Osteuropas Weg von der Malware-Brutstätte zum Eldorado für Security-Firmen
Er nannte sich Dark Avenger. Niemand hat jemals erfahren, wer dahintersteckte. In den späten Achtzigern entwickelte er im damals noch kommunistischen Bulgarien Malware. Genauer gesagt: Er entwickelte Viren, die von einer Diskette zur anderen übertragen wurden. Der von Dark Avenger erstellte Code erreichte Westeuropa und die USA und lehrte dort PC-Besitzer das Fürchten. In dieser Zeit stammten rund 10 Prozent aller identifizierten Computerviren aus Bulgarien. Fast alle waren sie von Dark Avenger programmiert worden.
US-Medien publizierten damals zahlreiche Artikel über diesen “Dunklen Rächer” und berichteten über Kosten in Millionenhöhe, die Firmen entstanden. In der New York Times erschien zum Beipiel einer Bulgaren mit dem Computervirus verbunden, in dem der Sicherheitsforscher Morton Swimmer vom Virus Test Center der Universität Hamburg mit den Worten zitiert wurde: “In Bulgarien produzieren sie nicht nur die meisten Viren, sondern auch die besten.”
Wer war der “dunkle Rächer”?
Dark Avenger infiltrierte auch Computer des US-Militärs, von Banken, Versicherungen und Buchhaltungsunternehmen. John McAfee, zu dieser Zeit Chef der “Computer Virus Industry Association”, erklärte gegenüber der Zeitung: “Ich würde sagen, dass 20 von 60 Anrufen, die wir jede Woche bekommen, auf bulgarische Viren zurückzuführen sind. Und 99 Prozent davon stammen von Dark Avenger.”
Das bulgarische Wunderkind war gnadenlos: Seine Viren waren effektiv, verbreiteten sich enorm schnell und waren schwer zu erkennen. Eine seiner berühmtesten Kreationen, “Dark Avenger.1800”, griff speziell .com- und .exe-Dateien an. Er fügte den ausführbaren Dateien nur 1800 Byte Programmcode hinzu. Das reichte, damit sie alle Dateien infizierten, die der Nutzer öffnete, schloss oder aus anderen Programmen heraus erzeugte. Dann löschte der Virus zufällig Teile des Festplatteninhalts und erklärte: “Eddie lives… somewhere in time!” und unterzeichnete dies mit den Worten “This program was written in the city of Sofia (C) 1988-89 Dark Avenger”.
Der talentierte Programmierer entwickelte auch ein Tool, das es schwerer machte, die Viren mit traditionellen Mitteln wie Virensignaturen zu entdecken. Er nannte das “MtE”, kurz für “Mutation Engine”. Die Mutationsmaschine konnte Ende 1992 aus dem gleichen Ursprung erzeugen eine Milliarde verschiedene Virenformen, wie aus Zahlen von Norton hervor geht.
Miroslav Trnka, der – damals noch in der Tschechoslowakei – an der ersten Version des Antivirenprogramms Eset NOD32 mitprogrammiert hat, erinnert sich gegenüber ZDNet.com: “Ich entwickelte großen Respekt für seine Programmierfähigkeiten. Jeder seiner Viren war ein Original, der Code war sauber und optimiert bis zur letzten Taktrate. Mich erinnerte das an die Präzision Schweizer Uhren”.
Bulgarien war damals eine Brutstätte der Vorzeigeviren und ängstigte die westliche Welt. Aber auch in Russland und der Ukraine wurden intelligente Schädlinge produziert. Länder wie Tschechien, Ungarn, Rumänien und die Slowakei standen zwischen den Stühlen.
Virenprogrammierung als Selbstbeweis
Das erforderliche Wissen, um mit viel Erfindungskraft Viren zu bauen, sammelte sich in der gesamten Region an. Für viele war das Thema “cool”. Einige der frühen Virenautoren ließen ihre Vergangenheit als Schädlingsproduzenten hinter sich und ergriffen seriösere Berufe. Andere begannen, sich für die Bekämpfung des Phänomens zu interessieren – die osteuropäische Antiviren-Branche war geboren.
“Die meisten Virenentwickler wollten sich nur selbst beweisen und zeigten mit ihrer Schadsoftware, was für ausgeklügelten Code sie schreiben können. Generell waren es junge Männer mit viel Zeit und keiner Freundin. Viele von ihnen haben mit dem Virenschreiben aufgehört, sobald sie einen Job oder eine Freundin hatten”, erinnert sich Costin Raiu, inzwischen Forschungschef bei der Kaspersky Lab.
Die Kinder in den Ostblockschulen wurden besonders in Mathematik und Naturwissenschaften geschult: Die kommunistischen Regierungen brauchten Studenten für das “Re-Engineering”, und Computertechnik stand ganz oben auf der Prioritätenliste. Es waren Bulgaren, die den Apple II nachbauten und das Ergebnis “Pravetz 82” nannten. Die Rumänen brachten mit dem “HC 85” ein Gerät, das dem britischen ZX81 auffalend ähnlich war.
