Brain (Computervirus)

Brain
Name	Brain
Aliase	Pakistani, (c)Brain
Bekannt seit	1986
Erster Fundort	Pakistan
Virustyp	Bootsektorvirus
Autoren	Basit Farooq Alvi, Amjad Farooq Alvi
Dateigröße	512 KByte
Wirtsdateien	Bootsektoren
Verschlüsselung	nein
Stealth	ja
Speicherresident	ja
System	MS-DOS mit FAT-Dateisystem
Info	Erster In-the-wild-Virus für MS-DOS; Erster bekannter Stealth-Virus; Basiert auf dem Virus Ashar; Infiziert keine Festplatten

Brain bezeichnet eine Gruppe von Bootsektorviren, deren Originalversion als die erste unkontrolliert verbreitete Malware für MS-DOS-PCs bekannt wurde.

Das Virus infiziert den Boot-Sektor von Disketten, die mit dem DOS-Dateisystem FAT formatiert wurden.[1][2][3]

Ein Vorläufer namens Ashar wurde bereits im Januar 1986 geschrieben.

Aliasse

Die Bezeichnung Brain etablierte sich, weil das Virus den Namen des Datenträgers in (c)Brain ändert. Der Vorgänger änderte das Volume Label dagegen in (c)Ashar. Brain ist auch unter den Namen Lahore, Pakistani, Pakistani Brain, Brain.A, Brain-A, (c)Brain und UIUC bekannt. Das BusinessWeek-Magazin nannte Brain in einem Artikel reißerisch The Pakistani Flu, was auf deutsch Die pakistanische Grippe bedeutet.

Die Hersteller von Antiviren-Software verwenden folgende Bezeichnungen:[3]

Avast!: Brain
Avira: Brain #2
ClamAV: Brain.2
Doctor Web: Brain.dropper
F-Secure: Brain
Grisoft: Brain
Kaspersky Lab: Virus.Boot.Brain.a oder Brain.a
McAfee: BtDr.Brain
Panda: Brain.1986
Bitdefender: Trojan.Dropper.Boot.Brain.A
Sophos: Brain drop
Symantec: Brain
Trend Micro: (C)BRAIN

Versionen und Derivate

Ashar wurde erst nach Brain entdeckt, ist aber eine frühere Version von Brain. Anhand der Code-Änderungen und der Versionsnummer ist klar ersichtlich, dass die Ashar-Variante zuerst entwickelt wurde. Als erster Virus In-the-wild für MS-DOS-Rechner wurde aber Brain.A bekannt. Von Ashar gibt sechs verschiedene bekannte Varianten, die sich aber nur durch den enthaltenen Text unterscheiden.

Es gibt neben Brain.A noch weitere bekannte Derivate der Virus-Gruppe. Meistens wurde aber nur der Nachrichtentext geändert. Zu den verbreitetsten Versionen gehören:[3]

Brain.B kann auch Festplatten infizieren.
Brain.C kann ebenfalls Festplatten infizieren, ändert aber nicht den Namen des Datenträgers.
Brain.Clone ist wie Brain.C, aber zeigt anstelle des Textes zufällige Zeichen.
Brain.Clone.B ist eine Variante von Brain.Clone, die das FAT-Dateisystem zerstört, wenn die Systemzeit beim booten den 5. Mai 1992 oder einen späteren Zeitpunkt anzeigt.
Brain.Shoe ist ein Derivat von Brain.B und auch unter dem Namen Ashar bekannt. Vermutlich ist diese Version älter als das Original.
Brain.Shoe.B kann im Gegensatz zu Brain.Shoe keine Festplatten infizieren. Die Versionsnummer ist auf 9.1 geändert.
Brain.TerseShoe ist eine Variante, die sich nur durch einen Zeilenumbruch in der Nachricht von Brain.Shoe unterscheidet
Brain.Jork enthält den Text (C) Jork & Amjads (pvt) Ltd".
Brain.Singapore Das Copyright-Datum lautet 1988 statt 1986. Der Text ist fast identisch mit dem der originalen Virus-Version, nach den Telefonnummern steht aber: Ver (Singapore) Beware of this "virus". It will transfer to a million of Diskettes... $# @%$@!!

Funktion

Hexdump eines mit (c)Brain infizierten Boot-Sektors

Infizierte Disketten haben folgenden Text im Bootsektor stehen:[2][1][3]

Welcome to the Dungeon (c) 1986 Brain & Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today - Thanks GOODNESS!! BEWARE OF THE er..VIRUS : this program is catching program follows after these messages….$#@%$@!!

Übersetzung: Willkommen im Verlies (c) 1986 Brain & Amjads (pvt) Ltd VIRUS SHOE_RECORD V9.0 Gewidmet den dynamischen Erinnerungen von Millionen Viren, die nicht mehr unter uns weilen. – zum GLÜCK! Achtung vor dem äh..Virus : dieses Programm infiziert Programme nach dieser Nachricht….$#@%$@!!

Stealth

Obwohl 1986 noch keine Antivirenprogramme auf dem Markt waren, verwendete Brain bereits eine einfache Stealth-Technik. Das Virus versucht, sich vor der Entdeckung zu verstecken, indem er sich in INT 13 einbindet. Wird der infizierte Bootsektor ausgelesen, während das Virus im Speicher resident und somit aktiv ist, zeigt Brain stattdessen den ursprünglichen Bootsektor an. Der Hexeditor von MS-DOS, das Systemprogramm DEBUG ließ sich davon beispielsweise täuschen.

Ashar, der Vorgänger von Brain ist somit auch der erste bekannte Stealthvirus.

