Computerviren zu verkaufen
Eine kommerzielle Virensammlung auf CD-ROM näher betrachtet
Copyright (C) 12/1994 by Howard Fuhs
Inhalt: |
Einleitung
Nachdem das kommerzielle Angebot an Computerviren vor allen Dingen in den USA immer mehr zunahm, war es eigentlich nur eine Frage der Zeit bis die erste Virensammlung auf CD-ROM erscheint. Das bisherige Angebot von Computerviren war eher von schlechter Qualität. So waren die Computerviren nur unzureichend oder nicht katalogisiert, stammten aus sehr zweifelhaften Quellen wie z.B. aus Mailboxen, die sich auf den Virentausch spezialisiert haben und vielfach waren die Computerviren überhaupt nicht lauffähig. Mitte dieses Jahres ist nun in den USA eine CD-ROM erschienen, die eine ganze Virensammlung und noch vieles mehr beinhaltet. Bei meinem letzten Besuch in den USA bekam ich diese CD-ROM vorgeführt und ich hatte auch einige Zeit, um mir den Inhalt näher zu betrachten.
In diesem Artikel möchte ich nun über meine Erfahrungen mit dieser CD-ROM berichten, um dem Leser ein Bild zu vermitteln, mit welcher Qualität kommerzieller Computervirenvermarktung wahrscheinlich auch in Zukunft zu rechnen ist.
Mit dem folgendem Vorurteil als Ausgangspunkt bin ich an diese CD-ROM herangegangen: „Na, wird wohl nur ein Mirror irgendeiner chaotischen VX-BBS sein, und ein Großteil der Viren läuft eh nicht.“
Doch schauen wir uns jetzt den Inhalt und den Aufbau der CD-ROM näher an.
Die CD-ROM hat 2041 Unterverzeichnisse, F-PROT 2.15 benötigt ca. 60 Minuten um die CD zu scannen (auf einem Mitsumi FX001D Double Speed Laufwerk) und die Log Datei von F-PROT 2.15 ist ca. 330 kB groß, ausgedruckt sind das 94 Seiten. Das Einlesen des kompletten Verzeichnisbaums dauert ca. 5 Minuten. F-PROT hat 6298 Files gescannt und meldet 5830 infected und 38 suspicious (F-PROT 2.15). Der Gesamtinhalt der CD ist ca. 149MB groß.
Ich habe mit den folgenden Scannern den Inhalt der CD-ROM geprüft:
F-PROT 2.14 332 kB TXT Logfile F-PROT 2.15 333 kB TXT Logfile PCVP 2.06 349 kB TXT Logfile InVircible IVSCAN 42 kB TXT Logfile AVP 2.01beta 430 kB TXT Logfile TBAV 2.64 81 kB ARJ (3.2MB TXT) Logfile
MSAV und CPAV sind immer wieder während des Scanvorgangs der CD-ROM abgestürzt! Daher kann ich von diesen Scannern keine Ergebnisse liefern.
Der strukturierte Aufbau der CD-ROM sieht wie folgt aus:
Unterverzeichnis Alife
Hier finden sich einige Programme zum Thema „künstliches Leben“. Der Autor vertritt die These (wie auch der berühmte englische Astrophysiker Steven Hawking), daß Computerviren künstliches Leben sind.
Unterverzeichnis Anti_Vir
In diesem Unterverzeichnis sind, wie der Name schon erahnen läßt, Anti-Viren Programme enthalten. Diese Programme hätte man sich eigentlich sparen können. Alle Programme sind hoffnungslos veraltet (1 Jahr und älter) und damit für die Virenprävention fast nutzlos. Aber auch nicht ganz nutzlos. Ich habe auf dieser CD-ROM Anti-Viren Programme gefunden, von denen ich noch nie gehört hatte. So hatte ich die Gelegenheit, mir diese Programme wenigstens vom Aufbau und der Funktion her anzusehen.
Unterverzeichnis Hosts
Wer Host-Programme zum Isolieren von Computerviren erstellen will, ist hier richtig. Er findet in diesem Unterverzeichnis einige Host-Generatoren.
