In The Wild Viren
Nur relativ wenige Viren sind wirklich weit verbreitet
Copyright (C) 06/1996 by Howard Fuhs
Obwohl die Anzahl der bekannten Computerviren ständig ansteigt - derzeit geschätzte 8000 - 8500 Viren - trifft man in der alltäglichen Praxis beim Computeranwender eigentlich immer auf den gleichen Set von hartnäckig verbreiteten Viren. Diese am weitesten verbreiteten Viren werden auch als "In The Wild" oder auch "ITW" (in freier Wildbahn) bezeichnet.
Definition von In The Wild
Welcher Virus wirklich verbreitet, also "In The Wild" ist, wird anhand
der Häufigkeit von Infektionsmeldungen statistisch ermittelt. Die wohl
bekannteste und umfassendste Liste von In The Wild Viren dürfte wohl die
ITW-Liste von Joe Wells sein. Hier melden weltweit verteilte
Virenfachleute ihre Infektionen. Damit ist die ITW-Liste von Joe Wells
die umfassenste Liste, die derzeit erhältlich ist und gibt einen sehr
guten Überblick über die internationale Virensituation. Die ITW-Liste
von Joe Wells erscheint alle 1-2 Monate, wird als ASCII-Text über
Datennetze wie Internet oder Compuserve verteilt und enthält derzeit ca.
200 Vireneinträge.
Auch wenn die In The Wild Liste von Joe Wells als international aussagekräftig angesehen werden kann, so gibt es doch regionale Unterschiede, die aus dieser Liste nicht zu ersehen sind. Das können z.B. Viren sein, die in einem regionalen Brennpunkt weit verbreitet sind, aber in der In The Wild Liste nicht vorkommen durch ihre stark lokal begrenzte Ausbreitung. Andererseits befinden sich Vireneinträge in der In The Wild Liste, die in Deutschland nicht weiter verbreitet sind.
Bezogen auf Deutschland kann man davon ausgehen, daß ca. 30 - 40 Computerviren als In The Wild gelten.
Verbreitung von In The Wild Viren
Ein Virus, der erfolgreich über einen längeren Zeitraum In The Wild ist,
vereinigt in der Regel zwei Eigenschaften in sich.
1. Zuverlässige Funktion.
Es ist sehr interessant festzustellen, daß ITW-Viren zuverlässig und
sicher programmiert sind und ohne viele technische Tricks auskommen.
Diese Art der Programmierung stellt sicher, daß der Virus auf sehr
vielen unterschiedlichen Computersystemen und unterschiedlichen DOS
Betriebssystemen funktioniert (MS-DOS, PC-DOS, PTS-DOS usw.) ohne
irgenwelche auffälligen Effekte auszulösen. Auffällige Effekte wären
z.B. Absturz des Computers (Kaltstart erforderlich), Programme können
nicht mehr aufgerufen werden, Dateien können nicht geöffnet werden oder
sind nicht mehr vorhanden, usw. Werden von einem Computer solche Effekte
ausgelöst beginnt unweigerlich die Suche nach den Ursachen für diese
Erscheinungen und früher oder später wird der Virus entdeckt. Nur ein
Virus der sich unverdächtig verhält und weiterverbreitet hat so die
Chance eine größere Anzahl von Computern zu infizieren.
Was die Zuverlässigkeit angeht, muss man sich die beiden Viren betrachten, die Platz 1 und Platz 2 der "Virenhitparade" belegen, den Parity_Boot.B Virus und den Form Virus. Bei beiden Viren handelt es sich um einfache Bootsektor-Viren die bereits seit Jahren bekannt sind, auch von schlechten Anti-Virenprogrammen entdeckt werden müßten, aber trotzdem die Spitzenplätze der gemeldeten Virenvorfälle ausmachen.
Beispiel 1 - Paritiy_Boot.B Virus
Der Parity_Boot.B Virus ist ein weltweit sehr verbreiteter Bootsektor-
Virus. Obwohl der Virus schon viele Jahre alt ist und von jedem besseren
Antiviren-Programm einwandfrei erkannt werden sollte ist die Erklärung
für die weite Verbreitung des Parity_Boot.B Virus in seiner einfachen
und damit zuverlässigen Funktion zu sehen. Er funktioniert unter jedem
DOS- Betriebssystem und verursacht keine Probleme bei der Infektion
verschiedener Datenträger.
