Virus Construction Kits
Copyright (C) 08/1994 by Howard FuhsInhalt:
PS-MPC (Phalcon/SKISM Mass Produced Code Generator)
IVP (Instant Virus Production Kit)
Einleitung
Virus Construction Kits sind Computerprogramme, die Personen mit nur wenig oder keiner Programmiererfahrung in die Lage versetzen, Computerviren nach ihren Vorstellungen herzustellen oder entsprechende Varianten von Computerviren mit unterschiedlichen Verhaltensweisen anzufertigen. Virus Construction Kits werden auch als Computervirenbaukästen bezeichnet, da der Anwender, wie bei einem Baukasten, einen Computervirus nach seinen Wünschen aus verschiedenen Programmcode-Segmenten zusammensetzt.
Solche Virus Construction Kits werden von Untergrundgruppen programmiert und über Mailboxsysteme weltweit verteilt. Die zur Zeit bekanntesten Untergrundgruppen im Bereich der Computerviren sind NuKE" und Phalcon/SKISM".
Durch die relativ weite Verbreitung sowie die problemlose Beschaffung solcher Virus Construction Kits ist es heute für jeden Verantwortlichen im Bereich der Datensicherheit unumgänglich, sich mit diesen Programmen im Rahmen der Prävention auseinanderzusetzen. Es sind genügend Fälle bekannt, wo Virus Construction Kits innerhalb einer Firma über Local Area Networks verteilt wurden oder auf Netzwerk-Servern gespeichert waren, ohne das die für den Datenschutz verantwortlichen Personen davon wußten oder gar die Programme selbst als gefährlich einstufen konnten. Weiterhin ist ein Fall bekannt, wo ein Angestellter auf einem Firmenrechner Computerviren mit einem Virus Construction Kit erstellte und anschließend Firmencomputer mit den erzeugten Computerviren infizierte. Durch Unkenntnis über die Existenz solcher Virus Construction Kits konnte der für die Datensicherheit verantwortliche System Administrator nicht präventiv vorgehen.
Von ihrer Bedienung her müssen die Virus Construction Kits in zwei verschiedene Gruppen unterteilt werden. Die eine Gruppe von Virus Construction Kits verfügt über eine Benutzeroberfläche, die in Menüform den Anwender nach Art der Replikation, Infektionskriterien sowie Auslösebedingungen und Schadensfunktion fragt. Die andere Gruppe benötigt eine vom Anwender angefertigte ASCII-Konfigurationsdatei, in der die gewünschten Funktionen des Computervirus definiert werden müssen (ähnlich einer Batch-Datei) und die dann von dem Virus Construction Kit Befehl für Befehl abgearbeitet und in einen funktionsfähigen Computervirus umgesetzt werden.
Die erste Gruppe der Virus Construction Kits ist durch die Menüführung in der Bedienung einfacher, da hier auch durch wahlloses Anwählen von Menüpunkten ein Computervirus zusammengestellt und erzeugt werden kann. Bei der zweiten Gruppe von Virus Construction Kits muß man zwar erst die notwendigen Befehle zum Erstellen einer ASCII-Konfigurationsdatei erlernen, diese sind aber in Dokumentationsdateien ausführlich erklärt und jeder, der in der Lage ist, einfachste Batch-Dateien mit einem ASCII-Editor zu programmieren, ist in der Regel auch in der Lage, innerhalb kürzester Zeit (wenige Minuten) eine solche Konfigurationsdatei zu erstellen.
Generell muß zu den Virus Construction Kits gesagt werden, daß die beigefügten Dokumentationsdateien auch für den Anfänger und Laien vollkommen ausreichend sind, einige Virus Construction Kits über eine umfangreiche Online-Hilfe verfügen und vielen Virus Construction Kits eine größere Anzahl von Beispielviren beigefügt sind.
