Mit Schadsoftware kennt man sich bei Virustotal aus: Die im südspanischen Málaga angesiedelte Google-Tochter betreibt eine der wichtigsten Plattformen zur Malware-Analyse. Ob verdächtige Dateien, ganze Webseiten-Domains oder einzelne Links – all das kann hier mithilfe einer Fülle an Tools analysiert werden. Der Service spielt somit eine wichtige Rolle dabei, weltweit Computersysteme vor einer Infektion mit bösartigen Programmen zu schützen.

MICE

Ein neues Projekt von Virustotal verfolgt hingegen einen ganz anderen Ansatz: "Wie viel Schadsoftware kann auf einem einzigen Computer parallel betrieben werden, ohne dass diese abstürzt?" Das Ergebnis ist der "Most Infected Computer Ever", den der STANDARD am Rande der Eröffnung des neuen Google Safety Engineering Center in Málaga begutachten durfte.

Most Infected Computer Ever
Der "Most Infected Computer Ever" der Google-Tochter Virustotal versammelt eine Fülle an Schadsoftware.
Proschofsky / STANDARD

Die dem Projekt zugrunde liegende Fragestellung klingt dabei einfacher, als sie eigentlich ist. Da Schadsoftware naturgemäß tief in die auf einem Computer laufende Software eingreift, wirkt sich das schon so oft negativ auf die Stabilität des Rechners aus. Versuchen jetzt aber mehrere Exemplare davon gleichzeitig ein System zu unterwandern, ist die Chance hoch, dass sie sich in die Quere kommen – was dann schnell zu Abstürzen führt.

Das Ergebnis

Am "Most Infected Computer Ever" ist es Virustotal nun gelungen, 30 unterschiedliche Varianten von Schadsoftware stabil parallel zu betreiben. Dem Unternehmen geht es dabei aber weniger um den Rekord an sich als um einen aufklärerischen Anspruch, also mit dem Projekt das Bewusstsein für die unterschiedlichen Arten an Malware und deren Gefahren zu stärken.

Das spiegelt sich auch in der Auswahl der 30 auf einem Windows-System installierten Malware-Exemplare wider. Liest sich diese doch wie eine Reise durch die Geschichte der Schadsoftware.

Von Viren und Würmern

Die älteste auf dem System laufende Malware stammt aus dem Jahr 1990. Bei "Ambulance" handelt es sich um einen simplen Virus, der damals noch für DOS-Systeme geschrieben wurde. Er ist darauf ausgelegt, Dateien mit der Endung ".com" im gleichen Verzeichnis zu infizieren. Der Name stammt daher, dass beim Ausführen einer infizierten Datei ein Rettungswagen in der Kommandozeile dargestellt wird.

Ambulance / Virustotal
Auch das ist Schadsoftware: ein aus dem Jahre 1990 stammender Virus namens "Ambulance".
Virustotal

Geradezu legendär ist "Happy99": Gilt dieses doch als der erste Virus, der sich via E-Mail weltweit verbreitet hat – es handelt sich also um einen Wurm. Nicht minder wichtig für die Computergeschichte war "Back Orifice". Dabei handelt es sich um eine Hintertür, mit der von außen auf Windows-Rechner zugegriffen und diese ferngesteuert werden können.

Die dafür verantwortlichen Hacker wollten mit der 1998 erstmals vorgezeigten Schadsoftware auf die groben Sicherheitsprobleme von Windows 98 hinweisen. Das durchaus mit Erfolg, Microsoft reagierte auf die zunehmende Kritik an der Sicherheit seines Betriebssystems mit einer deutlichen Intensivierung der Bemühungen zum Schutz.

Miner, Keylogger, Ransomware

Natürlich darf auf so einem System ein Beispiel für Erpressersoftware – also Ransomware – nicht fehlen. In diesem Fall handelt es sich um PGPCoder. Ebenfalls installiert sind ein Keylogger, der Tastatureingaben mitliest, sowie ein "Miner", der im Hintergrund unbemerkt Kryptowährungen schürfen soll. Ein anderes Stück Schadsoftware bindet den Rechner in ein Bot-Netzwerk für DDoS-Angriffe (Distributed Denial of Service) ein. Spyware, die Daten abgreift und zusätzliche Werbung im Browser schaltet, läuft ebenfalls auf dem System.

APT

Das mächtigste Stück Schadsoftware in der Auswahl ist aber ein anderes: Ein "Advanced Persistent Threat", der ein System unbemerkt und üblicherweise für längere Zeit unterwandert, um dann Spionage zu betreiben. Im konkreten Fall handelt es sich um ein Programm jener von Nordkorea gesteuerten Lazarus Group, die vor einigen Jahren mit dem Hack von Sony Pictures rund um die Veröffentlichung der Komödie "The Interview" für viel Aufsehen sorgte.

Da ist noch mehr

Weitere Details zu den laufenden Programmen können auf der zugehörigen Webseite nachgelesen werden. Wie Virustotal auf Nachfrage des STANDARD betont, befindet sich auf der Festplatte des "Most Infected Computer Ever" noch einiges mehr an Schadsoftware – genau gesagt sechs Millionen Stück davon.

Ambitionen, noch mehr Malware auch wirklich aktiv parallel laufen zu lassen, hat man allerdings nicht, versichern die Sicherheitsexperten. Zu groß sei die Gefahr, dass dann alles abstürzt. Aber vielleicht will ja jemand anderes diese Herausforderung annehmen. (Andreas Proschofsky, 2.12.2023)