Unterverzeichnis Newsletr
In diesem Unterverzeichnis befinden sich elektronische Newsletter sortiert nach den Themenbereichen Underground und Viren. Im Bereich Viren wären wohl die bekanntesten 40HEX, YAM, CryPt Letter und NuKe, im Bereich Underground wäre u.a. CUD und Phrack zu erwähnen. Erstaunlicherweise waren im Unterverzeichnis Viren auch alle Ausgaben des Virus-L zu finden. Mit ca. 76MB ist das Unterverzeichnis Newsletr das umfangreichste (größte) auf der CD-ROM. Und obwohl es sehr groß ist und sehr umfangreich Newsletter zur Verfügung stellt, sind vielleicht gerade 30% der im Netz verfügbaren Newsletter enthalten.
Unterverzeichnis Source
In diesem Unterverzeichnis sind Source Codes von verschiedenen Viren enthalten. Die grobe Unterteilung der Source Codes erfolgt in drei Kategorien. Geprüfte Source Codes, Debug Scripts sowie fehlerhafte, beschädigte und nicht lauffähige Source Codes.
Unterverzeichnis Other_OS
Dieses Unterverzeichnis enthält den Internet Wurm, den Xmas Tree und einige andere (teilweise sehr berühmte) Plagegeister aus der Welt der UNIX-Rechner als Source Code und als Programm.
Unterverzeichnis Testbed
Im Unterverzeichnis Testbed sind jeweils 1000 Dateien mit einem MtE-verschlüsselten Virus und 1000 Dateien mit einem TPE-verschlüsselten Virus verseucht. Hier können Scanner grob getestet werden, ob sie 100% der polymorphen Infektionen finden. Es sollte dabei aber bedacht werden, daß die Verschlüsselungsroutinen von MtE und TPE einige Millionen unterschiedlich verschlüsselter Kopien erzeugen können. Gemessen an dieser Menge sind 1000 Mutationen relativ wenig und können nur in etwa eine Aussage darüber machen, wie gut oder schlecht ein Antiviren-Programm ist.
Ein Nachteil dieses Unterverzeichnisses ist die erhebliche Verlängerung der Scanzeit. Da auf der CD noch andere Mutating Engines als MtE und TPE mitgeliefert werden, hätte ich mir von diesen auch einen solchen Testset an Dateien gewünscht. Auch wenn das die Scanzeit nochmals verlängern würde.
Unterverzeichnis Tools
Hier findet man Assembler und Disassembler-Tools sowie Programme zum Kopieren und Abspeichern von Bootsektoren.
Unterverzeichnis Trojans
Wie der Name schon sagt, trojanische Pferde als Programm und als Source Code sowie „Creation Tools“ für trojanische Pferde und ANSI-Bomben.
Unterverzeichnis V_Simul
Eine Sammlung von bekannten Virus-Simulationen befindet sich in diesem Abschnitt.
Unterverzeichnis Vir_Info
Interessante, aber überall erhältliche Informationen über Computerviren wie z.B. VSUM oder Veröffentlichungen der NCSA.
Unterverzeichnis New_Vir
Hierbei handelt es sich um ein Unterverzeichnis, welches neue Viren enthält, die von Antiviren-Programmen noch nicht oder noch nicht genau identifiziert werden können. Auch hier wurde im Ansatz versucht, durch Unterverzeichnisse Ordnung in die Viren zu bekommen, was allerdings mangels einer einwandfreien Identifizierung der Viren nicht ganz gelungen ist. Nach Aussage des Autors enthält dieses Directory ca. 700 infizierte Dateien (2,8MB). Und jetzt zur Hauptsache:
Unterverzeichnis Live_Vir
Hier kam die erste große Überraschung, nämlich ca. 1900 Unterverzeichnisse! Entsprechend lang ist die Zeit zum Einlesen des Verzeichnisbaums von CD-ROM.
