www.wikidata.de-de.nina.az

Michelangelo Computervirus Das Michelangelo Virus ist ein Bootvirus für DOS Systeme auf AT oder PS 2 Rechnern Es war das

Michelangelo (Computervirus)

Das Michelangelo-Virus ist ein Bootvirus für DOS-Systeme auf AT- oder PS/2-Rechnern. Es war das erste Computervirus, das große Aufmerksamkeit in den Medien und Nachrichten erlangte. Im Nachhinein etablierte sich für die übertriebene Berichterstattung die Bezeichnung „Michelangelo-Hysterie“.

Michelangelo
Name Michelangelo
Aliase Stoned.March6.a
Bekannt seit 1991
Erster Fundort Australien
Virustyp Bootsektorvirus
Dateigröße 512 Bytes
Wirtsdateien Bootsektor, Master Boot Record
Stealth nein
Speicherresident ja
System IBM-PC und kompatible Computer
Programmiersprache x86-Assembler
Info Der Payload kann nur bei AT
und PS/2 ausgelöst werden

Das Virus war keine Neuentwicklung. Michelangelo basierte auf dem bereits seit 1987 bekannten Bootvirus Stoned, das auch unter den Namen Marijuana oder New Zealand Virus bekannt ist. Der Viruscode war entsprechend modifiziert, damit Antivirus-Programme ihn nicht mehr erkennen konnten.

Herkunft Bearbeiten

Zum ersten Fund des Virus gibt es unterschiedliche Angaben. Am verlässlichsten dürfte die Fachzeitschrift Virus Bulletin sein, die in der Ausgabe vom Oktober 1991 Australien als ersten Fundort nannte. Möglicherweise wurde dort aber auch nur der Viruscode erstmals isoliert.

Laut einigen anderen Quellen wurde Michelangelo erstmals im April 1991 in Neuseeland entdeckt. Als im Juli 2017 ein Rückblick zur Michelangelo-Hysterie abgedruckt wurde, gab der Heise-Verlag in der Zeitschrift c’t an, dass das Virus bereits im Februar 1991 gefunden wurde. Außerdem geben einige Websites an, dass Michelangelo erstmals in den Niederlanden oder in Schweden entdeckt wurde, meist wieder mit April 1991 als Datum.

Der Urheber der Malware ist unbekannt.

Aliasse Bearbeiten

Der Quellcode von Michelangelo enthält keine Signatur, Versionsnummer, Daten oder Namen. Der Entdecker des Virus, der australische Ingenieur und Programmierer Roger Riordan, stellte fest, dass der Payload am 6. März ausgelöst wird. Er wollte das Schadprogramm nach einem Freund benennen, dessen Geburtstag auf dieses Datum fällt. Dieser schlug vor, stattdessen den Namen einer bekannten Persönlichkeit zu verwenden. Das Geburtsdatum des Renaissance-Künstlers Michelangelo erwies sich dann als passend. Da es für Computerviren keine festgelegte Nomenklatur gibt, sind mehrere Trivialnamen gebräuchlich. Ebenso verwenden Hersteller von Antivirensoftware verschiedene Bezeichnungen für Malware. Aufgrund der Medienpräsenz, die das Virus 1992 erlangte, ist es aber vor allem unter dem Namen „Michelangelo“ ein Begriff.

Weitere Namen sind Stoned.March6.a und Stoned.Michelangelo.

Funktion Bearbeiten

Das Virus soll zu MS-DOS/PC DOS kompatible DOS-Systeme infizieren, es greift das Betriebssystem jedoch nicht an und führt auch keine internen Befehle aus. Michelangelo agiert größtenteils, wie es typisch für Bootviren ist, auf BIOS-Ebene. Michelangelo ist eine Variante des Stoned-Virus. Dabei wurden weite Teile des Codes neu geschrieben, es handelt sich nicht um eine simple Modifikation. Das Virus verwendet keine Stealth- oder Polymorph-Techniken, um sich vor dem Anwender oder vor Antiviren-Scannern zu tarnen.

Infektion Bearbeiten

Wird ein passender Rechner von einem infizierten Datenträger gebootet, reserviert sich Michelangelo zwei Kilobyte Systemspeicher unter der Adresse 40h:13h. Dann kopiert sich der Viruscode in diesen Bereich. Ist eine Festplatte vorhanden, liest das Virus den Master Boot Record (MBR) und prüft, ob dieser bereits infiziert ist. Genau wie der Stoned-Virus vergleicht auch Michelangelo die ersten 4 Bytes des MBR mit den ersten Bytes seines eigenen Code. Bei Nichtübereinstimmung versucht das Virus zu infizieren. Michelangelo speichert den ursprünglichen MBR in Spur 0, Kopf 0, Sektor 7. Die letzten 66 Bytes des MBR, die die Partitionstabelle enthalten, werden an das Ende des Viruscodes kopiert und dann in Spur 0, Kopf 0, Sektor 1 geschrieben. Nach der Infektion der Festplatte überträgt das Virus die Kontrolle im Chainloading-Prinzip an den ursprünglichen Boot-Code des MBR.

  • Auf Festplatten verschiebt das Virus den ursprünglichen Master Boot Record zu Zylinder 0, Kopf 0, Sektor 7.
  • Auf Disketten, falls deren Kapazität 360 kB beträgt, wird der original Bootsektor zu Zylinder 0, Kopf 1, Sektor 3 verschoben.

Auf anderen Disketten verschiebt das Virus den ursprünglichen Bootsektor zu Zylinder 0, Kopf 1, Sektor 14.

  • Das ist das letzte Verzeichnis einer 1,2-MB-Diskette.
  • Das ist das vorletzte Verzeichnis einer 1,44-MB-Diskette.
  • Dieses Verzeichnis existiert nicht auf 720-kB-Disketten.

Obwohl das Virus DOS-Systeme infizieren sollte, kann es auch leicht unter anderen Betriebssystemen zu Schäden kommen, da es, wie viele andere Viren auch, den Master Boot Record einer Festplatte infiziert. Nachdem ein System infiziert wurde, wird jede Diskette, auf die das System zugreift, unverzüglich infiziert. Auf IBM-PC-kompatiblen Rechnern besteht durch ein Programm grundsätzlich keine direkte Möglichkeit, um zu prüfen, ob aktuell eine Diskette ins Laufwerk eingelegt ist. Schreib- und Lesevorgänge werden auch bei leerem Laufwerk ausgeführt, geben dann aber eine Fehlermeldung zurück. Eine unbemerkte Infektion war erst möglich, nachdem durch den Anwender ein aktiver Zugriff auf das Laufwerk stattfand. Da das Virus die meiste Zeit keine Auswirkungen zeigte, war es durchaus möglich, dass eine Infektion über Jahre unentdeckt blieb. Dass Michelangelo aufgrund seiner Art, Disketten zu infizieren, in den kommenden Jahren aussterben würde, war somit absehbar. Das Virus konnte sich nicht effektiv über 3,5"-Disketten verbreiten, und das 5,25"-Format war bereits veraltet. Der Vervielfältigungs-Code des Virus ist für Disketten mit 15 Sektoren pro Spur sowie auf Festplatten ausgelegt. 3,5"-Disketten mit 720 KByte waren somit komplett immun gegen Michelangelo. Die HD-Variante mit 1,44 MByte wird infiziert und könnte beim Bootvorgang auch weitere Infektionen verursachen. Solche Disketten sind aber nach der Infektion nicht mehr lesbar und müssen (virusfrei) neu formatiert werden. Es erscheint dann die Fehlermeldung: Allgemeiner Fehler beim Lesen von Laufwerk X:. Für die Weiterverbreitung von Bootviren ist eine defekte Diskette in der Praxis weitgehend sinnlos. Für effektive Ausbreitung ist ein solches Virus auf nicht-schreibgeschütze Bootdisketten angewiesen. Rechner mit dem Betriebssystem DR-DOS können jedoch auch diese Disketten einwandfrei lesen und verarbeiten.

Wird der Bootsektor nicht nur von Michelangelo, sondern zusätzlich von einem anderen Bootvirus infiziert, kann das zur Folge haben, dass beim Systemstart der MBR nicht mehr gefunden werden kann. In diesem Fall muss der Rechner mit einer Diskette gebootet werden, um den MBR anschließend neu zu schreiben.

Payload Bearbeiten

Das Virus enthält eine Logikbombe, die am 6. März, dem Geburtstag von Michelangelo Buonarroti, gezündet wird. Es gibt keinen Hinweis auf den Künstler innerhalb des Viruscode, und es ist generell zu bezweifeln, dass der Autor eine Verbindung zwischen dem Virus und Michelangelo herstellen wollte. Ein wahrscheinlicheres Szenario ist, dass das Virus ein Angriff gegen das zu dieser Zeit besser bekannte Jerusalem-Virus war, das an jedem Freitag, den 13. einen ähnlichen Payload aktivierte. Da dieser Angriff genau eine Woche vor Freitag, 13. März 1992 lag, wären Computer-User betroffen gewesen, die glaubten, sich vor dem Jerusalem-Virus schützen zu können, indem sie am 12. März das Systemdatum verändern. Einer weiteren spekulativen Annahme nach wurde das Virus vom Entwickler kurz nach dem 6. März fertiggestellt. Den Trigger erst in einem Jahr zu aktivieren gab Michelangelo die nötige Zeit, um sich zu verbreiten. Allgemein werden Viren, die ihren Payload an einem bestimmten Tag im Jahr aktivieren, als „Geburtstagsvirus“ bezeichnet. Ein weiterer bekannter Vertreter ist die erste Version des CIH-Virus. Bei jedem Start eines infizierten Systems prüft Michelangelo das Systemdatum. Wird am 6. März kein Bootvorgang ausgeführt, löst man den Payload nicht aus. Durch Dauerbetrieb, der 1992 bei Netzwerkservern bereits üblich war, konnte ein System dem Schaden entgehen. Sollte es sich bei dem bootenden PC um einen AT oder einen PS/2 handeln, überschreibt das Virus an diesem Datum die ersten 100 Sektoren der Festplatte mit Nullen. Das Virus geht von einer Geometrie von 256 Zylindern, 4 Köpfen und 17 Sektoren je Spur aus. Obwohl sämtliche Benutzerdaten weiterhin auf der Festplatte vorhanden sind, waren sie für den durchschnittlichen Benutzer unauffindbar und somit verloren.

Die Auswirkungen auf Datenträger waren im Einzelnen:

  • Bei Disketten überschreibt der schädliche Code zuerst alle Informationen auf Spur 0, dann auf Spur 1 etc.
  • Auf einer 360K-Diskette werden die Sektoren 1–9 sowie die Köpfe 0 und 1 zerstört.
  • Auf anderen Diskettentypen werden die ersten 14 Sektoren jeder Spur zerstört.
  • Auf einer Festplatte zerstört das Virus die ersten 17 Sektoren auf jeder Spur, Kopf 0, 1, 2 und 3.

