-Sprache nur von sehr wenigen Fachleuten in Erwägung gezogen wurde. So galten bisher Text- oder Datendateien als gegen Infektionen gefeit, was dem Endanwender weitergegeben wurde. So kam die Meldung eines WordMacro-Virus für viele überraschend. Nachdem dann auch gezielt nach WordMacro-Viren gesucht wurde, stellte sich schnell heraus, daß viele Unternehmen mit diesen Viren stark infiziert waren und durch die Verteilung von Dokumenten per E-Mail auch immer wieder schnell re- infiziert wurden.

Bootsektor-Viren in der ITW-Liste
Wer sich die ITW-Liste etwas genauer anschaut wird feststellen, daß ein erheblicher Anteil an weit verbreiteten Viren Bootsektor-Viren sind und von ihrer Häufigkeit her mit Parity_Boot.B und Form.A die Spitzenplätze der ITW-Liste belegen. Gemessen an Viren die EXE- oder COM-Dateien infizieren hat ein Bootsektor-Virus die Möglichkeit jeden Datenträger zu infizieren. Es ist also nicht nötig das sich auf einer Diskette eine infizierte ausführbare Datei befindet um einen Virus weiterzuverbreiten. Es reicht vollkommen aus den mit einem Bootsektor-Virus infizierten Datenträger weiterzugeben. Um einen Bootsektor-Virus zu aktivieren muß der Computer von einer infizierten Diskette gebootet werden. Dies geschieht sehr oft ungewollt indem beim Ausschalten des Computers eine Diskette im Laufwerk vergessen wird. Schaltet man das nächste Mal den Computer ein wird zuerst auf Laufwerk A: zugegriffen und versucht von Diskette zu booten. Es kommt dann zwar die Fehlermeldung, daß von dieser Diskette nicht gebootet werden kann, trotzdem ist der Bootsektor- Virus jetzt aktiv und hat die Festplatte vom Computer bereits infiziert.

Automatische Entfernung von ITW-Viren
Vor einiger Zeit wurde über eine Schutzsoftware nachgedacht, die einen definierten Set von ITW-Viren nicht nur automatisch entdeckt sondern auch automatisch aus dem Hauptspeicher und von der Festplatte entfernt, ohne ein Zutun des Anwenders oder eines Fachmannes. Grundgedanke dafür war es, den Supportaufwand in großen Unternehmen zu senken, da ITW-Viren einen nicht unerheblichen Teil des Endanwender-Supports verursachen. Wann eine solche Software erhältlich ist bleibt abzuwarten. Aus den Reihen der Kritiker dieses Konzeptes war zu hören, das eine vollautomatische Entfernung der Viren den Endanwender gegenüber der Virengefahr zu nachlässig werden läßt, im Vertrauen auf die Schutzsoftware. Was die technische Zuverlässigkeit solcher Systeme angeht ist es durchaus möglich, die Entfernung der Viren absolut sicher und zuverlässig durchzuführen.

ITW in Deutschland
In Deutschland dürfen z.Z. [Anm.: Juni 1996!] die folgenden Viren als In The Wild gelten:

AntiCMOS
AntiEXE.A
Boot-437
Breasts
Butterfly
Cascade.1701 / 1704
Chinese_Fish
Civil_Defense.6672
Form.A
Goblin.1199
Goblin.Delwin.1759
GoldBug
Jerusalem.1808.Standard.A
Jerusalem.AntiCad.3004/3012/4096
Jumper
Junkie.1027
Kaczor.4444
Little_Red
Manzon
Natas.4746
Neuroquila
Neuroquila.N8FALL
NewBoot_1
NYB / B1
One_Half.3544
Parity_Boot.B
Quicky.1376
Ripper
Sirius.Alive
Stoned.Angelina
Stoned.Empire.Monkey.B
Stoned.Flame
Stoned.June_4th.A
Stoned.Michelangelo.A
Stoned.Standard.A
Tai-Pan.434 (Whisper)
Tai-Pan.666 (Doom2.666)
Tea_For_Two
Tequila
Tremor
V-Sign
Vacsina.TP.5.A
WET
Yankee_Doodle.TP.44.A

Die Verbreitung der Viren in Deutschland ist regional unterschiedlich.

Schlussbemerkung
Ein Unternehmen das gegen die gängigsten 200 ITW-Viren etwas unternimmt hat bereits einen großen Schritt in Richtung der Datensicherheit getan.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 06/1996 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!
 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
 Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher