Stoned (Computervirus)
Stoned | |
---|---|
Name | Stoned |
Aliase | New Zealand, Marijuana |
Bekannt seit | 1987 |
Erster Fundort | Neuseeland |
Virustyp | Bootsektorvirus |
Dateigröße | 512 Bytes |
Wirtsdateien | Bootsektor, MBR |
Verschlüsselung | nein |
Stealth | ja |
Speicherresident | ja |
System | x86 (DOS-PC) |
Programmiersprache | x86-Assembler |
Stoned ist ein Bootsektorvirus für MS-DOS-Computer, das im Jahr 1987 erstmals in freier Wildbahn entdeckt wurde. Das originale Virus wurde erstmals 1987 in der Stadt Wellington, Neuseeland, entdeckt.[1] Es wurde für MS-DOS-Systeme entwickelt.
Es sind zahlreiche Versionen und Derivate von Stoned bekannt. 1992 löste eine davon die sogenannte Michelangelo-Hysterie aus.
Versionen und Derivate
Es gibt zahlreiche Varianten des Stoned-Virus.[2] Zu den bekanntesten gehören:
- Stoned.Michelangelo.a war im Jahr 1992 ein großes Thema in den Medien und löste eine weltweite Computervirenpanik aus.
- Stoned.Angelina war eine sehr verbreitete Variante aus Polen, die einen Gruß an eine Frau namens Angelina enthielt.
Weitere Varianten sind u. a.:
- Stoned.Zapper
- Stoned.Sanded
- Stoned.June4th.a
- Stoned.SexRevolution1.1
- Stoned.SexRevolution2.0
- Stoned.SwedishDisaster
- Stoned.Rostov
- Stoned.Stoned-8
- Stoned.Stoned-16
- Stoned.Stoned.16.a
- Stoned.Damien
- Stoned.Bravo
- Stoned.Laodung
- Stoned.Noint
- Stoned.Azusa.a
- Stoned.Bunny.a
- Stoned.Dani ela
- Stoned.Dinamo Empire.INT.10.b
- Stoned.Standard.a
- Stoned.Lzr
- Stoned.Empire.Monkey.a
- Stoned.Empire.Monkey.b
- Stoned.Kiev
- Stoned.NOP
- Stoned.Manitoba
- Stoned.W-Boot
- Stoned.No INT.a
- Stoned.Teraz
- Stoned.b
- Stoned.c
- Stoned.d
- Stoned.e
- Stoned.Sonus
- Stoned.Nulls
- Stoned.Donald
- Stoned.Flushed
- Stoned.In love
- Stoned.stoned-floppy
- Stoned.Mexican
- Stoned.WD1
- Stoned.WD2
- Stoned.WD3
- Stoned.WD4
- Stoned.WD5
- Stoned.WD6
- Stoned.WD7
- Stoned.Australian
- Stoned.Bloody
- Stoned.Brunswick
- Stoned.Epbr
- Stoned.Hawaii
- Stoned.Hemp
- Stoned.HongKong
- Stoned.Lisa2
- Stoned.Marijuana
- Stoned.Monkey
- Stoned.Monkey2
- Stoned.NewZealand
- Stoned.NOP
- Stoned.SanDiego
- Stoned.Sanded
- Stoned.SexRevolution
- Stoned.Smithsonian
- Stoned.Stonehenge
- Stoned.Whit
- Stoned.Sbtv
Funktion
Infektion
Stoned breitet sich nur per Diskette, nicht jedoch via Internet aus. Das Wort bzw. die Zeichenkette „Stoned“ ist auch im Quellcode enthalten, wobei dies nur als Name vom Autor angegeben wurde. Stoned infiziert ausschließlich den Bootsektor, den Partitions-Sektor von Festplatten und natürlich auch den Bootsektor von Disketten.
Das Infizieren erfolgt über den Bootvorgang einer infizierten Diskette. Beim Starten des Computers installiert sich das Virus auf der Festplatte, kopiert den Master Boot Record an einen anderen Platz und überschreibt den MBR an der früheren Stelle. Beim Start der Festplatte wird normalerweise der MBR ausgeführt, jedoch wurde der original MBR mit dem Stoned-Virus überschrieben. Ab diesem Zeitpunkt ist der Virus speicherresident. Der Virus wird in den Arbeitsspeicher geladen, wobei dieser mit 2048 Bytes belegt wird. Als Nächstes fängt das Stoned-Virus den Interrupt 13h (Lesen von/Schreiben auf Datenträger) ab und führt danach den Original-MBR aus, wobei der Startvorgang von jetzt an ganz normal fortgesetzt wird.
