Mutations Engine
Die MTE oder Mutations Engine war der erste Polymorphie-Programmgenerator für Computerviren.
MTE | |
---|---|
Basisdaten | |
Entwickler | Pseudonym: „Dark Avenger“ |
Erscheinungsjahr | 1992 |
Betriebssystem | MS-DOS |
Lizenz | Freeware |
deutschsprachig | nein |
Das Programm wurde 1992 von dem Hacker Dark Avenger geschrieben und veröffentlicht. Daher ist das Programm auch als DAME (Dark Avengers Mutations Engine) bekannt.
Funktion
Fälschlich wird die MTE teilweise als Virus Construction Kit oder selbst als Virus bezeichnet. Es handelt sich aber um eine Engine mit deren Hilfe man den fertigen Code eines Computervirus um polymorphe Selbstverschlüsselung erweitern kann. Der Viruscode nahm dann bei jeder Neuinfektion eine andere Form an, wobei es Milliarden von Möglichkeiten gab.[1]
Der Schlüssel war zum einen sehr kurz und konnte zum anderen auch von variablen Werten, wie der Größe oder dem Zeitstempel der befallenen Datei abhängig gemacht werden. Er bot Virenscannern somit auch keine Möglichkeit eine brauchbare Signatur zu erstellen.
Vor der Veröffentlichung des Generators wurden die meisten Viren sehr leicht durch Check-Summen von Antiviren-Programmen entdeckt. Jedoch machte die Mutations-Engine es möglich, dass selbst Viren von Anfängern stark polymorph waren. Dadurch entstand ein großes Problem für Hersteller von Antiviren-Software, da neue Erkennungsmethoden entwickelt werden mussten. Einige Hersteller konnten diese nicht entwickeln und stellten daher die Weiterentwicklung ihres Virenscanners ein. Als 1993 die MS-DOS Version 6.0 erschien, war erstmals der Virenscanner Microsoft Anti-Virus (MSAV) im Lieferumfang enthalten. Erst bei der Einstellung des Supports im Juni 1996 erhielt das Programm ein letztes Update und konnte nun auch polymorphe Viren erkennen. Zuvor war das nicht möglich.
Als Lösung erwiesen sich vor allem Algorithmen, die man in der Verschlüsselung schließlich finden konnte. Das erwies sich für Antivirusfirmen am Ende sogar als vorteilhaft, da man alle, auch neue, Viren, die mit MTE verschlüsselt wurden, auf diesem Weg erkennen konnte.
Einzelnachweise
- pelock.com Polymorphe Verschlüsselung