Elektronische Informationswege
der Virenprogrammierer
Copyright (C) 02/1996 by Howard FuhsInhalt:
Einleitung
Auch der virenprogrammierende Untergrund bedarf der Information über neue Programmiertechniken, Betriebssysteme, Sicherheistslücken und Produktspezifikationen. Was lag also näher, als die bereits vorhandene Technik des Computers zum Informations- und Erfahrungsaustausch mit Gleichgesinnten im Untergrund einzusetzen. Mit Computer und Modem wurden weltweit erreichbare Informationsforen für Virenprogrammierer aufgebaut die es ermöglichten, Viren und Virensourcecode innerhalb von Sekunden in andere Länder zu transferieren und damit einer etwas breiter angelegten Öffentlichkeit zugänglich zu machen.
Ein interessanter Nebeneffekt dieses digitalen Informationsaustausches ergab sich durch den Zusammenschluß von Virenprogrammieren zu Gruppen wie z.B. NuKE, Phalcon/Skism oder YAM (Youngster Against McAfee). Ein solcher Zusammenschluß zu Gruppen wurde erst durch den weltweiten Informationsaustausch ermöglicht und lies die interne Struktur der Gruppen internationalisiern, da oftmals die einzelnen Mitglieder einer Gruppe in unterschiedlichen Ländern beheimatet waren.
In diesem Artikel soll die Entwicklung verschiedener Medien untersucht werden, denen sich der Untergrund bedient, um Informationen und Viren zu verbreiten. Da es heute immer mehr Personen innerhalb von Unternehmen gibt, die über ein Modem am Firmenrechner und oftmals auch über entsprechende Zugangsberechtigungen in internationalen Datennetzen verfügen, ist es angebracht den Personenkreis entsprechend über die Gefahren zu unterrichten.
Mailboxen
Die erstgenutzte Möglichkeit der Informationsverbreitung war die Mailbox oder auch Bulletin Board System (BBS) genannt. Die bekanntesten Untergrund-Mailboxen dürften wohl in den USA die Black Axis und in Europa die Arrested Development (Holland) sein. Die ersten Untergrund-Mailboxen erschienen in der Szene Anfang der 80er Jahre in den USA. Mailboxen die sich auf Computerviren spezialisiert haben nennt man VX-Boards (VX = Virus Exchange).
Da sich Virenprogrammier als zu einen elitären Zirkel gehörend betrachten, wurde anfänglich sichergestellt, daß man unter sich blieb und die Aufnahme von Neulingen sehr erschwert. Dabei ging es wenige um die Mitgleidschaft in irgendwelchen Gruppen als vielmehr um den Zugang zu den entsprechenden Dateibereichen eine VX-Mailbox. So mußte man z.B. beim ersten Einloggen in eine VX-BBS einen ganzen Fragenkatalog ausfüllen. Die Fragen waren dabei oftmals so gestaltet, das sie nur von im Virenuntergrund tätigen Personen beantwortet werden konnten. Damit wurde sichergestellt, das ein Neugieriger kein Zutritt zur Mailbox erhielt, da er an dem Fragenkatalog bereit scheiterte.
Nur wenn dem Betreiber (SysOp) der Mailbox die gegebenen Antworten gefielen, bekam man das entsprechende Security-Level zugewiesen um auf Viren, Sourcecode, Informationen oder Nachrichtenbretter zugreifen zu können. Es sind Fragenkataloge bekannt, die über 80 Fragen beinhalten und ohne entsprechendes Insiderwissen nicht beantwortet werden können.
Eine weitere und etwas später eingeführte Möglichkeit, den Zugriff auf den Informationspool zu beschränken war die Forderung des BBS-Betreibers, nur wer einen neuen, unbekannten Virus in die Mailbox lädt, bekommt entsprechende Zugriffsrechte für den Download eingeräumt. Da es hier nicht jedem drittklassigen Virenprogrammierer möglich war, einen wirklich neuen, selbstprogrammierten Virus in die Mailbox zu laden, verfiel man auf den Trick, einen bekannten Virus nur soweit abzuändern, daß er von keinem Antiviren-Produkt mehr erkannt werden konnte. Dies ist mit ein Grund dafür, daß es von einigen Viren sehr viele, nur unwesentlich veränderte, Ableger gibt.
