Stoned (Computervirus)

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen
Stoned
Name Stoned
Aliase New Zealand, Marijuana
Bekannt seit 1987
Erster Fundort Neuseeland
Virustyp Bootsektorvirus
Autoren Unbekannt
Dateigröße 512 KByte
Wirtsdateien Bootsektor, MBR
Polymorph nein
Stealth nein
Speicherresident ja
System MS-DOS
Programmiersprache Assembler

Stoned ist ein Bootsektorvirus von dem zahlreiche Versionen bekannt sind. Das originale Virus wurde erstmals 1987 in der Stadt Wellington, Neuseeland, entdeckt.[1] Es wurde für MS-DOS-Systeme entwickelt.

Stoned wird oft im Zusammenhang mit den MS-DOS-Viren Vienna und Jerusalem genannt. Diese drei Malware-Programme waren nicht nur sehr bekannt und verbreitet, sie sind auch der Ursprung einer Vielzahl weiterer Virus-Derivate. Beispielsweise löste 1992 eine der Varianten des Stoned-Virus die sogenannte Michelangelo-Hysterie aus.


Versionen und Derivate[Bearbeiten | Quelltext bearbeiten]

Es gibt zahlreiche Varianten des Stoned-Virus:[2]

  • Stoned.Zapper
  • Stoned.Sanded
  • Stoned.June4th.a
  • Stoned.SexRevolution1.1
  • Stoned.SexRevolution2.0
  • Stoned.SwedishDisaster
  • Stoned.Rostov
  • Stoned.Stoned-8
  • Stoned.Stoned-16
  • Stoned.Stoned.16.a
  • Stoned.Damien
  • Stoned.Bravo
  • Stoned.Laodung
  • Stoned.Noint
  • Stoned.Azusa.a
  • Stoned.Bunny.a
  • Stoned.Dani ela
  • Stoned.Dinamo Empire.INT.10.b
  • Stoned.Standard.a
  • Stoned.Lzr
  • Stoned.Empire.Monkey.a
  • Stoned.Empire.Monkey.b
  • Stoned.Kiev
  • Stoned.NOP
  • Stoned.Manitoba
  • Stoned.W-Boot
  • Stoned.Michelangelo.a
  • Stoned.No INT.a
  • Stoned.Teraz
  • Stoned.b
  • Stoned.c
  • Stoned.d
  • Stoned.e
  • Stoned.Sonus
  • Stoned.Nulls
  • Stoned.Donald
  • Stoned.Flushed
  • Stoned.In love
  • Stoned.stoned-floppy
  • Stoned.Mexican
  • Stoned.WD1
  • Stoned.WD2
  • Stoned.WD3
  • Stoned.WD4
  • Stoned.WD5
  • Stoned.WD6
  • Stoned.WD7
  • Stoned.Australian
  • Stoned.Bloody
  • Stoned.Brunswick
  • Stoned.Epbr
  • Stoned.Hawaii
  • Stoned.Hemp
  • Stoned.HongKong
  • Stoned.Lisa2
  • Stoned.Marijuana
  • Stoned.Monkey
  • Stoned.Monkey2
  • Stoned.NewZealand
  • Stoned.NOP
  • Stoned.SanDiego
  • Stoned.Sanded
  • Stoned.SexRevolution
  • Stoned.Smithsonian
  • Stoned.Stonehenge
  • Stoned.Whit
  • Stoned.Sbtv
  • Stoned.1 (auf Mac OSX Mavericks 10.9.2 gefunden)
  • Stoned.Angelina

Funktion[Bearbeiten | Quelltext bearbeiten]

Infektion[Bearbeiten | Quelltext bearbeiten]

Hexdump des Stoned-Virus

Stoned breitet sich nur per Diskette, nicht jedoch via Internet aus. Das Wort bzw. die Zeichenkette „Stoned“ ist auch im Quellcode enthalten, wobei dies nur als Name vom Autor angegeben wurde. Stoned infiziert ausschließlich den Bootsektor, den Partitions-Sektor von Festplatten und natürlich auch den Bootsektor von Disketten.

Das Infizieren erfolgt über den Bootvorgang einer infizierten Diskette. Beim Starten des Computers installiert sich das Virus auf der Festplatte, kopiert den Master Boot Record an einen anderen Platz und überschreibt den MBR an der früheren Stelle. Beim Start der Festplatte wird normalerweise der MBR ausgeführt, jedoch wurde der original MBR mit dem Stoned-Virus überschrieben. Ab diesem Zeitpunkt ist der Virus speicherresident. Der Virus wird in den Arbeitsspeicher geladen, wobei dieser mit 2048 Bytes belegt wird. Als Nächstes fängt das Stoned-Virus den Interrupt 13h (Lesen von/Schreiben auf Datenträger) ab und führt danach den Original-MBR aus, wobei der Startvorgang von jetzt an ganz normal fortgesetzt wird.

