Gruselig: Die gefährlichsten Viren aller Zeiten

Die gefährlichsten Viren aller Zeiten
Bild 1 von 29

Die gefährlichsten Viren aller Zeiten

Freitag der 13., Datacrime, Michelangelo, Tschernobyl, Happy99, Melissa, Loveletter, Code Red - wir stellen Ihnen die gefährlichsten Viren und Würmer vor.

Es war ein sonniger Mai-Tag im Jahr 2000, als die Posteingangs-Ordner der Mailprogramme mit virtueller Post geradezu überflutet wurden. Die Betreffzeile vieler Mails lautete „ILOVEYOU“ , an die Mails war jeweils eine Datei mit dem verheißungsvollen Namen Loveletter angehängt. Da die Mails von bekannten Absendern, oft Kollegen aus der eigenen Firma oder von Freunden, kamen, waren sie ja offensichtlich ungefährlich – dachten sich die meisten Outlook-Benutzer. Und klickten auf den Mailanhang. Woraufhin sie nun selbst lawinenartig Liebesbriefe an alle Personen verschickten, die im Windows-/Outlook-Adressbuch gespeichert waren.

Mit Loveletter alias I Love you wurden Computerviren endgültig zum Massenphänomen. Dass es sich dabei gar nicht um einen klassischen Virus, sondern um einen Skript-Wurm handelte, der zwingend den Windows Scripting Host und Microsoft Outlook zu seiner Verbreitung benötigte, dürfte vielen betroffenen Windows-Benutzern gar nicht klar geworden sein. Aber dass es Computerviren gab – das wusste nun fast jeder. Und dass diese Viren schweren Schäden anrichten können, wurde dank Loveletter ebenfalls bald klar.

Gruselig: Die gefährlichsten Viren aller Zeiten
1 von 30
Schneller und einfacher Schutz vor Viren und Angriffen aus dem Internet.
Jetzt sichern! »

Wo kommen Viren her?

Auf der nächsten Seite erklären wir zunächst die wichtigsten Arten von Malware. Denn Virus ist nicht gleich Wurm, auch wenn meist von Viren gesprochen wird, wenn von Malware allgemein die Rede ist und auch Würmer und Backdoors gemeint sind (das gilt übrigens auch für die Überschrift zu diesem Artikel). Danach stellen wir die gefährlichsten Viren (und Würmer sowie Backdoors) aller Zeiten vor.

Als Malware bezeichnet man jede Art von Schadsoftware für einen Rechner. Malware lässt sich in verschiedene Unterkategorien einteilen, unter anderem in Virus, Wurm, Trojaner und Backdoor. In den letzten Jahren traten zudem Rootkits in den Vordergrund, wenn es um die Sicherheit von PCs ging.

Viren waren die erste Art von Malware, mit denen die Computerwelt konfrontiert wurde. Wesentliches Merkmal eines Virus: Er kann sich selbst verbreiten. Der Virus schleust sich, genauer gesagt seinen Code, hierzu in ein anderes Programm ein; klassischerweise in eine EXE-Datei oder in ein Makro für ein Office-Dokument und verbreitet sich mit der Weitergabe dieser Datei oder dieses Dokumentes von PC zu PC.

Im Unterschied zum Virus, der also ein „Wirtsprogramm“ für seinen Quellcode benötigt, kann sich dagegen ein Wurm selbstständig verbreiten, sobald er einmal gestartet wurde. Er muss keine Wirtsdatei infizieren, sondern benutzt beispielsweise einen eigenen SMTP-Server, um sich zum Beispiel an alle Mailadressen, die er auf einem infizierten Rechner findet, weiter zu verschicken.

Der Trojaner wiederum ist eine Malware, die sich als nützliche Anwendung tarnt, in Wahrheit aber vor dem Anwender verborgene Funktionen beinhaltet. Der Backdoor wiederum öffnet eine versteckte Verbindung auf dem PC, durch den der Hacker Zugriff auf den Rechner bekommt beziehungsweise durch den Daten vom Rechner zum Backdoor-Programmierer fließen können. Diese verschiedenen Varianten von Malware können in der Praxis miteinander kombiniert werden.

