www.wikidata.de-de.nina.az

Pathogen Computervirus Pathogen ist ein Computervirus mit schädlichen Auswirkungen das im Jahr 1993 in Großbritannien en

Pathogen (Computervirus)

Pathogen ist ein Computervirus mit schädlichen Auswirkungen, das im Jahr 1993 in Großbritannien entwickelt wurde und dort Mitte der 1990er sehr verbreitet war. Urheber war der englische Programmierer Chris Pile. Er wurde 1995 zu 18 Monaten Freiheitsstrafe verurteilt.

Pathogen
Name Pathogen
Bekannt seit 1993
Erster Fundort Großbritannien
Virustyp Dateivirus
Autoren Chris Pile
Pseudonym: „The Black Baron“
Dateigröße 7856 Bytes
Wirtsdateien COM, EXE
Verschlüsselung polymorph
Stealth nein
Speicherresident ja
System MS-DOS ab 4.0 (DOS-PC)
Programmiersprache x86-Assembler

Das Virus Queeg aus dem Jahr 1994 war ebenfalls verbreitet und ist eine nur leicht modifizierte Variante von Pathogen. Queeg stammt ebenfalls von Chris Pile.

Aliasse Bearbeiten

Pathogen und Queeg wurden mit der Mutationsengine Simulated Metamorphic Encryption Generator (SMEG) zu polymorphen Viren weiterentwickelt und sind daher auch unter den Namen SMEG.Pathogen und SMEG.Queeg bekannt. SMEG stammt ebenfalls von Chris Pile und wird teilweise als Virus Construction Kit oder selbst als Virus bezeichnet. Das ist aber falsch, es handelt sich um eine polymorphe Engine, mit der ein bereits fertiger Virencode überarbeitet und erweitert wird.

Die Namen „Smeg“, „Queeg“ und „Pathogen“ stammen aus der britischen Science-Fiction-Serie Red Dwarf. Zitate aus dieser Serie wurden auch für Textmeldungen der Viren verwendet.

Versionen und Derivate Bearbeiten

Die neuere Version Queeg wurde von Chris Pile etwa ein Jahr nach Pathogen erstellt. Am unverschlüsselten Viruscode wurde nur die Textmeldung des Payload geändert. Queeg wurde aber mit einer neueren Version von SMEG getarnt. Praktisch machte dies keinen wirklichen Unterschied.

Funktion Bearbeiten

Der Viruscode von Pathogen und Queeg wurde in x86-Maschinensprache geschrieben.

Verschlüsselung Bearbeiten

Pathogen und Queeg sind stark polymorph und können unzählige Formen annehmen. Der Viruscode ändert seine Form bei jeder Infektion. Zusätzlich verwendete der Entwickler des Codes eine Menge irrelevanter Anweisungen zwischen den tatsächlichen Befehlen, von denen sich heuristische Erkennung täuschen ließ. Der Schlüssel selbst war sehr kurz und als Virensignatur nicht zu gebrauchen. Die Hersteller von Antivirensoftware mussten erst einen brauchbaren Algorithmus in der Verschlüsselung finden, um ihre Programme an die effektive Tarnung durch SMEG anzupassen.

Infektionsroutine Bearbeiten

Wenn eine infizierte Datei ausgeführt wird, wird das Virus speicherresident und belegt 7.872 Bytes im RAM. Von dort aus infiziert es mittels Interrupt 21h und Funktion 4B weitere Programmdateien. Der Viruscode von Pathogen hängt sich an das Ende der Datei an. Das Virus infiziert keine Dateien, deren Zeitstempel mehr als hundert Jahre von der aktuellen Systemzeit abweicht. Dafür werden Interrupt 21h und Funktion 18FF verwendet.

