Computerwürmer, Viren und Trojaner der letzten Jahrzehnte

„Hitliste“ der bekanntesten Viren und Trojaner

Jahrezehntelang Ärger und Fluch mit Malware

Sie befinden sich im Anhang einer E-Mail, kommen aus dem Internet oder hängen an Programmen bzw. ausführbaren Dateien: Viren, Computerwürmer und Trojaner. Ihre Anfänge waren klein und nicht einmal unbedingt bösartig – wir denken hier beispielsweise an ANIMAL, den Trojaner, der 1974 dem Benutzer eines UNIVAC 1108-Rechners ein paar Fragen stellte, um herauszufinden, an welches Tier er gerade denkt. Aus diesen Anfängen heraus entwickelten sich Viren, die sich heutzutage binnen weniger Stunden über die gesamte Welt verbreiten, ganze Unternehmen lahmlegen und immer häufiger für immer größere Schlagzeilen in der Presse sorgen. Heute richten Cyberkriminelle mit Computerviren Schäden in Milliardenhöhe an. Die Opfer heißen Deutsche Bundesregierung, Softwarehersteller Adobe, Konzerne wie Vodafone und Sony, AKW-Betreiber Korea Hydro and Nuclear Power oder Banken wie Morgan Stanley und die US-Notenbank Fed. Wir geben Ihnen heute und nächste Woche hier einen Rückblick, was in den letzten 30 Jahren geschah:

Elk Cloner – der Ursprung aller Computerviren

1982 für den Apple II geschrieben, richtete Elk Cloner, das sich selbst über Disketten auf Systemen ausbreiten konnte, zwar noch keinen Schaden auf dem Rechner an. Dennoch lieferte das Programm die Konstruktionsgrundlage für alle späteren sich selbst verbreitenden Programme.
Es dauerte nur zwei Jahre, bis der erste funktionierende Schädling „geboren“ wurde: 1984 entwarf Fred Cohen im Rahmen seiner Doktorarbeit für Unix ein Programm, das in der Lage war, andere Programme zu infizieren, sie zu verändern, eine Kopie von sich selbst in den Quellcode einzufügen und so die Kontrolle über das System zu übernehmen.

Brain oder: The Pakistani flu

Brain war das erste reale Computervirus, geschrieben im Januar 1986 von den Brüder Basit und Amjad Alvi aus Lahore, Pakistan. Nicht gerade erfreut darüber, dass von ihrer medizinischen Software zahlreiche Raubkopien existieren, beschlossen die Brüder ein Programm zu entwickeln, das eine Kopie von sich und einen Copyright-Vermerk auf jede kopierte Diskette legte. Immerhin: Brain infizierte „nur“ den Boot-Sektor von Disketten, die mit dem DOS-Dateisystem FAT formatiert wurden. Es konnte weder Festplatten infizieren noch löschen. Die BusinessWeek nannte das Virus „The Pakistani flu“.

1987: Die Schonzeit ist vorbei

Spätestens 1987 war es mit der „Schonzeit“ vorbei, denn ab jetzt wurde es richtig kriminell: Das so genannte Jerusalem Virus – benannt nach der Stadt, in der es entwickelt wurde – löschte an jedem Freitag, den 13. alle COM- und EXE-Dateien auf der Festplatte des infizierten Rechners. An allen anderen Tagen verlangsamte das Virus die Arbeitsgeschwindigkeit des Rechners nach etwa dreißig Minuten Laufzeit drastisch. Noch heute gibt es über 500 Variationen dieses Virus.

Das ebenfalls 1987 entwickelte speicherresistente Cascade-Virus versteckte sich verschlüsselt im Arbeitsspeicher und griff von dort aus sämtliche COM-Dateien an, inklusive der Systemdatei Command.com. Zwar war der Schaden nach heutigem Maßstab nicht sehr gewaltig – lediglich die Bildschirmausgabe war gestört, indem einzelne Buchstaben wasserfallartig an den unteren Rand des Bildschirms fielen – dennoch machte diese neue Technologie den Virus zu etwas Besonderem.

Die 90er Jahre: Michelangelo, Melissa und CHI nehmen Windows ins Visier

„Michelangelo“ sorgte ab 6. März 1992 für weltweite Panik. Es war das erste Virus, das es ganz groß in die Medien schaffte und damit auch ein Bewusstsein für die Virenproblematik in der breiten Öffentlichkeit. Michelangelo, ein klassischer Bootsektor-Virus, wird lediglich am Geburtstag des berühmten Künstlers und Namensgebers, am 6. März, aktiv und überschreibt Teile der Festplatte des infizierten Computers.

1995 nutzte der Concept-Virus als einer der ersten Makroviren die mit Windows 95 etablierten Office-Applikationen aus. Der rege Datenaustausch zwischen den einzelnen Benutzern sorgte für die schnelle Verbreitung des Schädlings.

