Zum Inhalt springen

Michelangelo (Computervirus)

aus Wikipedia, der freien Enzyklopädie
Dies ist die aktuelle Version dieser Seite, zuletzt bearbeitet am 21. April 2026 um 18:21 Uhr durch imported>Kyome2 (Payload: fehlendes Komma hinzugefügt).
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

Vorlage:Infobox Computervirus Das Michelangelo-Virus ist ein Bootvirus für DOS-Systeme auf AT- oder PS/2-Rechnern. Es war das erste Computervirus, das große Aufmerksamkeit in den Medien und Nachrichten erlangte.<ref name="heise" >Detlef Borchers: Und er sah, dass es viral war. In: c’t. Nr. 6/2017, ISSN 0724-8679, S. 60 (heise.de [abgerufen am 22. Dezember 2023]).</ref><ref>Michael Simm: „Michelangelo“ griff 10000 Rechner an. In: Die Welt. 7. März 1992, S. 1 (michaelsimm.de [abgerufen am 22. Dezember 2023]).</ref> Im Nachhinein etablierte sich für die übertriebene Berichterstattung die Bezeichnung „Michelangelo-Hysterie“.

Das Virus war keine Neuentwicklung. Michelangelo basierte auf dem bereits seit 1987 bekannten Bootvirus Stoned, das auch unter den Namen Marijuana oder New Zealand Virus bekannt ist. Der Viruscode war entsprechend modifiziert, damit Antivirus-Programme ihn nicht mehr erkennen konnten.

Herkunft

Zum ersten Fund des Virus gibt es unterschiedliche Angaben. Am verlässlichsten dürfte die Fachzeitschrift Virus Bulletin sein, die in der Ausgabe vom Oktober 1991 Australien als ersten Fundort nannte. Möglicherweise wurde dort aber auch nur der Viruscode erstmals isoliert.<ref>PDF-Download - Virus Bulletin Ausgabe Oktober 1991</ref>

Laut einigen anderen Quellen wurde Michelangelo erstmals im April 1991 in Neuseeland entdeckt.<ref><templatestyles src="Webarchiv/styles.css" />pspl.com (Memento vom 22. September 2008 im Internet Archive) pspl.com: Virus-Info</ref> Als im Juli 2017 ein Rückblick zur Michelangelo-Hysterie abgedruckt wurde, gab der Heise-Verlag in der Zeitschrift c’t an, dass das Virus bereits im Februar 1991 gefunden wurde.<ref name="heise" /><ref>http://www.today-in-history.de/index.php?what=thmanu&manu_id=1388&lang=en Today-in-history.de: Michelangelo 1992</ref> Außerdem geben einige Websites an, dass Michelangelo erstmals in den Niederlanden oder in Schweden entdeckt wurde, meist wieder mit April 1991 als Datum.<ref>https://wiw.org/~meta/vsum/view.php?vir=874 Today-in-Hisory.de Michelangelo</ref>

Der Urheber der Malware ist unbekannt.<ref>https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-michelangelo-virus-25-years-later TrendMicro.com: The Michelangelo virus - 25 years later</ref>

Aliasse

Der Quellcode von Michelangelo enthält keine Signatur, Versionsnummer, Daten oder Namen. Der Entdecker des Virus, der australische Ingenieur und Programmierer Roger Riordan, stellte fest, dass der Payload am 6. März ausgelöst wird. Er wollte das Schadprogramm nach einem Freund benennen, dessen Geburtstag auf dieses Datum fällt. Dieser schlug vor, stattdessen den Namen einer bekannten Persönlichkeit zu verwenden. Das Geburtsdatum des Renaissance-Künstlers Michelangelo erwies sich dann als passend.<ref>https://nakedsecurity.sophos.com/2012/03/05/michelangelo-virus/ NakedSecurity.Sophos.com: Memories of the Michelangelo virus</ref> Da es für Computerviren keine festgelegte Nomenklatur gibt, sind mehrere Trivialnamen gebräuchlich. Ebenso verwenden Hersteller von Antivirensoftware verschiedene Bezeichnungen für Malware. Aufgrund der Medienpräsenz, die das Virus 1992 erlangte, ist es aber vor allem unter dem Namen „Michelangelo“ ein Begriff.

