Cascade (Computervirus)

aus Wikipedia, der freien Enzyklopädie
Dies ist die aktuelle Version dieser Seite, zuletzt bearbeitet am 22. September 2022 um 20:23 Uhr durch imported>Y2kbug(217280) (lf x86; MS-DOS gibt/gab es nur auf x86, gemeint ist allerdings MS-DOS als Plattform, damit sind auch andere DOS-PCs "kompatibel" mit dem Virus ;-)...).
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Cascade
Name Cascade
Aliase Herbstlaub, Blackjack
Bekannt seit 1987
Erster Fundort Bundesrepublik Deutschland
Virustyp Dateivirus
Dateigröße 1.701 Bytes oder 1.704 Bytes
Wirtsdateien COM
Verschlüsselung oligomorph
Stealth nein
Speicherresident ja
System MS-DOS (DOS-PC)
Programmiersprache x86-Assembler
Info Erstes selbstverschlüsselndes Virus

Cascade ist ein Computervirus, das im deutschsprachigen Raum auch unter dem Namen Herbstlaub bekannt ist. Die 1704-Variante (Blackjack) wurde erstmals im Oktober 1987 an der Universität Konstanz entdeckt.[1]

Cascade war das erste Virus, das seinen Code selbst verschlüsselte. Dadurch versuchte sich eine Infektion vor der damals noch neuen Antivirussoftware zu verstecken.

Bis in die 1990er Jahre gehörte Cascade zu den häufigsten Viren, die in Mitteleuropa unkontrolliert in Umlauf waren.

Cascade wurde vermutlich ohne bösartige Absicht entwickelt, das Virus wurde oft als Scherzprogramm angesehen. Diese Sichtweise ist aber strittig, denn der Anwender war durch den Payload zu einem Neustart gezwungen. Dabei konnten natürlich auch Datenverluste vorkommen. Das war aber nicht lange von Bedeutung, da die originale Version des Virus den Payload nur zwischen dem 1. Oktober und dem 31. Dezember 1988 auslöste.

Aliasse

Das Virus Cascade ist auch unter folgenden Namen bekannt:[2]

  • Blackjack: Der Name bezieht sich auf die Größe des Viruscodes: Die in Konstanz entdeckte Variante vergrößert die befallenen Programme um 1704 Bytes; das Kartenspiel Blackjack ist auch unter dem Namen 17 und 4 bekannt.
  • 1701: Der Name bezieht sich auf eine Variante, die die befallenen Programme um 1701 Bytes vergrößert.
  • Autumn, Herbstlaub oder Herbst: Der Payload erinnert entfernt an Blätter, die im Herbst von einem Baum fallen.

Versionen und Derivate

  • Da viele spätere Varianten 1.704 Bytes lang waren, etablierte sich auch die Bezeichnung 1704 oder Cascade.1704.
  • Colani ist der Name eines Derivates mit leicht abgeänderter Erscheinungsform. Der eigentliche Schadcode ist identisch.
  • Es gibt eine Version namens Cascade.format, deren Payload die Festplatte formatiert.
  • Eine fehlerhafte Version des Virus infiziert ein und dieselbe Datei immer wieder. Dabei wächst die Dateigröße entsprechend an.
  • 17Y4 ist eine Variante aus dem damaligen Staat Jugoslawien, bei der lediglich einige Bytes manuell verändert wurden, um Virenscanner zu täuschen.

Funktion

Cascade ist in der ursprünglichen Version insgesamt 1.701 Bytes groß und befällt nur COM-Dateien. 3 Bytes zu Beginn der Datei werden als Sprung auf den angehängten Virus-Code modifiziert, die originalen 3 Bytes werden gesichert.

Infektion

Da Cascade nur Dateien infiziert, die über die Funktion 4Bh und die Unterfunktion 00h des Interrupts 21h geladen werden, kann sich das Virus nur auf Rechnern mit dem Betriebssystem MS-DOS verbreiten.[3]

Cascade verbreitete sich über infizierte Dateien und den Systemspeicher. Beim Ausführen einer infizierten Datei wird der Viruscode in den Speicher geladen. Von dort aus infiziert er dann alle gestarteten COM-Dateien. Das Umbenennen der Dateiendung in EXE schützt nicht vor einer Infektion, denn MS-DOS unterscheidet zwischen EXE- und COM-Dateien nicht anhand der Dateibezeichnung, sondern durch Abfrage des EXE-Headers.[3]

Der Aufruf eines infizierten Programms kann auch zu Fehlern führen. Als Wirtsdateien kommen COM-Dateien bis zu einer Länge von 63.800 Bytes in Frage. Dateien mit einer Länge von mehr als 63.576 Bytes werden ebenfalls infiziert, können nach der Infektion aber nicht mehr geladen werden.[3]

Das Virus prüft über eine Abfrage am BIOS, ob es sich beim System um einen Rechner der Firma IBM handelt. Der Viruscode sieht vor, in diesem Fall keine Infektion durchzuführen. Aufgrund eines Softwarefehlers funktioniert das in der Praxis aber nicht wie gewünscht. Von IBM hergestellte Rechner werden ebenfalls infiziert.

