https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=Cascade_%28Computervirus%29Cascade (Computervirus) - Versionsgeschichte2026-06-07T21:17:21ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=Cascade_(Computervirus)&diff=2616927&oldid=previmported>SchlurcherBot: Bot: http → https2025-07-05T14:52:56Z<p>Bot: http → https</p>
<p><b>Neue Seite</b></p><div>{{Infobox Computervirus<br />
| Name = Cascade<br />
| Aliase = Herbstlaub, Blackjack<br />
| Veröffentlichung = [[1987]]<br />
| Fundort = [[Deutschland|Bundesrepublik Deutschland]]<br />
| Virustyp = [[Dateivirus]]<br />
| Subtyp = <br />
| Autoren = <br />
| Dateigröße = 1.701&nbsp;[[Byte]]s oder 1.704&nbsp;[[Byte]]s<br />
| Wirtsdateien = [[COM-Datei|COM]]<br />
| Verschlüsselung = oligomorph<br />
| Stealth = nein<br />
| Speicherresident = ja<br />
| System = [[MS-DOS]] ([[PC-kompatibles DOS|DOS]]-[[IBM-PC-kompatibler Computer|PC]])<br />
| Programmiersprache = [[x86-Architektur|x86]]-[[Assemblersprache|Assembler]]<br />
| Info = Erstes selbstverschlüsselndes Virus<br />
}}<br />
'''Cascade''' ist ein [[Computervirus]], das im deutschsprachigen Raum auch unter dem Namen '''Herbstlaub''' bekannt ist. Die 1704-Variante ''(Blackjack)'' wurde erstmals im Oktober 1987 an der [[Universität Konstanz]] entdeckt.<ref>{{Webarchiv |url=http://www.security-insider.de/themenbereiche/sicherheits-management/mitarbeiter-management/articles/319504/index2 |text=IT-Sicherheit lässt sich dem Anwender spielend leicht vermitteln |wayback=20160304070425}} auf security-insider.de</ref><br />
<br />
Cascade war das erste bekannte Virus, das seinen Code selbst verschlüsselte. Dadurch versuchte sich eine Infektion vor der damals noch neuen [[Antivirussoftware]] zu verstecken.<br />
<br />
Bis in die 1990er Jahre gehörte Cascade zu den häufigsten Viren, die in Mitteleuropa [[In-the-wild|unkontrolliert in Umlauf waren]].<br />
<br />
Cascade wurde vermutlich ohne bösartige Absicht entwickelt, das Virus wurde oft als [[Scherzprogramm]] angesehen. Diese Sichtweise ist aber strittig, denn der Anwender war durch den [[Computervirus #Payload|Payload]] zu einem [[Reset|Neustart]] gezwungen. Dabei konnten natürlich auch [[Datenverlust]]e vorkommen. Das war aber nicht lange von Bedeutung, da die originale Version des Virus den Payload nur zwischen dem 1. Oktober und dem 31. Dezember 1988 auslöste.<br />
<br />
== Aliasse ==<br />
Das Virus '''Cascade''' ist auch unter folgenden Namen bekannt:<ref>[http://www.spiegel.de/spiegel/print/d-13690963.html Der Spiegel 44/1992: Rächer im Datennetz]</ref><br />
* '''Blackjack''': Der Name bezieht sich auf die Größe des Viruscodes: Die in Konstanz entdeckte Variante vergrößert die befallenen Programme um 1704&nbsp;Bytes; das Kartenspiel ''Blackjack'' ist auch unter dem Namen ''17 und 4'' bekannt.<br />
* '''1701''': Der Name bezieht sich auf eine Variante, die die befallenen Programme um 1701&nbsp;Bytes vergrößert.<br />
* '''Autumn''', '''Herbstlaub''' oder '''Herbst''': Der Payload erinnert entfernt an Blätter, die im Herbst von einem Baum fallen.<br />
<br />
== Versionen und Derivate ==<br />
* Da viele spätere Varianten 1.704&nbsp;Bytes lang waren, etablierte sich auch die Bezeichnung '''1704''' oder '''Cascade.1704'''.<br />
* '''Colani''' ist der Name eines Derivates mit leicht abgeänderter Erscheinungsform. Der eigentliche Schadcode ist identisch.<br />
* Es gibt eine Version namens '''Cascade.format''', deren Payload die Festplatte formatiert.<br />
* Eine fehlerhafte Version des Virus infiziert ein und dieselbe Datei immer wieder. Dabei wächst die Dateigröße entsprechend an.<br />
* '''17Y4''' ist eine Variante aus dem damaligen Staat [[Jugoslawien]], bei der lediglich einige Bytes manuell verändert wurden, um Virenscanner zu täuschen.<br />
<br />
== Funktion ==<br />
