Howard Fuhs
Howard Fuhs
Howard Fuhs
IT-Sicherheitsberater
IT-Sicherheitsberater
IT-Sicherheitsberater

Virus Construction Kits

Copyright (C) 08/1994 by Howard Fuhs

Inhalt:

   Einleitung

   GENVIR

   VCL (Virus Creation Lab)

   PS-MPC (Phalcon/SKISM Mass Produced Code Generator)

   G2 (G Squared)

   IVP (Instant Virus Production Kit)

   VCS (Virus Construction Set)

   Copyright Hinweise
 

Einleitung

Virus Construction Kits sind Computerprogramme, die Personen mit nur wenig oder keiner Programmiererfahrung in die Lage versetzen, Computerviren nach ihren Vorstellungen herzustellen oder entsprechende Varianten von Computerviren mit unterschiedlichen Verhaltensweisen anzufertigen. Virus Construction Kits werden auch als Computervirenbaukästen bezeichnet, da der Anwender, wie bei einem Baukasten, einen Computervirus nach seinen Wünschen aus verschiedenen Programmcode-Segmenten zusammensetzt.

Solche Virus Construction Kits werden von Untergrundgruppen programmiert und über Mailboxsysteme weltweit verteilt. Die zur Zeit bekanntesten Untergrundgruppen im Bereich der Computerviren sind „NuKE" und „Phalcon/SKISM".

Durch die relativ weite Verbreitung sowie die problemlose Beschaffung solcher Virus Construction Kits ist es heute für jeden Verantwortlichen im Bereich der Datensicherheit unumgänglich, sich mit diesen Programmen im Rahmen der Prävention auseinanderzusetzen. Es sind genügend Fälle bekannt, wo Virus Construction Kits innerhalb einer Firma über Local Area Networks verteilt wurden oder auf Netzwerk-Servern gespeichert waren, ohne das die für den Datenschutz verantwortlichen Personen davon wußten oder gar die Programme selbst als gefährlich einstufen konnten. Weiterhin ist ein Fall bekannt, wo ein Angestellter auf einem Firmenrechner Computerviren mit einem Virus Construction Kit erstellte und anschließend Firmencomputer mit den erzeugten Computerviren infizierte. Durch Unkenntnis über die Existenz solcher Virus Construction Kits konnte der für die Datensicherheit verantwortliche System Administrator nicht präventiv vorgehen.

Von ihrer Bedienung her müssen die Virus Construction Kits in zwei verschiedene Gruppen unterteilt werden. Die eine Gruppe von Virus Construction Kits verfügt über eine Benutzeroberfläche, die in Menüform den Anwender nach Art der Replikation, Infektionskriterien sowie Auslösebedingungen und Schadensfunktion fragt. Die andere Gruppe benötigt eine vom Anwender angefertigte ASCII-Konfigurationsdatei, in der die gewünschten Funktionen des Computervirus definiert werden müssen (ähnlich einer Batch-Datei) und die dann von dem Virus Construction Kit Befehl für Befehl abgearbeitet und in einen funktionsfähigen Computervirus umgesetzt werden.

Die erste Gruppe der Virus Construction Kits ist durch die Menüführung in der Bedienung einfacher, da hier auch durch wahlloses Anwählen von Menüpunkten ein Computervirus zusammengestellt und erzeugt werden kann. Bei der zweiten Gruppe von Virus Construction Kits muß man zwar erst die notwendigen Befehle zum Erstellen einer ASCII-Konfigurationsdatei erlernen, diese sind aber in Dokumentationsdateien ausführlich erklärt und jeder, der in der Lage ist, einfachste Batch-Dateien mit einem ASCII-Editor zu programmieren, ist in der Regel auch in der Lage, innerhalb kürzester Zeit (wenige Minuten) eine solche Konfigurationsdatei zu erstellen.

