Bliss (Computervirus)

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Bliss
Name Bliss
Bekannt seit 1997
Virustyp Dateivirus
Autoren Pseudonym: „Electric Eel“
Dateigröße 17.892 Bytes
Wirtsdateien Ausführbare Dateien
Verschlüsselung nein
Stealth nein
System Linux
Info Demo-Virus zur Präsentation

Bliss (englisch für „Glückseligkeit“) ist ein Computervirus, der GNU/Linux-Betriebssysteme befallen kann.

Am 5. Februar 1997 veröffentlichte sein Autor den Quelltext.

Funktion[Bearbeiten | Quelltext bearbeiten]

Bliss schreibt eine Log-Datei über alle seine Aktionen, "/tmp/.bliss" (der Punkt am Anfang des Dateinamens kennzeichnet in Linux versteckte Dateien, die also im gewöhnlichen Anzeige-Modus nicht zu sehen sind). Außerdem gibt es einen Kommandozeilen-Parameter "--bliss-uninfect-files-please" (etwa „Bliss, bitte desinfiziere die Dateien“), der tatsächlich dazu führt, dass die Infektionen rückgängig gemacht werden.[1]

Der Viruscode enthält folgenden Text:[2]

 dedicated to rkd
 infected by bliss
 skipping, infected with same vers or different type
 replacing older version
 replacing ourselves with newer version
 infect() returning success
 successfully (i hope) disinfected
 rsh%s%s %s 'cat>%s;chmod 777 %s;%s;rm -f %s'
 doing do_worm_stuff()
 /etc/hosts.equiv
 Compiled on Sep 28 1996 at 22:24:03
 Written by electric eel.
 help? hah! read the source!
 bliss was run %d sex ago, rep_wait=%d
 /usr/spool/news
 GCC: (GNU) 2.7.2.l.2

Payload[Bearbeiten | Quelltext bearbeiten]

Das Virus enthält keine schädlichen Programmroutinen.

Infektion[Bearbeiten | Quelltext bearbeiten]

Wenn Bliss ausgeführt wird, hängt er sich selbst an ausführbare Dateien (Programme, Skripte), auf die gewöhnliche Benutzer keinen Zugriff haben. Diese ausführbaren Dateien können anschließend nicht mehr ausgeführt werden. Daher wird Bliss sehr rasch bemerkt.

Auswirkungen[Bearbeiten | Quelltext bearbeiten]

Seine Eigenschaften deuten darauf hin, dass Bliss möglicherweise nur geschrieben wurde, um zu beweisen, dass Linux trotz der Benutzerkonten mit Computerviren infiziert werden kann (Proof of Concept). Auch vermehrt sich dieser Virus nicht sehr effektiv, weil das System der Benutzerrechte in Linux eine Verbreitung sehr erschwert. Bliss hat sich nie ausbreiten können und blieb damit eine Kuriosität aus der Forschung.[1][3] Eine massive Sicherheitslücke stellten vor allem die Möglichkeiten der Anweisung chmod 777 dar, die in zeitgemäßen Linux-Versionen aber nicht mehr verfügbar sind.

Nach Staog war Bliss erst der zweite bekannte Virus, der speziell für Linux-Betriebssysteme geschrieben wurde.[1] Linux war allerdings auch zuvor nicht völlig sicher vor Malware. Bootsektorenviren wie Parity Boot, die ausschließlich Maschinenbefehle benutzten gab es bereits seit einigen Jahren. Solche Viren konnten sich teilweise über Linux-Rechnern verbreiten, da sie vom Betriebssystem unabhängig waren.

Als die Entdeckung von Bliss öffentlich bekannt wurde, gaben einige Hersteller von Antivirensoftware Pressemitteilungen heraus. Unter anderem McAfee behauptete, dass nun, da tatsächlich ein Linux-Virus existiere, auch Linux-Benutzer unbedingt Antivirensoftware kaufen sollten, um sich zu schützen. Üblicherweise verwendeten Linux-Benutzer damals keine Antivirensoftware. Sinn ergab dies nur auf Servern, die als Datei- oder E-Mail-Server für Windows-Computer dienten. Die Daten wurden aber nur nach Windows-Viren durchsucht.[1]

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. a b c d F-Secure Advisory.
  2. http://virus.wikidot.com/bliss Wiki: Bliss
  3. Debian Security Advisory.

Weblinks[Bearbeiten | Quelltext bearbeiten]