Cascade (Computervirus)

Cascade
Name	Cascade
Aliase	Herbstlaub, Blackjack
Bekannt seit	1987
Erster Fundort	Bundesrepublik Deutschland
Virustyp	Dateivirus
Dateigröße	1.701 Bytes oder 1.704 Bytes
Wirtsdateien	COM
Verschlüsselung	oligomorph
Stealth	nein
Speicherresident	ja
System	MS-DOS (DOS-PC)
Programmiersprache	x86-Assembler
Info	Erstes selbstverschlüsselndes Virus

Cascade ist ein Computervirus, das im deutschsprachigen Raum auch unter dem Namen Herbstlaub bekannt ist. Die 1704-Variante (Blackjack) wurde erstmals im Oktober 1987 an der Universität Konstanz entdeckt.^[1]

Cascade war das erste bekannte Virus, das seinen Code selbst verschlüsselte. Dadurch versuchte sich eine Infektion vor der damals noch neuen Antivirussoftware zu verstecken.

Bis in die 1990er Jahre gehörte Cascade zu den häufigsten Viren, die in Mitteleuropa unkontrolliert in Umlauf waren.

Cascade wurde vermutlich ohne bösartige Absicht entwickelt, das Virus wurde oft als Scherzprogramm angesehen. Diese Sichtweise ist aber strittig, denn der Anwender war durch den Payload zu einem Neustart gezwungen. Dabei konnten natürlich auch Datenverluste vorkommen. Das war aber nicht lange von Bedeutung, da die originale Version des Virus den Payload nur zwischen dem 1. Oktober und dem 31. Dezember 1988 auslöste.

Aliasse Bearbeiten

Das Virus Cascade ist auch unter folgenden Namen bekannt:^[2]

Blackjack: Der Name bezieht sich auf die Größe des Viruscodes: Die in Konstanz entdeckte Variante vergrößert die befallenen Programme um 1704 Bytes; das Kartenspiel Blackjack ist auch unter dem Namen 17 und 4 bekannt.
1701: Der Name bezieht sich auf eine Variante, die die befallenen Programme um 1701 Bytes vergrößert.
Autumn, Herbstlaub oder Herbst: Der Payload erinnert entfernt an Blätter, die im Herbst von einem Baum fallen.

Versionen und Derivate Bearbeiten

Da viele spätere Varianten 1.704 Bytes lang waren, etablierte sich auch die Bezeichnung 1704 oder Cascade.1704.
Colani ist der Name eines Derivates mit leicht abgeänderter Erscheinungsform. Der eigentliche Schadcode ist identisch.
Es gibt eine Version namens Cascade.format, deren Payload die Festplatte formatiert.
Eine fehlerhafte Version des Virus infiziert ein und dieselbe Datei immer wieder. Dabei wächst die Dateigröße entsprechend an.
17Y4 ist eine Variante aus dem damaligen Staat Jugoslawien, bei der lediglich einige Bytes manuell verändert wurden, um Virenscanner zu täuschen.

Funktion Bearbeiten

Cascade ist in der ursprünglichen Version insgesamt 1.701 Bytes groß und befällt nur COM-Dateien. 3 Bytes zu Beginn der Datei werden als Sprung auf den angehängten Virus-Code modifiziert, die originalen 3 Bytes werden gesichert.

Infektion Bearbeiten

Da Cascade nur Dateien infiziert, die über die Funktion 4Bh und die Unterfunktion 00h des Interrupts 21h geladen werden, kann sich das Virus nur auf Rechnern mit dem Betriebssystem MS-DOS verbreiten.^[3]

Cascade verbreitete sich über infizierte Dateien und den Systemspeicher. Beim Ausführen einer infizierten Datei wird der Viruscode in den Speicher geladen. Von dort aus infiziert er dann alle gestarteten COM-Dateien. Das Umbenennen der Dateiendung in EXE schützt nicht vor einer Infektion, denn MS-DOS unterscheidet zwischen EXE- und COM-Dateien nicht anhand der Dateibezeichnung, sondern durch Abfrage des EXE-Headers.^[3]