Bei der Frage nach der Gefährlichkeit einer Malware kann man von zwei unterschiedlichen Aspekten ausgehen: Welchen Schaden richtet der Virus konkret auf dem infizierten System an? Und wie groß ist der durch einen Virus oder durch einen Wurm verursachte (volks)-wirtschaftliche Schaden? In der Regel verursachen Würmer übrigens einen größeren wirtschaftlichen Schaden als Viren, weil sie Internetverbindungen und Server belasten und zu Ausfällen von wirtschaftlich relevanten IT-Infrastrukturen führen können. Mit der zunehmenden Bedeutung des Internets und der engen Vernetzung von PCs in den Jahren nach 2000 lösten Würmer, die sich selbst verbreiten können, Viren ohnehin als wichtigste Bedrohungsart ab.

Die ersten tatsächlichen Infektionen durch Viren traten Mitte der 80er Jahre auf (vorher gab es nur theoretische Überlegungen dazu). Seit damals ist das Windows-Betriebssystem von Microsoft die typische Zielplattform von Malware.

Linux - eine echte Alternative zu Windows?

Für Linux und MacOS gibt es zwar auch einige Viren, sie sind in freier Wildbahn aber kaum aufzufinden und eher von experimentellem Charakter – zumindest was den Bereich Desktop-PCs und Notebooks angeht (bei Servern stellt sich die Situation etwas anders da, weil dort Linux einen großen Marktanteil behauptet und somit für Hacker ein attraktives Ziel darstellt). Neuerdings werden Viren zwar auch für Smartphones interessant, doch die fortschrittlichen Sicherheitsarchitekturen von Apple iOS, Google Android und Microsoft Windows Phone 7 haben bisher eine Virenschwemme wie seinerzeit bei Windows verhindert.

Wo kommen Viren her?

In Zusammenhang mit Viren müssen unbedingt auch die Viren-Baukästen genannt werden. Mit so einem Virus Construction Set können selbst Anfänger ohne Programmierkenntnisse einen Virus erstellen. Derart im Baukastensystem erzeugte Viren überschwemmten gerade in der Zeit nach 2000 das stark wachsende Internet und infizierten vor allem Makro-Dateien für Microsoft Office. Die Schöpfer dieser leicht erstellten Viren nannte man Skript Kiddies, weil es sich zumeist um Teenager handelte, die damit prahlen wollten, dass sie einen eigenen Virus geschaffen haben – ohne überhaupt programmieren zu können.

Doch genug der Vorrede: Auf den nächsten Seiten stellen wir Ihnen die Viren und Würmer vor, die den größten Schaden anrichteten.

Suriv-3 alias Jerusalem alias PLO-Virus alias Freitag der 13.-Virus

Im Jahr 1988 tauchte Suriv-3 auf. Heute ist dieser Virus unter dem Namen Freitag der 13.-Virus oder auch Jerusalem-Virus bekannt. Am 13. Mai 1988 begann „Freitag der 13.“ sein Unwesen, als er Rechner in Unternehmen und Regierungsorganisationen infizierte. Er verbreitete sich rasch rund um den Globus und führte zu einer regelrechten Epidemie. Vor allem aber: Er zerstörte jeweils an einem Freitag den 13. alle .COM- und .EXE-Dateien auf den betroffenen Rechnern.

Aber auch an den anderen Tagen besaß der Jerusalem-Virus das Potenzial, um Windows-Nutzern den Tag zu verderben: Er reduzierte nämlich die Arbeitsgeschwindigkeit des Rechners, sobald dieser 30 Minuten gelaufen waren.