Weitere Namen sind Stoned.March6.a und Stoned.Michelangelo.<ref>https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Michelangelo.aspx Sophos.com: Virus-Datenbank, Michelangelo (Übersicht)</ref>

Funktion

Das Virus soll zu MS-DOS/PC DOS kompatible DOS-Systeme infizieren, es greift das Betriebssystem jedoch nicht an und führt auch keine internen Befehle aus. Michelangelo agiert größtenteils, wie es typisch für Bootviren ist, auf BIOS-Ebene. Michelangelo ist eine Variante des Stoned-Virus. Dabei wurden weite Teile des Codes neu geschrieben, es handelt sich nicht um eine simple Modifikation. Das Virus verwendet keine Stealth- oder Polymorph-Techniken, um sich vor dem Anwender oder vor Antiviren-Scannern zu tarnen.<ref name ="HGBLeipzig">https://www.hgb-leipzig.de/~hilko/boot_sector/ HGB-Leipzig.de: The worldwide Michelangelo virus scare of 1992 - (Der Fall Michelangelo)</ref>

Infektion

Wird ein passender Rechner von einem infizierten Datenträger gebootet, reserviert sich Michelangelo zwei Kilobyte Systemspeicher unter der Adresse 40h:13h. Dann kopiert sich der Viruscode in diesen Bereich. Ist eine Festplatte vorhanden, liest das Virus den {{Modul:Vorlage:lang}} Modul:Multilingual:153: attempt to index field 'data' (a nil value) (MBR) und prüft, ob dieser bereits infiziert ist. Genau wie der Stoned-Virus vergleicht auch Michelangelo die ersten 4 Bytes des MBR mit den ersten Bytes seines eigenen Code. Bei Nichtübereinstimmung versucht das Virus zu infizieren.<ref>https://www.virusbulletin.com/virusbulletin/2017/03/throwback-thursday-michelangelo-graffiti-not-art/ VirusBulletin.com - Analyse von Michelangelo, von Fridrik Skulason, Januar 1992</ref> Michelangelo speichert den ursprünglichen MBR in Spur 0, Kopf 0, Sektor 7. Die letzten 66 Bytes des MBR, die die Partitionstabelle enthalten, werden an das Ende des Viruscodes kopiert und dann in Spur 0, Kopf 0, Sektor 1 geschrieben. Nach der Infektion der Festplatte überträgt das Virus die Kontrolle im Chainloading-Prinzip an den ursprünglichen Boot-Code des MBR.

  • Auf Festplatten verschiebt das Virus den ursprünglichen Master Boot Record zu Zylinder 0, Kopf 0, Sektor 7.
  • Auf Disketten, falls deren Kapazität 360 kB beträgt, wird der originale Bootsektor zu Zylinder 0, Kopf 1, Sektor 3 verschoben.

Auf anderen Disketten verschiebt das Virus den ursprünglichen Bootsektor zu Zylinder 0, Kopf 1, Sektor 14.

  • Das ist das letzte Verzeichnis einer 1,2-MB-Diskette.
  • Das ist das vorletzte Verzeichnis einer 1,44-MB-Diskette.
  • Dieses Verzeichnis existiert nicht auf 720-kB-Disketten. Keine Infektion möglich.

