Was ist eigentlich
die Geschichte der Malware?

 

 

 

In der folgenden Übersicht finden Sie Meilensteine in der Entwicklung von Viren, Würmern und Trojanern sowie kuriose Geschichten rund um das Thema Schadcode.

1949

Bis ins Jahr 1949 reichen die theoretischen Vorarbeiten zu Computerviren zurück. John von Neumann (1903-1957) entwickelt die Theorie von sich selbst reproduzierenden Automaten. An eine technische Umsetzung war damals noch nicht zu denken.  

1970er

In Core Wars bekriegen sich in sog. Redcode geschriebene Programme. Sie kämpfen um ihr Überleben im Speicherbereich. Sog. Imps hangeln sich durch den Speicher und löschen wahllos Adressen. Es gab auch einige Versionen, die sich selbst kopieren konnten. Hier liegen die Wurzeln der Computerviren. 

1982

Erste Viren für Apple II Rechner werden innerhalb eines kleinen Kreises per Diskette ausgetauscht. Durch einen Fehler führte der Virus zu Programmabstürzen. Dieser Fehler wurde in einer späteren Version behoben. 

Der Virus „Elk Cloner" plagt als erster „in the wild" Virus Apple / DOS 3.3 Nutzer mit Schüttelreimen, invertierten oder falschen Anzeigen und Klickgeräuschen. Er verbreitete sich über Disketten, die mit anderen Betriebssystemen - wohl versehentlich - unbrauchbar gemacht wurden. Im Xerox Alto Research Center programmieren Jon Hepps und John Shock die ersten Würmer. Sie werden für verteilte Berechnungen verwendet und verbreiten sich selbständig im Netzwerk. Durch einen Programmierfehler geschah diese Verbreitung unkontrolliert, was die Rechner nach kurzer Zeit lahm legte.

1983

Im November präsentiert Fred Cohen in einem Seminar erstmals das Konzept eines Virus. Für die Implementierung eines ersten funktionsfähigen Virus unter UNIX brauchte er nur 8 Stunden. Innerhalb von wenigen Minuten hatte er auf allen Rechnern volle Zugriffsrechte. 

1984

Fred Cohen veröffentlicht erste Artikel über „Experimente mit Computerviren”, die in seine 1986 erschienene Doktorarbeit „Computer Viruses - Theory and Experiments” einflossen. Seine eher mathematisch ausgerichtete Definition eines Virus ist heute noch anerkannt und umfasst nicht den negativen Beiklang, den der Begriff Virus heute bekommen hat. 

1985

Weitere Viren in freier Wildbahn lassen nicht lange auf sich warten. Oft sind es eher Scherzprogramme, die den Computernutzer nur belästigen.

Richtig bösartig ist das Trojanische Pferd Gotcha. Nach dem Start des Programms EGABTR, das angeblich Grafikdarstellung ermöglicht, werden die Daten auf der Festplatte gelöscht und auf dem Bildschirm steht „Arf, arf, Gotcha”.

Das in BASIC verfasste Programm „Surprise” sorgte mit der Zeile „kill *.*” dafür, dass alle erreichbaren Dateien gelöscht wurden. Dabei wurde der Schriftzug "Surprise" angezeigt.

In der Zeitschrift „Apples” wird der Quellcode eines Viruses für Apple II Rechner veröffentlicht. Auch die deutsche Hackerszene setzt sich mit Viren auseinander. Die „BAYERISCHE HACKERPOST” berichtet als erste deutschsprachige Zeitschrift über Computerviren und Cohens Dissertation. Die Gefahr, die von Computerviren ausgeht, wird aber nur auf Großrechenanlagen bezogen. Für Personal Computer wird die Gefahr nicht wahrgenommen.  

1986

Die Brüder Basit und Amjad Farooq Alvi betreiben ein kleines Computergeschäft namens „Brain Computer Services” in Lahore, Pakistan. Um das illegale Kopieren Ihrer Software zu bestrafen, schufen sie den ersten Bootsektorvirus für das Betriebssystem DOS. Über pakistanische Studenten verbreitete sich der Virus auch an amerikanischen Hochschulen wie eine Epidemie. Das Programm war aber relativ harmlos da es nur das Inhaltsverzeichnis der befallenen Disketten in Brain umbenannte. Es ist bis heute das einzige Programm, das die Adresse des Autors enthält.

