Was ist eigentlich die Geschichte der Malware?

Bis ins Jahr 1949 reichen die theoretischen Vorarbeiten zu Computerviren zurück. John von Neumann (1903-1957) entwickelt die Theorie von sich selbst reproduzierenden Automaten. An eine technische Umsetzung war damals noch nicht zu denken.  

In Core Wars bekriegen sich in sogenanntem Redcode geschriebene Programme. Sie kämpfen um ihr Überleben im Speicherbereich. Sogenannte Imps hangeln sich durch den Speicher und löschen wahllos Adressen. Es gab auch einige Versionen, die sich selbst kopieren konnten. Hier liegen die Wurzeln der Computerviren. 

Professor Leonard M. Adleman verwendet im Gespräch mit Fred Cohen zum ersten Mal den Begriff Computervirus.

Erste Viren für Apple II Rechner werden innerhalb eines kleinen Kreises per Diskette ausgetauscht. Durch einen Fehler führte der Virus zu Programmabstürzen. Dieser Fehler wurde in einer späteren Version behoben. 

Der Virus „Elk Cloner" plagt als erster „in the wild" (in freier Wildbahn) Virus Apple / DOS 3.3 Nutzer mit Schüttelreimen, invertierten oder falschen Anzeigen und Klickgeräuschen. Er verbreitete sich über Disketten, die mit anderen Betriebssystemen – wohl versehentlich – unbrauchbar gemacht wurden. Im Xerox Alto Research Center programmieren Jon Hepps und John Shock die ersten Würmer. Sie werden für verteilte Berechnungen verwendet und verbreiten sich selbständig im Netzwerk. Durch einen Programmierfehler geschah diese Verbreitung unkontrolliert, was die Rechner nach kurzer Zeit lahm legte.

Im November präsentiert Fred Cohen in einem Seminar erstmals das Konzept eines Virus. Für die Implementierung eines ersten funktionsfähigen Virus unter UNIX brauchte er nur acht Stunden. Innerhalb von wenigen Minuten hatte er auf allen Rechnern volle Zugriffsrechte. 

Fred Cohen veröffentlicht erste Artikel über „Experimente mit Computerviren”, die in seine 1986 erschienene Doktorarbeit „Computer Viruses – Theory and Experiments” einflossen. Seine eher mathematisch ausgerichtete Definition eines Virus ist heute noch anerkannt und umfasst nicht den negativen Beiklang, den der Begriff Virus heute hat. 

Weitere Viren in freier Wildbahn lassen nicht lange auf sich warten. Oft sind es eher Scherzprogramme, die den Computernutzer nur belästigen.

Richtig bösartig ist das Trojanische Pferd Gotcha. Nach dem Start des Programms EGABTR, das angeblich Grafikdarstellung ermöglicht, werden die Daten auf der Festplatte gelöscht und auf dem Bildschirm steht „Arf, arf, Gotcha”.

Das in BASIC verfasste Programm „Surprise” sorgte mit der Zeile „kill *.*” dafür, dass alle erreichbaren Dateien gelöscht wurden. Dabei wurde der Schriftzug „Surprise“ angezeigt.

In der Zeitschrift „Apples” wird der Quellcode eines Viruses für Apple II Rechner veröffentlicht. Auch die deutsche Hackerszene setzt sich mit Viren auseinander. Die „BAYERISCHE HACKERPOST” berichtet als erste deutschsprachige Zeitschrift über Computerviren und Cohens Dissertation. Die Gefahr, die von Computerviren ausgeht, wird aber nur auf Großrechenanlagen bezogen. Für Personal Computer wird die Gefahr nicht wahrgenommen.  

Die Brüder Basit und Amjad Farooq Alvi betreiben ein kleines Computergeschäft namens „Brain Computer Services” in Lahore, Pakistan. Um das illegale Kopieren ihrer Software zu bestrafen, schufen sie den ersten Bootsektorvirus für das Betriebssystem DOS. Über pakistanische Studenten verbreitete sich der Virus auch an amerikanischen Hochschulen wie eine Epidemie. Das Programm war aber relativ harmlos, da es nur das Inhaltsverzeichnis der befallenen Disketten in „Brain“ umbenannte. Es ist bis heute das einzige Programm, das die Adresse des Autors enthält.

Ralph Burger stellt bei einem Forum des Hamburger Chaos Computer Clubs mit „Virdem” den ersten Datei-Virus vor. „PC-Write” war das erste Trojanische Pferd. Viren gerieten durch „Pakistani-Brain” in das öffentliche Interesse. John McAfee und viele weitere Computerspezialisten gründeten erste Antiviren Firmen. An der FU Berlin ist der erste Großrechner mit Viren befallen. Der Chaos Computer Club warnt vor einer Virenepidemie binnen der nächsten 18 Monate. In „Computer Persönlich” wird der Quellcode eines Virus für Apple II Rechner abgedruckt. In der Zeitschrift „Datenschleuder” wird der Quellcode eines Virus namens „Rushhour” (von B.Fix ) für MS-DOS Rechner abgedruckt.

Immer häufiger erscheinen jetzt Viren, die (vorerst nur .COM) Dateien befallen. Mit „Lehigh” rückt erstmals ein Virus in das öffentliche Interesse. Lehigh befällt die „command.com” und ist daher technisch gesehen der erste speicherresidente Virus. Nachdem der Virus auf vier Disketten kopiert wurde, werden die Daten auf allen im Computer befindlichen Datenträgern gelöscht. Diese radikale Aktion führt zu seiner schnellen Ausrottung. Im Zusammenhang mit „Lehigh” wird die VIRUS-L/comp.virus-Mailingliste und -Newsgroup gegründet und wird zu einer wichtigen Informationsquelle im Kampf gegen Viren.

