Elk Cloner

Bootsektorvirus für den Apple II

Elk Cloner ist ein Bootsektorvirus für den Apple II und gilt als das erste Computervirus überhaupt, das sich unkontrolliert verbreitete.[1] Zuvor waren Computerviren ausschließlich experimentell.[2]

Elk Cloner
Name Elk Cloner
Bekannt seit 1982
Erster Fundort USA
Virustyp Bootsektorvirus
Autoren Rich Skrenta
Dateigröße 256 Bytes
Wirtsdateien Bootsektor
Verschlüsselung nein
Stealth nein
Speicherresident ja
System Apple II mit Apple DOS
Programmiersprache 6502-Assembler
Info Erstes bekanntes In-the-wild-Virus
Erstes bekanntes Bootsektorvirus

Das Virus wurde um 1982 von dem damals 15-jährigen US-amerikanischen Schüler Rich Skrenta aus Pennsylvania für den Apple II geschrieben, der damit praktisch als der Erfinder der Computerviren in die Geschichte der Informatik einging.[3][4]

Elk Cloner erreichte nicht nur in Fachkreisen Bekanntheit, sondern wurde damals bereits in der Öffentlichkeit thematisiert. Beispielsweise wurde im Time-Magazin über das Virus berichtet.[5] Verglichen mit anderen Computerviren der 1980er Jahre war es aber nicht sehr verbreitet.

Funktion

Bearbeiten

Infektion

Bearbeiten

Das Virus war ein Bootsektorvirus und infizierte ausschließlich 5,25"-Disketten. Es benötigte das Betriebssystem Apple DOS 3.3 als Laufzeitumgebung. Wenn der Computer von einer infizierten Diskette gestartet wurde, schrieb sich das Virus resident in den Systemspeicher. Wurde dann eine noch nicht infizierte Diskette in das Laufwerk eingeschoben, speicherte sich das Virus im Bootsektor ab, um sich weiter zu verbreiten.[6][7][8] Um zu überprüfen, ob eine Diskette bereits infiziert ist, verwendet Elk Cloner ein Signaturbyte.

Schreibgeschützte Disketten konnten nicht infiziert werden.

 
Screenshot des Payload von Elk Cloner

Bei jeder 50. Diskette, die ins Laufwerk des Apple II geschoben wird, wird der Bildschirminhalt gelöscht und folgender Text erscheint:[9]

ELK CLONER:
   THE PROGRAM WITH A PERSONALITY
 
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES IT'S CLONER!
 
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM TOO
SEND IN THE CLONER!
Übersetzung: Elk Cloner: Das Programm mit einer Persönlichkeit. Es wird auf alle deine Disketten gelangen. Es wird deine Chips infiltrieren. Ja, es ist Cloner! Es wird wie Klebstoff an Dir pappen. Es wird auch den Arbeitsspeicher modifizieren. Schick den Cloner!

Der Computer musste zur Weiternutzung neu gestartet werden. Das Virus verursachte zwar keine absichtlichen Schäden, allerdings wurden bei Apple-DOS-Disketten, welche nicht auf dem Standardimage beruhten, die reservierten Spuren überschrieben.

Situation 1982

Bearbeiten
 
Auszug aus dem Code von Elk Cloner

Abgesehen vom Vorfall mit Creeper und Reaper im Arpanet 1971/72 wurden Programme mit wurm- oder virenartigem Verhalten zuvor nicht als Malware im eigentlichen Sinn genutzt. Sich selbst verbreitende Dateien und Programmcodes verwendete man nur kontrolliert, um Updates und Patches innerhalb eines Netzwerkes zu verteilen.[10]

Elk Cloner war das erste bekannte Computervirus in freiem Umlauf, und hatte bei der Verbreitung dementsprechend leichtes Spiel. Die Apple-Besitzer waren sich des potenziellen Problems einer Virusinfektion noch überhaupt nicht bewusst. Virenscanner oder anderer Schutz vor Malware existierte nicht.[5] Austausch von Disketten mit Programmen war in Szene-Kreisen aber bereits üblich. Skrenta verteilte Elk Cloner auf diesem Weg überwiegend an Schulkameraden und in seinem Computerclub. Zuvor hatte er bereits Scherzprogramme entwickelt, indem er reguläre Software umprogrammierte und einen harmlosen Payload einfügte. Dabei handelte es sich aber definitionsgemäß nicht um Computerviren, sondern um Trojanische Pferde.


“It was a practical joke combined with a hack.”

„Es war praktisch nichts weiter als ein Scherz, den ich mit einem Hack kombinierte.“

Rich Skrenta, Januar 2007[11]


Das Virus konnte später mit dem Programm MASTER CREATE von Apple entfernt werden, das somit zu den allerersten Antivirusprogrammen überhaupt gehört. Weitere Software dieser Art folgte von privaten Programmierern. Dabei entfernte man meistens absichtlich die Signatur des Virus nicht. So war die Diskette effektiv gegen einen Neubefall mit Elk Cloner geschützt. Viele Anwender schrieben die Signatur auch präventiv auf ihre Disketten, um diese quasi zu impfen.

Einzelnachweise

Bearbeiten
Bearbeiten