Byte Bandit

Byte Bandit, oder auch ByteBandit geschrieben, ist ein Bootblockvirus, das Disketten für den Commodore Amiga infizieren kann.^[1] Die erste Infektionsmeldung gab es im Januar 1988.^[2]

Der Name stand ursprünglich wohl nicht für das Virus selbst, sondern für dessen Programmierer.

Byte Bandit wurde neben dem berüchtigten Lamer Exterminator, Saddam Hussein und Byte Warrior zu einem der bekanntesten Viren in der Amiga-Szene. Im Gegensatz zu diesen gefährlichen Viren verbreitete sich Byte Bandit aber nur auf andere Disketten weiter, er hatte keinen schädlichen Payload und zerstörte nur gelegentlich einen Datenträger bei unsauberer Infektion. Das konnte vor allem passieren, wenn die Diskette bereits von einem anderen Bootvirus befallen war.

Versionen und Derivate[Bearbeiten | Quelltext bearbeiten]

Byte Bandit war eines der ersten Amigaviren und konnte sich weit verbreiten. In der Folge kam es zu zahlreichen Varianten. Zur deutlichen Abgrenzung wird die Originalversion daher auch als Byte Bandit 1 bezeichnet.^[1][3]

Funktion[Bearbeiten | Quelltext bearbeiten]

Wird das System von einer infizierten Diskette gebootet, lädt sich das Virus noch vor dem eigentlichen Bootblock in den Speicher und wird dort resident.^[1] Byte Bandit verwendet keine Stealth-Techniken zur Tarnung und verschlüsselt sich auch nicht. Bei einem Warmstart bleibt das Virus im Speicher resident.^[2]

Der Infektions-Counter kann auch mit einem geeigneten Editor ausgelesen werden. Im Viruscode ist ein Text enthalten, der auch den aktuellen Stand anzeigt:

Virus by Byte Bandit in 9.87. Number of copys: xxx

Schreibt der Viruscode sich auf eine zuvor noch nicht infizierte Diskette, wird eine Eins zum Zähler addiert.^[1]

Infektion[Bearbeiten | Quelltext bearbeiten]

Die Infektion von sauberen Disketten erfolgt bei jedem Zugriff, sofern sie nicht schreibgeschützt sind. Byte Bandit kann 3,5"- und 5,25"-Disketten befallen.^[1] Byte Bandit infiziert keine Festplatten.^[2][2]

Bei der Infektion einer Diskette wurde der Bootblock teilweise überschrieben. War der Bootblock in das System eingebunden, führte das zur Beschädigung bzw. dem Überschreiben wichtiger Systemdaten und verursachte in der Folge Systemfehler.

Payload[Bearbeiten | Quelltext bearbeiten]

Ein Counter im Viruscode zählt die Anzahl der infizierten Disketten und die Resets seit Systemstart mit. Sind mindestens sechs Disketten neu infiziert worden und sind mindestens zwei Warmstarts durchgeführt worden, wartet das Virusprogramm sieben Minuten ab. Dann wird der Bildschirm schwarz und das System scheint eingefroren zu sein. Eine Möglichkeit ist ein Kaltstart, der aber zu Datenverlusten führen kann. Es gibt aber auch eine Tastenkombination, um diesen vermeintlichen Systemabsturz zu beheben. Drückt man die linke ALT-Taste gemeinsam mit der linken AMIGA-Taste, der Leertaste, der rechten AMIGA und der rechten ALT-Taste, dann läuft das Programm weiter.^[1] Das Virus ist aber weiterhin speicherresident und aktiv.^[2]

Situation ab 1988[Bearbeiten | Quelltext bearbeiten]

Der Commodore Amiga wurde in den nächsten Jahren zur beliebtesten Plattform für Virenprogrammierer. Neben Bootblockviren waren vor allem Clusterviren sehr beliebt. Als Infektionsweg dienten Disketten, die Viren waren meist speicherresident und konnten häufig auch einen Warmstart überstehen. Festplatten waren gegen Ende der 1980er Jahre am Amiga keine Standardausstattung. Die meisten User besaßen das Modell Amiga 500, das ohne HDD mit nur einem internen 3,5"-Laufwerk ausgeliefert wurde.

Byte Bandit gehörte zu den meistverbreiteten Viren auf Amiga-Systemen.^[1]

Antivirus-Programme am Amiga, die zur Entfernung von Byte Bandit geeignet waren, waren bspw. CHECKVECTORS 2.2, GUARDIAN 1.2 oder VIRUSX 4.0.^[2]

Als die Amiga-Reihe an Bedeutung verlor, starben auch die Virenprobleme damit aus. Anfällige Systeme werden heute fast nur noch in der Retrocomputing- und Retrogaming-Szene betrieben.

Trivia[Bearbeiten | Quelltext bearbeiten]

Der Vermerk Virus by Byte Bandit in 9.87 im Viruscode wurde teilweise als Kurzform für den September 1987 gedeutet. Das ist aber eher unwahrscheinlich, da die finale Version des Virus erst vier Monate später bekannt wurde.^[1] Im September 1987 war noch kein einziges Amigavirus bekannt, was sich aber kurz darauf änderte, als das Virus SCA vorgestellt wurde. Sollte 9.87 wirklich für das Fertigstellungsdatum stehen, wäre Byte Bandit älter als SCA.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ^{a b c d e f g h} http://virus.wikidot.com/bytebandit Virus.WikiDot.com: Bytebandit
2. ↑ ^{a b c d e f} http://agn-www.informatik.uni-hamburg.de/catalog/amiga/html/byteba7.htm Informatik.Uni-Hamburg.de: Byte Bandit Virus
3. ↑ vht-dk.dk (Memento des Originals vom 9. Oktober 2021 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/vht-dk.dk Liste von Amigaviren "B"
4. ↑ Archivierte Kopie (Memento des Originals vom 30. Januar 2018 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/agn-www.informatik.uni-hamburg.de Informatik.Uni-Hamburg.de: Byte Bandit 3 Virus

Weblinks[Bearbeiten | Quelltext bearbeiten]

• SCA.ch: Swiss Cracking Association Homepage
• Ave.Teyko.com: Amiga Virus Encyclopedia (Memento vom 3. Februar 2013 im Webarchiv archive.today) Byte Bandit Description