Ein Student in Wellington, Neuseeland schreibt mit Stoned/New Zealand den ersten und einen der erfolgreichsten Bootsektorviren. Er hat keine zerstörerische Schadensfunktion. Als Boosektorvirus ebenso erfolgreich Form.

Nachdem mit nVir und Peace die ersten Viren für Macintosh aufgetaucht sind, hat Apple beschlossen, jedem Rechner das Virensuchprogramm Virus-Rx beizulegen. Das so genannte „Cascade-Virus” ist der erste verschlüsselte Virus. Er lässt zum ersten Mal in Deutschland die Buchstaben einer Seite nach unten rutschen wo sie sich zu einem kleinen Häufchen sammeln. Die Dateien waren vernichtet.

Der erste Virus für Amiga (SCA) befällt den Bootsektor und gibt ab und an eine Meldung aus.

Im Dezember legte ein wohlmeinender amerikanischer Student mit dem ersten Wurm weltweit den Mailverkehr und die Netzwerke lahm. Der „Tannenbaum”-Wurm zeichnet einen Tannenbaum (Christmas Tree) auf den Bildschirm, während er sich im Hintergrund an alle Mailadressen, die er auf dem System finden konnte, verschickt.

In der c't erscheint ein Artikel über Computerviren für den Atari ST, in dem auch ein Quellcode-Listing abgedruckt ist. Der Virus kann so auch von Laien einfach angepasst werden. Die darauf folgende Welle von neuen Viren entfacht eine Diskussion über die Veröffentlichung von Virenquellcode. 

Die wachsende Vernetzung von Computern wurde 1988 erstmals von einem neuartigen Schädling ausgenutzt. Würmer nutzen bis heute Schwachstellen in Netzwerken aus. In dieser Zeit organisierten sich sowohl die Virenautoren als auch die Antiviren-Spezialisten. Antiviren-Software etablierte sich.

MacMag war der erste nennenswerte Virus für Macintosh-Rechner und hatte eine Reihe weiterer Innovationen zu bieten. Er war der erste Virus, der auf Bestellung (von Chefredakteur des MacMag) entwickelt wurde. Er war auch der erste Virus, der Datendateien befiel (in seinem Fall HyperStack-Dateien), um sich zu verbreiten. Abgesehen von einer Meldung hatte er keine schädliche Funktion.

Der Indonesier Denny Yanuar Ramdhani erkennt und entfernt mit seinem Virus „Den Zuk” den „Brain”-Virus und erfindet so den Anti-Virus-Virus.

Am Freitag, 13. Mai platzt in Jerusalem zum ersten Mal eine logische Bombe (in diesem Fall eine Zeitbombe). Damit war eine neue Virengattung begründet. Jerusalem ist der erste speicherresidente Virus (im engeren Sinne von Dateiinfektor). Durch einen Bug (Fehler) infiziert er immer wieder die gleiche Datei, wodurch man ihn erkennen kann. Der Verbreitungsmechanismus ist ähnlich wie der von Lehigh, aber effektiver, da er nicht nur .COM, sondern auch .EXE-Dateien befällt.

Robert T. Morris jr. – der Sohn des Computer-Sicherheitsexperten der NSA – setzt einen Internet Wurm frei, der sich mit einer kleinen Passwortliste Zugang zu zahlreichen (2000 - 6000) UNIX-Rechnern verschafft und sich dann wie der Tannenbaum-Virus weiter versendete, was widerum den Zusammenbruch der Netzwerke und des Mailverkehrs zur Folge hatte. Eine Aktion des Nutzers war dazu nicht notwendig. Der „Internet-Wurm” wie er genannt wurde, konnte nur noch durch telefonische Absprachen bekämpft und zur Strecke gebracht werden.

Das erste Virus Construction Kit für den Atari ST entsteht. So können auch Anfänger Viren mit bestimmten Eigenschaften zusammenbauen.

Als Reaktion auf die allgemein erhöhte Aktivität der Virenentwickler und speziell den „Internet-Wurm”, wurde in den USA das Computer Emergency Response Team /Coordination Center (CERT/CC) gegründet. Es bietet bis heute Rat und Tat rund um den Datenschutz und die Datensicherheit. Mittlerweile gibt es auch deutsche CERTs.

DataCrime verursachte einen riesigen Medienrummel.

Mit „Vienna” erscheinen erste polymorphe Viren. Das Virus verschlüsselt sich selbst mit variablen Schlüsseln und ändert auch die Form der Entschlüsselungsroutinen. Er ist deshalb durch Antiviren-Software nur mit komplexen Algorithmen aufzuspüren, die zudem zu Fehlalarmen neigten. Das war das Aus für viele Hersteller von Antivirensoftware.

Im Juli erscheint die erste Ausgabe des Virus Bulletin. Seitdem hat es sich zum renomiertesten Fachmagazin für Virenforscher entwickelt.

In Bulgarien führt Dark Avenger zwei Neuheiten ein:

1. Mit dem „Fast Infector” werden nicht nur ausführbare Dateien (zuerst „Command.com"), sondern auch zum Lesen geöffnete und kopierte Dateien befallen. So ist nach kurzer Zeit die gesamte Festplatte befallen.
2. In unregelmäßigen Abständen werden einzelne Sektoren der Festplatte überschrieben. Das bleibt in den meisten Fällen unbemerkt. Backups, die häufig zum Schutz vor Virenbefall angelegt wurden, sind damit wirkungslos.

In Haifa, Israel, wird mit Frodo der erste Tarnkappen-Virus entdeckt, der Dateien infiziert. Nach dem 22. September eines Jahres sollte er die Festplatte eines PC beschädigen. Die entsprechende Routine funktionierte allerdings nicht.