Zum Überschreiben verwendet Michelangelo den Inhalt von Speicherort 5000h:0000h. Da der Payload noch vor dem eigentlichen Systemstart ausgelöst wird, handelt es sich dabei vermutlich um einen Block Zero-Bytes. Bei mehreren Systemplatten überschreibt Michelangelo diese nacheinander. Ein sofortiges Abschalten des Rechners konnte somit die Daten auf der zweiten Platte retten. Eine Datenwiederherstellung war mit üblichen Mitteln aussichtslos.

Situation 1992 Bearbeiten

Die Michelangelo-Hysterie Bearbeiten

Der Entdecker von Michelangelo, Roger Riordan, schrieb kurz nach dem Virusfund ein maßgeschneidertes Antiviren-Programm und vertrieb es als Shareware über seine parallel laufende Softwarefirma Cybec. Als das britische Virus Bulletin Michelangelo im Oktober 1991 zum ersten Mal in seiner Malware-Hitliste aufführte, gingen IT-Kundige von einer eher moderaten Gefahr aus. Der Schädling hatte verglichen mit bereits bekannten Viren nichts wirklich Neues zu bieten.

Michelangelo erlangte im Januar 1992 große internationale Aufmerksamkeit, als sich herausstellte, dass einige Computer- und Softwarehersteller das Virus versehentlich mit ihren Produkten ausgeliefert hatten, z. B. der LANSpool-Printserver von Intel. Obwohl von der Printserver-Software nur 839 betroffene Disketten verschickt wurden, berichteten die Massenmedien meist von ungleich höheren Zahlen. Eine schlimmere Infektionsquelle stellte vermutlich eine verseuchte Master-Diskette in einem taiwanischen Kopierwerk dar. Über die Treiberdiskette der beliebten Artec-Maus konnte man sich daher den Michelangelo-Virus einfangen, wenn sie versehentlich beim Bootvorgang noch im Laufwerk eingelegt waren. Die Maus wurde 20.000-mal verkauft, der Anteil der infizierten Disketten ist aber unklar. Auch Treiber für Grafikkarten wurden in diesem Kopierwerk mit dem Virus verseucht.

Schon bald wurde in Presse und Nachrichtenmagazinen behauptet, 5 bis 15 Millionen Computer könnten mit Michelangelo infiziert sein. In Deutschland sprang Reuters auf den Zug auf und berichtete ebenfalls von Millionen befallenen Rechnern. Die Jugendzeitschrift Bravo brachte einen Artikel mit dem reißerischen Titel: „Computer-Besitzer in Angst! Gehen am 6. März alle Computer kaputt?“. Die Medienaufmerksamkeit war weltweit sehr groß. In Deutschland prägte sich später der Begriff „Michelangelo-Hysterie“. In englischsprachigen Ländern spricht man gleichbedeutend von der „Michelangelo Madness“.

Das BSI richtete eine spezielle Hotline ein. In der Zeit vom 17. Februar bis zum 1. März 1992 gingen rund 1.000 Anrufe ein, die allgemeine und spezielle Fragen zu Computerviren und Antivirusprogrammen betrafen. Man gab eine behördliche Warnung heraus. Das CERT gab im Februar 1992 Hinweise für den Umgang mit Michelangelo heraus.

Mehrere Fachleute, darunter einige Vertreter des Chaos Computer Clubs, sprachen von einer grundlosen Panikmache.

Professor Klaus Brunnstein, der damals an der Universität Hamburg ein Viren-Test-Center leitete, vertrat dagegen die Meinung, Michelangelo sei eine ernstzunehmende Gefahr. Das Virus sei sehr schädlich und vermutlich weit verbreitet.

Die Auswirkungen Bearbeiten

Am 6. März 1992 berichteten die Morgennachrichten in Deutschland bereits von ersten Fällen in Uruguay. Bei einigen militärischen Rechnern war die Systemzeit falsch eingestellt gewesen, daher wurde Michelangelos Payload vorzeitig ausgelöst. Im Laufe der nächsten Tage zeigte sich dann, dass es lediglich 10.000 bis 20.000 Fälle von Datenverlust weltweit gegeben hatte. In Deutschland wurden 150 betroffene Computer gemeldet, der erste Fall betraf den Firmenrechner einer Druckerei aus Aachen. Das war weit unter den Erwartungen der Öffentlichkeit.

Die britische Fachzeitschrift Virus Bulletin stuft die gesamten Auswirkungen von Michelangelo in einer Rückschau als „moderat“ ein. In Großbritannien wurden 117 betroffene PCs gemeldet. In den USA, wo die Hysterie am größten war, ging die Firma Dr Solomon’s von etwa 7.000 Schadensfällen aus. McAfee berichtete von knapp 10.000. In Südafrika hatte es etwa 1.000 Rechner in verschiedenen Apotheken erwischt, weil sie eine Preisliste in elektronischer Form bezogen. Der Großhändler hatte versehentlich infizierte Disketten verschickt.

Laut BSI betrug die Schadensbilanz in den Folgejahren in Deutschland für 1993 rund 50 gemeldete Fälle und 1994 rund 20 Fälle. Der 6. März fiel in diesen Jahren auf ein Wochenende, weswegen vergleichsweise wenige Firmen-PCs betroffen waren. Als Gründe für das unerwartet geringe Ausmaß gelten:

  • Die Verbreitung von Michelangelo und seine Infektionszahlen waren weit geringer als angenommen. Die unseriöse Berichterstattung hatte ein falsches Bild der Lage vermittelt.
  • Im Vergleich zu anderen Viren von 1992 sind die bekannten Fälle plus Dunkelziffer nicht unbedingt gering. Realistische Vergleiche sind hier kaum möglich, da andere Schadensfälle durch Viren in der Öffentlichkeit nicht dieselbe Aufmerksamkeit wie Michelangelo bekamen.
  • Viele Betroffene hatten ihren PC bereits gescannt und gesäubert.
  • Eine mutmaßlich nicht geringe Anzahl von Anwendern schaltete den Rechner am Stichtag sicherheitshalber nicht ein.
  • Andere Computerbesitzer verstellten rechtzeitig das Systemdatum, um den kritischen Tag zu überspringen.
  • Viele Serveranlagen werden nach Möglichkeit durchgehend betrieben. Der Payload wurde aber nur beim Bootvorgang getriggert.