Ralph Burger stellt bei einem Forum des Hamburger Chaos Computer Clubs mit „Virdem” den ersten Datei-Virus vor. „PC-Write” war das erste Trojanische Pferd. Viren gerieten durch „Pakistani-Brain” in das öffentliche Interesse. John McAfee und viele weitere Computerspezialisten gründeten erste Anti-Viren Firmen. An der FU Berlin ist der erste Großrechner mit Viren befallen. Der Chaos Computer Club warnt vor einer Virenepidemie binnen der nächsten 18 Monate. In „Computer Persönlich” wird der Quellcode eines Virus für Apple II Rechner abgedruckt. In der Zeitschrift „Datenschleuder” wird der Quellcode eines Virus namens „Rushhour” (von B.Fix ) für MS-DOS Rechner abgedruckt.

1987

Immer häufiger erscheinen jetzt Viren, die (vorerst nur .COM) Dateien befallen. Mit „Lehigh” rückt erstmals ein Virus in das öffentliche Interesse. Lehigh befällt die „command.com” und ist daher technisch gesehen der erste speicherresidente Virus. Nachdem der Virus auf 4 Disketten kopiert wurde, werden die Daten auf allen im Computer befindlichen Datenträgern gelöscht. Diese radikale Aktion führt zu seiner schnellen Ausrottung. Im Zusammenhang mit „Lehigh” wird die VIRUS-L/comp.virus-Mailingliste und -Newsgroup gegründet und wird zu einer wichtigen Informationsquelle im Kampf gegen Viren.

Ein Student in Wellington, Neuseeland schreibt mit Stoned/New Zealand den ersten und einen der erfolgreichsten Bootsektorviren. Er hat keine zerstörerische Schadensfunktion. Ebenso erfolgreich als Bootsektorvirus ist Form.

Nachdem mit nVir und Peace die ersten Viren für Macintosh aufgetaucht sind, hat Apple beschlossen jedem Rechner das Virensuchprogramm Virus-Rx beizulegen. Das so genannte „Cascade-Virus” ist der erste verschlüsselte Virus. Er läßt zum ersten Mal in Deutschland die Buchstaben einer Seite nach unten rutschen wo sie sich zu einem kleinen Häufchen sammeln. Die Dateien waren vernichtet.

Der erste Virus für Amiga (SCA) befällt den Bootsektor und gibt ab und an eine Meldung aus.

Im Dezember legte ein wohlmeinender amerikanischer Student mit dem ersten Wurm weltweit den Mailverkehr und die Netzwerke lahm. Der „Tannenbaum”-Wurm zeichnet einen Tannenbaum (Christmas Tree) auf den Bildschirm, während er sich im Hintergrund an alle Mailadressen, die er auf dem System finden konnte, verschickt.

In der c't erscheint ein Artikel über Computerviren für den Atari ST, in dem auch ein Quellcode-Listing abgedruckt ist. Der Virus kann so auch von Laien einfach angepasst werden. Die darauffolgend Welle von neuen Viren entfacht eine Diskussion über die Veröffentlichung von Virenquellcode. 

1988

Die wachsende Vernetzung von Computern wurde 1988 erstmals von einem neuartigen Schädling ausgenutzt. Würmer nutzen bis heute Schwachstellen in Netzwerken aus. In dieser Zeit organisierten sich sowohl die Virenautoren als auch die Antiviren Spezialisten. Antiviren Software etablierte sich.

MacMag war der erste nennenswerte Virus für Macintosh Rechner und hatte eine Reihe weiterer Innovationen zu bieten. Er war der erste Virus, der auf Bestellung (von Chefredakteur des MacMag) entwickelt wurde. Er war auch der erste Virus, der Datendateien befiel (in seinem Fall HyperStack-Dateien), um sich zu verbreiten. Abgesehen von einer Meldung hatte er keine schädliche Funktion.

Der Indonesier Denny Yanuar Ramdhani erkennt und entfernt mit seinem Virus „Den Zuk” den „Brain”-Virus und erfindet so den Anti-Virus-Virus.

