Pathogen (Computervirus)
Pathogen | |
---|---|
Name | Pathogen |
Bekannt seit | 1993 |
Erster Fundort | Großbritannien |
Virustyp | Dateivirus |
Autoren | Chris Pile Pseudonym: „The Black Baron“ |
Dateigröße | 7856 Bytes |
Wirtsdateien | COM, EXE |
Verschlüsselung | polymorph |
Stealth | nein |
Speicherresident | ja |
System | MS-DOS ab 4.0 (DOS-PC) |
Programmiersprache | x86-Assembler |
Pathogen ist ein Computervirus mit schädlichen Auswirkungen, das im Jahr 1993 in Großbritannien entwickelt wurde und dort Mitte der 1990er sehr verbreitet war. Urheber war der englische Programmierer Chris Pile. Er wurde 1995 zu 18 Monaten Freiheitsstrafe verurteilt.
Das Virus Queeg aus dem Jahr 1994 war ebenfalls verbreitet und ist eine nur leicht modifizierte Variante von Pathogen. Queeg stammt ebenfalls von Chris Pile.[1]
Aliasse
[Bearbeiten | Quelltext bearbeiten]Pathogen und Queeg wurden mit der Mutationsengine Simulated Metamorphic Encryption Generator (SMEG) zu polymorphen Viren weiterentwickelt und sind daher auch unter den Namen SMEG.Pathogen und SMEG.Queeg bekannt. SMEG stammt ebenfalls von Chris Pile und wird teilweise als Virus Construction Kit oder selbst als Virus bezeichnet. Das ist aber falsch, es handelt sich um eine polymorphe Engine, mit der ein bereits fertiger Virencode überarbeitet und erweitert wird.[1]
Die Namen „Smeg“, „Queeg“ und „Pathogen“ stammen aus der britischen Science-Fiction-Serie Red Dwarf. Zitate aus dieser Serie wurden auch für Textmeldungen der Viren verwendet.[1][2][3]
Versionen und Derivate
[Bearbeiten | Quelltext bearbeiten]Die neuere Version Queeg wurde von Chris Pile etwa ein Jahr nach Pathogen erstellt. Am unverschlüsselten Viruscode wurde nur die Textmeldung des Payload geändert. Queeg wurde aber mit einer neueren Version von SMEG getarnt. Praktisch machte dies keinen wirklichen Unterschied.
Funktion
[Bearbeiten | Quelltext bearbeiten]Der Viruscode von Pathogen und Queeg wurde in x86-Maschinensprache geschrieben.[4]
Verschlüsselung
[Bearbeiten | Quelltext bearbeiten]Pathogen und Queeg sind stark polymorph und können unzählige Formen annehmen. Der Viruscode ändert seine Form bei jeder Infektion. Zusätzlich verwendete der Entwickler des Codes eine Menge irrelevanter Anweisungen zwischen den tatsächlichen Befehlen, von denen sich heuristische Erkennung täuschen ließ. Der Schlüssel selbst war sehr kurz und als Virensignatur nicht zu gebrauchen. Die Hersteller von Antivirensoftware mussten erst einen brauchbaren Algorithmus in der Verschlüsselung finden, um ihre Programme an die effektive Tarnung durch SMEG anzupassen.[4]
Infektionsroutine
[Bearbeiten | Quelltext bearbeiten]Wenn eine infizierte Datei ausgeführt wird, wird das Virus speicherresident und belegt 7.872 Bytes im RAM. Von dort aus infiziert es mittels Interrupt 21h
und Funktion 4B
weitere Programmdateien.[1] Der Viruscode von Pathogen hängt sich an das Ende der Datei an. Das Virus infiziert keine Dateien, deren Zeitstempel mehr als hundert Jahre von der aktuellen Systemzeit abweicht. Dafür werden Interrupt 21h
und Funktion 18FF
verwendet.[4]
Als Wirtsdateien dienen sowohl EXE- als auch COM-Dateien.[1] Um die Systemdatei COMMAND.COM
und die Echtzeit-Überwachung einiger Antivirenprodukte zu umgehen, infizieren Pathogen und Queeg keine Dateien, deren Namen folgendermaßen beginnen: co*.* F-*.* Sc*.* TB*.* Vi*.* fs*.* vp*.* vs*.* cl*.* sm*.* fl*.*
[4]
Payload
[Bearbeiten | Quelltext bearbeiten]Das Virus enthält einen Counter, der die Anzahl der erfolgreichen Infektionen zählt. Nachdem 32 Dateien infiziert wurden, kann der Payload getriggert werden. Wird dann an einem Montag zwischen 17:00 und 17:59 Uhr[4] ein infiziertes Programm ausgeführt, hat das folgende Effekte:[1][5]
- Die Tastatur wird abgeschaltet
- Die Daten der ersten 256 Zylinder auf der Festplattes werden zerstört
- Das BIOS wird manipuliert, um die Laufwerke abzuschalten
- Folgende Bildschirmmeldung erscheint:[1]
Your hard-disk is being corrupted, courtesy of PATHOGEN! Programmed in the U.K. (Yes, NOT Bulgaria!) [C] The Black Baron 1993-4. Featuring SMEG v0.1: Simulated Metamorphic Encryption Generator! 'Smoke me a kipper, I'll be back for breakfast.....' Unfortunately some of your data won't!!!!!