Befallene Dateien konnten durch Antivirenprogramme oder entsprechende Tools meist sauber bereinigt werden.

Payload

Animation des Payload von Cascade

Der Payload wurde nur getriggert, wenn die Systemzeit auf ein Datum von 1. Oktober bis zum 31. Dezember 1988 eingestellt war.[3]

Das Virus ließ dann kurz nach der Ausführung einer infizierten Datei auf dem Bildschirm Schriftzeichen nach unten fallen, bis sie auf ein anderes Schriftzeichen stießen oder die unterste Bildschirmzeile erreichten. Der Computer wurde dadurch mehr oder weniger unbenutzbar. Man musste den Rechner neu starten, dadurch gingen eventuell Daten verloren.[3]

Bei den zahlreichen Derivaten von Cascade wurden Payload und Trigger teils modifiziert oder komplett geändert.

Der Effekt mit den fallenden Buchstaben wurde von mehreren anderen Virenautoren aufgegriffen und kopiert. Beispielsweise verwenden die Computerviren Swap und Traceback einen optisch gleichen Payload.

Verschlüsselung

Der Viruscode wurde in Assembler programmiert.

Cascade gilt heute als erstes speicherresidentes Dateivirus unter MS-DOS sowie als erstes Virus, das sich selbst verschlüsseln konnte.[4] Damit begründete es die zweite Generation der Computerviren. Anders als die späteren polymorphen Viren, verschlüsselte Cascade nur den Schadcode. Die Entschlüsselungsroutine bleibt unverändert, wodurch spätere Antivirenprogramme das Virus schließlich problemlos aufspüren konnten. Die Kapazität der infizierten Datei wird als Dechiffrierschlüssel genutzt.

Der Verschlüsselungscode ist sehr kurz und wurde in der Vergangenheit oft für Lehrzwecke benutzt:

LEA SI,...
MOV SP,0682h
JUMP:
XOR WORD PTR [SI],SI
XOR WORD PTR [SI],SP
INC SI
DEC SP
JNZ JUMP

Im Jahr 1989 entwickelte Mark Washburn auf Basis dieser Verschlüsselungsroutine den ersten polymorphen Virus namens 1260. Der virale Code selbst stammte vom Vienna-Virus.

Folgen

Computerviren für IBM-PC waren im Jahr 1987 noch relativ neu, lediglich ein gutes Dutzend verbreitete sich damals unkontrolliert. In dieser Zeit nahm die Fachpresse das Thema erstmals auf, die Öffentlichkeit begann langsam Notiz davon zu nehmen. Erste Virenscanner wurden als Shareware angeboten. Obwohl Computerviren noch Neuland waren, läutete Cascade mit seiner Verschlüsselungsfähigkeiten bereits die zweite Generation ein. Speicherresidenz und Verschlüsselung wurden künftig von vielen neuen Viren genutzt. Ein größeres Problem war ab dem Jahr 1990 die polymorphe Verschlüsselung, die Mark Washburn mit seinem experimentellen Virus 1260 vorstellte. Virenscanner konnten derartige Malware nicht mehr mit Signaturen oder Prüfsummen aufspüren.

Ein Programmierer mit dem Pseudonym Dark Avenger entwickelte unmittelbar nach Cascade zahlreiche ebenfalls speicherresidente und verschlüsselnde Viren, die aber im Gegensatz zu Cascade auch EXE-Dateien befielen.[5][6] Dark Avenger stammt vermutlich aus Bulgarien und galt damals als prominenter und einfallsreicher Virenproduzent.[7]

1988 verursachte Cascade einen ernsthaften Zwischenfall in der belgischen IBM-Niederlassung, was der Auslöser für IBMs eigene kommerzielle Antiviren-Produktentwicklung war. Bis zu diesem Zeitpunkt waren die von IBM entwickelten Antiviren-Programme nur zum internen Gebrauch bestimmt gewesen.

Im Oktober 1989 wurde der Rechner von Eugene Kaspersky mit einer Version von Cascade infiziert. Das war für ihn der ursprüngliche Grund, warum er sich für Computerviren zu interessieren begann. Jahre später gründete er das Antiviren-Projekt AVP, aus dem Kaspersky Lab hervorging. Nachdem er das Virus analysiert hatte, entwickelte Kaspersky ein Desinfektions-Tool dafür. Cascade war auch das erste Schadprogramm, das in die Antiviren-Datenbank von Kaspersky Lab aufgenommen wurde.[8][9]

Im April 1997 wurde dem britischen Fachmagazin Virus Bulletin nur noch eine Infektion mit Cascade gemeldet.[10]

Einzelnachweise

Weblinks