Infektion

Das Virus infiziert den Computer, indem es den Boot-Sektor durch eine Kopie von sich selbst ersetzt. Der eigentliche Boot-Sektor wird in einen anderen Sektor verschoben, welcher als defekt gekennzeichnet wird. Infizierte Disketten haben üblicherweise drei Kilobytes defekte Sektoren. Die Disketten-Bezeichnung wird in (c)Brain geändert.[1][3]

Brain verfügt in seiner ursprünglichen Version über eine Funktion zum korrekten Umgang mit Festplattenpartitionen und vermeidet es, Festplatten zu infizieren, indem es das Bit mit dem höchsten Stellenwert der BIOS-Laufwerksnummer überprüft. Brain infiziert keine Laufwerke, bei denen dieses Bit gelöscht ist. Andere Viren aus dieser Zeit erkannten keine Festplatten und zerstörten teilweise die Möglichkeit auf Daten der Festplatte zuzugreifen, indem sie diese wie Disketten behandelten. Brain wurde aufgrund seines nicht zerstörerischen Verhaltens oft nicht entdeckt, insbesondere dann nicht, wenn der Benutzer dem langsamen Diskettenzugriff keine Aufmerksamkeit schenkte.[1][3]

Der Viruscode beinhaltete die Adresse der Autoren, drei Telefonnummern und eine Nachricht, die dem Benutzer mitteilte, dass sein System infiziert war und er für die Entfernung die Brüder kontaktieren sollte:[1][2][3]

    Welcome to the Dungeon © 1986 Basit & Amjads (pvt). BRAIN COMPUTER SERVICES 730 NIZAM
    BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination...

Es gibt viele kleinere und größere Variationen des Textes. Das Virus verlangsamt das Diskettenlaufwerk und macht sieben Kilobyte des konventionellen Speichers für DOS unverfügbar.[3]

Die Autoren

Brain wurde von den zwei Brüdern Basit Farooq Alvi und Amjad Farooq Alvi geschrieben, die in der pakistanischen Stadt Chahmiran in Lahore lebten. Die Brüder gaben dem Time-Magazin gegenüber an, sie hätten das Virus geschrieben, um ihre medizinische Software vor Raubkopien zu schützen, und es sollte lediglich Urheberrechtsverletzer treffen.[4][2]

Als die Brüder eine große Anzahl an Anrufen von Personen aus den Vereinigten Staaten, Großbritannien und von anderswo erhielten, die von ihnen verlangten, ihre Systeme zu reinigen, waren die Brüder fassungslos und versuchten den empörten Anrufern zu erklären, dass sie keine bösen Absichten hatten. Schließlich kündigten sie ihren Telefonanschluss und bedauerten, dass sie die Kontaktdaten veröffentlicht hatten. Es wurde aber auch spekuliert, dass die Brüder den Virus geschrieben haben, um für ihren Betrieb zu werben.[5][4][2]

Ihr Geschäft in Pakistan, den Internet-Provider Brain Limited, betreiben die Gebrüder Farooq Alvi bis heute (Stand August 2020).

Trivia

Eine Infektion mit Brain war der Anlass für John McAfee, sich mit Malware zu befassen. Er wurde im Jahr 1987 einer der ersten Hersteller von Antivirensoftware.[6] Obwohl er die Firma 1994 verließ und 1997 verkaufte, blieb sein Name bis heute untrennbar mit Antivirensoftware verbunden.

Einzelnachweise

https://www.f-secure.com/v-descs/brain.shtml F-Secure: Brain
https://www.trtworld.com/magazine/the-making-of-the-first-computer-virus-the-pakistani-brain-32296 TRT-World.com Making of the first computer virus
http://virus.wikidot.com/brain Wikidot.com Virus.WikiDot.com Brain
https://www.pcwelt.de/news/Sicherheit-Erster-PC-Virus-wird-25-Jahre-alt-1447105.html PC-Welt.de Erster PC-Virus wird 25 Jahre alt
Computer Knowledge – Robert Slade: Chapter 7 – (c) Brain (Memento vom 8. März 2009 im Internet Archive)
Marshall Cavendish Corporation (Hrsg.): Inventors and Inventions. Band 4. Marshall Cavendish, New York 2007, ISBN 978-0-7614-7761-7, S. 1029 ff. (eingeschränkte Vorschau in der Google-Buchsuche).

Weblinks

Internetseite der Brain Limited (englisch)
Beschreibung von (c)Brain auf der F-Secure-Seite (englisch)
Informationen über (c)Brain und die Varianten (englisch)
Brain Virus
First Computer Virus created two Brothers
Die Geschichte des Computer Virus
The Brothers behind the Brain Virus

This article is issued from Wikipedia. The text is licensed under Creative Commons - Attribution - Sharealike. The authors of the article are listed here. Additional terms may apply for the media files, click on images to show image meta data.

[fsecure-1] ttps://www.f-secure.com/v-descs/brain.shtml F-Secure: Brain

[trt-2] ttps://www.trtworld.com/magazine/the-making-of-the-first-computer-virus-the-pakistani-brain-32296 TRT-World.com Making of the first computer virus

[wiki-3] ttp://virus.wikidot.com/brain Wikidot.com Virus.WikiDot.com Brain

[pcwelt-4] ttps://www.pcwelt.de/news/Sicherheit-Erster-PC-Virus-wird-25-Jahre-alt-1447105.html PC-Welt.de Erster PC-Virus wird 25 Jahre alt

[5] Computer Knowledge – Robert Slade: Chapter 7 – (c) Brain (Memento vom 8. März 2009 im Internet Archive)

[inventors-6] Marshall Cavendish Corporation (Hrsg.): Inventors and Inventions. Band 4. Marshall Cavendish, New York 2007, ISBN 978-0-7614-7761-7, S. 1029 ff. (eingeschränkte Vorschau in der Google-Buchsuche).