Generell muß zu den Virus Construction Kits gesagt werden, daß die beigefügten Dokumentationsdateien auch für den Anfänger und Laien vollkommen ausreichend sind, einige Virus Construction Kits über eine umfangreiche Online-Hilfe verfügen und vielen Virus Construction Kits eine größere Anzahl von Beispielviren beigefügt sind.

Auch bei der Form der Endprodukte muß man die Virus Construction Kits in verschiedene Kategorien unterteilen. Virus Construction Kits der ersten Generation erstellen bereits fertig kompilierte Computerviren. Es entsteht kein Sourcecode oder Assembler-Listing. Bei Virus Construction Kits der zweiten Generation entsteht ein Sourcecode, der in den meisten Fällen sogar kommentiert ist. Das Problem bei der zweiten Generation von Virus Construction Kits liegt in der Tatsache, daß der Sourcecode des erstellten Computervirus selbst von Personen mit wenig Programmiererfahrung manuell so verändert werden kann, das ein völlig neuer Computervirus entsteht, ohne das die Person die interne Funktionsweise des dabei entstehenden, neuen Computervirus kennt oder versteht.

Durch die Tatsache, daß die derzeit bekannten Virus Construction Kits zum Erstellen des Computervirus-Skeletts größere Mengen an gleichbleibendem Programmcode verwenden, stellen sie selbst für die Standard-Virensuchtechnik wie sie bei String-Scannern angewandt wird, keine große Gefahr mehr dar. Jedes annehmbar gute Anti-Viren Programm muß heute in der Lage sein, einen mit einem Virus Construction Kit erstellten Computervirus zu finden. Das könnte sich in Zukunft allerdings ändern, wenn neue Generationen von Virus Construction Kits von fortgeschrittenen Tarntechniken für Computerviren Gebrauch machen. Hier sei nur an eine Implementierung einer Verschlüsselungsroutine ähnlich der Mutating Engine gedacht oder an andere, sehr effektive Möglichkeiten, auf die ich hier nicht näher eingehen möchte.

Im folgenden möchte ich die derzeit bekannten Virus Construction Kits und ihre Eigenschaften etwas näher beschreiben.

GENVIR

GENVIR war der erste Versuch einen Virus Construction Kit als eine Art Shareware zu vertreiben und für das Programm Geld zu verlangen. GENVIR gehört zu den Virus Construction Kits der ersten Generation und hat eine Benutzeroberfläche in Menüform. Das Programm wurde von einem Franzosen programmiert und war funktional eingeschränkt (sogenannte „Crippleware"). Damit wollte der Programmierer gewährleisten, daß der Anwender die verlangten 120 Franc für das Programm bezahlt. Alle Menüpunkte zum Auswählen von Vireneigenschaften waren funktionsfähig, bevor jedoch GENVIR den Computervirus kompilierte, wurde das Programm gestoppt und eine Aufforderung zum Bezahlen der Lizenzierungsgebühr erschien auf dem Bildschirm. Es ist nicht bekannt, ob jemals eine funktionsfähige Version von GENVIR verkauft oder geliefert wurde, es wurde allerdings von einer amerikanischen Virenprogrammierergruppe eine teilweise funktionsfähige Version, ein sogenannter „Hack" über Mailboxsysteme in Umlauf gebracht. Dieser „Hack" lag auch einer elektronischen Untergrundpublikation bei. Die letzte bekannte Version von GENVIR ist 1.0.

VCL (Virus Creation Lab)

VCL ist ein komplexer Virus Construction Kit der zweiten Generation der ebenfalls eine Benutzeroberfläche in Menüform aufweist. VCL wurde 1992 von „Nowhere Man", einem Mitglied der Untergrundgruppe „NuKE" programmiert.  VCL erlaubt das Zusammenfügen von verschiedenen, vom Anwender ausgesuchten Programmcodemodulen zu einem Virus. Weiterhin bietet VCL die Option von dem erstellten Computervirus ein kommentiertes Assembler-Listing zu generieren, welches dann manuell verändert werden kann. VCL erstellt weitestgehend funktionsfähige und betriebsstabile Computerviren und ist ebenfalls in der Lage logische Bomben und trojanische Pferde herzustellen. Die letzte bekannte Version von VCL ist die Version 1.0.

