Cascade (Computervirus)
Cascade ist ein Computervirus, das im deutschsprachigen Raum auch unter dem Namen Herbstlaub bekannt ist. Es wurde erstmals im Oktober 1987 an der Universität Konstanz entdeckt.[1]
Cascade | |
---|---|
Name | Cascade |
Aliase | Herbstlaub |
Bekannt seit | 1987 |
Erster Fundort | Deutschland |
Virustyp | Dateivirus |
Dateigröße | 1.701 Bytes |
Wirtsdateien | COM |
Verschlüsselung | oligomorph |
Stealth | nein |
Speicherresident | ja |
System | x86 mit MS-DOS |
Programmiersprache | x86-Assembler |
Info | Erstes selbstverschlüsselndes Virus |
Cascade war das erste Virus, das seinen Code selbst verschlüsselte. Dadurch versuchte sich eine Infektion vor der damals noch neuen Antivirussoftware zu verstecken.
Bis in die 1990er Jahre gehörte Cascade zu den häufigsten Viren, die in Mitteleuropa unkontrolliert in Umlauf waren.
Cascade wurde vermutlich ohne bösartige Absicht entwickelt, das Virus wurde oft als Scherzprogramm angesehen. Diese Sichtweise ist aber strittig, denn der Anwender war durch den Payload zu einem Neustart gezwungen. Dabei konnten natürlich auch Datenverluste vorkommen. Das war aber nicht lange von Bedeutung, da die originale Version des Virus den Payload nur zwischen dem 1. Oktober und dem 31. Dezember 1988 auslöste.
Aliasse
Das Virus Cascade ist auch unter folgenden Namen bekannt:[2]
- 1701: Der Name bezieht sich auf die Größe des Viruscodes. Auf dem Datenträger oder im Systemspeicher belegt er 1.701 Bytes.
- Autumn, Herbstlaub oder Herbst: Der Payload erinnert entfernt an Blätter die im Herbst von einem Baum fallen.
- Blackjack: Der Ursprung dieser Bezeichnung ist nicht bekannt.
Versionen und Derivate
- Da viele spätere Varianten 1.704 Bytes lang waren, etablierte sich auch die Bezeichnung 1704 oder Cascade.1704.
- Colani ist der Name eines Derivates mit leicht abgeänderter Erscheinungsform. Der eigentliche Schadcode ist identisch.
- Es gibt eine Version namens Cascade.format, deren Payload die Festplatte formatiert.
- Eine fehlerhafte Version des Virus infiziert ein und dieselbe Datei immer wieder. Dabei wächst die Dateigröße entsprechend an.
- 17Y4 ist eine Variante aus dem damaligen Staat Jugoslawien, bei der lediglich einige Bytes manuell verändert wurden, um Virenscanner zu täuschen.
Funktion
Cascade ist in der ursprünglichen Version insgesamt 1.701 Bytes groß und befällt nur COM-Dateien. 3 Bytes zu Beginn der Datei werden als Link modifiziert, die originalen 3 Bytes werden gesichert.
Infektion
Da Cascade nur Dateien infiziert, die über die Funktion 4Bh
und die Unterfunktion 00h
des Interrupts 21h
geladen werden, kann sich das Virus nur auf Rechnern mit dem Betriebssystem MS-DOS verbreiten.[3]
Cascade verbreitete sich über infizierte Dateien und den Systemspeicher. Beim Ausführen einer infizierten Datei wird der Viruscode in den Speicher geladen. Von dort aus infiziert er dann alle gestarteten COM-Dateien. Das Umbenennen der Dateiendung in EXE schützt nicht vor einer Infektion. Die Unterscheidung zwischen EXE- und COM-Dateien erfolgt durch Abfrage des EXE-Headers.[3]
Der Aufruf eines infizierten Programms kann auch zu Fehlern führen. Als Wirtsdateien kommen COM-Dateien bis zu einer Länge von 63.800 Bytes in Frage. Dateien mit einer Länge von mehr als 63.576 Bytes werden ebenfalls infiziert, können nach der Infektion aber nicht mehr geladen werden.[3]
Das Virus prüft über eine Abfrage am BIOS, ob es sich beim System um einen Rechner der Firma IBM handelt. Der Viruscode sieht vor, in diesem Fall keine Infektion durchzuführen. Aufgrund eines Softwarefehlers funktioniert das in der Praxis aber nicht wie gewünscht. Von IBM hergestellte Rechner werden ebenfalls infiziert.
Befallene Dateien konnten durch Antivirenprogramme oder entsprechende Tools meist sauber bereinigt werden.
Payload
Der Payload wurde nur getriggert, wenn die Systemzeit auf ein Datum von 1. Oktober bis zum 31. Dezember 1988 eingestellt war.[3]
Das Virus ließ dann kurz nach der Ausführung einer infizierten Datei Buchstaben in vom Bildschirm auf die unterste Zeile fallen. Der Computer wurde dadurch mehr oder weniger unbenutzbar. Man musste den Rechner neu starten, dadurch gingen eventuell Daten verloren.[3]
Bei den zahlreichen Derivaten von Cascade wurden Payload und Trigger teils modifiziert oder komplett geändert.