Ein Trojaner wird von der Firma PC Cyborg mit Sitz in Panama auf Disketten verteilt, die als AIDS Information getarnt sind. AIDS ersetzte die autoexec.bat und fing nach einer bestimmten Zahl (90) von Neustarts an die Festplatte zu verschlüsseln. Danach wurde man mit einer Rechnung für den Entschlüsselungscode konfrontiert.

Viren züchten wurde jetzt Mode. In VX (Virus Exchange) Bulletin Boards werden alte und neue Viren ausgetauscht.

4096 Bytes ist die Größe des gleichnamigen Virus, der im Januar erschien. Er hängte sich an ausführbare und geöffnete Datendateien an. Der Mechanismus, der das zu verbergen versuchte, führte oft dazu, dass Dateien zerstört wurden. Der Versuch die Nachricht „Frode Lives” anzuzeigen, führte zu einem Systemabsturz.

In den USA werden mit V2Px, Virus-90 und Virus-101 erste polymorphe Viren geschrieben.

Die Viren kombinierten Stealth- und Veschlüsselungsmechanismen. Das machte sie zu sogenannten Multi-Partite-Viren. Der Virus Fish war ein Tarnkappen-Virus mit einer kompakten Verschlüsselung (14 Byte). Joshi brachte die Verschleierung von Bootsektorviren weiter voran. Anthrax und V1 waren weitere Multi-Partite-Viren. Der erste wirklich erfolgreiche Multi-Partite Virus war Flip.

Die ersten mehrteiligen Viren waren Anthrax und V1. Flip schaffte es als erster Virus dieses Typs sich zu verbreiten.

Der Verband deutscher Virenliebhaber verbreitet das erste Virus Construction Kit für DOS. Damit ist es auch Anfängern möglich, Viren nach Maß zu erstellen.

Im Dezember wird das European Institute for Computer Antivirus Research (kurz EICAR) gegründet. Es spielt bis heute eine wichtige Rolle im Kampf gegen Viren und Virenautoren.

Michelangelo war ein Bootsektor-Virus, der am 6. März, dem Geburtstag Michelangelos, die ersten 256 Sektoren des Datenträgers überschrieb. Damit wurde der Rechner unbrauchbar. Im darauffolgenden Jahr wurde Michelangelo in den Medien breit getreten, was sicher etlichen Schaden verhindert hat. Er war noch lange Jahre aktiv.

Polymorphe Viren werden jetzt immer häufiger. Tequila ist der erste weit verbreitete polymorphe Virus. Maltese Amoeba überschreibt an zwei bestimmten Tagen des Jahres den ersten Sektor des Datenträgers.

Robert Slade beginnt seine Reihe mit Computer-Viren-Tutorials. Kurz darauf beginnt er mit den Arbeiten am VIRUS-L-FAQ.

Mit DirII wird der erste Cluster-Virus entdeckt.

Der „Saddam-Hussein”-Virus verschlüsselt auf Amiga-Rechnern Teile des Datenträgers, so dass diese nur noch gelesen werden können, wenn der Virus im Speicher ist.

Ein Virenautor, der sich Dark Avenger nannte, veröffentlicht im Januar die Self Mutating Engine (MtE). Damit lassen sich aus normalen Viren mit wenig Aufwand polymorphe Viren erzeugen. MtE ist damit das erste Toolkit zur Erzeugung polymorpher Viren.

Der Commodore Amiga und der Atari ST verlieren ihre Bedeutung und MS-DOS setzt sich immer mehr durch. Entsprechend steigt die Anzahl der DOS-Viren.

Altair für Atari ST gibt sich als Antiviren-Software aus. Es überschreibt alle Viren, die er im Bootsektor findet, scheitert aber wie viele andere „Antiviren-Viren”.

WinVir 1.4 ist der erste Virus für Windows. Der erste Virus, der SYS-Dateien infiziert heißt Involuntary.

Ebenfalls von Dark Avenger stammt Commander Bomber, der einen neuen Tarnmechanismus verwendet. Er befällt .COM Dateien, hängt sich aber nicht in einem Block an die Datei, sondern verteilt seinen Code auf mehrere Fragmente, die untereinander durch Links verbunden sind. Um ihn zu erkennen, muss die gesamte Datei gescannt werden.

Neue Toolkits zur Erzeugung von polymorphen Viren erscheinen: Trident Polymorphic Engine (TPE), Nuke Encryption Device (NED) und Dark Angel's Multiple Encryption (DAME) bauen auf der MtE auf. Virensignaturen werden aber weiterhin verwendet.

In MS-DOS 6 ist erstmal ein (mittelmäßiger) Virenscanner. Er enthält eine mangelhafte On-Access Komponente, womit der Virenschutz einfach ausgeschaltet werden konnte.

Der Amiga-Virus Fuck (sorry, aber der Name stammt nicht von uns), der durch einen als Modem-Testprogramm getarnten Trojaner verbreitet wurde, ersetzte zunächst die Systemdatei loadWB. Nach einem Neustart des Rechners wurde der Virencode ausgeführt. Nach einer bestimmten Zeit, die durch die Bildwiederholfrequenz festgelegt war, wurde die gesamte Festplatte mit dem bösen F-Wort voll geschrieben, was zur Zerstörung aller Daten führte.

Joe Wells veröffentlicht im Juli die erste Wildlist. Er möchte damit die Aktivitäten von Viren auflisten, die im Umlauf sind. Aus dieser Liste ist später die Wildlist Organization entstanden.

Weitere Computerviren für Windows tauchen auf.

Die ersten Multipartite-Viren werden entdeckt. Diese Viren nutzen mehrere Infektionsmechanismen und können gleichzeitig neben Dateien auch Bootsektoren bzw. Partitionstabellen befallen.

Der Jugendliche Black Baron veröffentlicht in England Smeg.Pathogen (und Smeg.Queen). Smeg.Pathogen zeigt eine Meldung an und überschreibt anschließend die ersten 256 Sektoren der Festplatte. Das hat in einigen Firmen zu erheblichen Schäden geführt. Er wurde im darauf folgenden Jahr zu einer Gefängnisstrafe verurteilt.