Am Freitag dem 13. Mai platzt in Jerusalem zum ersten Mal eine logische Bombe (in diesem Fall eine Zeitbombe). Damit war eine neue Virengattung begründet. Jerusalem ist der erste speicherresidente Virus (im engeren Sinne von Dateiinfektor). Durch einen Bug infiziert er immer wieder die gleiche Datei, wodurch man ihn erkennen kann. Der Verbreitungsmechanismus ist ähnlich wie der von Lehigh, aber effektiver, da er nicht nur .COM, sondern auch .EXE Dateien befällt.

Robert T. Morris jr. - der Sohn des Computer-Sicherheitsexperten der NSA - setzte einen Internet Wurm frei, der sich mit einer kleinen Passwortliste Zugang zu zahlreichen (2000 - 6000) UNIX-Rechnern verschaffte und sich dann wie der Tannenbaum-Virus weiter versendete, was widerum den Zusammenbruch der Netzwerke und des Mailverkehrs zur Folge hatte. Eine Aktion des Nutzers war dazu nicht notwendig. Der „Internet-Wurm” wie er genannt wurde, konnte nur noch durch telefonische Absprachen bekämpft und zur Strecke gebracht werden.

Das erste Virus Construction Kit für den Atari ST entsteht. So können auch Anfänger Viren mit bestimmten Eigenschaften zusammenbauen.

Als Reaktion auf die allgemein erhöhte Aktivität der Virenentwickler und speziell den „Internet-Wurm” wurde in den USA das Computer Emergency Response Team /Coordination Center (CERT/CC) gegründet. Es bietet bis heute Rat und Tat rund um den Datenschutz und die Datensicherheit. Mittlerweile gibt es auch deutsche CERTs.

1989

DataCrime verursachte einen riesigen Medienrummel.

Mit „Vienna” erscheinen erste polymorphe Viren. Er verschlüsselt sich selbst mit variablen Schlüsseln und ändert auch die Form der Entschlüsselungsroutinen. Er ist deshalb durch Anti-Viren-Software nur mit komplexen Algorithmen aufzuspüren, die zudem zu Fehlalarmen neigten. Das war das Aus für viele Antivirensoftware-Hersteller.

Im Juli erscheint die erste Ausgabe des Virus Bulletin. Seither entwickelte es sich zum renomiertesten Fachmagazin für Virenforscher.

In Bulgarien führt Dark Avenger zwei Neuheiten ein: 1. Mit dem „Fast Infector” werden nicht nur ausführbare Dateien (zuerst „Command.com"), sondern auch zum lesen geöffnete und kopierte Dateien befallen. So ist nach kurzer Zeit die gesamte Festplatte befallen. 2. In unregelmäßigen Abständen werden einzelne Sektoren der Festplatte überschrieben. Das bleibt in den meisten Fällen unbemerkt. Backups, die häufig zum Schutz vor Virenbefall angelegt wurden, sind damit wirkungslos.

In Haifa, Israel wird mit Frodo der erste Tarnkappen-Virus entdeckt, der Dateien infiziert. Nach dem 22.September eines Jahres sollte er die Festplatte eines PC beschädigen. Die entsprechende Routine funktionierte allerdings nicht.

Ein Trojaner wird von der Firma PC Cyborg mit Sitz in Panama auf Disketten verteilt, die als AIDS Information getarnt sind. AIDS ersetzte die autoexec.bat und fing nach einer bestimmten Zahl (90) von Neustarts an die Festplatte zu verschlüsseln. Danach wurde man mit einer Rechnung für den Entschlüsselungscode konfrontiert.

1990

Viren züchten wurde jetzt Mode. In VX (Virus Exchange) Bulletin Boards werden alte und neue Viren ausgetauscht.

4096 Bytes ist die Größe des gleichnamigen Virus, der im Januar erschien. Er hängte sich an ausführbare und geöffnete Datendateien an. Der Mechanismus, der das zu verbergen versuchte führte oft dazu, dass Dateien zerstört wurden. Der Versuch die Nachricht „Frode Lives” anzuzeigen, führte zu einem Systemabsturz.

In den USA werden mit V2Px, Virus-90 und Virus-101 erste polymorphe Viren geschrieben.

Die Viren kombinierten Stealth- und Veschlüsselungsmechanismen. Das machte sie zu sog. Multi-Partite-Viren. Der Virus Fish war ein Tarnkappen-Virus mit einer kompakten Verschlüsselung (14 Byte). Joshi brachte die Verschleierung von Bootsektorviren weiter voran. Anthrax und V1 waren weitere Multi-Partite-Viren. Der erste wirklich erfolgreiche Multi-Partite Virus war Flip.

