Brain (Computervirus)
Brain bezeichnet eine Gruppe von Bootsektorviren, deren Originalversion als die erste unkontrolliert verbreitete Malware für MS-DOS-PCs bekannt wurde.
Brain | |
---|---|
Name | Brain |
Aliase | Pakistani, (c)Brain |
Bekannt seit | 1986 |
Erster Fundort | Pakistan |
Virustyp | Bootsektorvirus |
Autoren | Basit Farooq Alvi, Amjad Farooq Alvi |
Dateigröße | 512 KByte |
Wirtsdateien | Bootsektor |
Verschlüsselung | nein |
Stealth | ja |
Speicherresident | ja |
System | MS-DOS mit FAT-Dateisystem |
Info | Erstes In-the-wild-Virus für MS-DOS Erstes Stealth-Virus In-the-wild Basiert auf dem Virus Ashar Infiziert keine Festplatten |
Das Virus infiziert den Bootsektor von Disketten, die mit dem DOS-Dateisystem FAT formatiert wurden.[1][2][3]
Ein Vorläufer namens Ashar wurde bereits im Januar 1986 geschrieben.
Aliasse
BearbeitenDie Bezeichnung Brain etablierte sich, weil das Virus den Namen des Datenträgers in (c)Brain
ändert. Der Vorgänger änderte das Volume Label dagegen in (c)Ashar
. Brain ist auch unter den Namen Lahore, Pakistani, Pakistani Brain, Brain.A, Brain-A, (c)Brain und UIUC bekannt. Das BusinessWeek-Magazin nannte Brain in einem Artikel reißerisch The Pakistani Flu, was auf Deutsch Die pakistanische Grippe bedeutet.
Die Hersteller von Antiviren-Software verwenden folgende Bezeichnungen:[3]
- Avast!: Brain
- Avira: Brain #2
- ClamAV: Brain.2
- Doctor Web: Brain.dropper
- F-Secure: Brain
- Grisoft: Brain
- Kaspersky Lab: Virus.Boot.Brain.a oder Brain.a
- McAfee: BtDr.Brain
- Panda: Brain.1986
- Bitdefender: Trojan.Dropper.Boot.Brain.A
- Sophos: Brain drop
- Symantec: Brain
- Trend Micro: (C)BRAIN
Versionen und Derivate
BearbeitenAshar wurde erst nach Brain entdeckt, ist aber eine frühere Version von Brain. Anhand der Code-Änderungen und der Versionsnummer ist klar ersichtlich, dass die Ashar-Variante zuerst entwickelt wurde. Als erster Virus In-the-wild für MS-DOS-Rechner wurde aber Brain.A bekannt. Von Ashar gibt es sechs verschiedene bekannte Varianten, die sich aber nur durch den enthaltenen Text unterscheiden.
Es gibt neben Brain.A noch weitere bekannte Derivate der Virus-Gruppe. Meistens wurde aber nur der Nachrichtentext geändert. Zu den verbreitetsten Versionen gehören:[3]
- Brain.B kann auch Festplatten infizieren.
- Brain.C kann ebenfalls Festplatten infizieren, ändert aber nicht den Namen des Datenträgers.
- Brain.Clone ist wie Brain.C, aber zeigt anstelle des Textes zufällige Zeichen.
- Brain.Clone.B ist eine Variante von Brain.Clone, die das FAT-Dateisystem zerstört, wenn die Systemzeit beim booten den 5. Mai 1992 oder einen späteren Zeitpunkt anzeigt.
- Brain.Shoe ist ein Derivat von Brain.B und auch unter dem Namen Ashar bekannt. Vermutlich ist diese Version älter als das Original.
- Brain.Shoe.B kann im Gegensatz zu Brain.Shoe keine Festplatten infizieren. Die Versionsnummer ist auf 9.1 geändert.
- Brain.TerseShoe ist eine Variante, die sich nur durch einen Zeilenumbruch in der Nachricht von Brain.Shoe unterscheidet
- Brain.Jork enthält den Text
(C) Jork & Amjads (pvt) Ltd"
. - Brain.Singapore Das Copyright-Datum lautet 1988 statt 1986. Der Text ist fast identisch mit dem der originalen Virus-Version, nach den Telefonnummern steht aber:
Ver (Singapore) Beware of this "virus". It will transfer to a million of Diskettes... $# @%$@!!
Funktion
BearbeitenInfizierte Disketten haben folgenden Text im Bootsektor stehen:[2][1][3]
Welcome to the Dungeon (c) 1986 Basit & Amjads (pvt) Ltd VIRUS_SHOE RECORD V9.0 Dedicated to the dynamic memories of millions of viruses who are no longer with us today - Thanks GOODNESS!! BEWARE OF THE er..VIRUS : this program is catching program follows after these messages….$#@%$@!!