Kaos4 verbreitete sich über eine Newsgroup, die auf Erotikbilder spezialisiert war. Diese Strategie wurde seitdem häufiger angewandt.

Virus Hoaxes werden mit den „Good-Times”-Warnungen zu einem ernsthaften aber verkannten Problem.

1995 traten die ersten Makroviren auf. Bis dahin wurden nur ausführbare Dateien und Bootsektoren befallen. Makroviren stellten hohe Anforderungen an die Erkenner. Mit Melissa, Loveletter, Sobig und Konsorten stellen immer wieder neue Geschwindigkeitsrekorde bei der Verbreitung auf.

Mit „DMV” und „Nachtwächter” erscheinen erste Makroviren. „Concept 1995” war der erste Makrovirus der öffentlich ausbrach und sich ungehindert in englischen Systemen verbreitete.

Mit Hunter.c erscheint der erste polymorphe Makrovirus in Deutschland.

Wm.Concept war der erste 'in the wild' Makrovirus für Word (abgesehen von den HyperCard-Infektoren). Er enthielt nur die Meldung „That's enough to prove a point." (etwa: „Das reicht als Beweis”) und war kurze Zeit später der weltweit verbreitetste Virus. Wm.Concept begründete die Gattung der „Proof of Concept”-Viren. PoC-Viren zeigen nur, dass es möglich ist, eine bestimmte Schwachstelle auszunutzen, ohne wirklich Schaden anzurichten. Die Erkennung von Makroviren stellt hohe Anforderungen an die Virenscanner, nicht zuletzt wegen der ständig wechselnden Formate von Skriptsprachen und Office-Dateien.

Es erscheinen erste Makro-Generatoren für deutsche oder englische Makroviren. Makroviren beschränken sich nicht länger auf Word, sondern greifen auch auf Excel und AmiPro-Dateien an. Sie überspringen zudem die Grenzen zwischen Betriebssystemen und befallen sowohl PCs als auch Macs.

Laroux infiziert als erster MS-Excel-Dateien.

Boza befällt als erster Virus das PE-EXE-Format von Windows 95-Dateien. Er wurde von Quantum, einem Mitglied der australischen Virenautorengruppe VLAD geschrieben.

Strange Brew ist der erste Virus für Java.

Abgesehen von Makroviren, die nun auch in Access und anderen Programmen unterwegs sind, waren PCs mit MacOS seit mindestens drei Jahren nicht von Viren geplagt. Mit dem Wurm Autostart.9805 ändert sich das. Autostart nutzt den Quicktime AutoStart-Mechanismus auf PowerPCs und kopiert sich auf Festplatten und andere Datenträger. Bestimmte Dateien werden mit Datenmüll überschrieben und damit unbrauchbar gemacht. AutoStart verbreitet sich von Hong Kong aus über die ganze Welt.

Mit Netbus und Back Orifice erscheinen Backdoors, mit denen man einen Rechner vom Nutzer unbemerkt überwachen und fernsteuern kann. Im Zusammenhang mit Back Orifice wird in der Folge immer wieder diskutiert, ob es eine Fernwartungs- oder eine Fernsteuerungs-Software ist. Da die Fernsteuerungs-Funktionen ohne Wissen des Nutzers ausgeführt werden können, ist Back Orifice als Trojaner zu bezeichnen. Mit BO gelang einem Angreifer Mitte 2000 ein Einbruch ins interne Firmennetz von Microsoft.

Im Juni erscheint CIH (Spacefiller, Chernobyl) in Taiwan. Er hat einen der massivsten Payloads der Virengeschichte. Er belebt die Frage, ob Viren in der Lage sind, Hardware zu zerstören. Wenn seine Schadensfunktion (am 26. April) aktiv wird, überschreibt er das Flash-BIOS und die Partitionstabelle der Festplatte. Damit lässt sich der Rechner nicht mehr booten. Auf einigen Motherboards mussten die BIOS-Bausteine ausgetauscht oder neu programmiert werden. Aber selbst nach der Wiederherstellung des Systems waren die Daten verloren. Der Autor, der chinesische Student Chen Ing-Hau, wird rechtlich nicht belangt.

VBS.Rabbit nutzt als erster den Windows Scripting Host (WSH). Er ist in Visual Basic geschrieben und greift andere VBS-Dateien an. HTML.Prepend zeigt, dass man mit VBScript HTML-Dateien infizieren kann.

Dr. Solomons wurde von Network Associates gekauft. Wie vorher bei McAfee wandten sich die Kunden von dem Programm ab.

Im März befällt der Wurm „Melissa” bereits am ersten Tag seines Erscheinens zigtausende Computer und verbreitet sich in Windeseile weltweit. Er versendet E-Mails an die ersten 50 Adressen im Outlook-Adressbuch und viele Mailserver brechen unter der Last der E-Mails zusammen. Im August gibt David l. Smith zu, den Wurm geschrieben zu haben.

Happy99 erzeugt von jeder vom Nutzer versendeten Mail eine Kopie und verschickt sie erneut mit dem gleichen Text und der gleichen Betreffzeile plus dem Wurm im Dateianhang. Das funktioniert auch bei Usenet-Postings.

Im Juni tarnt sich ExploreZip als selbst entpackendes Archiv, das als Antwort auf eine eingegangene E-Mail gesendet wird. Er verbreitet sich über Netzwerkfreigaben und kann Rechner im Netzwerk infizieren, wenn nur ein Nutzer des Netzwerks unvorsichtig ist. Die Schadensfunktion durchsucht die Festplatte nach C und C++ Programmen, Excel-, Word- und Powerpoint-Dateien und löscht sie.