Datacrime alias Columbus Day

Datacrime aus dem Jahr 1989 ist ein so genannter DOS-Virus, der gnadenlos Daten von DOS-Benutzern vernichtete. Sobald man Datacrime startet, infiziert er .COM- und .EXE-Dateien. Mit einer Ausnahme: Dateien mit dem Buchstaben "D" an der siebten Stelle des Datei-Namens verschont der Virus (vermutlich will er damit die systemrelevante command.com schonen). Im Zeitraum vom 13. Oktober bis zum 31. Dezember richtet der Virus richtig Schaden an. Er zeigt dann "DATACRIME VIRUS RELEASE 1 MARCH 1989" auf dem Bildschirm an und macht eine Low-Level-Formatierung der ersten Abschnitte einer Festplatte.

Michelangelo-Virus

Der Michelangelo-Virus aus dem Jahr 1992 wurde zum Medienstar. Weil er unter PC-Besitzern eine Hysterie auslöste, nachdem die Medien fälschlicherweise berichteten, dass Millionen Rechner mit dem Michelangelo-Virus infiziert seien. Tatsächlich wurde nur eine geringe Zahl von PCs verseucht. Deren Besitzer hatten aber nichts zu lachen: Denn an einem 6. März, dem Geburtstag des berühmten Malers Michelangelo, überschrieb der Boot-Virus die ersten 100 Sektoren der Festplatte (das Datum ist der Grund für den Namen des Virus, der keinerlei inhaltlichen Bezug zu dem Renaissance-Maler aufweist). Der Benutzer hatte somit keinen Zugriff mehr auf seine Daten, obwohl diese noch vorhanden waren.

XM/Compat-Virus

XM/Compat ist ein Makro-Virus, der Microsoft Excel-Dateien angreift. Er wurde 1998 entdeckt. Seine Vorgehensweise ist besonders fies, verändert er doch die Zahlenwerte in den Zellen einer Excel-Tabelle nach einem vorgegebenen Algorithmus. Auf diese Weise verfälscht er immer weiter die Werte in den betroffenen Excel-Tabellen und macht diese damit unbrauchbar. Weil Excel in Unternehmen und Behörden eine wichtige Rolle für Berechnungen spielt, war der wirtschaftliche Schaden bei den betroffenen Firmen beträchtlich.

Tschernobyl-Virus alias CIH-Virus

Der im Jahr 1998 auftauchende Tschernobyl-Virus trug seinen Namen völlig zu Recht. Denn der aus Taiwan stammende Virus richtete auf den betroffenen Rechnern verheerende Schäden an, die durchaus an den bekannten Super-Gau erinnerten. CIH lauerte im Arbeitsspeicher eines Windows 9x- oder ME-PCs und infizierte jede ausführbare Datei, die geöffnet wurde. Der CIH-Virus zerstörte danach auf einem neu infizierten PC das BIOS, indem er Teile des Flash-BIOS überschrieb. Das führte dazu, dass der PC nicht mehr startete (das passierte bei der am weitesten verbreiteten Version am 26. April – dem Jahrestag der Katastrophe von Tschernobyl. Daher kommt der Name dieses Virus‘). Oftmals musste die Hauptplatine eines infizierten PC ausgetauscht werden, um den PC zu retten. Denn die PC-Händler dachten, dass die Platine insgesamt defekt sei (tatsächlich hätte ein Austausch des Flash-Speichers auf der Hauptplatine ausgereicht um den Rechner wieder startbar zu machen). Daneben löschte CIH aber zusätzlich auch Daten auf den Rechnern, ein echter GAU also. Der Viren-Autor, ein taiwanesischer Student, wurde zwar enttarnt und kurzzeitig verhaftet, mangels Anzeige aber bald wieder freigelassen. Und zunächst nicht bestraft.

Als sich CIH im Jahr 1999 erneut ausbreitete, verursachte er wieder erhebliche Schäden. Diesmal wurde gegen den taiwanesischen Virenautor Anzeige erstattet und er landete hinter Gitter.