Die ersten mehrteiligen Viren waren Anthrax und V1. Flip schaffte es als erster Virus dieses Typs sich zu verbreiten.

Der Verband deutscher Virenliebhaber verbreitet das erste Virus Construction Kit für DOS. Damit ist es auch Anfängern möglich Viren nach Maß zu erstellen.

Im Dezember wird das European Institute for Computer Antivirus Research (kurz EICAR) gegründet. Es spielt bis heute eine wichtige Rolle im Kampf gegen Viren und Virenautoren.

1991

Michelangelo war ein Bootsektor-Virus, der am 6. März -dem Geburtstag Michelangelos - die ersten 256 Sektoren des Datenträgers überschrieb. Damit wurde der Rechner unbrauchbar. Im darauffolgenden Jahr wurde Michelangelo in den Medien breit getreten, was sicher etlichen Schaden verhindert hat. Er war noch lange Jahre aktiv.

Polymorphe Viren werden jetzt immer häufiger. Tequila ist der erste weit verbreitete polymorphe Virus. Maltese Amoeba überschreibt an zwei bestimmten Tagen des Jahres den ersten Sektor des Datenträgers.

Robert Slade beginnt seine Reihe mit Computer-Viren-Tutorials. Kurz darauf beginnt er mit den Arbeiten am VIRUS-L-FAQ.

Mit DirII wird der erste Cluster-Virus entdeckt.

Der „Saddam-Hussein”-Virus verschlüsselt auf Amiga-Rechnern Teile des Datenträgers, so dass diese nur noch gelesen werden können, wenn der Virus im Speicher ist.

1992

Ein Virenautor, der sich Dark Avenger nannte, veröffentlicht im Januar die Self Mutating Engine (MtE). Damit lassen sich aus normalen Viren mit wenig Aufwand polymorphe Viren erzeugen. MtE ist damit das erste Toolkit zur Erzeugung von polymorphen Viren.

Der Commodore Amiga und der Atari ST verlieren Ihre Bedeutung und MS-DOS setzt sich immer mehr durch. Entsprechend steigt die Anzahl der DOS-Viren.

Altair für Atari ST gibt sich als AntiViren Software aus. Er überschreibt alle Viren, die er im Bootsektor findet. Er scheitert wie viele andere „Antiviren-Viren”.

WinVir 1.4 ist der erste Virus für Windows. Der erste Virus, der SYS-Dateien infiziert heißt Involuntary.

Ebenfalls von Dark Avenger stammt Commander Bomber, der einen neuen Tarnmechanismus verwendet. Er befällt .COM Dateien, hängt sich aber nicht in einem Block an die Datei, sondern verteilt seinen Code auf mehrere Fragmente, die untereinander durch Links verbunden sind. Um ihn zu erkennen, muss die gesamte Datei gescannt werden.

1993

Neue Toolkits zur Erzeugung von polymorphen Viren erscheinen: Trident Polymorphic Engien (TPE), Nuke Encryption Device (NED) und Dark Angel's Multiple Encryption (DAME) bauen auf der MtE auf. Virensignaturen werden aber weiterhin verwendet.

In MS-DOS 6 ist erstmal ein (mittelmäßiger) Virenscanner. Er enthielt eine mangelhafte On-Access Komponente, womit der Virenschutz einfach ausgeschaltet werden konnte.

Der Amiga-Virus Fuck (sorry, aber der Name ist nicht von uns), der durch einen als Modem-Testprogramm getarnten Trojaner verbreitet wurde, ersetzte zunächst die Systemdatei loadWB. Nach einem Neustart des Rechners wurde der Virencode ausgeführt: Nach einer bestimmten Zeit, die durch die Bildwiederholfrequenz festgelegt war, wurde die gesamte Festplatte mit dem bösen F-Wort voll geschrieben, was zur Zerstörung aller Daten führte.

Joe Wells veröffentlicht im Juli die erste Wildlist. Er möchte damit die Aktivitäten von Viren auflisten, die im Umlauf sind. Aus dieser Liste ist später die Wildlist Organization entstanden.