2. Schneller Verbreitungskanal
Nicht jeder Virus der heute als ITW gilt hätte es auch wirklich
geschafft, wenn nicht besondere Umstände dazu beigetragen hätten den
Virus unter das (Computer) Volk zu bringen. Als besonders schnelle
Verbreitungskanäle gelten bestimmte Formen einer zahlenmäßig hohen
Softwaredistribution.
Beispiel 1 - Neuroquila Virus
Nach dem Motto "alles was verboten ist, macht besonders viel Spaß"
wurde der Neuroquila-Virus mit einer Raubkopie des Spiels DOOM über
Datennetze verbreitet. Der besondere Reiz der Leute an dem Spiel liegt
darin begründet, dass DOOM in Deutschland indexiert ist und damit nicht
beworben und auch nicht Personen unter 18 Jahren zugänglich gemacht
werden darf. Auf diese Art und Weise zum "Kultobjekt" erhoben, nahm die
Schar der Interessenten an der Raubkopie kein Ende und der Virus wurde
innerhalb weniger Wochen in Deutschland weit verbreitet.
Beispiel 2 - Tremor Virus
Channel Videodat ist ein System bei dem Daten in den 3 Bildzeilen die
nicht zum Aufbau eines Fernsehbildes benötigt werden zusammen mit dem
Fernsehbild über terrestrische Sender oder über Satellit ausgestrahlt
werden. Um diese Daten zu empfangen muß man einen Dekoder an seinen
Fernsehempfänger und an seinen Computer anschließen. So wurde im Mai
1993 eine mit dem Tremor-Virus infizierte Datei über Channel Videodat
ausgestrahlt. Obwohl bereits ein Tag später die verantwortliche Firma
auf die Vireninfektion hingewiesen wurde und ein spezielles Programm zur
Erkennung des Tremor Virus zur Verfügung gestellt wurde, geschah
keinerlei Reaktion auf die Warnung. Einige Wochen später wurde der
Tremor Virus nochmals in der Datei PKUNZIP.EXE ausgestrahlt. Erst nach
diesem zweiten Vorfall reagierten die Verantwortlichen und stellten den
Empfängern noch am gleichen Tag eine Anti-Virensoftware zur Verfügung,
die allerdings nicht in der Lage war den Tremor zu erkennen.
Beispiel 3 - AntiEXE Virus.
Gerade der AntiEXE Virus wurde wiederholt auf Treiberdisketten
gefunden die zu No-Name Hardware aus Fernost gehörten. Da viele
Anwender Disketten von Herstellern vertrauen und diese No-Name
Hardware oftmals durch ihren geringen Preis eine weite Verbreitung
findet, wird auch entsprechend schnell der Virus weltweit verbreitet. Es
ist auf alle Fälle empfohlen, solche Treiberdisketten vor dem Gebrauch
auf Virenbefall hin zu untersuchen!
Beispiel 4 - Shareware CD-ROMs
Trotz Schutzvorkehrungen ist es bisher schon öfters passiert, das CD-
ROMs vollgepackt mit aktuellen Shareware-Programmen auch infizierte
Programme enthielten. Da auch hier der Anwender der Firma vertraut wird
sehr selten eine CD-ROM auf Viren hin gescannt. Erschwerend kommt hinzu,
das sich der Virus von der CD-ROM nicht entfernen läßt und damit das
Infektionsrisiko nicht dauerhaft beseitigt werden kann.
Makro-Viren
Obwohl viele der Viren die als In The Wild gelten doch schon einige
Jahre alt sind, so ist es einer Newcomer-Gattung von Viren gelungen
innerhalb kürzester Zeit nach ihrer Entdeckung auf die ersten Plätze der
ITW-Viren zu gelangen. Die Rede ist hier von Makro-Viren für MS Word für
Windows. Zur rapiden Verbreitung dieser Viren hat die Tatsache
beigetragen, daß es heute sehr oft üblich ist, Informationen als WinWord
DOC-Datei weiterzugeben. Statistisch gesehen werden des weiteren
wesentlich mehr DOC-Dateien ausgetauscht und verbreitet als ausführbare
Dateien (EXE-, COM-Dateien). Erschwerend kommt hinzu, daß die
Möglichkeit der Virenprogrammierung unter einer Makro-Sprache nur von
sehr wenigen Fachleuten in Erwägung gezogen wurde. So galten bisher
Text- oder Datendateien als gegen Infektionen gefeit, was dem
Endanwender weitergegeben wurde. So kam die Meldung eines
WordMacro-Virus für viele überraschend. Nachdem dann auch gezielt nach
WordMacro-Viren gesucht wurde, stellte sich schnell heraus, daß viele
Unternehmen mit diesen Viren stark infiziert waren und durch die
Verteilung von Dokumenten per E-Mail auch immer wieder schnell re-
infiziert wurden.