Cascade ist in der ursprünglichen Version insgesamt 1.701&nbsp;[[Byte]]s groß und befällt nur [[COM-Datei]]en. 3&nbsp;Bytes zu Beginn der Datei werden als Sprung auf den angehängten Virus-Code modifiziert, die originalen 3&nbsp;Bytes werden gesichert.<br />
<br />
=== Infektion ===<br />
Da Cascade nur Dateien infiziert, die über die Funktion <code>4Bh</code> und die Unterfunktion <code>00h</code> des [[Interrupt]]s <code>21h</code> geladen werden, kann sich das Virus nur auf [[Computer|Rechnern]] mit dem [[Betriebssystem]] [[MS-DOS]] verbreiten.<ref name="unihamb">{{Webarchiv|url=http://agn-www.informatik.uni-hamburg.de/catalog/msdos/html/cascade1.htm |wayback=20070610084707 |text=Informationen der Uni Hamburg |archiv-bot=2022-10-16 13:53:39 InternetArchiveBot }} über Herbstlaub (engl.)</ref><br />
<br />
Cascade verbreitete sich über infizierte [[Datei]]en und den [[Random-Access Memory|Systemspeicher]]. Beim Ausführen einer infizierten Datei wird der Viruscode in den Speicher geladen. Von dort aus infiziert er dann alle gestarteten COM-Dateien. Das Umbenennen der Dateiendung in [[EXE]] schützt nicht vor einer Infektion, denn MS-DOS unterscheidet zwischen EXE- und COM-Dateien nicht anhand der Dateibezeichnung, sondern durch Abfrage des [[MZ-Datei#MZ-Header|EXE-Headers]].<ref name="unihamb" /><br />
<br />
Der Aufruf eines infizierten Programms kann auch zu Fehlern führen. Als [[Wirtsdatei]]en kommen COM-Dateien bis zu einer Länge von 63.800&nbsp;Bytes in Frage. Dateien mit einer Länge von mehr als 63.576&nbsp;Bytes werden ebenfalls infiziert, können nach der Infektion aber nicht mehr geladen werden.<ref name="unihamb" /><br />
<br />
Das Virus prüft über eine Abfrage am [[BIOS]], ob es sich beim System um einen Rechner der Firma [[IBM]] handelt. Der Viruscode sieht vor, in diesem Fall keine Infektion durchzuführen. Aufgrund eines [[Softwarefehler]]s funktioniert das in der Praxis aber nicht wie gewünscht. Von IBM hergestellte Rechner werden ebenfalls infiziert.<br />
<br />
Befallene Dateien konnten durch [[Antivirenprogramm]]e oder entsprechende Tools meist sauber bereinigt werden.<br />
<br />
=== Payload ===<br />
[[Datei:Cascade Computervirus Payload.gif|framed|Animation des Payload von Cascade]]<br />
Der Payload wurde nur getriggert, wenn die Systemzeit auf ein Datum von 1. Oktober bis zum 31. Dezember 1988 eingestellt war.<ref name="unihamb" /><br />
<br />
Das Virus ließ dann kurz nach der Ausführung einer infizierten Datei auf dem Bildschirm Schriftzeichen nach unten fallen, bis sie auf ein anderes Schriftzeichen stießen oder die unterste Bildschirmzeile erreichten. Der Computer wurde dadurch mehr oder weniger unbenutzbar. Man musste den Rechner neu starten, dadurch gingen eventuell Daten verloren.<ref name="unihamb" /><br />
<br />
Bei den zahlreichen Derivaten von Cascade wurden Payload und Trigger teils modifiziert oder komplett geändert.<br />
<br />
Der Effekt mit den fallenden Buchstaben wurde von mehreren anderen Virenautoren aufgegriffen und kopiert. Beispielsweise verwenden die Computerviren ''Swap'' und ''Traceback'' einen optisch gleichen Payload.<br />
<br />
=== Verschlüsselung ===<br />
Der Viruscode wurde in Assembler programmiert.<br />
<br />
Cascade gilt heute als erstes speicherresidentes Dateivirus unter MS-DOS sowie als erstes Virus, das sich selbst verschlüsseln konnte.<ref>{{Webarchiv |url=http://www.viruslist.com/de/viruses/encyclopedia?chapter=153311150 |text=Viruslist.com: Virus Enzyklopädie / Die Geschichte der Schadprogramme / 1987 |wayback=20120418185324}} von Kaspersky lab</ref> Damit begründete es die zweite Generation der Computerviren. Anders als die späteren polymorphen Viren verschlüsselte Cascade nur den Schadcode. Die Entschlüsselungsroutine bleibt unverändert, wodurch spätere Antivirenprogramme das Virus problemlos durch ein Suchmuster aufspüren konnten. Die Kapazität der infizierten Datei wird als Dechiffrierschlüssel genutzt.<br />
<br />
Der Verschlüsselungscode ist sehr kurz und wurde in der Vergangenheit oft für Lehrzwecke benutzt:<br />