Der Aufruf eines infizierten Programms kann auch zu Fehlern führen. Als Wirtsdateien kommen COM-Dateien bis zu einer Länge von 63.800 Bytes in Frage. Dateien mit einer Länge von mehr als 63.576 Bytes werden ebenfalls infiziert, können nach der Infektion aber nicht mehr geladen werden.^[3]

Das Virus prüft über eine Abfrage am BIOS, ob es sich beim System um einen Rechner der Firma IBM handelt. Der Viruscode sieht vor, in diesem Fall keine Infektion durchzuführen. Aufgrund eines Softwarefehlers funktioniert das in der Praxis aber nicht wie gewünscht. Von IBM hergestellte Rechner werden ebenfalls infiziert.

Befallene Dateien konnten durch Antivirenprogramme oder entsprechende Tools meist sauber bereinigt werden.

Payload Bearbeiten

Animation des Payload von Cascade

Der Payload wurde nur getriggert, wenn die Systemzeit auf ein Datum von 1. Oktober bis zum 31. Dezember 1988 eingestellt war.^[3]

Das Virus ließ dann kurz nach der Ausführung einer infizierten Datei auf dem Bildschirm Schriftzeichen nach unten fallen, bis sie auf ein anderes Schriftzeichen stießen oder die unterste Bildschirmzeile erreichten. Der Computer wurde dadurch mehr oder weniger unbenutzbar. Man musste den Rechner neu starten, dadurch gingen eventuell Daten verloren.^[3]

Bei den zahlreichen Derivaten von Cascade wurden Payload und Trigger teils modifiziert oder komplett geändert.

Der Effekt mit den fallenden Buchstaben wurde von mehreren anderen Virenautoren aufgegriffen und kopiert. Beispielsweise verwenden die Computerviren Swap und Traceback einen optisch gleichen Payload.

Verschlüsselung Bearbeiten

Der Viruscode wurde in Assembler programmiert.

Cascade gilt heute als erstes speicherresidentes Dateivirus unter MS-DOS sowie als erstes Virus, das sich selbst verschlüsseln konnte.^[4] Damit begründete es die zweite Generation der Computerviren. Anders als die späteren polymorphen Viren verschlüsselte Cascade nur den Schadcode. Die Entschlüsselungsroutine bleibt unverändert, wodurch spätere Antivirenprogramme das Virus problemlos durch ein Suchmuster aufspüren konnten. Die Kapazität der infizierten Datei wird als Dechiffrierschlüssel genutzt.

Der Verschlüsselungscode ist sehr kurz und wurde in der Vergangenheit oft für Lehrzwecke benutzt:

LEA SI,...
MOV SP,0682h
JUMP:
XOR WORD PTR [SI],SI
XOR WORD PTR [SI],SP
INC SI
DEC SP
JNZ JUMP

Im Jahr 1989 entwickelte Mark Washburn auf Basis dieser Verschlüsselungsroutine das erste polymorphe Virus namens 1260. Der virale Code selbst stammte vom Vienna-Virus.

Folgen Bearbeiten

Computerviren für IBM-PC waren im Jahr 1987 noch relativ neu, lediglich ein gutes Dutzend verbreitete sich damals unkontrolliert. In dieser Zeit nahm die Fachpresse das Thema erstmals auf, die Öffentlichkeit begann langsam Notiz davon zu nehmen. Erste Virenscanner wurden als Shareware angeboten. Obwohl Computerviren noch Neuland waren, läutete Cascade mit seinen Verschlüsselungsfähigkeiten bereits die zweite Generation ein. Speicherresidenz und Verschlüsselung wurden künftig von vielen neuen Viren genutzt. Ein größeres Problem war ab dem Jahr 1990 die polymorphe Verschlüsselung, die Mark Washburn mit seinem experimentellen Virus 1260 vorstellte. Virenscanner konnten derartige Malware nicht mehr mit Signaturen oder Prüfsummen aufspüren.