„Yes, NOT Bulgaria“ ist eine Anspielung auf den Virusautor Dark Avenger, der vermutlich aus Bulgarien stammt und ein Jahr zuvor mit der Mutations Engine als erster ein Tool zur polymorphen Virenverschlüsselung entwickelt hatte. Polymorphe Viren kamen um 1993 überwiegend aus Bulgarien.
In der angezeigten Bildschirmmeldung besteht auch der einzige Unterschied zur Variante Queeg. Bei Queeg lautet der Text:
-¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦ - -» QUEEG «- - - 17:50, July 29, 1997 (UTC) - -(C)The Black Baron 1994 - - - - Featuring: SMEG v0.2 - - - - Better than life..... - L¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦-
In der zweiten Zeile zeigt die Meldung die aktuelle Systemzeit an.
Die Textnachrichten sind doppelt verschlüsselt. So bleiben sie auch dann noch vor Antivirusprogrammen getarnt, wenn das Virus in den Speicher geladen ist. Sie wären sonst leicht als Virensignatur verwendbar. Die Texte werden erst direkt vor Ausführung des Payload wieder entschlüsselt.[4]
Hinweis
[Bearbeiten | Quelltext bearbeiten]Die Windows-NT-Systemdatei NTIO.SYS
sowie die Datei MACROMIX.DLL
bewirkten bei McAfee-Virenscannern häufig einen Fehlalarm. Es wurde dann fälschlich eine Infektion mit einem durch SMEG verschlüsselten Virus angezeigt.[1]
Der Autor
[Bearbeiten | Quelltext bearbeiten]Hinter dem Pseudonym The Black Baron konnten britische Ermittlungsbehörden den Programmierer Chris Pile ausfindig machen. Bei seiner Verhaftung im Jahr 1995 war er 26 Jahre alt und arbeitslos. Unter anderem wurde ihm zur Last gelegt, mit seinen Viren allein bei einem Opfer einen Schaden in Höhe von einer halben Million britischer Pfund verursacht zu haben. Im Mai 1995 wurde er in mehreren Punkten für schuldig befunden und als erste Person nach dem Britain's Computer Misuse Act schuldig gesprochen, der knapp fünf Jahre zuvor erlassen wurde.[2][6] Am 15. November 1995 wurde das Strafmaß verkündet und Chris Pile wurde zu 18 Monaten Freiheitsentzug verurteilt.[1][7]
Pile galt schon den 1980er Jahren als fähiger Programmierer, hatte als Autodidakt aber keine entsprechende Ausbildung vorzuweisen. Er arbeitete vor und nach seiner Inhaftierung als Programmierer von kommerziellen Computerspielen, vor allem für Z80-Systeme wie Game Boy, Game Gear oder Sega Master System.
Ähnliche Viren
[Bearbeiten | Quelltext bearbeiten]- Cascade (aka Herbstlaub) war das erste bekannte Virus mit Selbstverschlüsselung
- 1260 (aka Chameleon) war das erste bekannte Virus mit polymorpher Verschlüsselung
Einzelnachweise
[Bearbeiten | Quelltext bearbeiten]- ↑ a b c d e f g h i f-secure.com Eintrag zu Pathogen und Queeg
- ↑ a b netlux.org Artikel aus dem Crypt Magazine, 1996
- ↑ independent.co.uk Mad boffin jailed over computer virus havoc
- ↑ a b c d e f uni-hamburg.de Eintrag zu Pathogen
- ↑ rbs2.com Artikel zu Pathogen und Queeg
- ↑ cbsnews.com Melissa Creator gets 2nd jail term
- ↑ virusbulletin.com Artikel über Pathogen und Queeg
Weblinks
[Bearbeiten | Quelltext bearbeiten]- Independent.co.uk Artikel zu Chris Piles Verurteilung.
- A general description of the methods behind a polymorph engine by The Black Baron