Mit zunehmender Verfügbarkeit von Virensourcecode wurden einige VX-Mailboxen sehr liberal, was den Zugriff auf entsprechende Dateibereiche betraf.
Einige Mailboxen hatten zum Schluß keinerlei Zugriffsbeschränkungen, und der SysOp der Black Axis Mailbox bot sogar an, für 100 USD die Viren auf Diskette zu verschicken.
Mailboxen spielen heute im Virenuntergrund nur noch eine untergeordnete Rolle die auf einen regionalen Bereich eingeschränkt ist. Dies ist durch die hohen Telefongebühren begründet, da eine solche Mailbox oftmals im Ausland lag und selbst inländische Mailboxen meisten nur durch Ferngespräche erreichbar sind. Weiterhin wurde die Mailbox durch bessere, effizientere und vor allen Dingen billigere Techniken ersetzt. Die meisten der noch vor Jahren bekannten VX-Mailboxen existieren heute nicht mehr.
Underground-Magazines
Durch die elektronische Verbreitung der Informationen und dem Zusammenschluß einzelner Virenprogrammierer zu oftmals rivalisierenden Gruppen, tauchten auch die ersten Untergrund-Magazine auf. Auch die Verbreitung der Magazine wurde Anfangs von Mailboxen übernommen. Die bekanntesten Untergrund-Magazine über Virenprogrammierung dürften wohl 40HEX, NuKE Info Journal und neuerdings auch VLAD sein.
In diesen Untergrund-Magazinen werden Programmierhinweise für Viren sowie Virensourcecode oder Debug-Scripts von Viren veröffentlicht.
FIDO
Auch in dem international verbreiteten, nichtkommerziellen FIDO-Netz fanden sich anfänglich Nischen für Virenprogrammierer. Hier bot sich erstmals die Möglichkeit, Informationen weltweit mit Gleichgesinnten auszutauschen und trotzdem nur Telefongebühren für ein Ortsgespräch investieren zu müssen. So gab es mehrere Diskussionsforen über die Programmierung von Computerviren die über die FIDO Backbones geführt wurden. Das bekannteste dürfte hier wohl das Virus_nfo Echo (nicht zu verwechseln mit Virus_info!) gewesen sein. Später bediente man sich der FIDO-Technologie indem man mit FIDO-Software sowohl seine eigenen Diskussionsgruppen eröffnete die außerhalb des FIDO-Netzes geroutet wurden (NuKE_The_World Echo), als auch durch die Schaffung eigener Datei-Netze die anstelle von Nachrichten Viren und Utilities rund um den Globus transportierten.
Auch das FIDO-Netz spielt im Virenuntergrund kaum noch eine Rolle. Dies ist mit der relativ langen Laufzeit von Informationen zu begründen (2-4 Tage für eine Nachricht von Los Angeles über das Gateway nach Europa und nochmals 2 Tage mehr um die Nachricht bis nach Hong Kong zu transportieren) sowie die recht kompliziert zu installierende und in den 90ern recht altmodisch anmutende FIDO-Software.
Internet
Mit der leichten Verfügbarkeit von Internet-Zugängen für jedermann war eine starke Abwanderung des Virenuntergrunds in Richtung Internet zu beobachten. Waren zu Anfang nur einige, sehr wenige Virenprogrammierer im Internet zu erreichen (in aller Regel über Universitäts-Accounts), so kann man heute sagen, daß die Computerviren-Szene nur noch über das Internet erreichbar ist.
Das Internet bot für den Untergrund einige Vorteile. So betrug die Laufzeit von Nachrichten nur noch einige Stunden statt Tage und das Internet war bereits zu Beginn der 90er so unübersichtlich, das es ein leichtes war, sein Angebot an Informationen und Viren vor Neugierigen zu verbergen oder auch einem sehr breiten Publikum zugänglich zu machen.
Man war sich im Untergrund darüber im Klaren, daß mit der zunehmenden Attraktivität des Internets auch ein größeres Publikum erreicht werden konnte was zu teilweise kommerziellen Angeboten an Computerviren führte.
Die Kommunikation über E-Mail soll hier nur der Vollständigkeit halber erwähnt werden. Über E-Mail halten die einzelnen Programmierer oder auch Gruppen untereinander Kontakt. Es ist relativ einfach, mit Virenprogrammierern in E-Mail Kontakt zu kommen. Ihre E-Mail Adressen werden u.a. in Untergrund Publikationen veröffentlicht.