Die Nachrichten verloren das Interesse und das Virus wurde schnell vergessen. Trotz des oben beschriebenen Szenarios, dass ein System über Jahre unbemerkt infiziert bleibt, wurden bis 1997 kaum entsprechende Fälle bekannt. 1998 wurden lediglich bei der Firma Symantec wieder zwei Fälle gemeldet, dann war es endgültig ruhig um Michelangelo. Mittlerweile werden anfällige Systeme wohl kaum noch betrieben.

Die Rolle von John McAfee Bearbeiten

Als Hauptverursacher der Medienpanik um den Michelangelo-Virus wird oft der amerikanisch-britische Unternehmer John McAfee genannt. Er war 1991 einer der noch wenigen Hersteller von Antivirensoftware. Die utopische Zahl von bis zu 15 Millionen infizierten Rechnern geht ursprünglich auf ihn zurück. Allgemein wird ihm bis heute vorgeworfen, dass er mit diesem Werbetrick nur den Umsatz seiner Firma erhöhen wollte.

Später stellte McAfee in einem weiteren Interview klar, dass er damals von den Journalisten gedrängt wurde, eine Zahl zu nennen. Da er sich aber nicht festlegen konnte und wollte, gab er bewusst eine schwammige Antwort. Er sagte, es können „5.000 oder 15 Millionen infizierte Rechner“ sein. In der Folge wurde er dann fehlerhaft zitiert, da den Medien die 15 Millionen anscheinend besser gefielen. Eine Panik auslösen oder einen Werbebetrug veranstalten sei nicht seine Absicht gewesen.

Die Verkaufszahlen des Antivirenprogrammes von McAfee schossen Anfang 1992 auf jeden Fall in die Höhe, er verkaufte in diesem Geschäftsjahr sieben Millionen Programme. Dieser Boom betraf im Lauf der Michelangelo-Hysterie aber auch alle anderen Hersteller von Virenscannern.

Einzelnachweise Bearbeiten

  1. https://www.heise.de/ct/ausgabe/2017-6-25-Jahre-Michelangelo-Virus-ein-Rummel-mit-Folgen-3638531.html Heise-Verlag, Zeitschrift c’t: 25 Jahre Michelangelo-Virus von Detlef Borchers, 3. März 2017
  2. „Michelangelo“ griff 10000 Rechner an, michaelsimm.de/DIE WELT, 7. März 1992
  3. PDF-Download - Virus Bulletin Ausgabe Oktober 1991
  4. (Memento vom 22. September 2008 im Internet Archive) pspl.com: Virus-Info
  5. http://www.today-in-history.de/index.php?what=thmanu&manu_id=1388&lang=en Today-in-history.de: Michelangelo 1992
  6. https://wiw.org/~meta/vsum/view.php?vir=874 Today-in-Hisory.de Michelangelo
  7. https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-michelangelo-virus-25-years-later TrendMicro.com: The Michelangelo virus - 25 years later
  8. https://nakedsecurity.sophos.com/2012/03/05/michelangelo-virus/ NakedSecurity.Sophos.com: Memories of the Michelangelo virus
  9. https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Michelangelo.aspx Sophos.com: Virus-Datenbank, Michelangelo (Übersicht)
  10. https://www.hgb-leipzig.de/~hilko/boot_sector/ HGB-Leipzig.de: The worldwide Michelangelo virus scare of 1992 - (Der Fall Michelangelo)
  11. https://www.virusbulletin.com/virusbulletin/2017/03/throwback-thursday-michelangelo-graffiti-not-art/ VirusBulletin.com - Analyse von Michelangelo, von Fridrik Skulason, Januar 1992
  12. https://malware.wikia.org/wiki/Michelangelo Malware.Wikia.com: Virus-Datenbank, Michelangelo
  13. https://www.csie.ntu.edu.tw/~wcchen/asm98/asm/proj/b85506050/ORIGIN/MICHEL~1.HTM CSIE.ntu.edu.tw: Michelangelo -- Graffiti Not Art
  14. https://www.internetx.com/news/michelangelo-25-jahre-nach-der-grossen-virushysterie/ InternetX.com: Michelangelo - 25 Jahre nach der großen Virenhysterie
  15. (Memento vom 12. Dezember 2005 im Internet Archive) – vmyths.com
  16. https://resources.sei.cmu.edu/library/asset-view.cfm?assetID=496264 Empfehlungen des CERT bezüglich Michelangelo
  17. https://taz.de/Michelangelo-schlapper-Master-of-Disaster/!1679068/ taz.de: Michelangelo - Schlapper Master of Disaster
  18. https://www.spiegel.de/spiegel/print/d-9274748.html Spiegel.de: Panikmache mit Michelangelo vom 2. März 1992
  19. https://ajrarchive.org/Article.asp?id=1673 AjrArchive.org: Michelangelo
  20. https://www.computerwoche.de/a/john-mcafee-wird-70,3216026 Computerwoche.de: John McAfee wird 70
  21. https://www.wz.de/digital/john-mcafee-software-pionier-und-schlitzohr_aid-30187615 WZ.de: John McAfee, Softwarepionier und Schlitzohr
  22. https://www.infosecurity-magazine.com/blogs/mcafee-michelangelo/ InfoSecurity-Magazine.com: McAfee und Michelangelo