Sub Seven und Back Orifice

SubSeven ist zunächst einmal ein Fernwartungstool für Windows. Gefährlich wird Sub7 erst, wenn dessen Code in einer anderen, harmlos erscheinenden Datei versteckt wird. Startet der Anwender diese Datei, so öffnet die darin versteckte Sub7-Routine eine Hintertür, durch die der Angreifer Zugriff auf den fremden PC erlangt. Ähnlich funktioniert Back Orifice. Beide Programme sind also Backdoors beziehungsweise Trojaner. Sowohl Back Orifice als auch Sub7 sind allerdings Dinosaurier aus der Anfangszeit von Windows und längst nicht mehr aktuell.

Happy99 alias Ska

Happy99 machte seine „Besitzer“ ziemlich unglücklich. Dieser Wurm verbreitete sich von PC zu PC via Internet, indem er sich mit Hilfe von Microsoft Outlook verschickte. An jede Mail hängt er eine happy99.exe an. Man kann ihn aufgrund seiner Verbreitungsweise also durchaus als Urvater von Loveletter sehen.

Klickte der Empfänger einer solchen Happy99-Mail auf die angehängte Datei, so erschien auf dem Bildschirm ein Feuerwerk mit dem Begleittext „Happy New Year 1999!!“. Doch sein eigentliches Treiben erledigt der Wurm im Hintergrund: Er infizierte den PC. Auf den infizierten Rechner stürzen mitunter Outlook und Outlook Express ab, wenn man eine Datei an die Mail anhängen möchte. Selten scheinen die PCs sogar komplett abgestürzt zu sein.

Melissa

Am 26. März 1999 legte Melissa, ein Mischung aus Makro-Virus für Microsoft Word und E-Mail-Wurm los. Sobald der Wurm gestartet wurde, verschickt er sich an die 50 ersten Einträge im Outlook-Adressbuch auf dem infizierten Windows-PC. Handelte es sich bei so einem Eintrag nicht um eine einzelne Adresse, sondern um eine Gruppe, so bekamen alle Mailadressen dieser Gruppe den Wurm zugeschickt. An die Mail (mit der Betreffzeile „Important Message from <Absendername>“. Der Mailtext war ebenfalls englischsprachig) war eine Datei mit VBA-Code angehängt, in der Melissa steckte. Der Benutzer erfuhr davon zunächst nichts, erst wenn sich die Adressaten bei ihm meldeten, wurde er – hoffentlich – stutzig.

Melissa verursachte erheblichen Schaden, weil die Maillawine den Internet-Traffic massiv ansteigen ließ und Netzwerke enorm belastete. Teilweise mussten wegen Melissa Mailserver abgeschaltet werden. Mitunter kursierten Varianten von Melissa im Internet, die kuriose Schadroutinen integriert hatten: So kopierte eine Melissa-Variante Zitate aus der Fernseh-Serie „Die Simpsons“ in Worddateien hinein.

Experten berechneten den Schaden auf 1,1 Milliarden US-Dollar, wobei die USA stärker betroffen waren als Europa: Melissa erreichte Europa nämlich erst am Freitagabend – bis zum Arbeitsbeginn am Montag waren viele PC-Anwender in Europa bereits gewarnt.

Den Sicherheits-Behörden gelang es, den Autor von Melissa ausfindig zu machen: David L. Smith, ein 31 Jahre alter Programmierer aus New Jersey. Ein US-Gericht verurteilte ihn zu einer Gefängnisstrafe und zu einer Geldstrafe. Anscheinend konnte der Viren-Autor das Strafmaß reduzieren, weil er sich bereit erklärte, für das FBI zu arbeitete.

Auch Melissa kann als Vorbild für Loveletter gelten.

Wie bereits eingangs erwähnt, war es ein warmer Sommertag im Mai 2000, als ein virtueller Liebesbrief die Netzwerkauslastung schlagartig in die Höhe trieb. Loveletter platzte in eine spannende Zeit: Es war der letzte große Sommer des Internet-Booms, die ersten dotcom-Blasen platzten bereits, viele euphorisch gestartete Internet-Startups gerieten damals so langsam ins Straucheln und suchten krampfhaft nach einem funktionierenden Business-Plan. So auch bei der Magicday AG aus Regensburg, auf deren Rechnern natürlich Windows lief. Und deren Angestellte Microsoft Outlook als Mailclient verwendeten. Plötzlich, am 5. Mai, landete in den Eingangsordnern der Magicday-Mitarbeiter Liebesbrief um Liebesbrief. In der Betreffzeile stand ILOVEYOU, im Body stand die englischsprachige Aufforderung zum Öffnen der angehängten Datei und der verhängnisvolle Mailanhang, getarnt als harmlose TXT-Datei, hieß Love-Letter-for-you.TXT.vbs.