Obwohl das Virus DOS-Systeme infizieren sollte, kann es auch leicht unter anderen Betriebssystemen zu Schäden kommen, da es, wie viele andere Viren auch, den {{Modul:Vorlage:lang}} Modul:Multilingual:153: attempt to index field 'data' (a nil value) einer Festplatte infiziert. Nachdem ein System infiziert wurde, wird jede Diskette, auf die das System zugreift, unverzüglich infiziert. Auf IBM-PC-kompatiblen Rechnern besteht durch ein Programm grundsätzlich keine direkte Möglichkeit, um zu prüfen, ob aktuell eine Diskette ins Laufwerk eingelegt ist. Schreib- und Lesevorgänge werden auch bei leerem Laufwerk ausgeführt, geben dann aber eine Fehlermeldung zurück. Eine unbemerkte Infektion war erst möglich, nachdem durch den Anwender ein aktiver Zugriff auf das Laufwerk stattfand.<ref><templatestyles src="Webarchiv/styles.css" />Archivierte Kopie (Memento des Vorlage:IconExternal vom 8. Juni 2020 im Internet Archive)  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/malware.wikia.org Malware.Wikia.com: Virus-Datenbank, Michelangelo</ref> Da das Virus die meiste Zeit keine Auswirkungen zeigte, war es durchaus möglich, dass eine Infektion über Jahre unentdeckt blieb. Dass Michelangelo aufgrund seiner Art, Disketten zu infizieren, in den kommenden Jahren aussterben würde, war somit absehbar. Das Virus konnte sich nicht effektiv über 3,5"-Disketten verbreiten, und das 5,25"-Format war bereits veraltet. Der Vervielfältigungs-Code des Virus ist für Disketten mit 15 Sektoren pro Spur sowie auf Festplatten ausgelegt. 3,5"-Disketten mit 720 KByte waren somit komplett immun gegen Michelangelo. Die HD-Variante mit 1,44 MByte wird infiziert und könnte beim Bootvorgang auch weitere Infektionen verursachen. Solche Disketten sind aber nach der Infektion nicht mehr lesbar und müssen (virusfrei) neu formatiert werden. Es erscheint dann die Fehlermeldung: Allgemeiner Fehler beim Lesen von Laufwerk X:. Für die Weiterverbreitung von Bootviren ist eine defekte Diskette in der Praxis weitgehend sinnlos. Für effektive Ausbreitung ist ein solches Virus auf nicht-schreibgeschütze Bootdisketten angewiesen. Rechner mit dem Betriebssystem DR-DOS können jedoch auch diese Disketten einwandfrei lesen und verarbeiten.<ref name ="HGBLeipzig" />

Wird der Bootsektor nicht nur von Michelangelo, sondern zusätzlich von einem anderen Bootvirus infiziert, kann das zur Folge haben, dass beim Systemstart der MBR nicht mehr gefunden werden kann. In diesem Fall muss der Rechner mit einer Diskette gebootet werden, um den MBR anschließend neu zu schreiben.

Payload

Das Virus enthält eine Logikbombe, die am 6. März, dem Geburtstag von Michelangelo Buonarroti, gezündet wird. Es gibt keinen Hinweis auf den Künstler innerhalb des Viruscodes, und es ist generell zu bezweifeln, dass der Autor eine Verbindung zwischen dem Virus und Michelangelo herstellen wollte. Ein wahrscheinlicheres Szenario ist, dass das Virus ein Angriff gegen das zu dieser Zeit besser bekannte Jerusalem-Virus war, das an jedem Freitag, den 13. einen ähnlichen Payload aktivierte. Da dieser Angriff genau eine Woche vor Freitag, 13. März 1992 lag, wären Computer-User betroffen gewesen, die glaubten, sich vor dem Jerusalem-Virus schützen zu können, indem sie am 12. März das Systemdatum verändern. Einer weiteren spekulativen Annahme nach wurde das Virus vom Entwickler kurz nach dem 6. März fertiggestellt. Den Trigger erst in einem Jahr zu aktivieren, gab Michelangelo die nötige Zeit, um sich zu verbreiten. Allgemein werden Viren, die ihren Payload an einem bestimmten Tag im Jahr aktivieren, als „Geburtstagsvirus“ bezeichnet. Ein weiterer bekannter Vertreter ist die erste Version des CIH-Virus. Bei jedem Start eines infizierten Systems prüft Michelangelo das Systemdatum. Wird am 6. März kein Bootvorgang ausgeführt, löst man den Payload nicht aus. Durch Dauerbetrieb, der 1992 bei Netzwerkservern bereits üblich war, konnte ein System dem Schaden entgehen. Sollte es sich bei dem bootenden PC um einen AT oder einen PS/2 handeln, überschreibt das Virus an diesem Datum die ersten 100 Sektoren der Festplatte mit Nullen. Das Virus geht von einer Geometrie von 256 Zylindern, 4 Köpfen und 17 Sektoren je Spur aus. Obwohl sämtliche Benutzerdaten weiterhin auf der Festplatte vorhanden sind, waren sie für den durchschnittlichen Benutzer unauffindbar und somit verloren.