Weblinks Bearbeiten

wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Das Michelangelo Virus ist ein Bootvirus fur DOS Systeme auf AT oder PS 2 Rechnern Es war das erste Computervirus das grosse Aufmerksamkeit in den Medien und Nachrichten erlangte 1 2 Im Nachhinein etablierte sich fur die ubertriebene Berichterstattung die Bezeichnung Michelangelo Hysterie MichelangeloName MichelangeloAliase Stoned March6 aBekannt seit 1991Erster Fundort AustralienVirustyp BootsektorvirusDateigrosse 512 BytesWirtsdateien Bootsektor Master Boot RecordStealth neinSpeicherresident jaSystem IBM PC und kompatible ComputerProgrammiersprache x86 AssemblerInfo Der Payload kann nur bei ATund PS 2 ausgelost werdenDas Virus war keine Neuentwicklung Michelangelo basierte auf dem bereits seit 1987 bekannten Bootvirus Stoned das auch unter den Namen Marijuana oder New Zealand Virus bekannt ist Der Viruscode war entsprechend modifiziert damit Antivirus Programme ihn nicht mehr erkennen konnten Inhaltsverzeichnis 1 Herkunft 2 Aliasse 3 Funktion 3 1 Infektion 3 2 Payload 4 Situation 1992 4 1 Die Michelangelo Hysterie 4 2 Die Auswirkungen 4 3 Die Rolle von John McAfee 5 Einzelnachweise 6 WeblinksHerkunft BearbeitenZum ersten Fund des Virus gibt es unterschiedliche Angaben Am verlasslichsten durfte die Fachzeitschrift Virus Bulletin sein die in der Ausgabe vom Oktober 1991 Australien als ersten Fundort nannte Moglicherweise wurde dort aber auch nur der Viruscode erstmals isoliert 3 Laut einigen anderen Quellen wurde Michelangelo erstmals im April 1991 in Neuseeland entdeckt 4 Als im Juli 2017 ein Ruckblick zur Michelangelo Hysterie abgedruckt wurde gab der Heise Verlag in der Zeitschrift c t an dass das Virus bereits im Februar 1991 gefunden wurde 1 5 Ausserdem geben einige Websites an dass Michelangelo erstmals in den Niederlanden oder in Schweden entdeckt wurde meist wieder mit April 1991 als Datum 6 Der Urheber der Malware ist unbekannt 7 Aliasse BearbeitenDer Quellcode von Michelangelo enthalt keine Signatur Versionsnummer Daten oder Namen Der Entdecker des Virus der australische Ingenieur und Programmierer Roger Riordan stellte fest dass der Payload am 6 Marz ausgelost wird Er wollte das Schadprogramm nach einem Freund benennen dessen Geburtstag auf dieses Datum fallt Dieser schlug vor stattdessen den Namen einer bekannten Personlichkeit zu verwenden Das Geburtsdatum des Renaissance Kunstlers Michelangelo erwies sich dann als passend 8 Da es fur Computerviren keine festgelegte Nomenklatur gibt sind mehrere Trivialnamen gebrauchlich Ebenso verwenden Hersteller von Antivirensoftware verschiedene Bezeichnungen fur Malware Aufgrund der Medienprasenz die das Virus 1992 erlangte ist es aber vor allem unter dem Namen Michelangelo ein Begriff Weitere Namen sind Stoned March6 a und Stoned Michelangelo 9 Funktion BearbeitenDas Virus soll zu MS DOS PC DOS kompatible DOS Systeme infizieren es greift das Betriebssystem jedoch nicht an und fuhrt auch keine internen Befehle aus Michelangelo agiert grosstenteils wie es typisch fur Bootviren ist auf BIOS Ebene Michelangelo ist eine Variante des Stoned Virus Dabei wurden weite Teile des Codes neu geschrieben es handelt sich nicht um eine simple Modifikation Das Virus verwendet keine Stealth oder Polymorph Techniken um sich vor dem Anwender oder vor Antiviren Scannern zu tarnen 10 Infektion Bearbeiten Wird ein passender Rechner von einem infizierten Datentrager gebootet reserviert sich Michelangelo zwei Kilobyte Systemspeicher unter der Adresse 40h 13h Dann kopiert sich der Viruscode in diesen Bereich Ist eine Festplatte vorhanden liest das Virus den Master Boot Record MBR und pruft ob dieser bereits infiziert ist Genau wie der Stoned Virus vergleicht auch Michelangelo die ersten 4 Bytes des MBR mit den ersten Bytes seines eigenen Code Bei Nichtubereinstimmung versucht das Virus zu infizieren 11 Michelangelo speichert den ursprunglichen MBR in Spur 0 Kopf 0 Sektor 7 Die letzten 66 Bytes des MBR die die Partitionstabelle enthalten werden an das Ende des Viruscodes kopiert und dann in Spur 0 Kopf 0 Sektor 1 geschrieben Nach der Infektion der Festplatte ubertragt das Virus die Kontrolle im Chainloading Prinzip an den ursprunglichen Boot Code des MBR Auf Festplatten verschiebt das Virus den ursprunglichen Master Boot Record zu Zylinder 0 Kopf 0 Sektor 7 Auf Disketten falls deren Kapazitat 360 kB betragt wird der original Bootsektor zu Zylinder 0 Kopf 1 Sektor 3 verschoben Auf anderen Disketten verschiebt das Virus den ursprunglichen Bootsektor zu Zylinder 0 Kopf 1 Sektor 14 Das ist das letzte Verzeichnis einer 1 2 MB Diskette Das ist das vorletzte Verzeichnis einer 1 44 MB Diskette Dieses Verzeichnis existiert nicht auf 720 kB Disketten Obwohl das Virus DOS Systeme