Neben dem E-Mail-Weg verbreitet sich Pretty Park auch über Internet Relay Chats (IRC). Er hat sehr effektive Schutz- und Tarnmechanismen, die verhinderten, dass der Wurm gelöscht werden konnte. Beim nächsten Virenscan wurde der Wurm als legitim erkannt. Manchmal wurden Virenscans auch blockiert. Durch eine Manipulation der Registry wurde Pretty Park vor EXE-Dateien ausgeführt, was dazu führte, dass alle EXE-Dateien als verseucht gemeldet wurden.

Für Nutzer von Outlook wird im November mit Bubbleboy die „Good-Times”-Vision wahr, dass ein Virus den Rechner infiziert, wenn man eine E-Mail öffnet (auch im Vorschau-Modus). Dazu nutzt Bubbleboy einen Fehler in einer Programmbibliothek.

Trotz aller Prophezeiungen gibt es keinen Millenium-Wurm, der diesen Namen verdient hätte.

Palm/Phage und Palm/Liberty-A sind zwar selten, aber durchaus in der Lage PDAs mit PalmOS zu befallen.

Der VB-Skript Wurm VBS/KAKworm nutzt eine Schwachstelle in Scriplets und Typelibs des Internet Explorers. Ähnlich wie BubbleBoy verbreitete er sich beim Öffnen einer E-Mail (auch in der Voransicht).

Im Mai versendet ein Wurm lawinenartig E-Mails aus dem Outlook-Adressbuch mit der Betreffzeile „I love you” und richtet vor allem in großen Unternehmensnetzen Milliardenschäden an. Auch hier waren die Netze binnen Kurzem völlig überlastet. Von der Urfassung eines phillipinischen Studenten namens Onel de Guzman werden zahlreiche Varianten abgeleitet. US-Experten sprechen vom bösartigsten Virus der Computergeschichte.

Der Autor von W95/MTX hat sich alle Mühe gegeben, um den Wurm/Virus-Hybriden vom Rechner zu entfernen. Dieser versendete eine PIF-Datei mit doppelter Dateiendung per E-Mail und sperrte den Zugriff des Browsers auf einige Webseiten von Antiviren-Herstellern, verseuchte Dateien mit der Viruskomponente und einige Dateien wurden durch die Wurmkomponente ersetzt.

Nach dem Loveletter und seinen vielen Varianten wurden an den MailGateways einfach die Mails mit den entsprechenden Betreffzeilen herausgefiltert. Stages of Life variierte die Betreffzeile und schlüpfte so durch die Maschen.

Im September entsteht in Schweden mit Liberty der erste Trojaner für PDAs. Er überträgt sich bei der Synchronisierung mit dem PC und löscht dann Aktualisierungen.

Im Februar kursiert ein E-Mail-Wurm, dessen Anhang angeblich ein Bild der russischen Tennisspielerin Anna Kournikova enthält. Wer es öffnet installiert den Wurm, der sich an alle Adressen im Outlook-Adressbuch versendet.

Auch Naked verbreitet sich per E-Mail. Er gibt vor, eine Flash-Animation einer nackten Frau zu sein. Nach dem Öffnen installiert er sich und versendet sich ebenfalls an alle Outlook-Adressen. Da er auch Windows- und Systemverzeichnisse löscht, macht er den Rechner unbrauchbar. Nur mit einer Neuinstallation des Betriebssystems lässt sich der Rechner wieder in Betrieb nehmen.

Code Red nutzt im Juli einen Bufferoverflow-Fehler in der Internet Information Server (IIS) Indexing Service DLL von Windows NT, 2000 und XP. Er scant zufällig IP-Adressen auf dem Standardport für Internetverbindungen und überträgt einen Trojaner, der zwischen dem 20. und 27. eines Monats eine Denial of Service (DoS) Attacke gegen die Webseite des Weißen Hauses startet. Die Entfernung des Virus ist sehr aufwendig und verschlingt Milliarden.

Im Juli verbreitet sich SirCam über Netzwerke und per Outlook Express und führt einige Neuerungen ein. Er sorgt dafür, dass er bei jedem Start einer EXE-Datei aktiviert wird. Als erster Wurm bringt er eine eigene SMTP-Engine mit. Er versendet aber nicht nur sich selbst, sondern auch persönliche Dateien, die er auf dem Rechner findet.

Mit Nimda verbreitet sich im September ein Internet-Wurm, der keine Benutzerinteraktion braucht. Er nutzt zur Verbreitung neben E-Mails auch Sicherheitslücken in Programmen. Zahlreiche Webserver werden überlastet und infizierte Dateisysteme sind für alle Welt lesbar.

Im November nutzt der speicherresitente Wurm Badtrans eine Sicherheitslücke in Outlook und Outlook Express, um sich zu verbreiten. Er installiert sich als Dienst, beantwortet E-Mails, spioniert Passwörter aus und zeichnet Tastaturfolgen auf.

Der Wurm „MyParty” zeigt Anfang des Jahres, dass nicht alles, was mit „.com” endet eine Webseite ist. Wer den Mailanhang „www.myparty.yahoo.com” doppelklickt bekommt anstelle der erwarteten Bilder einen Wurm mit Backdoor-Komponente.

Im Frühjahr und Sommer nutzt Klez die IFRAME-Sicherheitslücke im Internet Explorer, um sich automatisch beim Betrachten der Mail zu installieren. Er verbreitet sich per E-Mail und Netzwerk und hängt sich an ausführbare Dateien. Am 13. von geraden Monaten (in späteren Versionen waren es andere Tage) werden alle Dateien auf allen erreichbaren Laufwerken mit zufälligen Inhalten überschrieben. Die Inhalte lassen sich nur durch Backups wiederherstellen.