Weitere Computerviren für Windows tauchen auf.

1994

Die ersten Multipartite-Viren tauchen auf. Diese Viren nutzen mehrere Infektionsmechanismen und können gleichzeitig neben Dateien auch Bootsektoren bzw. Partitionstabellen befallen.

Der Jugendliche Black Baron veröffentlicht in England Smeg.Pathogen (und Smeg.Queen). Smeg.Pathogen zeigt eine Meldung an und überschreibt anschließend die ersten 256 Sektoren der Festplatte. Das hat in einigen Firmen zu erheblichen Schäden geführt. Er wurde im darauf folgenden Jahr zu einer Gefängnisstrafe verurteilt.

Kaos4 verbreitete sich über eine Newsgroup, die auf Erotikbilder spezialisiert war. Diese Strategie wurde seitdem häufiger angewandt.

Virus Hoaxes werden mit den „Good-Times”-Warnungen zu einem ernsthaften aber verkannten Problem.

1995

1995 traten die ersten Makroviren auf. Bis dahin wurden nur ausführbare Dateien und Bootsektoren befallen. Makroviren stellten hohe Anforderungen an die Erkenner. Mit Melissa, Loveletter, Sobig und Konsorten stellen immer wieder neue Geschwindigkeitsrekorde bei der Verbreitung auf.

Mit „DMV” und „Nachtwächter” erscheinen erste Makroviren. „Concept 1995” war der erste Makrovirus der öffentlich ausbrach und sich ungehindert in englischen Systemen verbreitete.

Mit Hunter.c erscheint der erste polymorphe Makrovirus in Deutschland.

Wm.Concept war der erste 'in the wild' Makrovirus für Word (abgesehen von den HyperCard Infektoren). Er enthielt nur die Meldung „That's enough to prove a point." (etwa: „das reicht als Beweis”) und war kurze Zeit später der weltweit verbreitetste Virus. Wm.Concept begründete die Gattung der „Proof of Concept”-Viren. PoC-Viren zeigen nur, dass es möglich ist eine bestimmte Schwachstelle auszunutzen, ohne wirklich Schaden anzurichten. Die Erkennung von Makroviren stellt hohe Anforderungen an die Virenscanner, nicht zuletzt wegen der ständig wechselnden Formate von Skriptsprachen und Office-Dateien.

1996

Es erscheinen erste Makro-Generatoren für deutsche oder englische Makroviren. Makroviren beschränken sich nicht länger auf Word, sondern zielen auch auf Excel und AmiPro Dateien ab. Sie überspringen auch die Grenzen zwischen Betriebssystemen und befallen sowohl PCs als auch Macs.

Laroux infiziert als erster MS-Excel Dateien.

Boza befällt als erster Virus das PE-EXE-Format von Windows 95 Dateien. Er wurde von Quantum, einem Mitglied der australischen Virenautorengruppe VLAD geschrieben.

1997

Viren werden jetzt immer spezieller und greifen gezielt Schwachstellen in Programmen, Betriebssystemen oder Hardware an.

Erste mIRC-Skripte erscheinen, die sich wurmartig unter den Nutzern des Internet Relay Chats verbreiten.

Das erste Virus für das Betriebssystem Linux taucht auf.

1998

Strange Brew ist der erste Virus für Java.

Abgesehen von Makroviren, die nun auch in Access und anderen Programmen unterwegs sind, waren PCs mit MacOS seit mindestens 3 Jahren nicht von Viren geplagt. Mit dem Wurm Autostart.9805 ändert sich das. Autostart nutzt den Quicktime AutoStart Mechanismus auf PowerPCs und kopiert sich auf Festplatten und andere Datenträger. Bestimmte Dateien werden mit Datenmüll überschrieben und damit unbrauchbar gemacht. AutoStart verbreitet sich von HongKong über die ganze Welt.

Mit Netbus und Back Orifice erscheinen Backdoors, mit denen man einen Rechner vom Opfer unbemerkt überwachen und fernsteuern kann. Im Zusammenhang mit Back Orifice wird in der Folge immer wieder diskutiert, ob es eine Fernwartungs- oder eine Fernsteuerungs-Software ist. Da die Fernsteuerungs-Funktionen ohne Wissen des Nutzers ausgeführt werden können, ist Back Orifice als Trojaner zu bezeichnen. Mit BO gelang einem Angreifer Mitte 2000 ein Einbruch ins interne Firmennetz von Microsoft.

