Share to: share facebook share twitter share wa share telegram print page

 

Vienna (Computervirus)

Vienna
Name Vienna
Aliase Austrian, Unesco
Bekannt seit 1987
Erster Fundort Österreich
Virustyp Dateivirus
Dateigröße 648 Bytes
Wirtsdateien COM
Verschlüsselung nein
Stealth nein
Speicherresident nein
System PC-kompatibles DOS
Programmiersprache x86-Assembler

Vienna ist ein Computervirus, das Programmdateien infiziert. Die Herkunft und der Autor sind unbekannt.

Bekanntheit erlangte das Virus vor allem, weil der IT-Sicherheits-Experte Bernd Fix im Jahr 1987 ein Programm veröffentlichte, das Infektionen aufspüren und entfernen konnte.[1][2]

Außerdem wurde der Viruscode in mehreren Fachbüchern veröffentlicht, was in der Folge zu einer sehr großen Zahl von Varianten führte und die unkontrollierte Verbreitung begünstigte.[1]


Herkunft

Zur Herkunft des Vienna-Virus gibt es unterschiedliche und widersprüchliche Angaben. Sicher dokumentiert wurde es erstmals 1987 in Österreich. Laut Ralf Burger, dem Autor des Fachbuchs Das große Computer-Viren-Buch, hat der Wiener Informatiker Franz Swoboda das Virus als Erster entdeckt.[3] Der Urheber und der Ursprung des Virus sind Swoboda nicht bekannt. Er gab den Viruscode vermutlich an Burger weiter, der ihn dann auch an Bernd Fix schickte.[1][4]

Einigen Quellen nach wurde Vienna erst am 1. April 1988 in Moskau in einem Computer-Camp, das die UNESCO für Kinder ausrichtete, zum ersten Mal entdeckt.[5] Vermutlich handelt es sich bei diesem Virus aber um eine Variante, da die Originalversion bereits ein Jahr zuvor bekannt war. Für die im Internet kursierende Behauptung, ein Schüler aus Wien habe das Virus als Experiment entwickelt, gibt es keine verwertbaren Belege.[6]

Aliasse

Das britische Fachmagazin Virus Bulletin und die Datenbank von F-Secure nennen folgende Bezeichnungen für das originale Virus:[7][8]

  • Vienna
  • Austrian
  • Unesco
  • DOS62

Versionen und Derivate

Auszug aus dem kommentierten Sourcecode von Vienna

Zu den bekanntesten Varianten gehören:

  • Lisbon wurde zuerst in Portugal entdeckt. Es wurde in großen Teilen modifiziert, um Antivirenprogramme zu täuschen. Der Anfang von ausführbaren Dateien wird mit @AIDS überschrieben.[8]
  • New Vienna ist eine auf Vienna basierende Virenfamilie und stammt aus Bulgarien, der Viruscode ist etwas kürzer als beim Originalvirus. Die Payload wurde geändert, er formatiert die Festplatte, sofern vorhanden. Zudem wurde eine Routine zur Behandlung von Standardfehlern eingebaut.[8]
  • Arf, Christmas Violator, Violator und Baby sind Varianten mit großen Übereinstimmungen im Quellcode. Daher wird angenommen, dass sie von demselben Autor stammen.[8]
  • Iraqui Warrior ist ein sogenannter Intended Virus, d. h., er enthält einen Programmfehler, der verhindert, dass das Virus sich nach der ersten Infektion weiter ausbreiten kann. Im Quellcode ist ein Text hinterlegt:
I come to you from The Ayatollah! (c)1990, VirusMasters
An Iraqui Warrior is in your computer
  • NTKC ist möglicherweise der längste Dateivirus, den es je gab. Abgesehen davon hat diese Vienna-Version keine nennenswerten Merkmale.[8]
  • Vienna.Reboot ist eine sehr destruktive Variante, die ausführbare Dateien mit einem kleinen Programm überschreibt, das den Computer neustartet.[8]
  • 1260 war der erste bekannte polymorphe Virus. Er wurde zu Demonstrationszwecken als Machbarkeitsstudie veröffentlicht.