Stealth
BearbeitenObwohl 1986 noch keine Antivirenprogramme auf dem Markt waren, verwendete Brain bereits eine einfache Stealth-Technik. Das Virus versucht, sich vor der Entdeckung zu verstecken, indem es sich in INT 13
einbindet. Wird der infizierte Bootsektor ausgelesen, während das Virus im Speicher resident und somit aktiv ist, zeigt Brain stattdessen den ursprünglichen Bootsektor an. Der Hexeditor von MS-DOS, das Systemprogramm DEBUG, ließ sich davon beispielsweise täuschen.
Ashar, der Vorgänger von Brain, ist somit auch das erste bekannte Stealthvirus.
Infektion
BearbeitenDas Virus infiziert den Computer, indem es den Bootsektor durch eine Kopie von sich selbst ersetzt. Der eigentliche Bootsektor wird in einen anderen Sektor verschoben, welcher als defekt gekennzeichnet wird. Infizierte Disketten haben üblicherweise drei Kilobytes defekte Sektoren. Die Disketten-Bezeichnung wird in (c)Brain
geändert.[1][3]
Brain verfügt in seiner ursprünglichen Version über eine Funktion zum korrekten Umgang mit Festplattenpartitionen und vermeidet es, Festplatten zu infizieren, indem es das Bit mit dem höchsten Stellenwert der BIOS-Laufwerksnummer überprüft. Brain infiziert keine Laufwerke, bei denen dieses Bit gelöscht ist. Andere Viren aus dieser Zeit erkannten keine Festplatten und zerstörten teilweise die Möglichkeit, auf Daten der Festplatte zuzugreifen, indem sie diese wie Disketten behandelten. Brain wurde aufgrund seines nicht zerstörerischen Verhaltens oft nicht entdeckt, insbesondere dann nicht, wenn der Benutzer dem langsamen Diskettenzugriff keine Aufmerksamkeit schenkte.[1][3]
Der Viruscode beinhaltete die Adresse der Autoren, drei Telefonnummern und eine Nachricht, die dem Benutzer mitteilte, dass sein System infiziert war und er für die Entfernung die Brüder kontaktieren sollte:[1][2][3]
Welcome to the Dungeon © 1986 Basit & Amjads (pvt). BRAIN COMPUTER SERVICES 730 NIZAM BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE: 430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination...
Es gibt viele kleinere und größere Variationen des Textes. Das Virus verlangsamt das Diskettenlaufwerk und macht sieben Kilobyte des konventionellen Speichers für DOS unverfügbar.[3]
Die Autoren
BearbeitenBrain wurde von den zwei Brüdern Basit Farooq Alvi und Amjad Farooq Alvi geschrieben, die in der pakistanischen Stadt Chahmiran in Lahore lebten. Die Brüder gaben dem Time-Magazin gegenüber an, sie hätten das Virus geschrieben, um ihre medizinische Software vor Raubkopien zu schützen, und es sollte lediglich Urheberrechtsverletzer treffen.[4][2]
Als die Brüder eine große Anzahl an Anrufen von Personen aus den Vereinigten Staaten, Großbritannien und von anderswo erhielten, die von ihnen verlangten, ihre Systeme zu reinigen, waren die Brüder fassungslos und versuchten den empörten Anrufern zu erklären, dass sie keine bösen Absichten hatten. Schließlich kündigten sie ihren Telefonanschluss und bedauerten, dass sie die Kontaktdaten veröffentlicht hatten. Es wurde aber auch spekuliert, dass die Brüder den Virus geschrieben haben, um für ihren Betrieb zu werben.[5][4][2]
Ihr Geschäft in Pakistan, den Internet-Provider Brain Limited, betreiben die Gebrüder Farooq Alvi bis heute (Stand August 2020).
Trivia
BearbeitenEine Infektion mit Brain war der Anlass für John McAfee, sich mit Malware zu befassen. Er wurde im Jahr 1987 einer der ersten Hersteller von Antivirensoftware.[6] Obwohl er die Firma 1994 verließ und 1997 verkaufte, blieb sein Name bis heute untrennbar mit Antivirensoftware verbunden.
Einzelnachweise
Bearbeiten- ↑ a b c d e https://www.f-secure.com/v-descs/brain.shtml F-Secure: Brain
- ↑ a b c d e https://www.trtworld.com/magazine/the-making-of-the-first-computer-virus-the-pakistani-brain-32296 TRT-World.com Making of the first computer virus
- ↑ a b c d e f g h http://virus.wikidot.com/brain Wikidot.com Virus.WikiDot.com Brain
- ↑ a b Archivierte Kopie ( des vom 17. Januar 2021 im Internet Archive) Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis. PC-Welt.de Erster PC-Virus wird 25 Jahre alt
- ↑ Computer Knowledge – Robert Slade: Chapter 7 – (c) Brain ( vom 8. März 2009 im Internet Archive)
- ↑ Marshall Cavendish Corporation (Hrsg.): Inventors and Inventions. Band 4. Marshall Cavendish, New York 2007, ISBN 978-0-7614-7761-7, S. 1029 ff. (eingeschränkte Vorschau in der Google-Buchsuche).