Wenn auf die Diskette zugegriffen wird, liest der Virus die (eventuell noch nicht von anderen Viren) infizierte Diskette und prüft, ob sie schon mit einem Stoned-Virus infiziert wurde. Wenn die Diskette noch nicht infiziert ist, installiert der Virus sich im Bootsektor der Diskette, falls diese nicht schreibgeschützt ist. Somit wird diese Diskette jeden Computer infizieren, wenn sie gebootet wird. Am Ende versucht der Virus, jede nicht schreibgeschützte Diskette im Laufwerk A: zu infizieren, auf die zugegriffen wird (Laufwerk B: ist nicht betroffen). Am Ende sind die Bootsektoren der Disketten, der MBR (Master Boot Record bzw. Master-Boot-Partitionssektor) und/oder der DOS Boot Record bzw. der DOS-Bootsektor von diesem Virus befallen.
Payload
Während des Bootvorgangs erscheint manchmal (etwa in einem von sechs Fällen) die Nachricht:[1]
Your PC is now Stoned!
oder
Your PC is now Stoned! LEGALISE MARIJUANA!
Anschließend ist der Rechner eingefroren.
Der Trigger und die Payload-Symptome variieren bei anderen Versionen des Virus beträchtlich. Beispielsweise:
- Statt des Textes gibt es Tonbotschaften über den PC-Lautsprecher, wie Oh Tannenbaum oder auch viele andere Lieder.
- Der Arbeitsspeicher ist vom Start bis zum Ausschalten des Computers mit 2048 Bytes durch den Virus belegt.
- Simulationen von Hardwaredefekten
- Fehlfunktionen von Programmen
- Verschwinden einiger Dateien oder kompletter Datenverlust
Je nach Variante können diese Symptome auf eine Virusinfektion hinweisen, die Symptome können jedoch bei jeder Stonedversion unterschiedlich sein. Die Variante Stoned.SwedishDisaster nutzt beispielsweise die Zeichenkette The Swedish Disaster
.
Spätere Auswirkungen
Das größte Aufsehen erregte ohne Zweifel im Frühjahr 1992 die Variante Stoned.Michelangelo.a. In den Medien und der Öffentlichkeit wurde das Schadprogramm als der „neue“ Virus Michelangelo bekannt. Der Virus war entsprechend modifiziert um nicht von denselben Suchmustern wie seine Originalversion erkannt zu werden. Der Trigger aktivierte sich nun an jedem 6. März, bezogen auf das eingestellte Systemdatum. Im Gegensatz zu Stoned konnte diese Variante aber massiven Schaden durch komplette Datenverluste verursachen. Der Payload überschrieb alle Daten, ein wirksames Mittel zur Wiederherstellung wurde nicht gefunden. Die Presse berichtete im Vorfeld von Millionen infizierten Rechner, es kam am 6. März aber nur zu etwa 10.000 bis maximal 20.000 Schadensfällen. John McAfee war damals noch einer der ersten Hersteller von Antivirensoftware. Seine Umsätze explodierten 1992 aufgrund der Michelangelo-Hysterie förmlich. Als am 6. März 1992 die Schäden nicht annähernd das erwartete Maß erreichten, verloren die Massenmedien das Interesse an Stoned.Michelangelo.a recht schnell wieder.
Das Stoned-Virus hatte viel Einfluss auf die modernen Viren wie z. B. Cabir, CommWarrior (Abkürzung Comwar) und Skuller.gen. Aus Cabir entstanden dann verschiedene Trojaner, Viren und Würmer wie Mabir.a, Fontal.A, StealWar, Lasco und Pbstealer – obschon sich die Quellcodes von StealWar, Lasco und Pbstealer dem Stoned-Virus, ja sogar dem Cabirvirus gar nicht ähneln, sind diese Viren alle sehr nahe Verwandte. Allerdings sind die Verhaltensweisen bei den neuen Viren viel aggressiver, obwohl man auf den ersten Blick nicht merken würde, dass ein Bootvirus etwas mit einem Netz- oder gar einem Handyvirus zu tun hat.
- Cabir verbreitet sich per Bluetooth
- ComWar verbreitet sich per MMS
- Skuller verbreitet sich per Bluetooth
- Mabir verbreitet sich per MMS
- Fontal verbreitet sich über Bluetooth und MMS
- StealWar verbreitet sich per Bluetooth
- Lasco verbreitet sich per Bluetooth
- Pbstealer verbreitet sich per Bluetooth