Im Mai verbreitet sich Benjamin als erster Wurm über das KaZaA-Netzwerk. Er kopiert sich unter vielen verschiedenen Namen in einen Netzwerkordner. Auf infizierten Rechnern wurde eine Webseite mit Werbung angezeigt. Zuvor waren auch Gnutella basierte P2P-Netzwerke befallen.

Lentin ist ein Wurm, der es ausnutzt, dass viele Leute nicht wissen, dass SCR-Dateien nicht nur einfache Bildschirmschoner, sondern auch ausführbare Dateien sind. Verglichen mit Klez ist sein Videoeffekt als Schadensfunktion nur störend. Auch seine Verbreitung erreicht nicht die von Klez.

Ende September verbreitet sich Opasoft (auch Brazil genannt) wie eine Epidemie. Auf Port 137 scant er Rechner im Netzwerk und prüft, ob es dort Datei- und/oder Drucker-Freigaben gibt. Ist das so, versucht er sich auf den Rechner zu kopieren. Wenn es einen Passwortschutz gibt, wird eine Liste mit Passwörtern durchlaufen, die eine Schwachstelle in der Speicherung von Passwörtern ausnutzt.

Tanatos alias BugBear ist der erste Wurm, der Klez seit dem Frühjahr von seinem Spitzenplatz verdrängt. Der Wurm verbreitet sich per E-Mail und Netzwerk, installiert eine Spyware-Komponente und versendet Aufzeichnungen der Tastaturanschläge.

Im Januar infiziert „SQL-Slammer” in einer Stunde mindestens 75000 SQL-Server und legt damit für Stunden das Internet lahm. Er nutzt eine seit sechs Monaten bekannte Schwachstelle im Microsoft SQL-Server, um Datenbankserver zu neuralisieren. Da SQL-Slammer nur aus einer fehlerhaften Anfrage besteht und nicht als Datei in den Speicher geladen wird, blieb er von Antiviren-Programmen unerkannt. Die Folge: In Seattle fielen die Notrufnummern von Polizei und Feuerwehr aus, Bankautomaten der Bank of America funktionierten nicht, 14.000 Postämter in Italien blieben geschlossen, der Online-Börsenhandel litt dramatisch. In Korea war KT Corp zeitweilig komplett vom Netz. Dort sank mit dem stark verringerten Handelsvolumen auch der Index um 3 %. In China blockierte man den gesamten ausländischen Netzverkehr.

Im August verbreitet sich Lovesan (alias Blaster) selbständig im Internet. Er nutzt eine erst nutzt dazu eine vier Wochen zuvor von Microsoft geschlossene Sicherheitslücke im RPC/DCOM Dienst und infiziert zufällig per IP-Adresse ausgewählte Rechner. Innerhalb kürzester Zeit waren Hunderttausende von Rechnern (man sagt 570 000) infiziert. Kurz darauf begann Welchia (alias Nachi) Lovesan/ Blaster von den Rechnern zu entfernen und die RPC/DCOM Sicherheitslücke zu schließen. Ende August 2003 wurde der 18-jährige Jeffrey Lee Parsons als Autor von Lovesan festgenommen. Er wurde im März 2005 zu einer hohen Geldstrafe verurteilt, die mit Zustimmung von Microsoft in einen wöchentlichen Sozialdienst über drei Jahre umgewandelt wurde.

Der Massenmailwurm „Sobig.F” stellt mit seiner eigenen Mailengine einen neuen Rekord für die Verbreitungsgeschwindigkeit auf. Er verbreitet sich 10 mal schneller als bisherige Würmer.

Viren werden zur Waffe in der organisierten Kriminalität. Zahllose Trojaner spionieren Passwörter, Kreditkartennummern und andere persönliche Informationen aus. Backdoors machen Rechner fernsteuerbar und integrieren sie in sog. Botnets. Mit den Zombies eines Botnets werden während der Fußball-EM Denial-of-Service-Angriffe auf Online-Wettbüros ausgeführt. Die Betreiber zahlen notgedrungen die Forderungen der Erpresser.

Rugrat ist der erste Virus für 64-bit Windows.

Cabir, der erste Virus für Mobiltelefone mit Symbian-Betriebssystem und Bluetooth-Schnittstelle wird von der für ihre Proof-of-Concept-Viren bekannten Gruppe 29A entwickelt. Kurz darauf folgt von der gleichen Gruppe mit WinCE.4Dust.A der erste PoC-Virus für Windows CE.

Als erster Wurm für Symbian -Smartphones verbreitet sich CommWarrior.A per MMS. Die MMS-Nachrichten versendet er an alle Einträge des Telefonbuchs und sie werden von variablen begleitenden Texten als Antivirensoftware, Spiele, Treiber, Emulatoren, 3D-Software oder interessante Bilder dargestellt.

Der Nyxem-Wurm wird entdeckt. Er verbreitete sich durch Massenmails. Seine Payload, die am dritten eines jeden Monats, beginnend am 3. Februar, aktiviert wird, versucht, sicherheitsrelevante und Dateifreigabe-Software zu deaktivieren und bestimmte Dateitypen, wie Microsoft Office-Dateien, zu zerstören.

Die Entdeckung der allerersten Malware für Mac OS X, ein Trojaner mit geringer Bedrohung, bekannt als OSX/Leap-A oder OSX/Oompa-A, wird bekannt gegeben.

Ende März wird die Brontok-Variante N entdeckt. Brontok war ein Massen-E-Mail-Wurm, dessen Ursprung in Indonesien lag.

Starbucks ist ein Virus, der StarOffice und OpenOffice infiziert.

Der Stration- oder Warezov-Wurm wird erstmals entdeckt.