Ein Programmierer mit dem Pseudonym Dark Avenger entwickelte unmittelbar nach Cascade zahlreiche ebenfalls speicherresidente und verschlüsselnde Viren, die aber im Gegensatz zu Cascade auch EXE-Dateien befielen.^[5]^[6] Dark Avenger stammt vermutlich aus Bulgarien und galt damals als prominenter und einfallsreicher Virenproduzent.^[7]

1988 verursachte Cascade einen ernsthaften Zwischenfall in der belgischen IBM-Niederlassung, was der Auslöser für IBMs eigene kommerzielle Antiviren-Produktentwicklung war. Bis zu diesem Zeitpunkt waren die von IBM entwickelten Antiviren-Programme nur zum internen Gebrauch bestimmt gewesen.

Im Oktober 1989 wurde der Rechner von Eugene Kaspersky mit einer Version von Cascade infiziert. Das war für ihn der ursprüngliche Grund, warum er sich für Computerviren zu interessieren begann. Jahre später gründete er das Antiviren-Projekt AVP, aus dem Kaspersky Lab hervorging. Nachdem er das Virus analysiert hatte, entwickelte Kaspersky ein Desinfektions-Tool dafür. Cascade war auch das erste Schadprogramm, das in die Antiviren-Datenbank von Kaspersky Lab aufgenommen wurde.^[8]^[9]

Im April 1997 wurde dem britischen Fachmagazin Virus Bulletin nur noch eine Infektion mit Cascade gemeldet.^[10]

Einzelnachweise Bearbeiten

↑ IT-Sicherheit lässt sich dem Anwender spielend leicht vermitteln (Memento vom 4. März 2016 im Internet Archive) auf security-insider.de
↑ Der Spiegel 44/1992: Rächer im Datennetz
↑ ^a ^b ^c ^d ^e Informationen der Uni Hamburg (Memento des Originals vom 10. Juni 2007 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2 über Herbstlaub (engl.)
↑ Viruslist.com: Virus Enzyklopädie / Die Geschichte der Schadprogramme / 1987 (Memento vom 18. April 2012 im Internet Archive) von Kaspersky lab
↑ Heise.de am 30. Aug. 2001: Sie lieben uns.txt.vbs (Memento vom 4. Juni 2011 im Internet Archive)
↑ F-Secure: Beschreibung des Dark Avenger (engl.)
↑ Viruslist.com: Virus Enzyklopädie / Die Geschichte der Schadprogramme / 1990 (Memento vom 18. April 2012 im Internet Archive) von Kaspersky lab
↑ home.uni-leipzig.de Uni.Leipzig.de
↑ http://www.infosecurity-magazine.com/view/8115/interview-eugene-kaspersky- Eugene Kaspersky Infosecurity Magazine
↑ virusbulletin.com Virus Bulletin

Weblinks Bearbeiten

Demonstrationsvideo (AVI; 716 kB)
DOS-Programm als Virensimulation
F-Secure.com
GitHub.com Sourcecode von Cascade/Herbstlaub

[1] IT-Sicherheit lässt sich dem Anwender spielend leicht vermitteln (Memento vom 4. März 2016 im Internet Archive) auf security-insider.de

[2] Der Spiegel 44/1992: Rächer im Datennetz

[unihamb-3] Informationen der Uni Hamburg (Memento des Originals vom 10. Juni 2007 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2 über Herbstlaub (engl.)

[4] Viruslist.com: Virus Enzyklopädie / Die Geschichte der Schadprogramme / 1987 (Memento vom 18. April 2012 im Internet Archive) von Kaspersky lab

[5] Heise.de am 30. Aug. 2001: Sie lieben uns.txt.vbs (Memento vom 4. Juni 2011 im Internet Archive)

[6] F-Secure: Beschreibung des Dark Avenger (engl.)

[7] Viruslist.com: Virus Enzyklopädie / Die Geschichte der Schadprogramme / 1990 (Memento vom 18. April 2012 im Internet Archive) von Kaspersky lab

[8] .uni-leipzig.de Uni.Leipzig.de

[9] ttp://www.infosecurity-magazine.com/view/8115/interview-eugene-kaspersky- Eugene Kaspersky Infosecurity Magazine

[10] virusbulletin.com Virus Bulletin

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]