Auch bei der Form der Endprodukte muß man die Virus Construction Kits in verschiedene Kategorien unterteilen. Virus Construction Kits der ersten Generation erstellen bereits fertig kompilierte Computerviren. Es entsteht kein Sourcecode oder Assembler-Listing. Bei Virus Construction Kits der zweiten Generation entsteht ein Sourcecode, der in den meisten Fällen sogar kommentiert ist. Das Problem bei der zweiten Generation von Virus Construction Kits liegt in der Tatsache, daß der Sourcecode des erstellten Computervirus selbst von Personen mit wenig Programmiererfahrung manuell so verändert werden kann, das ein völlig neuer Computervirus entsteht, ohne das die Person die interne Funktionsweise des dabei entstehenden, neuen Computervirus kennt oder versteht.
Durch die Tatsache, daß die derzeit bekannten Virus Construction Kits zum Erstellen des Computervirus-Skeletts größere Mengen an gleichbleibendem Programmcode verwenden, stellen sie selbst für die Standard-Virensuchtechnik wie sie bei String-Scannern angewandt wird, keine große Gefahr mehr dar. Jedes annehmbar gute Anti-Viren Programm muß heute in der Lage sein, einen mit einem Virus Construction Kit erstellten Computervirus zu finden. Das könnte sich in Zukunft allerdings ändern, wenn neue Generationen von Virus Construction Kits von fortgeschrittenen Tarntechniken für Computerviren Gebrauch machen. Hier sei nur an eine Implementierung einer Verschlüsselungsroutine ähnlich der Mutating Engine gedacht oder an andere, sehr effektive Möglichkeiten, auf die ich hier nicht näher eingehen möchte.
Im folgenden möchte ich die derzeit bekannten Virus Construction Kits und ihre Eigenschaften etwas näher beschreiben.
GENVIR
GENVIR war der erste Versuch einen Virus Construction Kit als eine Art Shareware zu vertreiben und für das Programm Geld zu verlangen. GENVIR gehört zu den Virus Construction Kits der ersten Generation und hat eine Benutzeroberfläche in Menüform. Das Programm wurde von einem Franzosen programmiert und war funktional eingeschränkt (sogenannte Crippleware"). Damit wollte der Programmierer gewährleisten, daß der Anwender die verlangten 120 Franc für das Programm bezahlt. Alle Menüpunkte zum Auswählen von Vireneigenschaften waren funktionsfähig, bevor jedoch GENVIR den Computervirus kompilierte, wurde das Programm gestoppt und eine Aufforderung zum Bezahlen der Lizenzierungsgebühr erschien auf dem Bildschirm. Es ist nicht bekannt, ob jemals eine funktionsfähige Version von GENVIR verkauft oder geliefert wurde, es wurde allerdings von einer amerikanischen Virenprogrammierergruppe eine teilweise funktionsfähige Version, ein sogenannter Hack" über Mailboxsysteme in Umlauf gebracht. Dieser Hack" lag auch einer elektronischen Untergrundpublikation bei. Die letzte bekannte Version von GENVIR ist 1.0.
VCL (Virus Creation Lab)
VCL ist ein komplexer Virus Construction Kit der zweiten Generation der ebenfalls eine Benutzeroberfläche in Menüform aufweist. VCL wurde 1992 von Nowhere Man", einem Mitglied der Untergrundgruppe NuKE" programmiert. VCL erlaubt das Zusammenfügen von verschiedenen, vom Anwender ausgesuchten Programmcodemodulen zu einem Virus. Weiterhin bietet VCL die Option von dem erstellten Computervirus ein kommentiertes Assembler-Listing zu generieren, welches dann manuell verändert werden kann. VCL erstellt weitestgehend funktionsfähige und betriebsstabile Computerviren und ist ebenfalls in der Lage logische Bomben und trojanische Pferde herzustellen. Die letzte bekannte Version von VCL ist die Version 1.0.
PS-MPC (Phalcon/SKISM Mass Produced Code Generator)
PS-MPC ist ebenfalls ein Virus Construction Kit der zweiten Generation, wird allerdings nicht durch eine Benutzeroberfläche bedient, sondern durch eine ASCII-Konfigurationsdatei programmiert. PS-MPC wurde von Dark Angel" programmiert, der ein Mitglied der Untergrundgruppe Phalcon/SKISM" ist.