Storm Worm wird als sich schnell ausbreitende E-Mail-Spamming-Bedrohung für Microsoft-Systeme identifiziert. Er beginnt, infizierte Computer im Storm-Botnet zu sammeln. Bis zum 30. Juni hatte er 1,7 Millionen Computer infiziert. Bis September waren bereits zwischen drei und zehn Millionen Computer betroffen Storm Wurm stammt vermutlich aus Russland und tarnt sich als Nachrichten-E-Mail, die einen Film über gefälschte Nachrichten enthält und den Benutzer auffordert, den Anhang herunterzuladen, der angeblich ein Film ist.

Zeus ist ein Trojaner, der auf Microsoft Windows abzielt, um Bankdaten durch die Aufzeichnung von Tastatureingaben zu stehlen.

Mocmex ist ein Trojaner, der im Februar 2008 in einem digitalen Bilderrahmen gefunden wurde. Es war der erste ernstzunehmende Computervirus auf einem digitalen Fotorahmen. Der Virus wurde auf eine Gruppe in China zurückgeführt.

Torpig, auch bekannt als Sinowal und Mebroot, ist ein Trojanisches Pferd, das Windows befällt und Antiviren-Anwendungen deaktiviert. Er ermöglicht anderen den Zugriff auf den Computer, verändert Daten, stiehlt vertrauliche Informationen (z. B. Benutzerkennwörter und andere sensible Daten) und installiert weitere Malware auf dem Computer des Opfers.

Rustock.C, eine Malware vom Typ Spambot mit fortgeschrittenen Rootkit-Fähigkeiten, wird auf Microsoft-Systemen entdeckt und analysiert, nachdem sie mindestens seit Oktober 2007 in freier Wildbahn und unentdeckt war.

Bohmini.A ist ein konfigurierbares Fernzugriffstool oder ein Trojaner, der Sicherheitslücken in Adobe Flash 9.0.115 mit Internet Explorer 7.0 und Firefox 2.0 unter Windows XP SP2 ausnutzt.

Der Koobface-Computerwurm zielt auf Benutzer von Facebook und Myspace ab. Es tauchen ständig neue Varianten auf.

Der Computerwurm Conficker infiziert zwischen neun und 15 Millionen Microsoft-Serversysteme, auf denen alles von Windows 2000 bis zur Windows 7 Beta läuft. Die französische Marine, das britische Verteidigungsministerium (einschließlich Kriegsschiffe und U-Boote der Royal Navy), das Krankenhausnetzwerk von Sheffield, die deutsche Bundeswehr und die norwegische Polizei waren betroffen. Microsoft setzt ein Kopfgeld von 250.000 US-Dollar für Informationen aus, die zur Ergreifung der Autoren des Wurms führen. Es sind fünf Hauptvarianten des Conficker-Wurms bekannt, die als Conficker A, B, C, D und E bezeichnet werden. 2008 veröffentlichte Microsoft KB958644, um die Sicherheitslücke im Serverdienst zu schließen, die für die Verbreitung von Conficker verantwortlich ist.

Stuxnet, ein Windows-Trojaner, wird entdeckt. Es ist der erste Wurm, der SCADA-Systeme angreift. Es gibt Hinweise darauf, dass er auf iranische Atomanlagen abzielt. Er verwendet ein gültiges Zertifikat von Realtek.

Der Virus mit dem Namen „here you have“ oder „VBMania“ ist ein einfaches trojanisches Pferd, das im Posteingang mit der merkwürdigen, aber vielsagenden Betreffzeile „here you have“ erscheint. Der Text lautet „This is The Document I told you about, you can find it Here“ oder „This is The Free Download Sex Movies, you can find it Here“.

Anti-Spyware 2011, ein Trojanisches Pferd, das Windows 9x, 2000, XP, Vista und Windows 7 angreift und sich als Anti-Spyware-Programm ausgibt. Es deaktiviert sicherheitsrelevante Prozesse von Antivirenprogrammen und blockiert gleichzeitig den Zugang zum Internet, was Updates verhindert.
Im Sommer versucht der Morto-Wurm sich über das Microsoft Windows Remote Desktop Protocol (RDP) auf weitere Computer zu verbreiten. Morto verbreitet sich, indem er infizierte Systeme dazu zwingt, nach Windows-Servern zu suchen, die eine RDP-Anmeldung zulassen. Sobald Morto ein System mit RDP-Zugang gefunden hat, versucht er, sich bei einem Domänen- oder lokalen Systemkonto mit dem Namen „Administrator“ anzumelden, wobei er mehrere gängige Passwörter verwendet.

Das ZeroAccess Rootkit (auch bekannt als Sirefef oder max++) wird entdeckt, ebenso wie Duqu, ein Wurm, von dem angenommen wird, dass er mit dem Stuxnet-Wurm verwandt ist.

Der Trojaner CryptoLocker erscheint auf der Bildfläche. Er verschlüsselt die Dateien auf der Festplatte eines Benutzers und fordert ihn dann auf, ein Lösegeld an den Entwickler zu zahlen, um den Wiederherstellungsschlüssel zu erhalten. In den folgenden Monaten wurden mehrere Nachahmungstrojaner für Ransomware entdeckt.

Der Gameover ZeuS-Trojaner stiehlt die Anmeldedaten auf beliebten Websites, die Geldtransaktionen beinhalten. Er funktioniert, indem er eine Anmeldeseite erkennt und dann bösartigen Code in die Seite einfügt, der die Daten des Computerbenutzers per Tastendruck aufzeichnet.

Linux.Darlloz zielt auf das „Internet der Dinge“ (Internet of things) ab und infiziert Router, Sicherheitskameras und Set-Top-Boxen, indem er eine PHP-Schwachstelle ausnutzt.