Der Autor hatte sich die Mühe gemacht und alle Viren nach Familienname, Hauptvariante und teilweise sogar Untervariante sortiert. Das Schema der Sortierung entspricht fast der CARO Naming Convention und wurde gemäß des Autors nach einer F-PROT Log-Datei durchgeführt.
Doch nun zu den Viren selbst. Alle von mir getesteten Viren waren voll funktionsfähig und in Host-Files eingebunden, in denen der Viruscode sofort sichtbar war. Beim Aufruf eines infizierten Host-Files kommt eine Warnung auf den Bildschirm, daß soeben der Computer mit einem Virus verseucht wurde. Jede infizierte Datei ist ebenfalls mit einem Copyrighthinweis des Autors versehen.
Von sehr vielen Viren sind mehrere infizierte Dateien vorhanden, die geringe Unterschiede zueinander aufweisen. Von den Scannern werden diese Dateien nur als ein Virus erkannt und bezeichnet. So ist z.B. der 8 Tunes Virus 10 mal im Unterverzeichnis vorhanden. 5 mal als COM Datei und 5 mal als EXE Datei. Nach Aussage des Autors enthält dieses Unterverzeichnis 574 Familien und ca. 3700 Viren (ca. 37MB).
Es sind ebenfalls Bootsektorviren auf der CD-ROM vorhanden. Diese Viren sind in Dateien mit der Endung BOO oder IMG abgelegt. Dadurch werden diese Viren nicht von jedem Antiviren-Programm entdeckt, was jedoch kein Problem darstellt, da es sich um keine ausführbaren Dateien handelt, sondern um Bootsektorimages.
Bei den Viren im Unterverzeichnis Live_Vir handelt es sich ausschließlich um bekannte „Bread ’n’ Butter“-Viren, die eigentlich von jedem Antiviren-Programm entdeckt werden sollten. Die Praxis sieht hier allerdings etwas anders aus als die Theorie. Man kann durchaus sagen, daß in diesem Unterverzeichnis der Grundstock einer jeden (mehr oder weniger umfangreichen) Virensammlung vorhanden ist.
Um an dieser Stelle auf mein Eingangs erwähntes Vorurteil zurückzukommen, so wurden meine Erwartungen bei weitem übertroffen. Ich habe schon viele Virensammlungen von Forschern gesehen (die, zugegeben, auch wesentlich umfangreicher sind), aber nur selten habe ich eine Sammlung vorgefunden, die so ordentlich strukturiert aufgebaut war. Der Autor der CD-ROM hat hier sehr viel Zeit damit verbracht, diese Sammlung aufzubauen.
Unterverzeichnis Virtools
In diesem Unterverzeichnis findet man sowohl alle gängigen Verschlüsselungsroutinen wie z.B. NED, TPE und DGME, wie auch alle gängigen Virus Construction Kits.
Zusammenfassung
Von Inhalt, Strukturierung und Qualität der CD-ROM war ich sehr angenehm überrascht, auch wenn ich mir darüber im klaren bin, daß das vorhandene Material nur einen Bruchteil der tatsächlich erhältlichen Informationen darstellt.
Als problematisch erachte ich die Tatsache, daß diese CD-ROM praktisch von jedem gekauft werden kann. Hier besteht die immense Gefahr, der Verbreitung von Computerviren weiter Vorschub zu leisten. Da sich im Zuge von Multimedia das CD-ROM Laufwerk auch in Zukunft immer mehr und mehr durchsetzen wird, sollten sich die für die Datensicherheit in einem Unternehmen verantwortlichen Personen auch mit der Gefahr, die von dieser CD-ROM ausgeht, auseinandersetzen. Hier wird auf einem Datenträger genügend Material geliefert, um innerhalb weniger Stunden die gesamte EDV einer Firma stillzulegen und innerhalb weniger Sekunden alle Datenbestände zu zerstören. Auch wenn meine Beurteilung der CD-ROM fachlich sehr positiv ausfiel, so stellt diese CD-ROM in den falschen Händen ein nicht zu unterschätzendes Bedrohungspotential dar.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 12/1994 by Howard Fuhs
English
Thema 00
Realisation
Themen