Die Auswirkungen auf Datenträger waren im Einzelnen:

  • Bei Disketten überschreibt der schädliche Code zuerst alle Informationen auf Spur 0, dann auf Spur 1 etc.
  • Auf einer 360K-Diskette werden die Sektoren 1–9 sowie die Köpfe 0 und 1 zerstört.
  • Auf anderen Diskettentypen werden die ersten 14 Sektoren jeder Spur zerstört.
  • Auf einer Festplatte zerstört das Virus die ersten 17 Sektoren auf jeder Spur, Kopf 0, 1, 2 und 3.

Zum Überschreiben verwendet Michelangelo den Inhalt von Speicherort 5000h:0000h. Da der Payload noch vor dem eigentlichen Systemstart ausgelöst wird, handelt es sich dabei vermutlich um einen Block Zero-Bytes.<ref>https://www.csie.ntu.edu.tw/~wcchen/asm98/asm/proj/b85506050/ORIGIN/MICHEL~1.HTM CSIE.ntu.edu.tw: Michelangelo -- Graffiti Not Art</ref> Bei mehreren Systemplatten überschreibt Michelangelo diese nacheinander. Ein sofortiges Abschalten des Rechners konnte somit die Daten auf der zweiten Platte retten. Eine Datenwiederherstellung war mit üblichen Mitteln aussichtslos.

Situation 1992

Die Michelangelo-Hysterie

Der Entdecker von Michelangelo, Roger Riordan, schrieb kurz nach dem Virusfund ein maßgeschneidertes Antiviren-Programm und vertrieb es als Shareware über seine parallel laufende Softwarefirma Cybec.<ref>https://www.internetx.com/news/michelangelo-25-jahre-nach-der-grossen-virushysterie/ InternetX.com: Michelangelo - 25 Jahre nach der großen Virenhysterie</ref><ref name="heise" /> Als das britische Virus Bulletin Michelangelo im Oktober 1991 zum ersten Mal in seiner Malware-Hitliste aufführte, gingen IT-Kundige von einer eher moderaten Gefahr aus. Der Schädling hatte verglichen mit bereits bekannten Viren nichts wirklich Neues zu bieten.

Michelangelo erlangte im Januar 1992 große internationale Aufmerksamkeit, als sich herausstellte, dass einige Computer- und Softwarehersteller das Virus versehentlich mit ihren Produkten ausgeliefert hatten, z. B. der LANSpool-Printserver von Intel. Obwohl von der Printserver-Software nur 839 betroffene Disketten verschickt wurden, berichteten die Massenmedien meist von ungleich höheren Zahlen.<ref name="vmyths"><templatestyles src="Webarchiv/styles.css" />Truth About Computer Virus Myths & Hoaxes (Memento vom 12. Dezember 2005 im Internet Archive) – vmyths.com</ref> Eine schlimmere Infektionsquelle stellte vermutlich eine verseuchte Master-Diskette in einem taiwanischen Kopierwerk dar. Über die Treiberdiskette der beliebten Artec-Maus konnte man sich daher den Michelangelo-Virus einfangen, wenn sie versehentlich beim Bootvorgang noch im Laufwerk eingelegt waren. Die Maus wurde 20.000-mal verkauft, der Anteil der infizierten Disketten ist aber unklar.<ref name="heise" /> Auch Treiber für Grafikkarten wurden in diesem Kopierwerk mit dem Virus verseucht.