PS-MPC basiert größtenteils auf das Virus Creation Lab VCL und wurde 1992 über Mailboxsysteme verteilt. Zusammen mit dem lauffähigen PS-MPC wurde auch gleichzeitig der Sourcecode von PS-MPC in der Programmiersprache C veröffentlicht. PS-MPC erstellt kompakteren und sorgfältigeren Assembler-Sourcecode als VCL. Die mit PS-MPC erstellten Assembler-Listings für Computerviren sind ebenfalls kommentiert. Von PS-MPC existieren zwei Versionen, die erste ist Version 0.90beta, welche in der elektronischen Untergrundpublikation 40HEX" im Juli 1992 veröffentlicht wurde und die zweite Version 0.91beta, die im August 1992 veröffentlicht wurde. Die Version 0.91beta des PS-MPC wurde um einige Funktionen erweitert, außerdem wurden einige Fehler der Vorgängerversion behoben. PS-MPC erstellt durchweg funktionsfähige und betriebsstabile Computerviren und dürfte der wohl am weitesten verbreitete Virus Construction Kit sein.
G2 (G Squared)
G2 ist ein Virus Construction Kit der zweiten Generation und wurde 1993 ebenfalls von Dark Angel" programmiert, der bereits ein Jahr zuvor PS-MPC programmiert und veröffentlicht hatte. Im Bereich der Computerviren zeigt sich dabei, daß die Untergrundgruppe Phalcon/SKISM" sehr aktiv ist und auch eine eigene elektronische Untergrundpublikation veröffentlicht (40HEX). Auch der G2 Virus Construction Kit wird über eine ASCII-Konfigurationsdatei programmiert und erstellt einen kommentierten Assembler-Sourcecode für Computerviren. Gemäß den Angaben, die Dark Angel" in der dem G2 Construction Kit beigefügten Dokumentationsdatei macht, ist G2 kein modifizierter Ableger des Phalcon/SKISM PS-MPC Virus Construction Kits, sondern eine komplett überarbeitete Neuprogrammierung. G2 unterscheidet sich von anderen Virus Construction Kits hauptsächlich durch die Tatsache, daß er in der Lage ist einfach zu erweiternde sowie teilweise polymorphe Programmroutinen zu erstellen. G2 erstellt durchweg funktionsfähige und betriebsstabile Computerviren. Die letzte bekannte Version von G2 ist die Version 0.70beta vom Januar 1993.
IVP (Instant Virus Production Kit)
IVP ist ein Virus Construction Kit der zweiten Generation und wurde 1992 von Admiral Bailey" programmiert und über Mailboxsysteme veröffentlicht. Admiral Bailey" ist ein Mitglied der Untergrundgruppe YAM" - Youngsters Against McAfee". IVP wurde in TurboPascal 7.0 programmiert und benötigt eine ASCII-Konfigurationsdatei zum Erstellen von Computerviren. IVP unterstützt auch die Erstellung von trojanischen Pferden sowie auch die Verschlüsselung von Computerviren. IVP erstellt zwar auch funktionsfähige Computerviren, je nach Inhalt der ASCII-Konfigurationsdatei wird aber auch nicht funktionsfähiger Programmcode erstellt, der entweder bei Aufruf nicht funktioniert oder das Computersystem zum Absturz bringt. Die letzte bekannte Version von IVP ist die Version 1.0.
VCS (Virus Construction Set)
VCS ist ein Virus Construction Kit der ersten Generation und wurde 1991 von einer deutschen Untergrundgruppe VDV Verband Deutscher Virenliebhaber" veröffentlicht. VCS ist ein primitiver Virus Construction Kit, der aus einer ASCII-Textdatei mit einer maximalen Länge von 512Byte einen einfachen COM-Infektor Virus erstellt. Nach einer vorgegebenen Anzahl von Replikationen und Infektionen zeigt der Computervirus auf dem Bildschirm den Text an und löscht danach automatisch die Dateien AUTOEXEC.BAT und CONFIG.SYS. VCS wurde in deutscher Sprache veröffentlicht, es wurde allerdings auch ein Hack" in englischer Sprache in Umlauf gebracht. Die letzte bekannte Version von VCS ist die Version 1.0.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 08/1994 by Howard Fuhs