Zephyrnet-Logo

Generative Datenintelligenz

Cybersicherheit

Der Netzwerkwurm CHRISTMA EXEC – seit 35 Jahren!

Neuauflage von Plato
Neuauflage von Plato

Datum:

Views: 179
by Paul Ducklin

Vergessen Sie Sergeant Pepper und seine Lonely Hearts Club Band, die brachte der Band das Spielen bei heute vor nur 20 Jahren.

Dezember 2022 sieht die 35. Jahrestag des ersten großen, sich selbst verbreitenden Computervirus – der Berüchtigte CHRISTMA EXEC Wurm, der die großen Mainframe-Netzwerke der damaligen Zeit vorübergehend zerstörte …

… nicht durch absichtlich codierte Nebeneffekte wie Dateiverschlüsselung oder Datenlöschung, sondern einfach dadurch, dass zu viel Netzwerkbandbreite für den eigenen, nicht autorisierten Zweck geraubt wird.

Als Köder, um die Tatsache zu verschleiern, dass es in den 1980er Jahren IBM-Äquivalente Ihres E-Mail-Adressbuchs (NAMES) und Ihre Known-Hosts-Datei (NETLOG) Um möglichst viele neue Empfänger der Malware zu finden, an die sie sich senden kann, zeigte die Malware Folgendes an:

 * * *** ***** ******* ********* ************* EIN ******* *** ******** SEHR GLÜCKLICH ****** ***** *************** WEIHNACHTEN ******************* ********** ************* UND MEIN ************** ****************** BESTES WÜNSCHT SICH *********************** ************************** * FÜR DAS NÄCHSTE ****** ****** JAHR ******

Wenn Sie sich fragen, warum das Virus weithin bekannt ist als CHRISTMA EXEC, und nicht durch das ganze Wort CHRISTMAS...

…das liegt daran, dass Dateinamen auf acht Zeichen beschränkt waren, denen ein Leerzeichen folgen konnte und was wir heute als „Erweiterung“ von bezeichnen würden EXEC um sie in Skripte umzuwandeln, die vom Benutzer direkt ausgeführt werden können – ausgeführt, im Fachjargon.

Der Virus selbst wurde in IBMs leistungsstarker textbasierter Skriptsprache REXX (die mit dem klangvollen Namen Umstrukturierter erweiterter Testamentsvollstrecker), also würde ein Nicht-Programmierer, der die Nachricht betrachtet, sie wahrscheinlich als „Programmcode“ erkennen und sie daher dazu neigen, sie als unwichtig und irrelevant zu ignorieren, obwohl sie interessant aussehen könnte.

Abgesehen davon, dass der Autor des Virus einen fröhlichen Weg gefunden hat, einen Anweisungsköder direkt in den Code selbst einzubetten, der mit einer Bemerkung beginnt (wie in der Sprache C, Text zwischen /* und */ in REXX-Programmen als Kommentar behandelt und ignoriert, wenn die Datei verwendet wird)…

/********************/ /* LASS DIESE EXEC */ /* */ /* AUSFÜHREN */ /* */ /* UND */ /* */ /* VIEL SPASS! */ /************************/

…und gibt Nicht-Technikern dann folgenden fröhlichen Rat:

/* Das Durchsuchen dieser Datei macht überhaupt keinen Spaß. Geben Sie einfach CHRISTMAS von cms ein */

CMS ist die Abkürzung für Konversationsüberwachungssystem, eine Eingabeaufforderungsumgebung auf Basis des bewährten Betriebssystems VM/370 von IBM und seiner vielen Varianten, die einzelnen Benutzern eine virtuelle Echtzeitmaschine bot, die sich wie ein eigener Computer verhielt, mit eigenem Speicherplatz zum Speichern persönlicher Dateien und Programme.

Praktischerweise musste dem Benutzer nicht beigebracht werden, das Finale zu verlassen -S ab vom Wort CHRISTMAS, da CMS automatisch alle zusätzlichen Zeichen ignorieren und danach suchen würde CHRISTMA EXEC, das war genau das Skriptprogramm, das der Benutzer gerade erhalten hatte, ohne es zu erwarten oder danach zu fragen.

Wie oben erwähnt, zeigte der Code tatsächlich die Weihnachtsbaum-ASCII-Grafik – oder genauer gesagt die EBCDIC-Grafik, da IBM bekanntermaßen sein eigenes Zeichencodierungssystem hatte, das als bekannt ist Erweiterter binär codierter Dezimalaustauschcode (ausgesprochen ebb-si-dick).

Aber es hat auch deine durchforstet NAMES und NETLOG Dateien, die andere Benutzer und Computer auflisteten, die Sie regelmäßig kontaktierten, und sich auf alle kopierten, so dass für jeden Benutzer, der unschuldig tippte CHRISTMAS an der Eingabeaufforderung …

… würde ein Meer von Kopien des Virus (20? 50? 200?) verteilt werden, möglicherweise weltweit, und wenn einer dieser Empfänger (20? 50? 200?) unschuldig getippt würde CHRISTMAS an der Eingabeaufforderung …

… würde ein Meer von Kopien des Virus verteilt werden und so weiter und so weiter.

Schatten der Zukunft

Wie gesagt in der Podcast dieser Woche, wo wir diesen bahnbrechenden Wurm besprochen haben:

[Das ist genau wie moderne Makro-Malware, die dem Benutzer sagt: „Hey, Makros sind deaktiviert, aber für Ihre ‚zusätzliche Sicherheit‘ müssen Sie sie wieder einschalten … warum nicht auf die Schaltfläche klicken? So ist es viel einfacher.“

Malware-Autoren hatten bereits vor 35 Jahren herausgefunden, dass einige, möglicherweise viele von ihnen es tun werden, wenn Sie Benutzer freundlich auffordern, etwas zu tun, das überhaupt nicht in ihrem Interesse ist.

Das haben wir auch angemerkt:

[Der Christmas Tree-Wurm] hätte ein Warnschuss vor allen unseren Bögen sein sollen, aber ich denke, es wurde als ein kleines Strohfeuer empfunden.

Bis ein Jahr später – dann kam der Internet-Wurm, das natürlich Unix-Systeme angriff und sich weit und breit verbreitete.

Und bis dahin, glaube ich, wurde uns allen klar: „Oh, oh, diese Viren-und-Würmer-Szene könnte ziemlich problematisch werden.“

Wenn wir uns nur geirrt hätten, eh?

Ausgewähltes Bild des IBM 3279-Terminals dank des Benutzers Schild für deine Augen Wikimedia.

spot_img

Neueste Intelligenz

spot_img

Copyright @ 2024 Plato Technologies Inc.

Chat mit uns

Hallo! Wie kann ich dir helfen?