infizieren sollte kann es auch leicht unter anderen Betriebssystemen zu Schaden kommen da es wie viele andere Viren auch den Master Boot Record einer Festplatte infiziert Nachdem ein System infiziert wurde wird jede Diskette auf die das System zugreift unverzuglich infiziert Auf IBM PC kompatiblen Rechnern besteht durch ein Programm grundsatzlich keine direkte Moglichkeit um zu prufen ob aktuell eine Diskette ins Laufwerk eingelegt ist Schreib und Lesevorgange werden auch bei leerem Laufwerk ausgefuhrt geben dann aber eine Fehlermeldung zuruck Eine unbemerkte Infektion war erst moglich nachdem durch den Anwender ein aktiver Zugriff auf das Laufwerk stattfand 12 Da das Virus die meiste Zeit keine Auswirkungen zeigte war es durchaus moglich dass eine Infektion uber Jahre unentdeckt blieb Dass Michelangelo aufgrund seiner Art Disketten zu infizieren in den kommenden Jahren aussterben wurde war somit absehbar Das Virus konnte sich nicht effektiv uber 3 5 Disketten verbreiten und das 5 25 Format war bereits veraltet Der Vervielfaltigungs Code des Virus ist fur Disketten mit 15 Sektoren pro Spur sowie auf Festplatten ausgelegt 3 5 Disketten mit 720 KByte waren somit komplett immun gegen Michelangelo Die HD Variante mit 1 44 MByte wird infiziert und konnte beim Bootvorgang auch weitere Infektionen verursachen Solche Disketten sind aber nach der Infektion nicht mehr lesbar und mussen virusfrei neu formatiert werden Es erscheint dann die Fehlermeldung Allgemeiner Fehler beim Lesen von Laufwerk i X i Fur die Weiterverbreitung von Bootviren ist eine defekte Diskette in der Praxis weitgehend sinnlos Fur effektive Ausbreitung ist ein solches Virus auf nicht schreibgeschutze Bootdisketten angewiesen Rechner mit dem Betriebssystem DR DOS konnen jedoch auch diese Disketten einwandfrei lesen und verarbeiten 10 Wird der Bootsektor nicht nur von Michelangelo sondern zusatzlich von einem anderen Bootvirus infiziert kann das zur Folge haben dass beim Systemstart der MBR nicht mehr gefunden werden kann In diesem Fall muss der Rechner mit einer Diskette gebootet werden um den MBR anschliessend neu zu schreiben Payload Bearbeiten Das Virus enthalt eine Logikbombe die am 6 Marz dem Geburtstag von Michelangelo Buonarroti gezundet wird Es gibt keinen Hinweis auf den Kunstler innerhalb des Viruscode und es ist generell zu bezweifeln dass der Autor eine Verbindung zwischen dem Virus und Michelangelo herstellen wollte Ein wahrscheinlicheres Szenario ist dass das Virus ein Angriff gegen das zu dieser Zeit besser bekannte Jerusalem Virus war das an jedem Freitag den 13 einen ahnlichen Payload aktivierte Da dieser Angriff genau eine Woche vor Freitag 13 Marz 1992 lag waren Computer User betroffen gewesen die glaubten sich vor dem Jerusalem Virus schutzen zu konnen indem sie am 12 Marz das Systemdatum verandern Einer weiteren spekulativen Annahme nach wurde das Virus vom Entwickler kurz nach dem 6 Marz fertiggestellt Den Trigger erst in einem Jahr zu aktivieren gab Michelangelo die notige Zeit um sich zu verbreiten Allgemein werden Viren die ihren Payload an einem bestimmten Tag im Jahr aktivieren als Geburtstagsvirus bezeichnet Ein weiterer bekannter Vertreter ist die erste Version des CIH Virus Bei jedem Start eines infizierten Systems pruft Michelangelo das Systemdatum Wird am 6 Marz kein Bootvorgang ausgefuhrt lost man den Payload nicht aus Durch Dauerbetrieb der 1992 bei Netzwerkservern bereits ublich war konnte ein System dem Schaden entgehen Sollte es sich bei dem bootenden PC um einen AT oder einen PS 2 handeln uberschreibt das Virus an diesem Datum die ersten 100 Sektoren der Festplatte mit Nullen Das Virus geht von einer Geometrie von 256 Zylindern 4 Kopfen und 17 Sektoren je Spur aus Obwohl samtliche Benutzerdaten weiterhin auf der Festplatte vorhanden sind waren sie fur den durchschnittlichen Benutzer unauffindbar und somit verloren Die Auswirkungen auf Datentrager waren im Einzelnen Bei Disketten uberschreibt der schadliche Code zuerst alle Informationen auf Spur 0 dann auf Spur 1 etc Auf einer 360K Diskette werden die Sektoren 1 9 sowie die Kopfe 0 und 1 zerstort Auf anderen Diskettentypen werden die ersten 14 Sektoren jeder Spur zerstort Auf einer Festplatte zerstort das Virus die ersten 17 Sektoren auf jeder Spur Kopf 0 1 2 und 3 Zum Uberschreiben verwendet Michelangelo den Inhalt von Speicherort 5000h 0000h Da der Payload noch vor dem eigentlichen Systemstart ausgelost wird handelt es sich dabei vermutlich um einen Block Zero Bytes 13 Bei mehreren Systemplatten uberschreibt Michelangelo diese nacheinander Ein sofortiges Abschalten des Rechners konnte somit die Daten auf der zweiten Platte retten Eine Datenwiederherstellung war mit ublichen Mitteln aussichtslos Situation 1992 