Als Wirtsdateien dienen sowohl EXE- als auch COM-Dateien. Um die Systemdatei COMMAND.COM und die Echtzeit-Überwachung einiger Antivirenprodukte zu umgehen, infizieren Pathogen und Queeg keine Dateien, deren Namen folgendermaßen beginnen: co*.* F-*.* Sc*.* TB*.* Vi*.* fs*.* vp*.* vs*.* cl*.* sm*.* fl*.*

Payload Bearbeiten

Das Virus enthält einen Counter, der die Anzahl der erfolgreichen Infektionen zählt. Nachdem 32 Dateien infiziert wurden, kann der Payload getriggert werden. Wird dann an einem Montag zwischen 17:00 und 17:59 Uhr ein infiziertes Programm ausgeführt, hat das folgende Effekte:

  • Die Tastatur wird abgeschaltet
  • Die Daten der ersten 256 Zylinder auf der Festplattes werden zerstört
  • Das BIOS wird manipuliert, um die Laufwerke abzuschalten
  • Folgende Bildschirmmeldung erscheint:
Your hard-disk is being corrupted, courtesy of PATHOGEN! Programmed in the U.K. (Yes, NOT Bulgaria!) [C] The Black Baron 1993-4. Featuring SMEG v0.1: Simulated Metamorphic Encryption Generator! 'Smoke me a kipper, I'll be back for breakfast.....' Unfortunately some of your data won't!!!!!

„Yes, NOT Bulgaria“ ist eine Anspielung auf den Virusautor Dark Avenger, der vermutlich aus Bulgarien stammt und ein Jahr zuvor mit der Mutations Engine als erster ein Tool zur polymorphen Virenverschlüsselung entwickelt hatte. Polymorphe Viren kamen um 1993 überwiegend aus Bulgarien.


In der angezeigten Bildschirmmeldung besteht auch der einzige Unterschied zur Variante Queeg. Bei Queeg lautet der Text: 

 -¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦ - -» QUEEG «- - - 17:50, July 29, 1997 (UTC) - -(C)The Black Baron 1994 - - - - Featuring: SMEG v0.2 - - - - Better than life..... - L¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦¦-

In der zweiten Zeile zeigt die Meldung die aktuelle Systemzeit an.

Die Textnachrichten sind doppelt verschlüsselt. So bleiben sie auch dann noch vor Antivirusprogrammen getarnt, wenn das Virus in den Speicher geladen ist. Sie wären sonst leicht als Virensignatur verwendbar. Die Texte werden erst direkt vor Ausführung des Payload wieder entschlüsselt.

Hinweis Bearbeiten

Die Windows-NT-Systemdatei NTIO.SYS sowie die Datei MACROMIX.DLL bewirkten bei McAfee-Virenscannern häufig einen Fehlalarm. Es wurde dann fälschlich eine Infektion mit einem durch SMEG verschlüsselten Virus angezeigt.

Der Autor Bearbeiten

Hinter dem Pseudonym The Black Baron konnten britische Ermittlungsbehörden den Programmierer Chris Pile ausfindig machen. Bei seiner Verhaftung im Jahr 1995 war er 26 Jahre alt und arbeitslos. Unter anderem wurde ihm zur Last gelegt, mit seinen Viren allein bei einem Opfer einen Schaden in Höhe von einer halben Million britischer Pfund verursacht zu haben. Im Mai 1995 wurde er in mehreren Punkten für schuldig befunden und als erste Person nach dem Britain's Computer Misuse Act schuldig gesprochen, der knapp fünf Jahre zuvor erlassen wurde. Am 15. November 1995 wurde das Strafmaß verkündet und Chris Pile wurde zu 18 Monaten Freiheitsentzug verurteilt.

Pile galt schon den 1980er Jahren als fähiger Programmierer, hatte als Autodidakt aber keine entsprechende Ausbildung vorzuweisen. Er arbeitete vor und nach seiner Inhaftierung als Programmierer von kommerziellen Computerspielen, vor allem für Z80-Systeme wie Game Boy, Game Gear oder Sega Master System.

Ähnliche Viren Bearbeiten

Einzelnachweise Bearbeiten

  1. f-secure.com Eintrag zu Pathogen und Queeg
  2. Artikel aus dem Crypt Magazine, 1996
  3. independent.co.uk Mad boffin jailed over computer virus havoc
  4. uni-hamburg.de Eintrag zu Pathogen
  5. rbs2.com Artikel zu Pathogen und Queeg
  6. cbsnews.com Melissa Creator gets 2nd jail term
  7. virusbulletin.com Artikel über Pathogen und Queeg