PS-MPC (Phalcon/SKISM Mass Produced Code Generator)

PS-MPC ist ebenfalls ein Virus Construction Kit der zweiten Generation, wird allerdings nicht durch eine Benutzeroberfläche bedient, sondern durch eine ASCII-Konfigurationsdatei programmiert. PS-MPC wurde von „Dark Angel" programmiert, der ein Mitglied der Untergrundgruppe „Phalcon/SKISM" ist.
PS-MPC basiert größtenteils auf das Virus Creation Lab VCL und wurde 1992 über Mailboxsysteme verteilt. Zusammen mit dem lauffähigen PS-MPC wurde auch gleichzeitig der Sourcecode von PS-MPC in der Programmiersprache C veröffentlicht. PS-MPC erstellt kompakteren und sorgfältigeren Assembler-Sourcecode als VCL. Die mit PS-MPC erstellten Assembler-Listings für Computerviren sind ebenfalls kommentiert. Von PS-MPC existieren zwei Versionen, die erste ist Version 0.90beta, welche in der elektronischen Untergrundpublikation „40HEX" im Juli 1992 veröffentlicht wurde und die zweite Version 0.91beta, die im August 1992 veröffentlicht wurde. Die Version 0.91beta des PS-MPC wurde um einige Funktionen erweitert, außerdem wurden einige Fehler der Vorgängerversion behoben. PS-MPC erstellt durchweg funktionsfähige und betriebsstabile Computerviren und dürfte der wohl am weitesten verbreitete Virus Construction Kit sein.

G2 (G Squared)

G2 ist ein Virus Construction Kit der zweiten Generation und wurde 1993 ebenfalls von „Dark Angel" programmiert, der bereits ein Jahr zuvor PS-MPC programmiert und veröffentlicht hatte. Im Bereich der Computerviren zeigt sich dabei, daß die Untergrundgruppe „Phalcon/SKISM" sehr aktiv ist und auch eine eigene elektronische Untergrundpublikation veröffentlicht (40HEX). Auch der G2 Virus Construction Kit wird über eine ASCII-Konfigurationsdatei programmiert und erstellt einen kommentierten Assembler-Sourcecode für Computerviren. Gemäß den Angaben, die „Dark Angel" in der dem G2 Construction Kit beigefügten Dokumentationsdatei macht, ist G2 kein modifizierter Ableger des Phalcon/SKISM PS-MPC Virus Construction Kits, sondern eine komplett überarbeitete Neuprogrammierung. G2 unterscheidet sich von anderen Virus Construction Kits hauptsächlich durch die Tatsache, daß er in der Lage ist einfach zu erweiternde sowie teilweise polymorphe Programmroutinen zu erstellen. G2 erstellt durchweg funktionsfähige und betriebsstabile Computerviren. Die letzte bekannte Version von G2 ist die Version 0.70beta vom Januar 1993.

IVP (Instant Virus Production Kit)

IVP ist ein Virus Construction Kit der zweiten Generation und wurde 1992 von „Admiral Bailey" programmiert und über Mailboxsysteme veröffentlicht. „Admiral Bailey" ist ein Mitglied der Untergrundgruppe „YAM" - „Youngsters Against McAfee". IVP wurde in TurboPascal 7.0 programmiert und benötigt eine ASCII-Konfigurationsdatei zum Erstellen von Computerviren. IVP unterstützt auch die Erstellung von trojanischen Pferden sowie auch die Verschlüsselung von Computerviren. IVP erstellt zwar auch funktionsfähige Computerviren, je nach Inhalt der ASCII-Konfigurationsdatei wird aber auch nicht funktionsfähiger Programmcode erstellt, der entweder bei Aufruf nicht funktioniert oder das Computersystem zum Absturz bringt. Die letzte bekannte Version von IVP ist die Version 1.0.