BearbeitenDie Michelangelo Hysterie Bearbeiten Der Entdecker von Michelangelo Roger Riordan schrieb kurz nach dem Virusfund ein massgeschneidertes Antiviren Programm und vertrieb es als Shareware uber seine parallel laufende Softwarefirma Cybec 14 1 Als das britische Virus Bulletin Michelangelo im Oktober 1991 zum ersten Mal in seiner Malware Hitliste auffuhrte gingen IT Kundige von einer eher moderaten Gefahr aus Der Schadling hatte verglichen mit bereits bekannten Viren nichts wirklich Neues zu bieten Michelangelo erlangte im Januar 1992 grosse internationale Aufmerksamkeit als sich herausstellte dass einige Computer und Softwarehersteller das Virus versehentlich mit ihren Produkten ausgeliefert hatten z B der LANSpool Printserver von Intel Obwohl von der Printserver Software nur 839 betroffene Disketten verschickt wurden berichteten die Massenmedien meist von ungleich hoheren Zahlen 15 Eine schlimmere Infektionsquelle stellte vermutlich eine verseuchte Master Diskette in einem taiwanischen Kopierwerk dar Uber die Treiberdiskette der beliebten Artec Maus konnte man sich daher den Michelangelo Virus einfangen wenn sie versehentlich beim Bootvorgang noch im Laufwerk eingelegt waren Die Maus wurde 20 000 mal verkauft der Anteil der infizierten Disketten ist aber unklar 1 Auch Treiber fur Grafikkarten wurden in diesem Kopierwerk mit dem Virus verseucht Schon bald wurde in Presse und Nachrichtenmagazinen behauptet 5 bis 15 Millionen Computer konnten mit Michelangelo infiziert sein 1 In Deutschland sprang Reuters auf den Zug auf und berichtete ebenfalls von Millionen befallenen Rechnern 15 Die Jugendzeitschrift Bravo brachte einen Artikel mit dem reisserischen Titel Computer Besitzer in Angst Gehen am 6 Marz alle Computer kaputt Die Medienaufmerksamkeit war weltweit sehr gross In Deutschland pragte sich spater der Begriff Michelangelo Hysterie In englischsprachigen Landern spricht man gleichbedeutend von der Michelangelo Madness Das BSI richtete eine spezielle Hotline ein In der Zeit vom 17 Februar bis zum 1 Marz 1992 gingen rund 1 000 Anrufe ein die allgemeine und spezielle Fragen zu Computerviren und Antivirusprogrammen betrafen Man gab eine behordliche Warnung heraus 10 Das CERT gab im Februar 1992 Hinweise fur den Umgang mit Michelangelo heraus 16 Mehrere Fachleute darunter einige Vertreter des Chaos Computer Clubs sprachen von einer grundlosen Panikmache 17 Professor Klaus Brunnstein der damals an der Universitat Hamburg ein Viren Test Center leitete vertrat dagegen die Meinung Michelangelo sei eine ernstzunehmende Gefahr Das Virus sei sehr schadlich und vermutlich weit verbreitet 18 1 Die Auswirkungen Bearbeiten Am 6 Marz 1992 berichteten die Morgennachrichten in Deutschland bereits von ersten Fallen in Uruguay Bei einigen militarischen Rechnern war die Systemzeit falsch eingestellt gewesen daher wurde Michelangelos Payload vorzeitig ausgelost 17 Im Laufe der nachsten Tage zeigte sich dann dass es lediglich 10 000 bis 20 000 Falle von Datenverlust weltweit gegeben hatte In Deutschland wurden 150 betroffene Computer gemeldet der erste Fall betraf den Firmenrechner einer Druckerei aus Aachen Das war weit unter den Erwartungen der Offentlichkeit 1 Die britische Fachzeitschrift Virus Bulletin stuft die gesamten Auswirkungen von Michelangelo in einer Ruckschau als moderat ein In Grossbritannien wurden 117 betroffene PCs gemeldet In den USA wo die Hysterie am grossten war ging die Firma Dr Solomon s von etwa 7 000 Schadensfallen aus McAfee berichtete von knapp 10 000 In Sudafrika hatte es etwa 1 000 Rechner in verschiedenen Apotheken erwischt weil sie eine Preisliste in elektronischer Form bezogen Der Grosshandler hatte versehentlich infizierte Disketten verschickt 19 1 Laut BSI betrug die Schadensbilanz in den Folgejahren in Deutschland fur 1993 rund 50 gemeldete Falle und 1994 rund 20 Falle Der 6 Marz fiel in diesen Jahren auf ein Wochenende weswegen vergleichsweise wenige Firmen PCs betroffen waren 10 1 Als Grunde fur das unerwartet geringe Ausmass gelten Die Verbreitung von Michelangelo und seine Infektionszahlen waren weit geringer als angenommen Die unseriose Berichterstattung hatte ein falsches Bild der Lage vermittelt Im Vergleich zu anderen Viren von 1992 sind die bekannten Falle plus Dunkelziffer nicht unbedingt gering Realistische Vergleiche sind hier kaum moglich da andere Schadensfalle durch Viren in der Offentlichkeit nicht dieselbe Aufmerksamkeit wie Michelangelo bekamen Viele Betroffene hatten ihren PC bereits gescannt und gesaubert Eine mutmasslich nicht geringe Anzahl von Anwendern schaltete den Rechner am Stichtag sicherheitshalber nicht ein Andere Computerbesitzer verstellten rechtzeitig das Systemdatum um den kritischen Tag zu uberspringen Viele Serveranlagen