Die 90er – Computerviren lösen Panik aus

1998 ändert sich mit CIH oder Chernobyl plötzlich die Ausgangssituation: Erstmals griff am 26. April ein Computervirus auch die Hardware an. Damit war der Virus einer der gefährlichsten Schädlinge, mit der sich das Windows-Betriebssystem konfrontiert sah: Chernobyl versuchte das BIOS zu überschreiben und den Rechner somit funktionsunfähig zu machen.

Unter dem Namen Melissa tauchte 1999 ein Virus auf, der Nutzer von Microsofts Word 2000 und 97 terrorisierte. Nach Öffnen der Datei entfaltete sich Melissa, verschickte sich selbst massenhaft per Outlook und verbreitete sich in wenigen Stunden auf der ganzen Welt.
Noch im selben Jahr erschien Bubbleboy, der erste Virus, der einen Computer nur durch Lesen einer E-Mail infiziert.

Das neue Jahrtausend: Wurmalarm und fallende Systemgrenzen

LoveLet-A, besser bekannt als Loveletter oder auch I-love-you-Virus verbreitet sich im Mai 2000 und den Folgetagen explosionsartig per E-Mail. Die Betreffzeile lautet „ILOVEYOU“. Der Computerwurm sendet massenhaft Daten über den von ihm infizierten Rechner und seines Anwenders an eine Adresse auf den Philippinen. Loveletter verbreitet sich rasend schnell, indem es sich selbst an die in den Mailprogrammen gespeicherten Kontakte verschickt. 45 Millionen Rechner werden so befallen, der Wurm verursacht weltweit Schäden in Höhe von geschätzten 10 Milliarden Dollar.

Nach Windows- geht’s nun auch Linuxrechnern an den Kragen

Waren bis dato hauptsächlich Windows-Rechner besonders stark von Computerviren gefährdet, trifft es 2001 erstmals auch die vermeintlich sicheren Linux-Rechner. Lindose richtete zwar keinen weiteren Schaden an, dennoch bewies die osteuropäischen Entwicklergruppe 29A, dass Viren sich auch an Linux-Dateien hängen können.

Sasser: Ein Informatikschüler lehrt der IT-Welt das Fürchten

Der Computerwurm Sasser schaltete 2004 und 2005 die von ihm infizierten Rechner, immerhin 2 Millionen und darunter auch die der deutschen Postbank, der Europäischen Kommission und von Delta Air Lines, in unregelmäßigen Abständen an und aus. Gestörte Produktionsabläufe und Kommunikationsprozesse waren die Folge. Sasser verbreitete sich übrigens nicht per Mail, sondern nutzte eine Lücke im Windows-Systemdienst LSASS aus. Sasser schleuste zunächst einen Code ein, der daraufhin eine Internetverbindung zu einem FTP-Server aufbaute. Erst von dort wurde dann der eigentliche Schädling geladen.

Ein Sturm fegt über Europa

Im Januar 2007 fegte dann der so genannte „Sturm-Wurm“ über Europa hinweg. In spam-artig verbreiteten E-Mails wurde behauptet, der Anhang enthielt Informationen zum Orkan „Kyrill“. In anderen Varianten wurden frei erfundene Nachrichten als Köder verwendet. Ziel war es, ein Botnetz aufzubauen, von dem aus weitere Schadprogramme verteilt wurden, darunter ein Mail-Proxy, der befallene Rechner in Spam-Schleudern verwandelte und innerhalb weniger Minuten mehrere tausend Mails versendete. Im Herbst 2008 verschwand der Sturm-Wurm und brachte seinen Nachfolger „Waledac“ hervor. Ziel und Funktionalität waren die gleichen. Lediglich die Kommunikationsprozesse innerhalb des Botnetzes erfolgten jetzt stark verschlüsselt.

Im selben Jahr, im November 2008, wurde Conficker bekannt. Der Wurm nutzte eine als kritisch eingestufte Sicherheitslücke in Windows aus. In den folgenden Monaten dominierten Conficker und seine Varianten B bis E dann die Hitlisten der weit verbreiteten Schädlinge: Sie blockierten unter anderem den Zugriff verseuchter PCs auf Websites mehrerer Antivirushersteller und damit auf Updates der Antivirusprogramme. 2009 wurde bekannt, dass der Wurm sogar Rechner der Bundeswehr befallen hatte. Die französische Luftwaffe schaltete ihre Rechner daher sicherheitshalber für zwei Tage herunter. Erst Anfang Mai 2009 löschte sich die jüngste Variante namens Conficker.E planmäßig selbst. Zurück blieben mehrere Millionen Rechner, die mit einer älteren Variante infiziert waren: Malware-Forscher gingen 2010 von 6,5 Millionen mit Conficker.A oder .B. verseuchten Rechnern aus.