<syntaxhighlight lang="asm"><br />
LEA SI,...<br />
MOV SP,0682h<br />
JUMP:<br />
XOR WORD PTR [SI],SI<br />
XOR WORD PTR [SI],SP<br />
INC SI<br />
DEC SP<br />
JNZ JUMP<br />
</syntaxhighlight><br />
<br />
Im Jahr 1989 entwickelte Mark Washburn auf Basis dieser Verschlüsselungsroutine das erste polymorphe Virus namens [[1260 (Computervirus)|1260]]. Der virale Code selbst stammte vom [[Vienna (Computervirus)|Vienna-Virus]].<br />
<br />
== Folgen ==<br />
Computerviren für IBM-PC waren im Jahr 1987 noch relativ neu, lediglich ein gutes Dutzend verbreitete sich damals unkontrolliert. In dieser Zeit nahm die Fachpresse das Thema erstmals auf, die Öffentlichkeit begann langsam Notiz davon zu nehmen. Erste Virenscanner wurden als Shareware angeboten. Obwohl Computerviren noch Neuland waren, läutete Cascade mit seinen Verschlüsselungsfähigkeiten bereits die zweite Generation ein. Speicherresidenz und Verschlüsselung wurden künftig von vielen neuen Viren genutzt. Ein größeres Problem war ab dem Jahr 1990 die polymorphe Verschlüsselung, die Mark Washburn mit seinem experimentellen Virus [[1260 (Computervirus)|1260]] vorstellte. Virenscanner konnten derartige Malware nicht mehr mit Signaturen oder Prüfsummen aufspüren.<br />
<br />
Ein Programmierer mit dem Pseudonym [[Dark Avenger]] entwickelte unmittelbar nach Cascade zahlreiche ebenfalls [[speicherresident]]e und verschlüsselnde Viren, die aber im Gegensatz zu Cascade auch [[MZ-Datei|EXE-Dateien]] befielen.<ref>{{Webarchiv |url=http://www.heise.de/tp/artikel/9/9419/1.html |text=Heise.de am 30. Aug. 2001: Sie lieben uns.txt.vbs |wayback=20110604143646}}</ref><ref>[https://www.f-secure.com/v-descs/eddie.shtml F-Secure: Beschreibung des Dark Avenger] (engl.)</ref> Dark Avenger stammt vermutlich aus Bulgarien und galt damals als prominenter und einfallsreicher Virenproduzent.<ref>{{Webarchiv |url=http://www.viruslist.com/de/viruses/encyclopedia?chapter=153311162 |text=Viruslist.com: Virus Enzyklopädie / Die Geschichte der Schadprogramme / 1990 |wayback=20120418185636}} von Kaspersky lab</ref><br />
<br />
1988 verursachte Cascade einen ernsthaften Zwischenfall in der belgischen IBM-Niederlassung, was der Auslöser für IBMs eigene kommerzielle Antiviren-Produktentwicklung war. Bis zu diesem Zeitpunkt waren die von IBM entwickelten Antiviren-Programme nur zum internen Gebrauch bestimmt gewesen.<br />
<br />
Im Oktober 1989 wurde der Rechner von [[Eugene Kaspersky]] mit einer Version von Cascade infiziert. Das war für ihn der ursprüngliche Grund, warum er sich für Computerviren zu interessieren begann. Jahre später gründete er das Antiviren-Projekt AVP, aus dem [[Kaspersky Lab]] hervorging. Nachdem er das Virus analysiert hatte, entwickelte Kaspersky ein Desinfektions-Tool dafür. Cascade war auch das erste Schadprogramm, das in die Antiviren-Datenbank von Kaspersky Lab aufgenommen wurde.<ref>[https://home.uni-leipzig.de/kurs7/phpkurs/selfphp/anbieterverzeichnis/anbieterprofil_id_2.html home.uni-leipzig.de] Uni.Leipzig.de</ref><ref>http://www.infosecurity-magazine.com/view/8115/interview-eugene-kaspersky- Eugene Kaspersky Infosecurity Magazine</ref><br />
<br />
Im April 1997 wurde dem britischen Fachmagazin [[Virus Bulletin]] nur noch eine Infektion mit Cascade gemeldet.<ref>[https://www.virusbulletin.com/resources/malwaredirectory/prevalence/1997/04 virusbulletin.com] Virus Bulletin</ref><br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
== Weblinks ==<br />
* [https://jolyk.narod.ru/FallingLetters.avi Demonstrationsvideo] (AVI; 716&nbsp;kB)<br />
* [https://jolyk.narod.ru/download.htm DOS-Programm als Virensimulation]<br />
* [https://www.f-secure.com/v-descs/cascade.shtml F-Secure.com]<br />
* [https://github.com/onx/CASCADE GitHub.com] Sourcecode von Cascade/Herbstlaub<br />
<br />
[[Kategorie:Schadprogramm]]<br />
[[Kategorie:Computervirus]]<br />
[[Kategorie:Dateivirus]]</div>imported>SchlurcherBot