Im Juni erscheint CIH (Spacefiller, Chernobyl) in Taiwan. Er hat einen der massivsten Payloads der Virengeschichte. Er belebt die Frage, ob Viren in der Lage sind, Hardware zu zerstören. Wenn seine Schadensfunktion (am 26. April) aktiv wird, überschreibt er das Flash-BIOS und die Partitionstabelle der Festplatte. Damit lässt sich der Rechner nicht mehr booten. Auf einigen Motherboards mussten die BIOS-Bausteine ausgetauscht oder neu programmiert werden. Aber selbst nach der Wiederherstellung des Systems waren die Daten verloren. Der Autor, der chinesische Student Chen Ing-Hau, wird rechtlich nicht belangt.

VBS.Rabbit nutzt als erster den Windows Scripting Host (WSH). Er ist in Visual Basic geschrieben und greift andere VBS-Dateien an. HTML.Prepend zeigt, dass man mit VBScript, HTML Dateien infizieren kann.

Dr. Solomons wurde von Network Associates gekauft. Wie vorher bei McAfee wandten sich die Kunden von dem Programm ab.

1999

Im März befällt der Wurm „Melissa” bereits am ersten Tag seines Erscheinens zigtausende Computer und verbreitet sich in Windeseile weltweit. Er versendet e-Mails an die ersten 50 Adressen im Outlook-Adressbuch und viele Mailserver brechen unter der Last der E-Mails zusammen. Im August gibt David l.Smith zu, den Wurm geschrieben zu haben.

Happy99 erzeugt von jeder vom Nutzer versendeten Mail eine Kopie und verschickt sie erneut mit dem gleichen Text und der gleichen Betreffzeile plus dem Wurm im Dateianhang. Das funktioniert auch bei Usenet-Postings.

Im Juni tarnt sich ExploreZip als sich selbst entpackendes Archiv, das als Antwort auf eine eingegangene Email gesendet wird. Er verbreitet sich über Netzwerkfreigaben und kann Rechner im Netzwerk infizieren, wenn nur ein Nutzer des Netzwerks unvorsichtig ist. Die Schadensfunktion durchsucht die Festplatte nach C und C++ Programmen, Excel-, Word- und Powerpoint-Dateien und löscht sie.

Abgesehen von E-Mail verbreitet sich Pretty Park auch über Internet Relay Chats (IRC). Er hatte sehr effektive Schutz- und Tarnmechanismen, die verhinderten, dass der Wurm gelöscht werden konnte. Beim nächsten Virenscan wurde der Wurm als legitim erkannt. Manchmal wurden Virenscans auch blockiert. Durch eine Manipulation der Registry wurde Pretty Park vor EXE Dateien ausgeführt, was dazu führte, dass alle EXE-Dateien als verseucht gemeldet wurden.

Für Nutzer von Outlook wird im November mit Bubbleboy die „Good-Times” Vision wahr, dass ein Virus den Rechner infiziert, wenn man eine Email öffnet (auch im Vorschau-Modus). Dazu nutzt Bubbleboy einen Fehler in einer Programmbibliothek.

2000

Trotz aller Prophezeiungen gibt es keinen Millenium-Wurm, der diesen Namen verdient hätte.

Palm/Phage und Palm/Liberty-A sind zwar selten aber durchaus in der Lage PDAs mit PalmOS zu befallen.

Der VB-Skript Wurm VBS/KAKworm nutzt eine Schwachstelle in Scriplets und Typelibs des Internet Explorers. Ähnlich wie BubbleBoy verbreitete er sich beim Öffnen einer Email (auch in der Voransicht).

Im Mai versendet ein Wurm lawinenartig E-Mails aus dem Outlook-Adressbuch mit der Betreffzeile „I love you” und richtet vor allem in großen Unternehmens-Netzen Milliardenschäden an. Auch hier waren die Netze binnen Kurzem völlig überlastet. Von der Urfassung eines phillipinischen Studenten namens Onel de Guzman werden zahlreiche Varianten abgeleitet. US-Experten sprechen vom bösartigsten Virus der Computergeschichte.