Es gibt noch zahlreiche weitere Varianten:

  • Vienna.Ambalama
  • Vienna.Angel
  • Vienna.BboDong
  • Vienna.Bloodspill
  • Vienna.BNB
  • Vienna.Born
  • Vienna.Bua
  • Vienna.BY
  • Vienna.ByteWarrior
  • Vienna.DDrUS
  • Vienna.DearUser
  • Vienna.Dr. Q
  • Vienna.Ender
  • Vienna.Feliz
  • Vienna.FatherChristmas
  • Vienna.Grither
  • Vienna.Gustav
  • Vienna.Gympel
  • Vienna.Hybryd
  • Vienna.IRA
  • Vienna.Kuzmitch
  • Vienna.Monxla/Interceptor
  • Vienna.Norilsk
  • Vienna.Oscar
  • Vienna.Parasite
  • Vienna.Pivi
  • Vienna.Saigon
  • Vienna.SDI
  • Vienna.Sector
  • Vienna.Skate
  • Vienna.SPb
  • Vienna.Sunday
  • Vienna.TheseDays
  • Vienna.Viperize
  • Vienna.Westmont

Funktion

Infektion

Vienna infiziert COM-Dateien unter PC-kompatiblen DOS, darunter auch die COMMAND.COM. Bei Ausführung der infizierten Datei wird eine weitere noch nicht infizierte Datei im gleichen Verzeichnis (inklusive aller Unterverzeichnisse) infiziert. Am Ende der infizierten Datei hängt sich der Viruscode an, was die Datei um 648 Bytes erweitert.[7] Vienna ist also ein sogenannter Appender-Virus.

Nach der Infektion wird der Zeitstempel der betroffenen Datei verändert. Die Sekundenangabe im Zeitstempel der Datei wird auf den theoretisch unmöglichen Wert 62 geändert. Das hat praktisch keinen spürbaren Effekt, kann dem Anwender aber als Indiz für eine Infektion dienen. In der Praxis verhindert es Mehrfach-Infektionen, da der Viruscode den Zeitstempel abfragt und sich nicht erneut in eine bereits modifizierte Datei schreibt.[7]

Da sehr viele verschiedene Varianten von diesem Virus existieren, können sich die Merkmale einer Infektion im Einzelfall unterscheiden.[7]

Das Virus ist nicht speicherresident und führt seine Funktion beim Ausführen der Datei einmalig aus. Solche Computerviren nennt man direct action infector. Zusätzlich verbreitete sich das Virus natürlich auch, wenn die infizierte Datei mit üblichen Methoden kopiert wurde. Wird eine infizierte Datei auf einer schreibgeschützten Diskette oder einer CD-ROM ausgeführt, kann sich der Viruscode nicht in andere, potentiell vorhandene Wirtsdateien speichern.

Payload

Schädliche Auswirkungen treten in einem von acht Fällen bei der Infektion neuer Dateien auf.[7] Die Datei wird dann nicht wirklich infiziert, d. h., der Viruscode hängt sich nicht an die ausführbare Datei an. Stattdessen werden die ersten fünf Bytes mit dem Hexadezimalstring EAF0FF00F0 überschrieben. Werden diese Dateien später ausgeführt, kann es zu schweren Computerfehlern kommen, die einen Neustart zur Folge haben können. Eine solche Datei ist nicht infiziert, sondern beschädigt. Die meisten Antivirenprogramme erkennen auch solche Dateien. Eine Reparatur ist aber schwer bis unmöglich, sofern kein Backup angelegt wurde.[8]

Situation um 1987

Bernd Fix (2007)

Computerviren wurden in den Jahren 1986 und 1987 erstmals als Thema in Computerzeitschriften für private Computerbesitzer aufgegriffen. Sie waren zuvor noch kaum bekannt und lediglich in Fachkreisen ein theoretisches Thema. In diesen Jahren verbreiteten sich die ersten Malware-Programme für IBM-Rechner. Der Vienna-Virus erlangte durch Bernd Fix und Ralf Burger als einer der ersten Viren etwas breitere Aufmerksamkeit.