VCS (Virus Construction Set)

VCS ist ein Virus Construction Kit der ersten Generation und wurde 1991 von einer deutschen Untergrundgruppe „VDV Verband Deutscher Virenliebhaber" veröffentlicht. VCS ist ein primitiver Virus Construction Kit, der aus einer ASCII-Textdatei mit einer maximalen Länge von 512Byte einen einfachen COM-Infektor Virus erstellt. Nach einer vorgegebenen Anzahl von Replikationen und Infektionen zeigt der Computervirus auf dem Bildschirm den Text an und löscht danach automatisch die Dateien AUTOEXEC.BAT und CONFIG.SYS. VCS wurde in deutscher Sprache veröffentlicht, es wurde allerdings auch ein „Hack" in englischer Sprache in Umlauf gebracht. Die letzte bekannte Version von VCS ist die Version 1.0.

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.

Copyright (C) 08/1994 by Howard Fuhs

 

Fuhs Security Consultants
 
Alle Rechte
vorbehalten!
 
 Realisation:
Frank Ziemann
Home Impressum


WebCam
24h WorldTimer PCI DSS Publikationen Digital Publishing EN English
Thema 00
Hier finden Sie Information über Dinge, von denen wir jetzt noch nichts verraten wollen.
Fallbeispiele
Fallbeispiele aus der alltäglichen Datenunsicherheitspraxis.
Neues
Aktuelle Neuigkeiten und Medieninformationen.
Service
Sichern Sie Ihr Unternehmen durch unsere Dienstleistungen und Serviceangebote ab.
Fallbeispiele
Die neue 24h WorldTimer Uhrenserie mit standardisierter astronomischer Zeitangabe nach ISO 8601 für 24-Stunden-Umgebungen
PCI DSS
Dienstleistungen und Serviceangebote rund um den Payment Card Industry Data Security Standard
Publikationen
Fachartikel und Buchmanuskripte von Howard Fuhs.
Digital Publishing
Publikationen von Howard Fuhs auf CD-ROM.
EN English pages
Please find here our English pages for international visitors.
      E-Mail
Sie erreichen uns
per E-Mail unter
  info@fuhs.de
    Realisation
EDV-Beratung
Frank Ziemann
www.fz-net.com
 Themen  
Themen
Papers Satellite Hacking
Fachartikel deutsch
Präsentationen
Fachartikel englisch
Bücher von Howard Fuhs
Buchrezensionen
Medienberichte
Datensicherheitsinfos
Sicherheitsinfos
Computerviren und ihre Vermeidung
Information Security Bulletin
Bilder PCBRL
Bilder DCF77
Jokes
Fachartikel deutsch
Deutsche Fachartikel von Howard Fuhs.
Präsentationen
Präsentationen von Howard Fuhs.
Fachartikel englisch
Englische Fachartikel von Howard Fuhs.
Sicherheitsinformationen
Sicherheitsinformationen auch aus Quellen des Computeruntergrunds.
Computerviren und ihre ...
Buchmanuskript von Howard Fuhs über Computerviren, erstmals veröffentlicht 1993.
Jokes
Einfach nur Witze.
Bücher von Howard Fuhs
Buchveröffentlichungen von Howard Fuhs.
Howard Fuhs in den Medien
Medienbericherstattung über Howard Fuhs.
Datensicherheitsinformationen
Allgemeine Datensicherheitsinformationen von Howard Fuhs.
Bilder PCBRL
Technische Bilder von Howard Fuhs für das Printed Circuit Board Research Lab.
Information Security Bulletin
Deutsche Ausgaben des Information Security Bulletin von CHI-Publishing Ltd., UK.
Papers Satellite Hacking
Englische Texte zum Vortrag Satellite Monitoring, Satellite Hacking and Satellite Security
DCF77 Funkuhr
Vintage Gallery - Bilder einer DCF77 Funkuhr von 1972
Buchrezensionen
Howard Fuhs bespricht Fachbücher