Weblinks Bearbeiten

wikipedia, wiki, deutsches, deutschland, buch, bücher, bibliothek artikel lesen, herunterladen kostenlos kostenloser herunterladen, MP3, Video, MP4, 3GP, JPG, JPEG, GIF, PNG, Bild, Musik, Lied, Film, Buch, Spiel, Spiele
Veröffentlichungsdatum:
Pathogen ist ein Computervirus mit schadlichen Auswirkungen das im Jahr 1993 in Grossbritannien entwickelt wurde und dort Mitte der 1990er sehr verbreitet war Urheber war der englische Programmierer Chris Pile Er wurde 1995 zu 18 Monaten Freiheitsstrafe verurteilt PathogenName PathogenBekannt seit 1993Erster Fundort GrossbritannienVirustyp DateivirusAutoren Chris PilePseudonym The Black Baron Dateigrosse 7856 BytesWirtsdateien COM EXEVerschlusselung polymorphStealth neinSpeicherresident jaSystem MS DOS ab 4 0 DOS PC Programmiersprache x86 AssemblerDas Virus Queeg aus dem Jahr 1994 war ebenfalls verbreitet und ist eine nur leicht modifizierte Variante von Pathogen Queeg stammt ebenfalls von Chris Pile 1 Inhaltsverzeichnis 1 Aliasse 2 Versionen und Derivate 3 Funktion 3 1 Verschlusselung 3 2 Infektionsroutine 3 3 Payload 3 4 Hinweis 4 Der Autor 5 Ahnliche Viren 6 Einzelnachweise 7 WeblinksAliasse BearbeitenPathogen und Queeg wurden mit der Mutationsengine Simulated Metamorphic Encryption Generator SMEG zu polymorphen Viren weiterentwickelt und sind daher auch unter den Namen SMEG Pathogen und SMEG Queeg bekannt SMEG stammt ebenfalls von Chris Pile und wird teilweise als Virus Construction Kit oder selbst als Virus bezeichnet Das ist aber falsch es handelt sich um eine polymorphe Engine mit der ein bereits fertiger Virencode uberarbeitet und erweitert wird 1 Die Namen Smeg Queeg und Pathogen stammen aus der britischen Science Fiction Serie Red Dwarf Zitate aus dieser Serie wurden auch fur Textmeldungen der Viren verwendet 1 2 3 Versionen und Derivate BearbeitenDie neuere Version Queeg wurde von Chris Pile etwa ein Jahr nach Pathogen erstellt Am unverschlusselten Viruscode wurde nur die Textmeldung des Payload geandert Queeg wurde aber mit einer neueren Version von SMEG getarnt Praktisch machte dies keinen wirklichen Unterschied Funktion BearbeitenDer Viruscode von Pathogen und Queeg wurde in x86 Maschinensprache geschrieben 4 Verschlusselung Bearbeiten Pathogen und Queeg sind stark polymorph und konnen unzahlige Formen annehmen Der Viruscode andert seine Form bei jeder Infektion Zusatzlich verwendete der Entwickler des Codes eine Menge irrelevanter Anweisungen zwischen den tatsachlichen Befehlen von denen sich heuristische Erkennung tauschen liess Der Schlussel selbst war sehr kurz und als Virensignatur nicht zu gebrauchen Die Hersteller von Antivirensoftware mussten erst einen brauchbaren Algorithmus in der Verschlusselung finden um ihre Programme an die effektive Tarnung durch SMEG anzupassen 4 Infektionsroutine Bearbeiten Wenn eine infizierte Datei ausgefuhrt wird wird das Virus speicherresident und belegt 7 872 Bytes im RAM Von dort aus infiziert es mittels Interrupt 21h und Funktion 4B weitere Programmdateien 1 Der Viruscode von Pathogen hangt sich an das Ende der Datei an Das Virus infiziert keine Dateien deren Zeitstempel mehr als hundert Jahre von der aktuellen Systemzeit abweicht Dafur werden Interrupt 21h und Funktion 18FF verwendet 4 Als Wirtsdateien dienen sowohl EXE als auch COM Dateien 1 Um die Systemdatei COMMAND COM und die Echtzeit Uberwachung einiger Antivirenprodukte zu umgehen infizieren Pathogen und Queeg keine Dateien deren Namen folgendermassen beginnen co F Sc TB Vi fs vp vs cl sm fl 4 Payload Bearbeiten Das Virus enthalt einen Counter