Skynet (Computervirus)

Computervirus

Skynet, auch oft mit Binnenmajuskel SkyNet geschrieben, ist ein Dateivirus. Es wurde erstmals im April 1994 entdeckt, den meisten Quellen nach in China. Damit ist vermutlich nicht die Volksrepublik China gemeint, sondern die Republik China (Taiwan). Das Virus wurde laut Signatur dort entwickelt.

Skynet
Name Skynet
Aliase Terminator, Terminator I
Bekannt seit 1994
Erster Fundort Taiwan
Virustyp Dateivirus
Weitere Klassen TSR-Virus
Autoren Pseudonym: „Sky Net“
Dateigröße 1.448 bis 1.462 Bytes
Wirtsdateien EXE
Verschlüsselung nein
Stealth nein
Speicherresident ja
System MS-DOS (DOS-PC)
Programmiersprache x86-Assembler

Der Payload des Virus gibt als Bildschirmmeldung einen Text aus, der vom Virusautor als „Terminator Message“ bezeichnet wird. Skynet war anfangs überwiegend in Asien verbreitet, später wurden dann Infektionen aus der ganzen Welt gemeldet. Eine so hohe Ausbreitung wie die Gruppen der Jerusalem-, Vienna- oder Stoned-Viren erreichte Skynet aber nicht.

Die Gesamtanzahl der Computerviren war im Jahr 1994 generell noch überschaubar. Aufgrund des Bezuges zu den populären Terminator-Filmen und seines markanten Payloads erreichte Skynet zu seiner Zeit eine recht hohe Bekanntheit.

Der Urheber der Malware nannte sein Programm Terminator I und verwendete für sich selbst das Pseudonym Sky Net. Laut Signatur stammt er aus der taiwanischen Stadt Chung-Li. In der Folge etablierte sich der Name „Skynet“ aber primär für das Virus selbst. Skynet ist der Name eines bösartigen Netzwerks mit künstlicher Intelligenz und stammt aus dem Terminator-Franchise. 1984 und 1991 waren die ersten zwei Filme der Reihe erschienen.

 
Hexdump der Originalversion von Skynet

Da es für Computerviren keine festgelegte Nomenklatur gibt, hat das Virus mehrere Trivialnamen und wird auch von den Herstellern der Antivirussoftware nach eigenen Systemen benannt:

Malware mit ähnlichen Namen

Bearbeiten
  • Zu Verwechslungen kann es mit einer gleichnamigen Ransomware aus dem Jahr 2019 kommen.[2]
  • Ein Computerwurm mit dem Namen Netsky richtete im Jahr 2003 weltweit Schäden in Höhe von mehreren Milliarden US-Dollar an. Der Name war vom Autor ebenfalls auf das Terminator-Franchise bezogen.
  • Das fiktive Skynet aus der Terminator-Reihe ist in gewisser Hinsicht selbst eine Art monumentales Schadprogramm.

Versionen und Derivate

Bearbeiten

Abgesehen von der originalen Version hatte lediglich die Variante Skynet.1809 praktische Relevanz:

Skynet.1809 wurde laut Signatur im Juli 1994 in Frankreich erstellt. Der Name kommt von der Dateigröße, denn diese Version des Virus hat eine Länge von 1.809 Bytes. Wird ein mit Skynet.1809 infiziertes Programm ausgeführt, verbreitet sich das Virus weiter, indem es entweder das durch die Umgebungsvariable COMSPEC angegebene Programm oder ein EXE- oder COM-Programm infiziert. Infizierte COM-Programme werden um 1.809 Bytes größer. Infizierte EXE-Programme werden normalerweise um 1.809 bis 1.849 Bytes größer, bei sehr kleinen EXE-Dateien kann die Dateilänge in Einzelfällen bis zu 6.000 Bytes Gesamtgröße annehmen. In beiden Fällen befindet sich das Virus am Ende der Datei. Datum und Uhrzeit des Programms werden auf den Zeitpunkt der Infektion aktualisiert.[3]

Die folgenden Textzeichenfolgen sind in allen infizierten Programmen innerhalb des Virencodes von Skynet.1809 sichtbar:

ENCULATOR III
COMSPEC=
*.COM
*.EXE
SMARTCHK.*
CHKLIST.*
IRUS\ENCULATO
DESTI13
????????

Eine Erkennung durch Antivirenprogramme war somit durch ein einfaches Suchmuster möglich.

Funktion

Bearbeiten
 
Auszug aus dem kommentierten Sourcecode von Skynet

Skynet ist ein speicherresidentes Dateivirus, das EXE-Programme infiziert. Das Virus ist auf allen zu MS-DOS kompatiblen Systemen, wie etwa DOS-PCs, lauffähig. Als TSR-Virus wird Skynet nach dem Laden vorerst wie jedes normale Programm ausgeführt, nach dem Beenden aber nicht komplett aus dem RAM gelöscht. Die TSR-Routine von Skynet bleibt resident und aktiv, um bei Bedarf das komplette Virusprogramm erneut aufzurufen.[3]

Wird eine infizierte Datei ausgeführt, wird der Viruscode in den Speicher geladen. Ist Skynet im Speicher resident, belegt es 1.664 Bytes RAM. Der Viruscode sitzt am Anfang des Systemspeichers, aber unterhalb der 640K-DOS-Grenze, ohne die Rückkehr von Interrupt INT 12 zu verschieben. Das Gesamtsystem und der verfügbare freie Speicher, wie vom DOS-Programm CHKDSK angezeigt, werden um 1.664 Bytes verringert. Interrupt INT 21 wird vom Virus im Speicher eingehängt. Ein Warmstart oder Reset entfernt das Virus aus dem Speicher.[3]

Infektions-Routine

Bearbeiten

Wie bei Dateiviren üblich, erfolgt die Verbreitung über die Infektion ausführbarer Programme. Sobald das Skynet-Virus speicherresident ist, infiziert es alle EXE-Programme, die ausgeführt werden. Bei infizierten EXE-Programmen wird die Dateilänge um 1.448 auf 1.462 Byte erhöht.[3]

Das Virus verwendet den Interrupt 21h wenn es in den RAM geladen ist und infiziert dann jede EXE-Datei die ausgeführt wird. Der virale Code schreibt sich an das Ende der Wirtsdatei und ist somit vom Infektionsverhalten her ein sogenannter Appender.