Der Autor von W95/MTX hat sich alle Mühe gegeben, um den Wurm/Virus-Hybriden vom Rechner zu entfernen. Er versendete eine PIF Datei mit doppelter Dateiendung per Email. Er sperrte den Zugriff des Browsers auf einige Websites von Antiviren-Herstellern, verseuchte Dateien mit der Viruskomponente und einige Dateien wurden durch die Wurmkomponente ersetzt.

Nach dem Loveletter und seinen vielen Varianten wurden an den MailGateways einfach die Mails mit den entsprechenden Betreffzeilen herausgefiltert. Stages of Life variierte die Betreffzeile und schlüpfte so durch die Maschen

Im September entsteht in Schweden mit Liberty der erste Trojaner für PDAs. Er überträgt sich bei der Synchronisierung mit dem PC und löscht dann Aktualisierungen.

2001

Im Februar kursiert ein Email-Wurm, dessen Anhang angeblich ein Bild der russischen Tennisspielerin Anna Kournikova enthält. Wer es öffnet installiert den Wurm, der sich an alle Adressen im Outlook Adressbuch versendet.

Auch Naked verbreitet sich per Email. Er gibt vor eine Flash-Animation einer nackten Frau zu sein. Nach dem Öffnen installiert er sich und versendet sich an alle Outlook Adressen. Da er auch Windows- und Systemverzeichnisse löscht, macht er den Rechner unbrauchbar. Nur mit einer Neuinstallation des Betriebssystems lässt sich der Rechner wieder in Betrieb nehmen.

Code Red nutzt im Juli einen Bufferoverflow-Fehler in der Internet Information Server (IIS) Indexing Service DLL von Windows NT, 2000 und XP. Er scant zufällig IP Adressen auf dem Standardport für Internetverbindungen und überträgt einen Trojaner, der zwischen dem 20. und 27. eines Monats eine Denial of Service (DoS) Attacke gegen die Webseite des Weißen Hauses startet. Die Entfernung des Virus ist sehr aufwändig und verschlingt Milliarden.

Im Juli verbreitet sich SirCam über Netzwerke und per Outlook Express und führt einige Neuerungen ein. Er sorgt dafür, dass er bei jedem Start einer EXE Datei aktiviert wird. Als erster Wurm bringt er eine eigene SMTP-Engine mit. Er versendet aber nicht nur sich selbst, sondern auch persönliche Dateien, die er auf dem Rechner findet.

Mit Nimda verbreitet sich im September ein Internet-Wurm, der keine Benutzerinteraktion braucht. Er nutzt zur Verbreitung neben Emails auch Sicherheitslücken in Programmen. Zahlreiche Webserver werden überlastet und infizierte Dateisysteme sind für alle Welt lesbar.

Im November nutzt der speicherresidente Wurm Badtrans eine Sicherheitslücke in Outlook und Outlook Express um sich zu verbreiten. Er installiert sich als Dienst, beantwortet Emails, spioniert Passwörter aus und zeichnet Tastaturfolgen auf.

2002

Der Wurm „MyParty” zeigt Anfang des Jahres, dass nicht alles, was mit „.com” endet eine Webseite ist. Wer den Mailanhang „www.myparty.yahoo.com” doppelklickt bekommt anstelle der erwarteten Bilder einen Wurm mit Backdoor-Komponente.

Im Frühjahr und Sommer nutzt Klez die IFRAME-Sicherheitslücke im Internet Explorer um sich automatisch beim Betrachten der Mail zu installieren. Er verbreitet sich per Email und Netzwerk und hängt sich an ausführbare Dateien. Am 13. von geraden Monaten (in späteren Versionen waren es andere Tage) werden alle Dateien auf allen erreichbaren Laufwerken mit zufälligen Inhalten überschrieben. Die Inhalte lassen sich nur durch Backups wiederherstellen.

Im Mai verbreitet sich Benjamin als erster Wurm über das KaZaA-Netzwerk. Er kopiert sich unter vielen verschiedenen Namen in einen Netzwerkordner. Auf infizierten Rechnern wurde eine Webseite mit Werbung angezeigt. Zuvor waren auch Gnutella basierte P2P Netzwerke befallen.