Die Meisten klickten ahnungslos auf die Mails, schließlich stammten sie ja von Kollegen und Bekannten. Und infizierten damit auch ihren PC: Loveletter grub sich tief in Windows ein und trug sich so in die Registry von Windows ein, dass er bei jedem Neustart von Windows mitgestartet wurde. Loveletter zerstörte zudem wenig liebevoll alle Exemplare bestimmter Dateitypen, unter anderem alle JPG-Dateien. Und vernichtete so ruckzuck liebevoll gepflegte Bilderschätze. Musikdateien benannte er zum Glück nur um und versteckte sie. Außerdem verschickte er sich an alle Adressaten, die sich im Outlook-Adressbuch des infizierten PCs befanden. Um das Maß voll zu machen, lud er auch noch ein Trojanisches Pferd auf den befallenen Rechner, das Passwörter einsammelte und sie an einen Server auf den Philippinen verschickte.

Loveletter alias ILOVEYOU ist ein Mailwurm, der in Visual Basic Script programmiert ist und den damals standardmäßig auf vielen Windowssystemen aktivierten Windows Scripting Host verwendete. Mit seiner massiven Ausbreitung trug Loveletter erheblich dazu bei, dass die Masse der Windows-Benutzer von der Existenz von Malware – in der Öffentlichkeit meist vereinfachend als Viren bezeichnet - überhaupt erfuhr. Gleichzeitig diskreditierte Loveletter den an und für sich sinnvollen Windows Scripting Host ganz erheblich.

Viele Anwender konnten im Windows Explorer nicht sofort erkennen, dass Loveletter zugeschlagen und viele Dateien verändert hatte. Denn standardmäßig blendet der Windows Explorer bekannte Datei-Endungen aus. Somit sahen die Anwender nicht, dass sie plötzlich viele Dateien auf ihrem Rechner hatten, an deren Dateiendung ein .vbs angehängt war. Also beispielsweise Brief.txt.vbs. Die Endung vbs weist auf die Programmiersprache hin, mit der Loveletter erstellt wurde: Nämlich mit Visual Basic Script. Nur erfahrene Anwender erkannten sofort, dass es sich nicht um eine TXT-Datei sondern um eine VBS-Datei handelte: denn sie trug das typische Icon für vbs-Dateien, eine blaue Schriftrolle.

Loveletter verursachte einen enormen Schaden, einige Experten gehen von rund drei Milliarden Euro aus. Loveletter dürfte damit der Wurm sein, der den größten finanziellen Schaden anrichtete.

Und wer programmierte nun den Rekordhalter? Etwa ein frustrierter Schüler von den Philippinen, der keine Lust auf Schule hatte, weil im Quelltext von Loveletter steht: "i hate go to school suck"? Jedenfalls ließ sich die Spur von Loveletter auf die Philippinen zurückverfolgen; zwei dortige Informatikstudenten wurden verdächtigt, aber nie verurteilt.

Code Red

Kaum hatte sich die IT-Welt von Loveletter erholt, schlug 2001 Code Red zu (der Name hat übrigens nicht mit dem in der US-Armee lange Zeit üblichen Bestrafungsritual zu tun). Er nutzte eine Sicherheitslücke im Webserver von Microsoft, dem Internet Information Server (heute als Internet Information Services bezeichnet: IIS. Auf einem IIS laufen Websites, er ist also eine Konkurrenz zum bekannten Webserver Apache) aus, um sich von Webserver zu Webserver zu verbreiten und auf diesen einen Backdoor zu installieren. Der Wurm hatte verschiedene Schadfunktionen, so veränderte er beispielsweise Webseiten und startete an bestimmten Tagen DDoS-Attacken gegen eine bestimmte IP-Adresse, um deren Website offline gehen zu lassen. Dabei handelt es sich ursprünglich um die Website des Weißen Hauses, dem Sitz des US-Präsidenten; deren IP-Adresse wurde aber schnell ausgetauscht.