Da der Quellcode des Virus in verschiedenen Büchern veröffentlicht wurde, hatte Vienna auch großen Einfluss auf die Entwicklung von anderen zeitgemäßen Viren.[1] 1989 veröffentlichte Mark Washburn zu Anschauungszwecken den Virus 1260. Es handelte sich um eine komplexe Weiterentwicklung von Vienna. 1260 war der erste bekannte polymorphe Virus. Der erste bekannte Hybridvirus namens Ghostball verwendete für die Infektion von Dateien ebenfalls eine Routine, die auf Code von Vienna basiert.

Antivirusprogramm von Bernd Fix

Bernd Fix führte die erste öffentlich dokumentierte Entfernung eines Computervirus am Beispiel von Vienna durch. Dafür entwickelte und veröffentlichte er ein spezielles Programm. Das Tool wird häufig als das erste Antivirusprogramm der Welt bezeichnet.[1][4] Das ist aber nicht korrekt. Es gab schon zuvor andere derartige Programme, z. B. Master Create aus dem Jahr 1983, zum Entfernen des Bootsektorvirus Elk Cloner. Bereits 1972 wurde das Programm Reaper verwendet, um einen Netzwerkwurm im Arpanet zu bekämpfen, von dem die Öffentlichkeit aber kaum Notiz nahm.[9]

Das erste Modul für einen Suchlauf zur Erkennung und Entfernung wurde im Jahr 1987 von Ross Greenberg entwickelt. Er brachte mit seinem Programm FluShot Plus einen der ersten beiden kommerziellen Virenscanner auf den Markt. FluShot erkannte 81 verschiedene Schadprogramme. Einfache Schadmechanismen konnten auch heuristisch erkannt werden.[10][11] Zeitgemäß wurden solche Programme damals meist Virus-Killer genannt.

Sonstiges

  • Das Virus Eddie-2 aus Bulgarien und das Virus Zero Bug ändern den Zeitstempel ebenfalls auf den Wert 62. Die Viren haben ansonsten keine Gemeinsamkeiten mit Vienna, impfen die Dateien aber praktisch gegen eine Infektion.[7] Vermutlich wollte der oder die Autoren verhindern, dass Vienna die Verbreitung ihrer eigenen Viren behindert.

Einzelnachweise

  1. a b c d e https://web.archive.org/web/20120724073428/http://www.securelist.com/en/threats/detect?chapter=108 Securelist.com: History of malicious programs
  2. https://www.security-insider.de/die-geschichte-der-viren-wuermer-und-trojaner-a-343533 Security-Insider.de Die Geschichte der Viren, Würmer und Trojaner
  3. DNB 880490047 Ralf Burger: Das große Computer-Viren Buch (ISBN 3-89011-200-5)
  4. a b https://encyclopedia.kaspersky.de/knowledge/year-1987 Encyclopedia.Kaspersky.de Enzyklopädie von Kaspersky - 1987
  5. https://wiw.org/~meta/vsum/view.php?vir=1496 Wiw.org Vienna
  6. https://wiw.org/~meta/vsum/view.php?vir=1496 Wiw.org
  7. a b c d e f https://www.virusbulletin.com/uploads/pdf/magazine/1990/199003.pdf Virus Bulletin Ausgabe März 1990 (PDF-Download)
  8. a b c d e f g https://www.f-secure.com/v-descs/vienna.shtml F-Secure.com: Description of Vienna
  9. https://pandorafms.com/blog/creeper-and-reaper PandoraFMS.com Creeper and Reaper
  10. https://antivirusrankings.com/history-of-antivirus-software AntiVirusRankings.com: History of Antivirus-Software
  11. https://strom.wordpress.com/2010/04/01/ross-greenberg Strom.Wordpress.com Ross Greenberg
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi
Kembali kehalaman sebelumnya