Das Virus enthält außerdem einen Counter, der die Anzahl der Infektionen mitzählt. Datum und Uhrzeit des Programms im Directory bleiben bei einer Infektion unverändert.

Der Payload des Virus besteht aus drei Teilen. Skynet ist nicht darauf ausgelegt, Daten zu vernichten, kann aber die Systemperformance massiv beeinträchtigen. Außerdem können in der Folge durch Systemstörungen und Unterbrechungen auch Datenverluste verursacht werden, da in Einzelfällen kein ordnungsgemäßes Abspeichern der Daten mehr möglich ist.

Das Virus hat folgende Schadfunktionen:

  • Nach einer erfolgreichen Infektion beginnt Skynet das System zu verlangsamen, indem es jedes Mal Dummy-Schleifen hinzufügt, wenn Interrupt 21h aufgerufen wird. Die betroffene Maschine arbeitet selbst bei den grundlegendsten Aufgaben wie der Durchführung einer Verzeichnisliste, dem Wechseln zwischen Laufwerken, der Navigation durch Menüs und natürlich dem Ausführen von Software erheblich langsamer. Aufgrund der langsamen Geschwindigkeiten kommt es zwangsläufig zu Aufhängen oder zu Abstürzen des Rechners. Daran kann auch die Infektionsroutine von Skynet selbst schuld sein. Versucht das Virus eine Datei zu befallen, die sich auf einer schreibgeschützten Diskette befindet, kann der Schreibschutzfehler Laufzeitfehler verursachen.[3]
  • Ist das Virus in den Speicher geladen, besteht die Möglichkeit, dass beim Ausführen eines beliebigen Programms (COM oder EXE) nach einem Tastendruck die folgende Meldung in das Programm eingefügt wird:[3]
*** Terminator I *** Created by Sky Net in Chung-Li.
Wenn das laufende Programm ein COM-Programm ist, besteht die Möglichkeit, dass die Meldung auf dem Screen erscheint, die Datei jedoch nicht infiziert wird. Diese Meldung wird auch am Ende der Ausgabe sowie am Ende aller Ausgaben von ausgeführten EXE-Programmen angezeigt. In einigen Fällen führt dies zum Verlust einiger Ausgabedaten vom Bildschirm.
 
Animation des Payload von Skynet
  • Ist das Virus bereits speicherresident und es wird noch fünf weitere Male eine infizierte Datei ausgeführt, wird das laufende Programm unterbrochen. Der Hintergrund wird rot und, begleitet von Klickgeräuschen aus dem Lautsprecher, welche wohl einen Matrixdrucker imitieren sollen, erscheint folgende Nachricht, Zeichen für Zeichen auf dem Screen:
        Terminator Message:
 
         Don't be afraid.
      I am a very kind virus.
   You have do many works today.
                So,
I will let your computer slow down.
         Have a nice day,
             Goodbye.
 
   Press a key to continue. . .
Übersetzung: „Terminator-Nachricht: Keine Angst. Ich bin ein sehr freundliches Virus. Du hast heute viel Arbeit zu erledigen. Also werde ich deinen Computer verlangsamen. Einen schönen Tag noch, auf Wiedersehen. Drücke eine Taste, um fortzufahren…
Während der Bildschirmausgabe blinken die LEDs von Disketten- und Festplattenlaufwerk.
Kommt der Anwender der Aufforderung nach und drückt eine Taste, wird der Bildschirm schwarz. Das System ist aber nicht angehalten und der Benutzer kann theoretisch jede Aufgabe ausführen, auch wenn keine Ausgabe mehr auf dem Bildschirm angezeigt wird. Gibt man den DOS-Befehl cls (clear screen) ein und bestätigt mit ENTER, wird der Bildschirm geleert und die Eingabeaufforderung wieder angezeigt. Man kann weiterarbeiten, aber das System bleibt verlangsamt.[3]

Identifikation und Entfernung

Bearbeiten

Für zeitgemäße Betriebssysteme ist das Virus keine Gefahr mehr. Anfällige Systeme dürften mittlerweile kaum mehr betrieben werden und sind nur noch in der Retrocomputing-Szene in Gebrauch. Das Skynet-Virus kann außerdem von praktisch jedem heutigen Antivirenprogramm erkannt und blockiert oder entfernt werden.

Einzelnachweise

Bearbeiten
  1. microsoft.com Datenbank-eintrag zu Skynet
  2. sensorstechforum.com Skynet Ransomware 2019
  3. a b c d e f g wiw.org Skynet (Computervirus)
Bearbeiten
  • srf.ch MS-DOS-Nostalgie: Malware Museum zeigt Viren der 80er und 90er
  • archive.org Malware Example: Skynet (Video des Payload)
  • pc-magazin.de Historische Schadsoftware – Die fünf besten Computerviren des Malware-Museums