“Die Studenten in den Ländern Osteuropas entwickelten damals großen Enthusiasmus für Computer und deren Potenzial”, erklärt Miroslav Trnka vom Security-Softwarehaus Eset gegenüber ZDNet.com. “Es gab eine Computer-Bewegung unter jungen Leuten mit Wettbewerben und Clubs”.
Beim Spielen mit den geklonten Rechnern begannen sie, Code zu schreiben und viel zu lernen. “Die meisten Virenautoren konnten ziemlich gut Assembler programmieren”, sagt Raiu. “Die Maschinensprache war damals sehr wichtig, aber später nutzten sie auch Pascal und Visual Basic”.
Zu den Schädlingen, die er damals entdeckte, gehörten “Badsectors”, ein Virus, der Sektoren aus Disketten als fehlerhaft kennzeichnete, und “Michelangelo” (auch unter dem Namen “6. März” bekannt), der den Master Boot Record des Rechners am 6. März komplett löschte. Ein weiterer Schädling mit dem Namen “Jabber” gab beim Eintippen oder Lesen des Namens Illiescu, der Nachname des damaligen rumänischen Präsidenten automatisch das Wort “jos” (“Zurücktreten” auf Rumänisch) aus.
Viele Viren bewirkten etwas, das ihre Autoren cool fanden. Sie zeigten etwa ein Bild an oder spielten einen Song ab. Einige enthielten Puzzle oder Geheimbotschaften. Der Virus “Tequila” zum Beispiel zeichnete ein Mandelbrot-Fraktal auf den Bildschirm. Die Viren “spielten mit ihren Opfern Spielchen, und manchmal bekam man seine Daten zurück, wenn man das Spiel gewinnenn konnte”, sagt Trnka von Eset.
Ruhm, nicht Geld
Dark Avenger und Konsorten saßen stundenlang vor ihren Computern und analysierten Code, um voneinander zu lernen – und dann vielleicht “das nächste große Ding” zu programmieren. Damals spielte es für die Autoren keine Rolle, wieviel Schaden sie anrichteten, sondern wie brillant sie dabei waren. Der Bulgare Todor Todorov, auch bekannt als “Commander Tosh”, gründete das erste osteuropäische Virenforum. Das BBS (Bulletin Board System), das man damals noch mit dem Akustikkoppler aufrief, half den Computerfreaks, Virencodes und andere Informationen auszutauschen.
Kaspersky-Mitarbeiter Raiu erklärt: “Malware wurde damals nicht aus finanziellen Gründen geschrieben – im Gegensatz zu fast allen Schädlingen heute.” Er selbst war einer der “Guten”, einer, der mehr über Viren lernen wollten. Als das Computernetz in seiner rumänischen Schule mit “Badsectors.3428” infiziert war und kein Antivirenprogramm die Malware aufspüren und beseitigen konnte, verbrachte er schließlich eine ganz Nacht damit herauszufinden, wie er den digitalen Fiesling schlagen kann.
“Ich hatte wirklich Angst, dass es ein anderer vor mir schafft. Mein Tool wurde populär und mit der Zeit brachten die Leute mehr und mehr Viren, die von anderen Antiviren-Tools nicht desinfiziert werden konnten.” Raiu schrieb dann das Programm RAV, das er 1994 veröffentlichte. Es wurde schließlich 2003 von Microsoft gekauft und in dessen Produkte integriert.
Einer der ersten Viren, die Eset-Mitgründer Trnka untersuchte, war “Vienna.648”; der .com-Dateien infizierte. Seine Einfachheit machte den Schädling “elegant”. Später kam “Cascade” – er ließ die Buchstaben auf dem Bildschirm herunterpurzeln und sie auf einen Stapel am unteren Bildschirmrand fallen. “Der Viruscode war großteils verschlüsselt, um das Reverse-Engineering durch Sicherheitsexperten unmöglich zu machen”, berichtet Raiu.
Dieser Virus war auch der erste, der in die Antivirendatenbank von Kaspersky Lab eingetragen wurde. Der Mann hinter dem Unternehmen, Eugene Kaspersky, hatte damals in Russland gerade sein Studium im Institut für Kryptographie, Telekommunikation und Computertechnik abgeschlossen. Sein Security-Produkt hieß anfangs AVP und war das erste Antivirusprogramm mit einer grafischen Oberfläche. Inzwischen nutzen weltweit über 400 Millionen Menschen Produkte von Kaspersky Lab.
Mittlerweile hatten Eset-Gründer Miroslav Trnka und sein Freund Peter Paško sich mit Computerviren aus dem Jahr 1987 beschäftigt. Sie wollten ein universelles Software-Produkt entwickeln, das frühzeitig auf gerade erst auftretende Bedrohungen reagieren kann. Daraus entstand die erste Version von NOD323.
