Byte Bandit
Byte Bandit ist ein Bootblockvirus, das Disketten für den Commodore Amiga infizieren kann.[1] Die erste Infektionsmeldung gab es im Januar 1988.[2]
| Byte Bandit | |
|---|---|
| Name | Byte Bandit |
| Aliase | ByteBandit |
| Bekannt seit | 1988 |
| Erster Fundort | Deutschland |
| Virustyp | Bootblockvirus |
| Weitere Klassen | Linkvirus |
| Autoren | Pseudonym „Byte Bandit“ |
| Dateigröße | 1.024 Bytes |
| Wirtsdateien | Bootblöcke |
| Verschlüsselung | nein |
| Stealth | nein |
| Speicherresident | ja |
| System | Commodore Amiga 500, 1000, 2000 |
| Programmiersprache | Motorola 680x0-Assembler |
Der Name stand ursprünglich wohl nicht für das Virus selbst, sondern für dessen Programmierer.
Byte Bandit wurde neben dem berüchtigten Lamer Exterminator, Saddam Hussein und Byte Warrior zu einem der bekanntesten Viren in der Amiga-Szene. Im Gegensatz zu diesen gefährlichen Viren verbreitete sich Byte Bandit aber nur auf andere Disketten weiter, er hatte keinen schädlichen Payload und zerstörte nur gelegentlich einen Datenträger bei unsauberer Infektion. Das konnte vor allem passieren, wenn die Diskette bereits von einem anderen Bootvirus befallen war.
Versionen und Derivate
Byte Bandit war eines der ersten Amigaviren und konnte sich weit verbreiten. In der Folge kam es zu zahlreichen Varianten. Zur deutlichen Abgrenzung wird die Originalversion daher auch als Byte Bandit 1 bezeichnet.[1][3]
- ByteBandit 2
- ByteBandit 3 (Juli 1990 in Westdeutschland)[4]
- ByteBandit Amida
- ByteBandit Amiga Freak
- ByteBandit Charlie Braun
- ByteBandit Coded
- ByteBandit Error
- ByteBandit Forpib
- ByteBandit Forpib Amida
- ByteBandit Forpib AmigaFreak
- ByteBandit Forpib Digital Age
- ByteBandit Forpib Electrovision
- ByteBandit Forpib Frity
- ByteBandit Forpib Germany
- ByteBandit Forpib Mad
- ByteBandit Forpib Morbid Angel
- ByteBandit Forpib Powerbomb
- ByteBandit Forpib Riska
- ByteBandit Forpib Starcom 6
- ByteBandit Forpib Zaccess 2.0
- ByteBandit Fred
- ByteBandit German Cracking Agency 1.0 (GCA)
- ByteBandit Hauke
- ByteBandit Hireling Protector v1.0
- ByteBandit Inger IQ
- ByteBandit Jean Marc
- ByteBandit Lemke
- ByteBandit NoBanditAnymore
- ByteBandit NoHead
- ByteBandit Plus
- ByteBandit Revenge Bootloader
- ByteBandit Rude Xerox
- ByteBandit Shut Berlin
- ByteBandit TAI 3
- ByteBandit TBS
- ByteBandit VIPHS
- ByteBandit Wus
- ByteBandit ZAccess 2.0
Funktion
Wird das System von einer infizierten Diskette gebootet, lädt sich das Virus noch vor dem eigentlichen Bootblock in den Speicher und wird dort resident.[1] Byte Bandit verwendet keine Stealth-Techniken zur Tarnung und verschlüsselt sich auch nicht. Bei einem Warmstart bleibt das Virus im Speicher resident.[2]
Der Infektions-Counter kann auch mit einem geeigneten Editor ausgelesen werden. Im Viruscode ist ein Text enthalten, der auch den aktuellen Stand anzeigt:
Virus by Byte Bandit in 9.87. Number of copys: xxx
Schreibt der Viruscode sich auf eine zuvor noch nicht infizierte Diskette, wird eine Eins zum Zähler addiert.[1]
Infektion
Die Infektion von sauberen Disketten erfolgt bei jedem Zugriff, sofern sie nicht schreibgeschützt sind. Byte Bandit kann 3,5"- und 5,25"-Disketten befallen.[1] Byte Bandit infiziert keine Festplatten.[2][2]
Bei der Infektion einer Diskette wurde der Bootblock teilweise überschrieben. War der Bootblock in das System eingebunden, führte das zur Beschädigung bzw. dem Überschreiben wichtiger Systemdaten und verursachte in der Folge Systemfehler.
Payload
Ein Counter im Viruscode zählt die Anzahl der infizierten Disketten und die Resets seit Systemstart mit. Sind mindestens sechs Disketten neu infiziert worden und sind mindestens zwei Warmstarts durchgeführt worden, wartet das Virusprogramm sieben Minuten ab. Dann wird der Bildschirm schwarz und das System scheint eingefroren zu sein. Eine Möglichkeit ist ein Kaltstart, der aber zu Datenverlusten führen kann. Es gibt aber auch eine Tastenkombination, um diesen vermeintlichen Systemabsturz zu beheben. Drückt man die linke ALT-Taste gemeinsam mit der linken AMIGA-Taste, der Leertaste, der rechten AMIGA und der rechten ALT-Taste, dann läuft das Programm weiter.[1] Das Virus ist aber weiterhin speicherresident und aktiv.[2]
Situation ab 1988
Der Commodore Amiga wurde in den nächsten Jahren zur beliebtesten Plattform für Virenprogrammierer. Neben Bootblockviren waren vor allem Clusterviren sehr beliebt. Als Infektionsweg dienten Disketten, die Viren waren meist speicherresident und konnten häufig auch einen Warmstart überstehen. Festplatten waren gegen Ende der 1980er Jahre am Amiga keine Standardausstattung. Die meisten User besaßen das Modell Amiga 500, das ohne HDD mit nur einem internen 3,5"-Laufwerk ausgeliefert wurde.
Byte Bandit gehörte zu den meistverbreiteten Viren auf Amiga-Systemen.[1]
Antivirus-Programme am Amiga, die zur Entfernung von Byte Bandit geeignet waren, waren bspw. CHECKVECTORS 2.2, GUARDIAN 1.2 oder VIRUSX 4.0.[2]
Als die Amiga-Reihe an Bedeutung verlor, starben auch die Virenprobleme damit aus. Anfällige Systeme werden heute fast nur noch in der Retrocomputing- und Retrogaming-Szene betrieben.
Trivia
Der Vermerk Virus by Byte Bandit in 9.87 im Viruscode wurde teilweise als Kurzform für den September 1987 gedeutet. Das ist aber eher unwahrscheinlich, da die finale Version des Virus erst vier Monate später bekannt wurde.[1] Im September 1987 war noch kein einziges Amigavirus bekannt, was sich aber kurz darauf änderte, als das Virus SCA vorgestellt wurde. Sollte 9.87 wirklich für das Fertigstellungsdatum stehen, wäre Byte Bandit älter als SCA.
Einzelnachweise
- http://virus.wikidot.com/bytebandit Virus.WikiDot.com: Bytebandit
- http://agn-www.informatik.uni-hamburg.de/catalog/amiga/html/byteba7.htm Informatik.Uni-Hamburg.de: Byte Bandit Virus
- vht-dk.dk Liste von Amigaviren "B"
- http://agn-www.informatik.uni-hamburg.de/catalog/amiga/html/byteba5.htm Informatik.Uni-Hamburg.de: Byte Bandit 3 Virus
Weblinks
- SCA.ch: Swiss Cracking Association Homepage
- Ave.Teyko.com: Amiga Virus Encyclopedia Byte Bandit Description