Brain (Computervirus)

aus Wikipedia, der freien Enzyklopädie
(Weitergeleitet von (c)Brain)
Zur Navigation springen Zur Suche springen
Brain
Name Brain
Aliase Pakistani, (c)Brain
Bekannt seit 1986
Erster Fundort Pakistan
Virustyp Bootsektorvirus
Autoren Basit Farooq Alvi, Amjad Farooq Alvi
Dateigröße 512 KByte
Wirtsdateien Bootsektoren
Polymorph nein
Stealth nein
System MS-DOS mit FAT-Dateisystem
Info Erster bekannter In-the-wild-Virus
für MS-DOS

Brain bezeichnet eine Gruppe von Bootsektorviren, deren Originalversion als die erste unkontrolliert verbreitete Malware für PCs bekannt wurde. Das Virus infiziert den Boot-Sektor von Disketten, die mit dem DOS-Dateisystem FAT formatiert wurden.

Ein Vorläufer namens Ashar wurde bereits im Januar 1986 geschrieben.


Aliasse[Bearbeiten | Quelltext bearbeiten]

Das Virus ist auch unter den Namen Lahore, Pakistani, Pakistani Brain, Brain.A, Brain-A, (c)Brain und UIUC bekannt.

Das BusinessWeek-Magazin nannte Brain in einem Artikel reißerisch the Pakistani flu, was auf deutsch Die pakistanische Grippe bedeutet.

Versionen und Derivate[Bearbeiten | Quelltext bearbeiten]

Ashar wurde erst nach Brain entdeckt, ist aber eine frühere Version von Brain. Anhand der Code-Änderungen und der Versionsnummer ist klar ersichtlich, dass die Ashar-Variante zuerst entwickelt wurde. Als erster Virus In-the-wild wurde aber Brain.A bekannt.

Es gibt neben Brain.A noch fünf weitere bekannte Derivate der Virus-Gruppe. Meistens wurde aber nur der Nachrichtentext geändert.

Funktion[Bearbeiten | Quelltext bearbeiten]

Hexdump eines mit (c)Brain infizierten Boot-Sektors

Das Virus infiziert den Computer, indem es den Boot-Sektor durch eine Kopie von sich selbst ersetzt. Der eigentliche Boot-Sektor wird in einen anderen Sektor verschoben, welcher als defekt gekennzeichnet wird. Infizierte Disketten haben üblicherweise drei kBytes defekte Sektoren. Die Disketten-Bezeichnung wird in (c)Brain geändert. Infizierte Disketten haben folgenden Text im Bootsektor stehen:

Welcome to the Dungeon (c) 1986 Brain & Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today - Thanks GOODNESS!! BEWARE OF THE er..VIRUS : this program is catching program follows after these messages….$#@%$@!!
Übersetzung: Willkommen im Verlies (c) 1986 Brain & Amjads (pvt) Ltd VIRUS SHOE_RECORD V9.0 Gewidmet den dynamischen Erinnerungen von Millionen Viren, die nicht mehr unter uns weilen. – zum GLÜCK! Achtung vor dem äh..Virus : dieses Programm infiziert Programme nach dieser Nachricht….$#@%$@!!

Brain verfügt über eine Funktion zum korrekten Umgang mit Festplattenpartitionen und vermeidet es, Festplatten zu infizieren, indem es das Bit mit dem höchsten Stellenwert der BIOS-Laufwerksnummer überprüft. Brain infiziert keine Laufwerke, bei denen dieses Bit gelöscht ist. Andere Viren aus dieser Zeit erkannten keine Festplatten und zerstörten konsequent die Daten auf der Festplatte, indem sie sie wie Disketten behandelten. Brain wurde aufgrund seines nicht zerstörerischen Verhaltens oft nicht entdeckt, insbesondere dann nicht, wenn der Benutzer dem langsamen Diskettenzugriff keine Aufmerksamkeit schenkte.

Der Viruscode beinhaltete die Adresse der Autoren, drei Telefonnummern und eine Nachricht, die dem Benutzer mitteilte, dass sein System infiziert war und er für die Entfernung die Brüder kontaktieren sollte:

    Welcome to the Dungeon © 1986 Basit & Amjads (pvt). BRAIN COMPUTER SERVICES 730 NIZAM
    BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination...

Es gibt viele kleinere und größere Variationen des Textes. Das Virus verlangsamt das Diskettenlaufwerk und macht sieben Kilobyte des konventionellen Speichers für DOS unverfügbar.

Die Autoren[Bearbeiten | Quelltext bearbeiten]

Brain wurde von den zwei Brüdern Basit Farooq Alvi und Amjad Farooq Alvi geschrieben, die in der pakistanischen Stadt Chahmiran in Lahore lebten. Die Brüder gaben dem Time-Magazin gegenüber an, sie hätten das Virus geschrieben, um ihre medizinische Software vor Raubkopien zu schützen, und es sollte lediglich Urheberrechtsverletzer treffen.

Als die Brüder eine große Anzahl an Anrufen von Personen aus den Vereinigten Staaten, Großbritannien und von anderswo erhielten, die von ihnen verlangten, ihre Systeme zu reinigen, waren die Brüder fassungslos und versuchten den empörten Anrufern zu erklären, dass sie keine bösen Absichten hatten. Schließlich kündigten sie ihren Telefonanschluss und bedauerten, dass sie die Kontaktdaten veröffentlicht hatten. Es wurde aber auch spekuliert, dass die Brüder den Virus geschrieben haben, um für ihren Betrieb zu werben.[1]

Ihr Geschäft in Pakistan, den Internet Provider Brain Limited, betreiben die Gebrüder Farooq Alvi bis heute (Stand August 2020).

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Computer Knowledge – Robert Slade: Chapter 7 – (c) Brain (Memento vom 8. März 2009 im Internet Archive)

Weblinks[Bearbeiten | Quelltext bearbeiten]