Der als Scherz gedachte Trojaner „MEMZ“ macht den Nutzer darauf aufmerksam, dass es sich um einen Trojaner handelt, und warnt ihn, dass der Computer möglicherweise nicht mehr benutzbar ist, wenn er fortfährt. Er enthält komplexe Nutzdaten, die das System beschädigen und während der Ausführung Artefakte auf dem Bildschirm anzeigen. Wenn die Anwendung einmal ausgeführt wurde, kann sie nicht mehr geschlossen werden, ohne den Computer weiter zu beschädigen, der dann nicht mehr richtig funktioniert. Wenn der Computer neu gestartet wird, erscheint anstelle des Startbildschirms die Meldung „Ihr Computer wurde vom MEMZ-Trojaner beschädigt. Genießen Sie jetzt die Nyan-Katze …“, gefolgt von einer Animation der Nyan-Katze.

Die Ransomware Locky mit ihren über 60 Derivaten verbreitet sich in ganz Europa und infiziert mehrere Millionen Computer. Auf dem Höhepunkt der Ausbreitung wurden allein in Deutschland über fünftausend Computer pro Stunde infiziert. Obwohl Ransomware zu diesem Zeitpunkt nicht neu war, waren unzureichende Cybersicherheit sowie fehlende Standards in der IT für die hohe Zahl der Infektionen verantwortlich.

Tiny Banker Trojan (Tinba) macht Schlagzeilen. Seit seiner Entdeckung wurden mehr als zwei Dutzend große Bankinstitute in den Vereinigten Staaten infiziert, darunter TD Bank, Chase, HSBC, Wells Fargo, PNC und Bank of America. Tiny Banker Trojan nutzt HTTP-Injection, um den Computer des Benutzers glauben zu machen, er befinde sich auf der Website der Bank. Diese gefälschte Seite sieht genauso aus und funktioniert genauso wie die echte. Der Benutzer gibt dann seine Daten ein, um sich anzumelden, woraufhin Tinba die Rückmeldung „Falsche Anmeldeinformationen“ der Bankwebseite aufrufen und den Benutzer auf die echte Website umleiten kann. Auf diese Weise wird dem Benutzer vorgegaukelt, dass er die falschen Daten eingegeben hat und normal weitermachen kann, obwohl Tinba die Anmeldedaten bereits erfasst und an seinen Host gesendet hat.

Journalisten und Forscher berichten über die Entdeckung einer Spionagesoftware namens Pegasus. Sie wurde von einem privaten Unternehmen entwickelt und verbreitet und mit der iOS- und Android-Smartphones häufig infiziert werden können und wurden, ohne dass eine Benutzerinteraktion oder nennenswerte Hinweise für den Benutzer erforderlich sind. Dabei werden Daten exfiltrieret, der Standort des Benutzers kann verfolgt sowie Filmaufnahmen über die Kamera gemacht und das Mikrofon jederzeit aktiviert werden. Untersuchungen deuten darauf hin, dass die Software für viele Ziele weltweit eingesetzt wurde und dass sie z. B. von Regierungen für die Spionage von Journalisten, Oppositionspolitikern, Aktivisten, Geschäftsleuten und anderen genutzt wurde.

Mirai sorgt für Schlagzeilen, indem es durch die Infizierung des Internets der Dinge einige der stärksten und störendsten DDoS-Angriffe auslöst, die es bisher gab. Mirai wird schließlich für den DDoS-Angriff auf die Website Krebs on Security am 20. September 2016 verwendet, der 620 Gbit/s erreichte. Ars Technica berichtete außerdem über einen Angriff mit 1 Tbit/s auf den französischen Webhost OVH. Am 21. Oktober 2016 kam es zu mehreren großen DDoS-Angriffen auf DNS-Dienste des DNS-Dienstanbieters Dyn, bei denen Mirai-Malware verwendet wurde, die auf einer großen Anzahl von IoT-Geräten installiert war, was dazu führte, dass mehrere bekannte Websites wie GitHub, Twitter, Reddit, Netflix, Airbnb und viele andere nicht mehr erreichbar waren. 

Der WannaCry-Ransomware-Angriff breitet sich weltweit aus. Für die Verbreitung der Malware wurden Sicherheitslücken genutzt, die Ende 2016 im NSA-Hacking-Toolkit aufgedeckt wurden. Kurz nach Bekanntwerden der Infektionen fand ein britischer Cybersecurity-Forscher in Zusammenarbeit mit anderen einen in der Ransomware versteckten „Kill Switch“ und aktivierte ihn, wodurch die erste Welle der weltweiten Ausbreitung gestoppt wurde. Am nächsten Tag gaben die Forscher bekannt, dass sie neue Varianten der Malware ohne den Kill Switch gefunden hatten.

Der Petya-Angriff breitet sich weltweit aus und befällt Windows-Systeme. Symantec-Forscher stellen fest, dass diese Ransomware den EternalBlue-Exploit verwendet, der dem des WannaCry-Angriffs ähnelt.

Thanatos, eine Ransomware, ist das erste Ransomware-Programm, das Lösegeldzahlungen in Bitcoin Cash akzeptiert.

Die Forscher Nassi, Cohen und Bitton haben einen Computerwurm namens Morris II entwickelt, der auf generative KI-E-Mail-Assistenten abzielt, um Daten zu stehlen und Spam zu versenden und so die Sicherheitsvorkehrungen von Systemen wie ChatGPT und Gemini zu umgehen. Diese in einer Testumgebung durchgeführte Untersuchung zeigt die Sicherheitsrisiken von multimodalen großen Sprachmodellen (LLMs) auf, die jetzt Text, Bilder und Videos erzeugen.

Generative KI-Systeme, die mit Eingabeaufforderungen arbeiten, könnten beispielsweise einen versteckten Text auf einer Webseite anweisen, bösartige Aktivitäten durchzuführen, wie z. B. Phishing nach Bankdaten. Obwohl generative KI-Würmer wie Morris II noch nicht in der Öffentlichkeit beobachtet wurden, ist ihre potenzielle Bedrohung ein Grund zur Sorge für die Technologiebranche.