Bootsektor-Viren in der ITW-Liste
Wer sich die ITW-Liste etwas genauer anschaut wird feststellen, daß ein
erheblicher Anteil an weit verbreiteten Viren Bootsektor-Viren sind und
von ihrer Häufigkeit her mit Parity_Boot.B und Form.A die Spitzenplätze
der ITW-Liste belegen. Gemessen an Viren die EXE- oder COM-Dateien
infizieren hat ein Bootsektor-Virus die Möglichkeit jeden Datenträger zu
infizieren. Es ist also nicht nötig das sich auf einer Diskette eine
infizierte ausführbare Datei befindet um einen Virus weiterzuverbreiten.
Es reicht vollkommen aus den mit einem Bootsektor-Virus infizierten
Datenträger weiterzugeben. Um einen Bootsektor-Virus zu aktivieren muß
der Computer von einer infizierten Diskette gebootet werden. Dies
geschieht sehr oft ungewollt indem beim Ausschalten des Computers eine
Diskette im Laufwerk vergessen wird. Schaltet man das nächste Mal den
Computer ein wird zuerst auf Laufwerk A: zugegriffen und versucht von
Diskette zu booten. Es kommt dann zwar die Fehlermeldung, daß von dieser
Diskette nicht gebootet werden kann, trotzdem ist der Bootsektor- Virus
jetzt aktiv und hat die Festplatte vom Computer bereits infiziert.
Automatische Entfernung von ITW-Viren
Vor einiger Zeit wurde über eine Schutzsoftware nachgedacht, die einen
definierten Set von ITW-Viren nicht nur automatisch entdeckt sondern
auch automatisch aus dem Hauptspeicher und von der Festplatte entfernt,
ohne ein Zutun des Anwenders oder eines Fachmannes. Grundgedanke dafür
war es, den Supportaufwand in großen Unternehmen zu senken, da ITW-Viren
einen nicht unerheblichen Teil des Endanwender-Supports verursachen.
Wann eine solche Software erhältlich ist bleibt abzuwarten. Aus den
Reihen der Kritiker dieses Konzeptes war zu hören, das eine
vollautomatische Entfernung der Viren den Endanwender gegenüber der
Virengefahr zu nachlässig werden läßt, im Vertrauen auf die
Schutzsoftware. Was die technische Zuverlässigkeit solcher Systeme
angeht ist es durchaus möglich, die Entfernung der Viren absolut sicher
und zuverlässig durchzuführen.
ITW in Deutschland
In Deutschland dürfen z.Z. [Anm.: Juni 1996!] die folgenden Viren als In The Wild gelten:
AntiCMOS AntiEXE.A Boot-437 Breasts Butterfly Cascade.1701 / 1704 Chinese_Fish Civil_Defense.6672 Form.A Goblin.1199 Goblin.Delwin.1759 GoldBug Jerusalem.1808.Standard.A Jerusalem.AntiCad.3004/3012/4096 Jumper Junkie.1027 Kaczor.4444 Little_Red Manzon Natas.4746 Neuroquila Neuroquila.N8FALL NewBoot_1 NYB / B1 One_Half.3544 Parity_Boot.B Quicky.1376 Ripper Sirius.Alive Stoned.Angelina Stoned.Empire.Monkey.B Stoned.Flame Stoned.June_4th.A Stoned.Michelangelo.A Stoned.Standard.A Tai-Pan.434 (Whisper) Tai-Pan.666 (Doom2.666) Tea_For_Two Tequila Tremor V-Sign Vacsina.TP.5.A WET Yankee_Doodle.TP.44.A
Die Verbreitung der Viren in Deutschland ist regional unterschiedlich.
Schlussbemerkung
Ein Unternehmen das gegen die gängigsten 200 ITW-Viren etwas
unternimmt hat bereits einen großen Schritt in Richtung der
Datensicherheit getan.
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 06/1996 by Howard Fuhs