werden nach Moglichkeit durchgehend betrieben Der Payload wurde aber nur beim Bootvorgang getriggert Die Nachrichten verloren das Interesse und das Virus wurde schnell vergessen Trotz des oben beschriebenen Szenarios dass ein System uber Jahre unbemerkt infiziert bleibt wurden bis 1997 kaum entsprechende Falle bekannt 15 1998 wurden lediglich bei der Firma Symantec wieder zwei Falle gemeldet dann war es endgultig ruhig um Michelangelo 15 Mittlerweile werden anfallige Systeme wohl kaum noch betrieben Die Rolle von John McAfee Bearbeiten Als Hauptverursacher der Medienpanik um den Michelangelo Virus wird oft der amerikanisch britische Unternehmer John McAfee genannt Er war 1991 einer der noch wenigen Hersteller von Antivirensoftware Die utopische Zahl von bis zu 15 Millionen infizierten Rechnern geht ursprunglich auf ihn zuruck Allgemein wird ihm bis heute vorgeworfen dass er mit diesem Werbetrick nur den Umsatz seiner Firma erhohen wollte 20 Spater stellte McAfee in einem weiteren Interview klar dass er damals von den Journalisten gedrangt wurde eine Zahl zu nennen Da er sich aber nicht festlegen konnte und wollte gab er bewusst eine schwammige Antwort Er sagte es konnen 5 000 oder 15 Millionen infizierte Rechner sein In der Folge wurde er dann fehlerhaft zitiert da den Medien die 15 Millionen anscheinend besser gefielen 21 22 Eine Panik auslosen oder einen Werbebetrug veranstalten sei nicht seine Absicht gewesen Die Verkaufszahlen des Antivirenprogrammes von McAfee schossen Anfang 1992 auf jeden Fall in die Hohe er verkaufte in diesem Geschaftsjahr sieben Millionen Programme Dieser Boom betraf im Lauf der Michelangelo Hysterie aber auch alle anderen Hersteller von Virenscannern 15 Einzelnachweise Bearbeiten a b c d e f g h i https www heise de ct ausgabe 2017 6 25 Jahre Michelangelo Virus ein Rummel mit Folgen 3638531 html Heise Verlag Zeitschrift c t 25 Jahre Michelangelo Virus von Detlef Borchers 3 Marz 2017 Michelangelo griff 10000 Rechner an michaelsimm de DIE WELT 7 Marz 1992 PDF Download Virus Bulletin Ausgabe Oktober 1991 pspl com Memento vom 22 September 2008 im Internet Archive pspl com Virus Info http www today in history de index php what thmanu amp manu id 1388 amp lang en Today in history de Michelangelo 1992 https wiw org meta vsum view php vir 874 Today in Hisory de Michelangelo https www trendmicro com vinfo us security news cybercrime and digital threats the michelangelo virus 25 years later TrendMicro com The Michelangelo virus 25 years later https nakedsecurity sophos com 2012 03 05 michelangelo virus NakedSecurity Sophos com Memories of the Michelangelo virus https www sophos com en us threat center threat analyses viruses and spyware Michelangelo aspx Sophos com Virus Datenbank Michelangelo Ubersicht a b c d https www hgb leipzig de hilko boot sector HGB Leipzig de The worldwide Michelangelo virus scare of 1992 Der Fall Michelangelo https www virusbulletin com virusbulletin 2017 03 throwback thursday michelangelo graffiti not art VirusBulletin com Analyse von Michelangelo von Fridrik Skulason Januar 1992 https malware wikia org wiki Michelangelo Malware Wikia com Virus Datenbank Michelangelo https www csie ntu edu tw wcchen asm98 asm proj b85506050 ORIGIN MICHEL 1 HTM CSIE ntu edu tw Michelangelo Graffiti Not Art https www internetx com news michelangelo 25 jahre nach der grossen virushysterie InternetX com Michelangelo 25 Jahre nach der grossen Virenhysterie a b c d e Truth About Computer Virus Myths amp Hoaxes Memento vom 12 Dezember 2005 im Internet Archive vmyths com https resources sei cmu edu library asset view cfm assetID 496264 Empfehlungen des CERT bezuglich Michelangelo a b https taz de Michelangelo schlapper Master of Disaster 1679068 taz de Michelangelo Schlapper Master of Disaster https www spiegel de spiegel print d 9274748 html Spiegel de Panikmache mit Michelangelo vom 2 Marz 1992 https ajrarchive org Article asp id 1673 AjrArchive org Michelangelo https www computerwoche de a john mcafee wird 70 3216026 Computerwoche de John McAfee wird 70 https www wz de digital john mcafee software pionier und schlitzohr aid 30187615 WZ de John McAfee Softwarepionier und Schlitzohr https www infosecurity magazine com blogs mcafee michelangelo InfoSecurity Magazine com McAfee und MichelangeloWeblinks BearbeitenVirusBulletin com Virus Bulletin incl Analyse Michelangelo von Fridrik Skulason Ausgabe Januar 1992 PDF Download engl Cert org Offizielle Hinweise zu Michelangelo Februar 1992 engl DKIA at Der Source Code von Michelangelo Textdatei engl Malware Wikia ord Michelangelo Datenbankeintrag engl Sophos com Michelangelo Datenbankeintrag engl Abgerufen von https de wikipedia org w index php title Michelangelo Computervirus amp oldid 238301433