Schon bald wurde in Presse und Nachrichtenmagazinen behauptet, 5 bis 15 Millionen Computer könnten mit Michelangelo infiziert sein.<ref name="heise" /> In Deutschland sprang Reuters auf den Zug auf und berichtete ebenfalls von Millionen befallenen Rechnern.<ref name="vmyths" /> Die Jugendzeitschrift Bravo brachte einen Artikel mit dem reißerischen Titel: „Computer-Besitzer in Angst! Gehen am 6. März alle Computer kaputt?“. Die Medienaufmerksamkeit war weltweit sehr groß. In Deutschland prägte sich später der Begriff „Michelangelo-Hysterie“. In englischsprachigen Ländern spricht man gleichbedeutend von der „Michelangelo Madness“.

Das BSI richtete eine spezielle Hotline ein. In der Zeit vom 17. Februar bis zum 1. März 1992 gingen rund 1.000 Anrufe ein, die allgemeine und spezielle Fragen zu Computerviren und Antivirusprogrammen betrafen. Man gab eine behördliche Warnung heraus.<ref name ="HGBLeipzig" /> Das CERT gab im Februar 1992 Hinweise für den Umgang mit Michelangelo heraus.<ref>https://resources.sei.cmu.edu/library/asset-view.cfm?assetID=496264 Empfehlungen des CERT bezüglich Michelangelo</ref>

Mehrere Fachleute, darunter einige Vertreter des Chaos Computer Clubs, sprachen von einer grundlosen Panikmache.<ref name="taz">https://taz.de/Michelangelo-schlapper-Master-of-Disaster/!1679068/ taz.de: Michelangelo - Schlapper Master of Disaster</ref>

Der Hamburger Professor Klaus Brunnstein, der damals an der Universität Hamburg ein Viren-Test-Center leitete, vertrat dagegen die Meinung, Michelangelo sei eine ernstzunehmende Gefahr. Das Virus sei sehr schädlich und vermutlich weit verbreitet.<ref>Panikmache mit Michelangelo. In: Spiegel Online. 1. März 1992, abgerufen am 27. Januar 2024. Spiegel.de: Panikmache mit Michelangelo vom 2. März 1992</ref><ref name="heise" />

Die Auswirkungen

Am 6. März 1992 berichteten die Morgennachrichten in Deutschland bereits von ersten Fällen in Uruguay. Bei einigen militärischen Rechnern war die Systemzeit falsch eingestellt gewesen, daher wurde Michelangelos Payload vorzeitig ausgelöst.<ref name="taz" /> Im Laufe der nächsten Tage zeigte sich dann, dass es lediglich 10.000 bis 20.000 Fälle von Datenverlust weltweit gegeben hatte. In Deutschland wurden 150 betroffene Computer gemeldet, der erste Fall betraf den Firmenrechner einer Druckerei aus Aachen. Das war weit unter den Erwartungen der Öffentlichkeit.<ref name="heise" />

Telemetrie per Internet gab es bei damaligen Antivirusprogrammen noch nicht. Letztlich blieben nur Schätzungen. Die britische Fachzeitschrift Virus Bulletin stuft die gesamten Auswirkungen von Michelangelo in einer Rückschau als „moderat“ ein. In Großbritannien wurden 117 betroffene PCs gemeldet. In den USA, wo die Hysterie am größten war, ging die Firma Dr Solomon’s von etwa 7.000 Schadensfällen aus. McAfee berichtete von knapp 10.000. In Südafrika hatte es etwa 1.000 Rechner in verschiedenen Apotheken erwischt, weil sie eine Preisliste in elektronischer Form bezogen. Der Großhändler hatte versehentlich infizierte Disketten verschickt.<ref>https://ajrarchive.org/Article.asp?id=1673 AjrArchive.org: Michelangelo</ref><ref name="heise" />