Lentin ist ein Wurm, der es ausnutzt, dass viele Leute nicht wissen, dass SCR Dateien nicht nur einfache Bildschirmschoner, sondern auch ausführbare Dateien sind. Verglichen mit Klez ist sein Videoeffekt als Schadensfunktion nur störend. Auch seine Verbreitung erreicht nicht die von Klez.

Ende September verbreitet sich Opasoft (auch Brazil genannt) wie eine Epidemie. Auf Port 137 scant er Rechner im Netzwerk und prüft, ob es dort Datei- und/oder Drucker-Freigaben gibt. Dann versucht er sich auf den Rechner zu kopieren. Wenn es einen Passwortschutz gibt, wird Liste mit Passwörtern durchlaufen und eine Schwachstelle in der Speicherung von Passwörtern ausnutzt.

Tanatos alias BugBear ist der erste Wurm, der Klez seit dem Frühjahr von seinem Spitzenplatz verdrängt. Der Wurm verbreitet sich per Email und Netzwerk, installiert eine Spyware-Komponente und versendet Aufzeichnungen der Tastaturanschläge.

2003

Im Januar infiziert „SQL-Slammer” in einer Stunde mindestens 75000 SQL-Server und legt damit für Stunden das Internet lahm. Er nutzt eine seit 6 Monaten bekannte Schwachstelle im Microsoft SQL-Server, um Datenbankserver zu neuralisieren. Da SQL-Slammer nur aus einer fehlerhaften Anfrage besteht und nicht als Datei in den Speicher geladen wird, blieb er von Antiviren-Programmen unerkannt. Die Folge: In Seattle fielen die Notrufnummern von Polizei und Feuerwehr aus, Bankautomaten der Bank of America funktionierten nicht, 14.000 Postämter in Italien blieben geschlossen, der Online-Börsenhandel litt dramatisch. In Korea war KT Corp zeitweilig komplett vom Netz. Dort sank mit dem stark verringerten Handelsvolumen auch der Index um 3%. In China blockierte man den gesamten ausländischen Netzverkehr.

Im August verbreitet sich Lovesan (alias Blaster) selbständig im Internet. Er nutzt eine erst 4 Wochen zuvor von Microsoft geschlossene Sicherheitslücke im RPC/DCOM Dienst und infiziert zufällig per IP-Adresse ausgewählte Rechner. Innerhalb kürzester Zeit waren Hunderttausende von Rechnern (man sagt 570 000) infiziert. Kurz darauf begann Welchia (alias Nachi) Lovesan/ Blaster von den Rechnern zu entfernen und die RPC/DCOM Sicherheitslücke zu schließen. Ende August 2003 wurde der 18 jährige Jeffrey Lee Parsons als Autor von Lovesan festgenommen. Er wurde im März 2005 zu einer hohen Geldstrafe verurteilt, die mit Zustimmung von Microsoft in einen wöchentlichen Sozialdienst über 3 Jahre umgewandelt wurde.

Der Massenmailwurm „Sobig.F” stellt mit seiner eigenen Mailengine einen neuen Rekord für die Verbreitungsgeschwindigkeit auf. Er verbreitet sich 10 mal schneller als bisherige Würmer.

2004

Viren werden zur Waffe in der organisierten Kriminalität. Zahllose Trojaner spionieren Passwörter, Kreditkartennummern und andere persönliche Informationen aus. Backdoors machen Rechner fernsteuerbar und integrieren sie in sog. Botnets. Mit den Zombies eines Botnets werden während der Fußball-EM Denial-of-Service Angriffe auf Online-Wettbüros ausgeführt. Die Betreiber zahlen notgedrungen die Forderungen der Erpresser.

Rugrat ist der erste Virus für 64-bit Windows.

Cabir, der erste Virus für Mobiltelefone mit Symbian Betriebssystem und Bluetooth Schnittstelle wird von der für ihre Proof-of-Concept-Viren bekannte Gruppe 29A entwickelt. Kurz darauf folgt von der gleichen Gruppe mit WinCE.4Dust.A der erste PoC-Virus für Windows CE.

2005

Als erster Wurm für Symbian Smartphones verbreitet sich CommWarrior.A per MMS. Die MMS-Nachrichten versendet er an alle Einträge des Telefonbuchs und werden von variablen begleitenden Texten als Antiviren-Software, Spiele, Treiber, Emulatoren, 3D Software oder interessante Bilder dargestellt.