FTP-Server
Mit dem Boom im Internet kamen auch Service-Provider, die Speicherplatz zum öffentlichen Anbieten von Informationen oder Dateien an Privatpersonen vermieteten.
Es dauerte nicht lange, bis die ersten Viren bis hin zu ganzen Virensammlungen über solche FTP-Server angeboten wurden. Zwar ist es sehr zeitaufwendig, die entsprechenden Unterverzeichnisse auf FTP-Servern zu finden, aber in der Zwischenzeit wurden regelrechte Listen mit FTP-Servern und Unterverzeichnissen erstellt, die interessanten Inhalt zum Download bereithalten. Entgegen der Verhaltensweise von Mailbox-SysOps, die überall versuchten für ihre Untergrund-Mailbox Werbung zu machen, wurde von den Leuten die FTP-Unterverzeichnisse verwalten und mit Viren bestücken kaum Werbung für ihr FTP-Unterverzeichnis gemacht. So waren FTP-Server mit Viren über lange Zeit nur ein Insidertip.
WorldWideWeb
Die neueste Entwicklung im Internet ist das WorldWide Web. Durch die grafische Aufbereitung und die einfache Bedinung des WWW verhalf es letzlich dem Internet zu einem Durchbruch auch bei einfachen Anwendern (Mäuseschubsern). So war es nicht erstaunlich, das sich die Virenangebote auch in das WWW verlagerten. Heute sind dort ganze (wenn auch veraltete) Virensammlungen sowie Programmiertips, Sourcecode und sonstige Software zum programmieren und veredeln von Viren erhältlich. Eine der umfangreichsten Web-Pages über Computerviren wurde Ende 1995 in das Netz gestellt und verfügt über einen eingebauten Zähler, an dem man ablesen kann wieviele Besucher die Web-Seite seit ihrer Erstellung aufgerufen haben.
Es gibt aber auch eindeutige Verkaufsangebote für Viren. So kann man auf einer Web-Seite für 100.-$ über 2000 Viren auf Diskette bestellen.
An all diese Web-Pages ist leider einfacher als erwünscht heranzukommen und gerade in Unternehmen sollten die Internet-Nutzer davor eindringlich gewarnt werden, aus solchen Web-Seiten Viren zu Testzwecken auf den Firmen- oder Privatrechner zu laden. Auch wenn es sich oftmals um ältere Viren handelt so können die aus einer umfangreichen Infektion entstehenden Folgekosten enorm sein. Gerade bei Firmenaccounts für das Internet sollte eine Nutzungsrichtlinie im Unternehmen vorhanden sein, in der ganz klar definiert wird, was der Nutzer im Internet tun darf. Alles was in dieser Richtlinie nicht als erlaubt aufgeführt wird, sollte aus Sicherheitsgründen generell als verboten gelten.
IRC-Chat
Der Internet Relay Chat ist das Live-Gesprächsforum im Internet. Hier gab es auch einige Chat-Kanäle zum Thema Computerviren. Wer wußte auf welchem Computer ein solcher Chat-Kanal vorhanden war konnte mit den Virenprogrammierern direkt und live über Programmiertechniken und andere Dinge diskutieren. Hier kann man vor allen Dingen Informationen darüber bekommen, was den Virenprogrammierer interessiert bzw welche Art von Virus er gerne einmal programmieren möchte oder welche Viren er aktuell zu programmieren plant.
Compuserve und AOL
Was die Online-Dienste wie Compuserve und America Online angeht, so sind hier nur vereinzelt Virenprogrammierer anzutreffen. Das mag wohl daran liegen, daß durch die Abrechnungspraxis für entstandene Gebühren die Identität einer Person für den Betreiber des Online-Dienstes zweifelsfrei feststehen muß. Weiterhin gibt es innerhalb der Online-Dienste Personen die für die Kontrolle des angebotenen Materials zuständig sind. Es kann allerdings nicht ausgeschlossen werden, das Online- Dienste von Virenprgrammieren unter ihren richtigen Namen genutzt werden, ohne das sich diese Personen als Virenprogrammierer zu erkennen geben.
Es muß auch hier genau abgegrenzt werden zwischen dem Online-Dienst und dem Internet, da beide Online-Dienste direkte Zugänge zum Internet anbieten, den Inhalt des Internets aber nicht kontrollieren können.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 02/1996 by Howard Fuhs