Auch die Tschechoslowakei war damals ein kommunistisches Land und damit nicht gerade der perfekte Ort, um seinen Gründergeist zu entwickeln. “Wir wollten damals eine Firma gründen, das Menschen und Daten schützt, ähnlich wie ein Krankenhaus. Zu dieser Zeit zeigte das tschechoslowakische Fernsehen eine Serie mit dem Titel “Das Krankenhaus am Rande der Stadt” – daher die Abkürzung NOD, die für “Nemocnica na Okraji Disku” steht. Das heißt so viel wie, “Krankenhaus am Rande der Disk”. Als das kommunistische Regime fiel, gründeten Trnk, Paško und ein dritter Freund, Rudolf Hrubý, dann die Firma Eset. Ihre Software wird heute von weltweit 100 Millionen Menschen genutzt.
Als ein paar Jahre später in Rumänien das Regime von Diktator Ceaușescu unterging, wurde dort der Vorläufer der heutigen Firma Bitdefender gegründet. Unter dem Namen Softwin starteten Florin Talpeş, seine Frau Măriuca und Freunde der beiden eine Firma zur Entwicklung von Software. Sie half zunächst ein paar Bekannten in Frankreich bei der Entwicklung eines Tennisspiels. Das war ihr erster Ausflug ins Ausland.
Bald entwickelte Softwin eigenen Computerspiele, aber “nachdem das Unternehmen öfter von Viren der Cyberkriminellen aus umliegenden Ländern betroffen war, sah sich Firmengründer Talpeş dazu gezwungen, selbst Software gegen die Viren zu entwickeln, die sein Geschäft zunehmend störten”, erzählt Bogdan Botezatu, Senior E-Threat-Analyst bei Bitdefender, gegenüber ZDNet.com.
“Talpeș gab seine Antivirenlösungen mit dem Ziel weiter, seine Umgebung von der Malware-Bedrohung zu befreien. Schnell fand er heraus, dass die Schutz-Software gefragter war, als das Outsourcing der Software-Entwicklung.” Das Geschäft war damals in Rumänien nicht einfach. Zum Beispiel Erstens ließen es die Gesetze nicht zu, dass man ein eigenes Bankkonto hatte. Also musste Bitdefender alle Bezahlungen in bar entgegennehmen. Ebenfalls ein Kuriosum: Die Firma musste Exportformulare ausfüllen, die Angaben zum Gewicht der Ware forderten. Für jeweils 100 KByte mussten damals 100 Gramm angegeben werden.
Bevor sich das Unternehmen auf Bitdefender umtaufte, hieß ihre Security-Software AVX (Anti-Virus eXpert). “Es war das erste Produkt mit einem Update-System, das keinen Input des Benutzers brauchte und vollautomatisch Daten über neue Bedrohungen empfing, die in der Online Community umhergingen“, erklärte Botezatu. Mittlerweile hat Bitdefender 500 Millionen Nutzer weltweit und gibt als die wichtigsten Märkte die USA, Deutschland, Großbritannien und Frankreich an.
Der Kampf gegen Malware geht weiter
Kaspersky, Bitdefender, Eset, Avast und andere Antivirus-Anbieter aus Osteuropa haben vor zwei Jahrzehnten begonnen. Heutzutage sind Datenschutz und das Internet of Things neue Schauplätze, auf denen sich diese Anbieter mit den Malware-Autoren messen müssen.
“Wir werden in Kürze eine Lösung für das Internet der Dinge veröffentlichen. Die Bitdefender Box ist eine Hardware-Appliance, die sich ins Netzwerk einklinkt und den Datenverkehr prüft – egal von welchem Gerät er kommt”, kündigt zum Beispiel Botezatu an.
Dark Avenger und andere Malware-Entwickler aus Osteuropa haben zur Gründung und Entwicklung der Security-Industrie beigetragen. Sie inspirierten die Einen, verängstigten die Anderen, aber schafften es am Ende, dass sich ein gesunder Konkurrenzkampf entwickelte.
Dark Avenger zeigte der Welt, dass Computersicherheit wichtig ist und ernstgenommen werden muss. 1993 ist der “dunkle Rächer” abgetaucht. Seither hat man nichts mehr von ihm gehört. Seine Identität wurde bisher aber auch noch nicht gelüftet. Vielleicht hat er das Interesse am Virenschreiben verloren, vielleicht wurde er auch zum anerkannten Sicherheitsprofi.
[mit Material von Andrada Fiscutean, ZDNet.com]
Tipp der Redaktion: Anfang der 80er-Jahre trieb der erste Virus auf einem Personal Computer sein Unwesen, 1984 zirkulierte der erste Massenvirus auf dem Commodore 64. Dann ging es rapide weiter – bis zur Freisetzung politisch motivierter Cyber-Armeen, die sich gegenseitig bekämpfen. ITespresso vermittelt einen kurzen Überblick über die Geschichte der Computerviren