Laut BSI betrug die Schadensbilanz in den Folgejahren in Deutschland für 1993 rund 50 gemeldete Fälle und 1994 rund 20 Fälle. Der 6. März fiel in diesen Jahren auf ein Wochenende, weswegen vergleichsweise wenige Firmen-PCs betroffen waren.<ref name ="HGBLeipzig" /><ref name="heise" /> Als weitere Gründe für das unerwartet geringe Ausmaß gelten:

  • Die Verbreitung von Michelangelo und seine Infektionszahlen waren weit geringer als angenommen. Die unseriöse Berichterstattung hatte ein falsches Bild der Lage vermittelt.
  • Im Vergleich zu anderen Viren von 1992 sind die bekannten Fälle plus Dunkelziffer nicht unbedingt gering. Realistische Vergleiche sind hier kaum möglich, da andere Schadensfälle durch Viren in der Öffentlichkeit nicht dieselbe Aufmerksamkeit wie Michelangelo bekamen.
  • Viele Betroffene hatten ihren PC bereits gescannt und gesäubert.
  • Eine mutmaßlich nicht geringe Anzahl von Anwendern schaltete den Rechner am Stichtag sicherheitshalber nicht ein.
  • Andere Computerbesitzer verstellten rechtzeitig das Systemdatum, um den kritischen Tag zu überspringen.
  • Viele Serveranlagen werden nach Möglichkeit durchgehend betrieben. Der Payload wurde aber nur beim Bootvorgang getriggert.

Die Nachrichten verloren das Interesse und das Virus wurde schnell vergessen. Trotz des oben beschriebenen Szenarios, dass ein System über Jahre unbemerkt infiziert bleibt, wurden bis 1997 kaum entsprechende Fälle bekannt.<ref name="vmyths" /> 1998 wurden lediglich bei der Firma Symantec wieder zwei Fälle gemeldet, dann war es endgültig ruhig um Michelangelo.<ref name="vmyths" /> Mittlerweile werden anfällige Systeme wohl nur noch in der Retrocomputing-Szene betrieben.

Die Rolle von John McAfee

Als Hauptverursacher der Medienpanik um den Michelangelo-Virus wird oft der amerikanisch-britische Unternehmer John McAfee genannt. Er war 1991 einer der noch wenigen Hersteller von Antivirensoftware. Die utopische Zahl von bis zu 15 Millionen infizierten Rechnern geht ursprünglich auf ihn zurück. Allgemein wird ihm bis heute vorgeworfen, dass er mit diesem Werbetrick nur den Umsatz seiner Firma erhöhen wollte.<ref>Software-Vorreiter, Schlitzohr, Draufgänger: John McAfee wird 70. In: computerwoche.de. 17. September 2015, abgerufen am 3. März 2024.</ref>

Später stellte McAfee in einem weiteren Interview klar, dass er damals von den Journalisten gedrängt wurde, eine Zahl zu nennen. Da er sich aber nicht festlegen konnte und wollte, gab er bewusst eine schwammige Antwort. Er sagte, es können „5.000 oder 15 Millionen infizierte Rechner“ sein. In der Folge wurde er dann fehlerhaft zitiert, da den Medien die 15 Millionen anscheinend besser gefielen.<ref>John McAfee: Software-Pionier und Schlitzohr. In: wz.de. 5. Dezember 2012, abgerufen am 6. März 2024.</ref><ref>https://www.infosecurity-magazine.com/blogs/mcafee-michelangelo/ InfoSecurity-Magazine.com: McAfee und Michelangelo</ref> Eine Panik auslösen oder einen Werbebetrug veranstalten sei nicht seine Absicht gewesen.

Die Verkaufszahlen des Antivirenprogrammes von McAfee schossen Anfang 1992 auf jeden Fall in die Höhe, er verkaufte in diesem Geschäftsjahr sieben Millionen Programme. Dieser Boom betraf im Lauf der Michelangelo-Hysterie aber auch alle anderen Hersteller von Virenscannern.<ref name="vmyths" />

Einzelnachweise

<references responsive />

Weblinks

Abgerufen von „https://wiki-de.moshellshocker.dns64.de/index.php?title=Michelangelo_(Computervirus)&oldid=1685839