der die Anzahl der erfolgreichen Infektionen zahlt Nachdem 32 Dateien infiziert wurden kann der Payload getriggert werden Wird dann an einem Montag zwischen 17 00 und 17 59 Uhr 4 ein infiziertes Programm ausgefuhrt hat das folgende Effekte 1 5 Die Tastatur wird abgeschaltet Die Daten der ersten 256 Zylinder auf der Festplattes werden zerstort Das BIOS wird manipuliert um die Laufwerke abzuschalten Folgende Bildschirmmeldung erscheint 1 Your hard disk is being corrupted courtesy of PATHOGEN Programmed in the U K Yes NOT Bulgaria C The Black Baron 1993 4 Featuring SMEG v0 1 Simulated Metamorphic Encryption Generator Smoke me a kipper I ll be back for breakfast Unfortunately some of your data won t Yes NOT Bulgaria ist eine Anspielung auf den Virusautor Dark Avenger der vermutlich aus Bulgarien stammt und ein Jahr zuvor mit der Mutations Engine als erster ein Tool zur polymorphen Virenverschlusselung entwickelt hatte Polymorphe Viren kamen um 1993 uberwiegend aus Bulgarien In der angezeigten Bildschirmmeldung besteht auch der einzige Unterschied zur Variante Queeg Bei Queeg lautet der Text QUEEG 17 50 July 29 1997 UTC C The Black Baron 1994 Featuring SMEG v0 2 Better than life L In der zweiten Zeile zeigt die Meldung die aktuelle Systemzeit an Die Textnachrichten sind doppelt verschlusselt So bleiben sie auch dann noch vor Antivirusprogrammen getarnt wenn das Virus in den Speicher geladen ist Sie waren sonst leicht als Virensignatur verwendbar Die Texte werden erst direkt vor Ausfuhrung des Payload wieder entschlusselt 4 Hinweis Bearbeiten Die Windows NT Systemdatei NTIO SYS sowie die Datei MACROMIX DLL bewirkten bei McAfee Virenscannern haufig einen Fehlalarm Es wurde dann falschlich eine Infektion mit einem durch SMEG verschlusselten Virus angezeigt 1 Der Autor BearbeitenHinter dem Pseudonym The Black Baron konnten britische Ermittlungsbehorden den Programmierer Chris Pile ausfindig machen Bei seiner Verhaftung im Jahr 1995 war er 26 Jahre alt und arbeitslos Unter anderem wurde ihm zur Last gelegt mit seinen Viren allein bei einem Opfer einen Schaden in Hohe von einer halben Million britischer Pfund verursacht zu haben Im Mai 1995 wurde er in mehreren Punkten fur schuldig befunden und als erste Person nach dem Britain s Computer Misuse Act schuldig gesprochen der knapp funf Jahre zuvor erlassen wurde 2 6 Am 15 November 1995 wurde das Strafmass verkundet und Chris Pile wurde zu 18 Monaten Freiheitsentzug verurteilt 1 7 Pile galt schon den 1980er Jahren als fahiger Programmierer hatte als Autodidakt aber keine entsprechende Ausbildung vorzuweisen Er arbeitete vor und nach seiner Inhaftierung als Programmierer von kommerziellen Computerspielen vor allem fur Z80 Systeme wie Game Boy Game Gear oder Sega Master System Ahnliche Viren BearbeitenCascade aka Herbstlaub war das erste bekannte Virus mit Selbstverschlusselung 1260 aka Chameleon war das erste bekannte Virus mit polymorpher VerschlusselungEinzelnachweise Bearbeiten a b c d e f g h i f secure com Eintrag zu Pathogen und Queeg a b netlux org Artikel aus dem Crypt Magazine 1996 independent co uk Mad boffin jailed over computer virus havoc a b c d e f uni hamburg de Eintrag zu Pathogen rbs2 com Artikel zu Pathogen und Queeg cbsnews com Melissa Creator gets 2nd jail term virusbulletin com Artikel uber Pathogen und QueegWeblinks BearbeitenIndependent co uk Artikel zu Chris Piles Verurteilung A general description of the methods behind a polymorph engine by The Black Baron Abgerufen von https de wikipedia org w index php title Pathogen Computervirus amp oldid 227415394