Code Red verursachte Schäden in Höhe von ca. 2,6 Milliarden US-Dollar.

SQL Slammer

SQL-Slammer legte im Januar 2003 los. Er infizierte Datenbankserver, auf denen Microsoft SQL Server 2000 lief und die noch nicht gegen die Sicherheitslücke gepatcht waren, die Slammer ausnutzte. Microsoft hatte für diese Lücke (es handelt sich um Pufferüberläufe) nämlich längst ein Sicherheits-Update veröffentlicht. Nur hatten es eben viele Microsoft SQL Server-Administratoren noch nicht aufgespielt. Das rächte sich nun bitter, SQL Slammer infizierte binnen weniger Minuten zehntausende Server und brachte deren Datenverkehr teilweise zum Erliegen. Darunter befand sich sogar ein Server eines US-Kernkraftwerkes, dessen Sicherheitssystem er lahmlegte.

Blaster

Blaster kroch ebenfalls im Jahr 2003 ans Tageslicht. Ähnlich wie Slammer nutzte er eine Sicherheitslücke in Windows aus und zwar eine Schwachstelle in der RPC-Schnittstelle. Mitunter verbreitete der Wurm auch noch einen Backdoor auf infizierten Systemen. Blaster sollte die infizierten Windows-Maschinen für einen DDoS-Angriff gegen die Windows Update-Seite von Microsoft nutzen.

Sasser

Der Wurm Sasser suchte im Jahr 2004 Rechner mit Windows 2000 und XP heim. Ein Informatikschüler aus Niedersachsen hatte ihn programmiert. Und richtete damit derart massiven wirtschaftlichen Schaden an, dass Microsoft sich veranlasst sah, ein Kopfgeld auf den Virenautor auszusetzen.

Hat Sasser einen Rechner infiziert, so wartet er darauf, dass sich der PC mit dem Internet verbindet. Dann sucht er mit Hilfe eines Fehlers im Windows-Systemdienst LSASS (ein lokaler Authentifizierungsserver, der die Gültigkeit der Benutzeranmeldung auf einem PC überprüft) nach Rechnern, die er neu infizieren kann. Er infiziert diese PCs und baute eine Verbindung zu einem FTP-Server auf. Von dort lädt Sasser dann die eigentliche Malware herunter.

Und dann beginnt das Drama. Denn Sasser schaltete infizierte Rechner an und wieder aus und behinderte damit ganz erheblich die Produktivität. Unter Sasser gingen Rechner bei großen Unternehmen, bei der Postbank, bei Fluglinien und bei der EU-Kommission in die Knie.

Der jugendliche Täter wurde zu einer Jugendstrafe auf Bewährung und zu gemeinnütziger Arbeit verurteilt.

Lese-Tipp: Das Buch "Dr. Klotz' Computerschutz" aus dem Jahr 2003 beschreibt ausführlich die bis zur Drucklegung wichtigsten Viren und Würmer. Das Buch ist noch antiquarisch erhältlich.

Mehr als 20 Jahre Viren, Würmer & Trojaner

Quelle: In Zusammenarbeit mit http://www.pcwelt.de
Kommentare
Top-Themen
Wozu dient eigentlich die Datei Pagefile.sys unter Windows? Und wie lässt sich diese Datei bearbeiten, verschieben und ...mehr
Die USA werden nicht müde, ihre Verbündeten vor der 5G-Technik des chinesischen Technologieriesen Huawei zu warnen.mehr
Ohne Digitalisierung sind die Klimaziele kaum zu erreichen - davon ist Grünen-Chef Robert Habeck überzeugt. Bei ...mehr
Ähnliche Artikel
Anzeige