Die Unterwelt wird kommerziell

Zbot oder Zeus gehören seit 2010 wohl zu den variantenreichsten Schädlingen: Die Trojaner werden als Mail-Anhang oder durch Drive-by Download verbreitet. Bei Zbot handelt es sich um einen modularen Malware-Baukasten. Jeder kriminelle Kunde des Zeus-Programmierers konnte sich nach dem Erwerb einer mehrere tausend Euro kostenden Lizenz den Schädling für seinen Bedarf zusammenstellen. Zum Zbot-Repertoire gehörten das Ausspionieren von Anmeldedaten für Online-Banking oder der Diebstahl weiterer Daten wie etwa Passwörter.

Stuxnet: Erster Schädling sabotiert Industrieanlagen

Im Juli 2010 sorgte die Entdeckung des Stuxnet-Wurms für Aufsehen. Als Urheber werden die Geheimdienste der USA und Israel vermutet. Ziel des Schädlings war die Sabotage fünf iranischer Atomanlagen über Schwachstellen in der Steuerungstechnik für Industrieanlagen. Dafür nutzte Stuxnet vier bis dahin nicht bekannte Sicherheitslücken in Windows aus. In Umlauf kam Stuxnet vermutlich über einen verseuchten USB-Stick und soll sich von dort aus bis in die iranischen Atomanlagen vorgearbeitet haben. Im Herbst 2011 wurde mit „Duqu“ ein Wurm ähnlicher Bauart entdeckt, der aus der gleichen Code-Schmiede stammen soll.

Wiper versetzte im April 2012 den Iran noch einmal in Unruhe: Der Trojaner zerstörte eine Vielzahl von Datenbanken in mehreren Organisationen. Besonders betroffen war das größte iranische Erdölterminal, das die Arbeit für einige Tage einstellen musste, da Daten über Ölverträge zerstört wurden. Die Entwickler von Wiper hatten dabei ganze Arbeit geleistet, um wirklich alle Daten zu zerstören, die zur Aufklärung der Vorfälle hätten nützlich sein können.

Bundesregierung, Banken und Spielekonsolen: Hacker werden immer dreister

Im Juli 2013 wurde Apples App-Entwickler Webseite Ziel eines Hacker-Angriffs. Bei der Attacke sind möglicherweise Informationen wie Namen, E-Mail-Adressen und Anschrift von Software-Entwicklern in die Hände der Angreifer geraten. Im September und Oktober des gleichen Jahres erbeuten Cyberkriminelle bei Vodafone und Adobe zahlreiche Stamm- bzw. Kundendaten. Betroffen waren 2 Millionen Vodafone- und 38 Millionen Adobe-Kunden. In noch größerem Ausmaß trifft es 2014 Morgan Stanley: 83 Millionen Kundendaten wie Namen, Adressen, Telefonnummern und E-Mailadressen werden von Hackern aus China erbeutet. Zum Jahresende überschlagen sich dann die Ereignisse förmlich: Die Videospielkonsolen von Sony und Microsoft werden im Dezember gehackt. Die Netzwerkrechner von Sony, so räumt der Konzern am 28. Dezember ein, wurden mit einer künstlich erzeugten Datenflut überschwemmt und außer Kraft gesetzt. Am 29. Dezember wird dann die erste Cyber-Attacke auf die Bundesregierung bekannt. Eine Vertraute von Bundeskanzlerin Angela Merkel wurde Opfer eines Späh-Angriffs. Die entdeckte Spionage-Software wird angeblich vom amerikanischen und britischen Geheimdienst verwendet. Über die folgenschwersten Cyberattacken werden wir in der nächsten Woche ausführlicher eingehen.

Fehlermeldungen und Systemabstürze, Sabotage und Datenklau: Die oben genannten Beispiele zeigen, dass Viren und Trojaner gefährlich sind. Mit einer Antiviren-Software, die Viren erkennt, den Zugriff auf infizierte Dateien verweigert und Viren auch häufig gleich entfernt, schützen Sie sich effektiv vor Online-Bedrohungen. Und bitte vergessen Sie nie Ihr Antivirenprogramm regelmäßig zu aktualisieren, wenn es sich nicht ohnehin automatisch updatet. Obligatorisch ist ein Grundschutz aus Virenscanner und Firewall. Erhöhen Sie die IT-Sicherheit zusätzlich um eine Angriffserkennung, ein Berechtigungsmanagement bzw. die Vergabe von Zugriffsrechten auf Daten.

Abonnieren Sie den GBS Newsletter und erhalten Sie neue Artikel sofort in Ihre Mailbox!