Wenn auf die Diskette zugegriffen wird, liest der Virus die (eventuell noch nicht von anderen Viren) infizierte Diskette und prüft, ob sie schon mit einem Stoned-Virus infiziert wurde. Wenn die Diskette noch nicht infiziert ist, installiert der Virus sich im Bootsektor der Diskette, falls diese nicht schreibgeschützt ist. Somit wird diese Diskette jeden Computer infizieren, wenn sie gebootet wird. Am Ende versucht der Virus, jede nicht schreibgeschützte Diskette im Laufwerk A: zu infizieren, auf die zugegriffen wird (Laufwerk B: ist nicht betroffen). Am Ende sind die Bootsektoren der Disketten, der MBR (Master Boot Record bzw. Master-Boot-Partitionssektor) und/oder der DOS Boot Record bzw. der DOS-Bootsektor von diesem Virus befallen.

Payload[Bearbeiten | Quelltext bearbeiten]

Während des Bootvorgangs erscheint manchmal (etwa in einem von sechs Fällen) die Nachricht:[1]

Your PC is now Stoned

oder

Your Computer is now Stoned. Legalize Marijuana

Anschließend ist der Rechner eingefroren.


Der Trigger und die Payload-Symptome variieren bei anderen Versionen des Virus beträchtlich. Beispielsweise:

  • Statt des Textes gibt es Tonbotschaften über den PC-Lautsprecher, wie Oh Tannenbaum oder auch viele andere Lieder.
  • Der Arbeitsspeicher ist vom Start bis zum Ausschalten des Computers mit 2048 Bytes durch den Virus belegt.
  • Simulationen von Hardwaredefekten
  • Fehlfunktionen von Programmen
  • Verschwinden einiger Dateien oder kompletter Datenverlust

Je nach Variante können diese Symptome auf eine Virusinfektion hinweisen, die Symptome können jedoch bei jeder Stonedversion unterschiedlich sein. Die Variante Stoned.SwedishDisaster nutzt beispielsweise die Zeichenkette The Swedish Disaster.

Situation um 1987[Bearbeiten | Quelltext bearbeiten]

Das größte Aufsehen erregte ohne Zweifel im Frühjahr 1992 die Variante Stoned.Michelangelo.a. In den Medien und der Öffentlichkeit wurde das Schadprogramm als der "neue" Virus Michelangelo bekannt. Der Virus war entsprechend modifiziert um nicht von denselben Suchmustern wie seine Originalversion erkannt zu werden. Der Trigger aktivierte sich nun an jedem 6. März, bezogen auf das eingestellte Systemdatum. Im Gegensatz zu Stoned konnte diese Variante aber massiven Schaden durch komplette Datenverluste verursachen. Der Payload überschrieb alle Daten, ein wirksames Mittel zur Wiederherstellung wurde nicht gefunden. Die Presse berichtete im Vorfeld von Millionen infizierten Rechner, es kam am 6. März aber nur zu etwa 10.000 bis maximal 20.000 Schadensfällen. John McAfee war damals noch einer der ersten Hersteller von Antivirensoftware. Seine Umsätze explodierten 1992 aufgrund der Michelangelo-Hysterie förmlich. Als am 6. März 1992 die Schäden nicht annähernd das erwartete Maß erreichten, verloren die Massenmedien das Interesse an Stoned.Michelangelo.a recht schnell wieder.

Das Stoned-Virus hatte viel Einfluss auf die modernen Viren wie z. B. Cabir, CommWarrior (Abkürzung Comwar) und Skuller.gen. Aus Cabir entstanden dann verschiedene Trojaner, Viren und Würmer wie Mabir.a, Fontal.A, StealWar, Lasco und Pbstealer – obschon sich die Quellcodes von StealWar, Lasco und Pbstealer dem Stoned-Virus, ja sogar dem Cabirvirus gar nicht ähneln, sind diese Viren alle sehr nahe Verwandte. Allerdings sind die Verhaltensweisen bei den neuen Viren viel aggressiver, obwohl man auf den ersten Blick nicht merken würde, dass ein Bootvirus etwas mit einem Netz- oder gar einem Handyvirus zu tun hat.

  • Cabir verbreitet sich per Bluetooth
  • ComWar verbreitet sich per MMS
  • Skuller verbreitet sich per Bluetooth
  • Mabir verbreitet sich per MMS
  • Fontal verbreitet sich über Bluetooth und MMS
  • StealWar verbreitet sich per Bluetooth
  • Lasco verbreitet sich per Bluetooth
  • Pbstealer verbreitet sich per Bluetooth

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. a b https://wiw.org/~meta/vsum/view.php?vir=1306 wiw.org Stoned
  2. http://www.symantec.com/security_response/writeup.jsp?docid=2000-121811-2556-99

Weblinks[Bearbeiten | Quelltext bearbeiten]