Der Effekt mit den fallende Buchstaben wurde von mehreren anderen Virenautoren aufgegriffen und kopiert. Beispielsweise verwenden die Computerviren Swap und Traceback einen optisch gleichen Payload.
Verschlüsselung
Der Viruscode wurde in Assembler programmiert.
Cascade gilt heute als erstes speicherresidentes Dateivirus unter MS-DOS, sowie als erstes Virus, das sich selbst verschlüsseln konnte.[4] Damit begründete es die zweite Generation der Computerviren. Anders als die späteren polymorphen Viren, verschlüsselte Cascade nur den Schadcode. Die Entschlüsselungsroutine bleibt unverändert, wodurch spätere Antivirenprogramme den Virus schließlich problemlos aufspüren konnten. Die Kapazität der infizierten Datei wird als Dechiffrierschlüssel genutzt.
Der Verschlüsselungscode ist sehr kurz und wurde in der Vergangenheit oft für Lehrzwecke benutzt:
LEA SI,...
MOV SP,0682h
JUMP:
XOR WORD PTR [SI],SI
XOR WORD PTR [SI],SP
INC SI
DEC SP
JNZ JUMP
Im Jahr 1989 entwickelte Mark Washburn auf Basis dieser Verschlüsselungsroutine den ersten polymorphen Virus namens 1260. Der virale Code selbst stammte vom Vienna-Virus.
Folgen
Computerviren für IBM-PC waren im Jahr 1987 noch relativ neu, lediglich ein gutes Dutzend verbreitete sich damals unkontrolliert. In dieser Zeit nahm die Fachpresse das Thema erstmals auf, die Öffentlichkeit begann langsam Notiz davon zu nehmen. Erste Virenscanner wurden als Shareware angeboten. Obwohl Computerviren noch Neuland waren, läutete Cascade mit seiner Verchlüsselungsfähigkeiten bereits die zweite Generation ein. Speicherresidenz und Verschlüsselung wurden künftig von vielen neuen Viren genutzt. Ein größeres Problem war ab dem Jahr 1990 die polymorphe Verschlüsselung, die Mark Washburn mit seinem experimentellen Virus 1260 vorstellte. Virenscanner konnten derartige Malware nicht mehr mit Signaturen oder Prüfsummen aufspüren.
Ein Programmierer mit dem Pseudonym Dark Avenger entwickelte unmittelbar nach Cascade zahlreiche ebenfalls speicherresidente und verschlüsselnde Viren, die aber im Gegensatz zu Cascade auch EXE-Dateien befielen.[5][6] Dark Avenger stammt vermutlich aus Bulgarien und galt damals als der prominenter und einfallsreicher Virenproduzent.[7]
1988 verursachte Cascade einen ernsthaften Zwischenfall in der belgischen IBM-Niederlassung, was der Auslöser für IBMs eigene kommerzielle Antiviren-Produktentwicklung gab. Bis zu diesem Zeitpunkt waren die von IBM entwickelten Antiviren-Programme nur zum internen Gebrauch bestimmt gewesen.
Im Oktober 1989 wurde der Rechner von Eugene Kaspersky mit einer Version von Cascade infiziert. Das war für ihn der ursprüngliche Grund, warum er sich für Computerviren zu interessieren begann. Jahre später gründete er das Antiviren-Projekt AVP, aus dem Kaspersky Lab hervorging. Nachdem er das Virus analysiert hatte, entwickelte Kaspersky ein Desinfektions-Tool dafür. Cascade war auch das erste Schadprogramm, das in die Antiviren-Datenbank von Kaspersky Lab aufgenommen wurde.[8][9]
Im April 1997 wurde dem britischen Fachmagazin Virus Bulletin nur noch eine Infektion mit Cascade gemeldet.[10]
Einzelnachweise
- IT-Sicherheit lässt sich dem Anwender spielend leicht vermitteln (Memento vom 4. März 2016 im Internet Archive) auf security-insider.de
- Der Spiegel 44/1992: Rächer im Datennetz
- Informationen der Uni Hamburg über Herbstlaub (engl.)
- Viruslist.com: Virus Enzyklopädie / Die Geschichte der Schadprogramme / 1987 (Memento vom 18. April 2012 im Internet Archive) von Kaspersky lab
- Heise.de am 30. Aug. 2001: Sie lieben uns.txt.vbs (Memento vom 4. Juni 2011 im Internet Archive)
- F-Secure: Beschreibung des Dark Avenger (engl.)
- Viruslist.com: Virus Enzyklopädie / Die Geschichte der Schadprogramme / 1990 (Memento vom 18. April 2012 im Internet Archive) von Kaspersky lab
- home.uni-leipzig.de Uni.Leipzig.de
- http://www.infosecurity-magazine.com/view/8115/interview-eugene-kaspersky- Eugene Kaspersky Infosecurity Magazine
- virusbulletin.com Virus Bulletin
Weblinks
- Demonstrationsvideo (AVI; 716 kB)
- DOS-Programm als Virensimulation
- F-Secure.com
- GitHub.com Sourcecode von Cascade/Herbstlaub