Die Evolution der Malware-Entwicklung

Bei jedem Entwicklungsprozess der Menschheitsgeschichte orientiert sich die jüngere Generation an ihren Vorgängern. Sie übernimmt Bewährtes und versucht, neues daraus zu entwickeln. Das gilt auch für die Zunft der Malware-Entwickler, die PCs mit immer neuen Schadcode-Generationen bedrohen.

Die ersten Schadprogramme

Mit ‘Brain’ erschien 1986 der erste PC-Schädling. Dieser Virus modifizierte den ersten Sektor von Floppy-Disks und ging dabei folgendermaßen vor: Brain sitzt auf einer infizierten Diskette und lädt sich beim Bootvorgang in den Speicher. Dabei muss es sich nicht um eine Systemdiskette handeln, denn jede beliebige Floppy-Disk erfüllt diesen Zweck. In den meisten Fällen merkten Anwender gar nicht, dass die Diskette bootet. Häufig haben sie beim Herunterfahren des Rechners schlicht vergessen, die Diskette aus dem Laufwerk herauszunehmen und beim nächsten Start auch nicht mehr daran gedacht, dass sie sich noch dort befindet. Unterstützt das BIOS auch Disketten als Bootmedien, erkennt das System die Diskette in Laufwerk A und lädt automatisch jeden Code, der sich im Bootsektor befindet. Bei einer infizierten Diskette gelangt so der Virus auf den Rechner.

Die Autoren von Bootsektor-Viren mussten keine Social-Engineering-Methoden einsetzen, um ihre Machwerke zu verbreiten. Dafür sorgten die Anwender selbst. Disketten waren damals das einzig erschwingliche Medium, um Daten zwischen Computern auszutauschen. Früher oder später gab also ein Anwender eine infizierte Diskette an einen Freund, Kollegen oder Kunden weiter und verbreitete so den Virus.

In den folgenden Jahren entwickelten sich die Bootsektor-Viren technisch immer weiter. Während Brain sich nur auf Floppydisks verbreitete, infizierten viele seiner Nachfolger bereits ganze Festplatten. In den meisten Fällen schrieben sie dabei wie der Virus Form Code in den MBR (Master Boot Record). Einige wenige Exemplare wie zum Beispiel ‘Purcyst’ infizierten sowohl den MBR als auch den Bootsektor.