Cascade (Computervirus)

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Cascade
Name Cascade
Aliase Herbstlaub
Bekannt seit 1987
Erster Fundort Deutschland
Virustyp Dateivirus
Autoren unbekannt
Dateigröße 1701 Byte
Wirtsdateien Com
Polymorph nein
Stealth nein
Speicherresident ja
System MS-DOS
Programmiersprache Assembler
Info Erstes selbstverschlüsselndes Virus
Erstes speicherresidentes Virus

Cascade ist ein Computervirus, das im deutschsprachigen Raum auch unter dem Namen Herbstlaub bekannt ist. Es wurde erstmals im Oktober 1987 an der Universität Konstanz entdeckt.[1]

Cascade war das erste Virus, das seinen Code selbst verschlüsselte. Dadurch konnte sich eine Infektion vor der damals noch neuen Antivirussoftware verstecken.

Bis in die 1990er Jahre gehörte Cascade zu den häufigsten Viren, die in Mitteleuropa unkontrolliert in Umlauf waren.

Cascade wurde vermutlich ohne bösartige Absicht entwickelt, das Virus wurde oft als Scherzprogramm angesehen. Diese Sichtweise ist aber strittig, denn der Anwender war durch den Payload zu einem Neustart gezwungen. Dabei konnten natürlich auch Datenverluste vorkommen. Das war aber nicht lange von Bedeutung, da die originale Version des Virus den Payload nur zwischen dem 1. Oktober und dem 31. Dezember 1988 auslöste.

Aliasse[Bearbeiten | Quelltext bearbeiten]

Das Virus Cascade ist auch unter folgenden Namen bekannt:[2]

  • 1701
  • Autumn
  • Blackjack
  • Herbstlaub oder Herbst

Versionen und Derivate[Bearbeiten | Quelltext bearbeiten]

  • Da viele spätere Varianten nur 1704 Bytes lang waren, etablierte sich auch die Bezeichnung 1704 oder Cascade.1704.
  • Colani ist der Name eines Derivates mit leicht abgeänderter Erscheinungsform. Der eigentliche Schadcode ist identisch.
  • Es gibt eine Version namens Cascade.format, deren Payload die Festplatte formatiert.
  • Eine fehlerhafte Version des Virus infiziert ein und dieselbe Datei immer wieder.
  • 17Y4 ist eine Variante aus dem damaligen Staat Jugoslawien, bei der lediglich einige Byte manuell verändert wurden, um Virenscanner zu täuschen.

Funktion[Bearbeiten | Quelltext bearbeiten]

Infektion[Bearbeiten | Quelltext bearbeiten]

Cascade ist in der ursprünglichen Version insgesamt 1701 Bytes groß und befällt nur COM-Dateien. 3 Bytes zu Beginn der Datei werden modifiziert. Da Cascade nur Dateien infiziert, die über die Funktion 4Bh und die Unterfunktion 00h des Interrupts 21h geladen werden, kann sich das Virus nur auf Rechnern mit dem Betriebssystem MS-DOS verbreiten.[3]

Cascade verbreitete sich über infizierte Dateien und den Systemspeicher. Beim Ausführen einer infizierten Datei wird der Viruscode in den Speicher geladen. Von dort aus infiziert er dann alle gestarteten COM-Dateien. Das Umbenennen der Dateiendung in EXE schützt nicht vor einer Infektion. Die Unterscheidung zwischen EXE- und COM-Dateien erfolgt durch Abfrage des EXE-Headers.[3]

Der Aufruf eines infizierten Programms kann auch zu Fehlern führen. Als Wirtsdateien kommen COM-Dateien bis zu einer Länge von 63800 Bytes infiziert, Dateien mit einer Länge von mehr als 63576 Bytes können aber nach der Infektion nicht mehr geladen werden.[3]

Das Virus prüft über eine Abfrage am BIOS, ob es sich beim System um einen Rechner der Firma IBM handelt. Der Viruscode sieht vor, in diesem Fall keine Infektion durchzuführen. Aufgrund eines Softwarefehlers funktioniert das in der Praxis aber nicht, IBM-Rechner werden ebenfalls infiziert.

Befallene Dateien konnten durch Antiviren-Programme oder entsprechende Tools meist sauber bereinigt werden.

Selbstverschlüsselung[Bearbeiten | Quelltext bearbeiten]

Der Viruscode wurde in Assembler programmiert.

Cascade gilt heute als erstes speicherresidentes Virus, sowie als erstes Virus, das sich selbst verschlüsseln konnte, so dass der Viruscode in jeder infizierten Datei ein anderes Erscheinungsbild aufwies.[4] Damit begründete es die zweite Generation der Computerviren. Anders als die späteren polymorphen Viren, verschlüsselte Cascade nur den Schadcode. Die Entschlüsselungsroutine bleibt unverändert, wodurch spätere Antivirenprogramme den Virus schließlich problemlos aufspüren konnten. Die Kapazität der infizierten Datei wird als Dechiffrierschlüssel genutzt.

Der Verschlüsselungscode ist sehr kurz und wurde in der Vergangenheit oft für Lehrzwecke benutzt:

xor [si],si
xor [si],sp
inc si
dec sp

Payload[Bearbeiten | Quelltext bearbeiten]

Screenshot des Payload

Der Payload wurde nur getriggert, wenn die Systemzeit auf ein Datum von 1. Oktober bis zum 31. Dezember 1988 eingestellt war.[3]

Das Virus ließ dann kurz nach der Ausführung einer infizierten Datei Buchstaben in vom Bildschirm auf die unterste Zeile fallen, der Computer wurde dadurch mehr oder weniger unbenutzbar. Man musste den Rechner neu starten, dadurch gingen eventuell Daten verloren.[3]

Bei den zahlreichen Derivaten von Cascade wurden Payload und Trigger teils modifiziert oder komplett geändert.

Situation um 1987[Bearbeiten | Quelltext bearbeiten]

Computerviren für IBM-PC waren im Jahr 1987 noch relativ neu, lediglich ein gutes Dutzend verbreitete sich damals unkontrolliert. In dieser Zeit nahm die Fachpresse das Thema erstmals auf, die Öffentlichkeit begann langsam Notiz davon zu nehmen. Erste Virenscanner wurden als Shareware angeboten. Obwohl Computerviren noch Neuland waren, läutete Cascade mit seinen neuen Fähigkeiten bereits die zweite Generation ein. Speicherresidenz und Verschlüsselung wurden künftig von vielen neuen Viren genutzt.

Ein Programmierer mit dem Pseudonym Dark Avenger entwickelte unmittelbar nach Cascade zahlreiche ebenfalls speicherresidente und verschlüsselnde Viren, die aber im Gegensatz zu Cascade auch EXE-Dateien befielen.[5][6] Dark Avenger stammt vermutlich aus Bulgarien und galt damals als der prominenter und einfallsreicher Virenproduzent.[7]

1988 verursachte Cascade einen ernsthaften Zwischenfall in der belgischen IBM-Niederlassung, was der Auslöser für IBMs eigene kommerzielle Antiviren-Produktentwicklung gab. Bis zu diesem Zeitpunkt waren die von IBM entwickelten Antiviren-Programme nur zum internen Gebrauch bestimmt gewesen.

Im Oktober 1989 wurde der Rechner von Eugene Kaspersky mit einer Version von Cascade infiziert. Das war für ihn der ursprüngliche Grund, warum er sich für Computerviren zu interessieren begann. Jahre später gründete er das Antiviren-Projekt AVP, aus dem Kaspersky Lab hervorging. Nachdem er den Virus analysiert hatte, entwickelte Kasperski ein Desinfektions-Tool dafür. Cascade war auch das erste Schadprogramm, das in die Antiviren-Datenbank von Kaspersky Lab aufgenommen wurde.[8][9]

Im April 1997 wurde dem britischen Fachmagazin Virus Bulletin nur noch eine Infektion mit Cascade gemeldet.[10]

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. IT-Sicherheit lässt sich dem Anwender spielend leicht vermitteln (Memento vom 4. März 2016 im Internet Archive) auf security-insider.de
  2. Der Spiegel 44/1992: Rächer im Datennetz
  3. a b c d e Informationen der Uni Hamburg über Herbstlaub (engl.)
  4. Viruslist.com: Virus Enzyklopädie / Die Geschichte der Schadprogramme / 1987 (Memento vom 18. April 2012 im Internet Archive) von Kaspersky lab
  5. Heise.de am 30. Aug. 2001: Sie lieben uns.txt.vbs (Memento vom 4. Juni 2011 im Internet Archive)
  6. F-Secure: Beschreibung des Dark Avenger (engl.)
  7. Viruslist.com: Virus Enzyklopädie / Die Geschichte der Schadprogramme / 1990 (Memento vom 18. April 2012 im Internet Archive) von Kaspersky lab
  8. home.uni-leipzig.de Uni.Leipzig.de
  9. http://www.infosecurity-magazine.com/view/8115/interview-eugene-kaspersky- Eugene Kaspersky Infosecurity Magazine
  10. virusbulletin.com Virus Bulletin

Weblinks[Bearbeiten | Quelltext bearbeiten]