Virenangriffe auf MS Windows, MS Office und Netzwerkapplikationen hielten unvermindert an, wobei Viren zum Einsatz kamen, die immer kompliziertere Übertragungswege und komplexere Technlogien nutzten. Außerdem erschienen zahlreiche Trojanische Programme, die Passwörter und Utilities der entfernten Administration (Backdoor) ausspionierten. Verschiedene Computerfachblätter lieferten CDs aus, die mit den Windowsviren CIH und Marburg infiziert waren. In diesem Zusammenhang ist besonders die Zeitschrift PC Gamer zu nennen, deren englischer, slowenischer, Schweizer und später auch italienischer Ausgabe eine CD beigelegt war, die den Marburg-Virus enthielt. Der Virus war im elektronischen Registrationsprogramm einer MGM-Interaktive-CD mit dem Namen Wargames PC enthalten. Ende September wurde der AutoStart-Virus auf CDs entdeckt, die im Lieferumfang von Corel DRAW 8.1 für Mac OS enthalten waren.
Anfang des Jahres kam es zu einer Epidemie, die von einer ganzen Virenfamilie - Win32.HLLP.DeTroi - verursacht wurde, die nicht nur Win32 EXE-Dateien infizierte, sondern auch in der Lage war, dem Virusautor Informationen über den befallenen Computer zu liefern. Da der Virus ausschließlich Systembibliotheken der französischen Windows-Version benutzte, betraf die Epidemie lediglich französischsprachige Länder.
Im Februar erschien Excel4Paix (oder: Formula.Paix), ein neuartiger Makrovirus, der sich in Exceltabellen installierte, indem er einen für Makroviren ungewöhnlichen Bereich von Formeln nutzte, die auch einen selbst reproduzierenden Code enthalten konnten. Im selben Monat tauchten die ersten polymorphen Windows32-Viren auf, Win95.HPS und Win95.Marburg, die sich obendrein in freier Wildbahn verbreiteten. So sahen sich die Antivirenexperten gezwungen, möglichst schnell neue Aufspürungsmethoden für polymorphe Viren zu entwickeln, die es bis dato nur für DOS gegeben hatte.
AccesiV, der erste Virus für Microsoft Access, wurde erstmals im März 1998 gesichtet. Allerdings sorgte er für weitaus weniger Aufregung als Word.Concept und Excel.Laroux, da sich die Anwender nun weitgehend damit abgefunden hatten, dass die Microsoft-Anwendungen in hohem Maße angreifbar sind. Ungefähr zur selben Zeit tauchte der Virus Cross auf, ein Makrovirus, der gleichzeitig Dokumente in verschiedenen Officeanwendungen befallen konnte, und zwar in Word und Access. Im Gefolge von Cross erschienen verschiedene andere Makroviren, die ihren Code von einer Officeanwendung auf eine andere übertragen konnten. Der bedeutsamste unter ihnen war Triplicate (alias Tristate), der in der Lage war, Word, Excel und Powerpoint zu infizieren.
Der im Mai 1998 entdeckte Virus Red Team konnte als erster Windows EXE-Dateien infizieren und verbreitete sich über das E-Mail-Programm Eudora. Im Juni wurde durch den Win95.CIH-Virus eine Epidemie ausgelöst, die bald globale Ausmaße annahm und während derer tausende von Netzwerk- und Heimcomputer infiziert wurden. Ausgangspunkt war Taiwan, wo ein unbekannter Hacker die befallenen Dateien zunächst an eine lokale Mailingliste verschickte. Von dort aus verbreitete er sich in die USA, wo infizierte Dateien ihren Weg zu populären Webservern fanden und den Virus so auf Spielprogramme übertragen konnten. Aller Wahrscheinlichkeit nach waren die Gameserver auch der Grund für das Ausmaß der Epidemie, die ein ganzes Jahr andauerte. In der 'Hitliste' der Viren überholte der Virus schnell frühere Spitzenreiter wie Word.CAP und Excel.Laroux. Interessant war auch das Payload von Win95.CIH: abhängig von den fließenden Daten löschte es das Flash BIOS, was manchmal zur Folge hatte, dass das Motherboard ersetzt werden musste. Die Komplexität dieses Virus brachte die Anbieter von Antivirensoftware dazu, ihre Entwicklungen voranzutreiben.
BackOfrice (oder Backdoor.BO) gab im August 1998 Anlass zur Unruhe. Er war als verdecktes Instrument zur Fernadministration von Netzwerken geschaffen worden. Nur kurze Zeit später erschienen Viren ähnlicher Bestimmung, z.B. NetBus und Phase.
Ebenfalls im August tauchte eine andere Neuheit auf - die ersten ansteckenden ausführbaren Java-Module, Java.StrangeBrew. Dieser Virus stellte zwar keine direkte Gefahr für Internetuser dar, aber er machte doch sehr deutlich, dass Virenbefall auch in Anwendungen möglich ist, die aktiv beim Betrachten von Web-Servern genutzt werden.
Im November 1998 setzte sich die Entwicklung der Schadprogramme mit dem Erscheinen dreier Viren fort, die Visual Basic Skripte (VBS-Dateien) infizierten, welche zum Erstellen von Websites eingesetzt wurden. Zu dieser Zeit veröffentlichte Kaspersky Labs eine umfassende Studie über die potentiellen Bedrohungen durch VBS-Viren. Allerdings wurde das Unternehmen daraufhin von vielen Fachleuten der Panikmache beschuldigt und die Studie wurde als Auslöser einer Virenhysterie kritisiert. Anderthalb Jahre später, mit Ausbruch der LoveLetter-Epidemie wurde aber spätestens klar, dass sich Kasperskys Prognose 100%ig erfüllt hatte. Heute hält sich dieser Virentyp hartnäckig auf Platz eins der Liste von weit verbreiteten und gefährlichen Viren.
Als logische Folge der VBS-Viren tauchten bald reine HTML-Viren auf, wie z.B. der HTML.Internal. Es wurde offensichtlich, dass sich die Virenautoren mehr und mehr auf Netzwerkanwendungen konzentrierten und an einem Netzwerkwurm arbeiteten, der Fehler in MS Windows und Office ausnutzt und entfernte Computer via E-Mail und Internet infiziert.
Power Point war die nächste MS Office Anwendung, die Virenattacken zum Opfer fiel. Der erste Virus, der Power Point angriff, Attach, erschien im Dezember 1998 und war unbekannten Ursprungs. Es folgten ShapeShift und ShapeMaster, die vermutlich von ein und demselben Autor stammen. Die Viren für Power Point verursachten den Herstellern von Antivirensoftware erneut Kopfzerbrechen. Dateien dieser Anwendung nutzen ein OLE2-Format, dass die Möglichkeiten zum Aufspüren von Viren in DOS und XLS-Dateien bestimmt. Allerdings sind die VBA-Module im PPT-Format in komprimiertem Zustand gespeichert, was die Entwicklung neuer Algorithmen zum Entpacken notwendig machte, um die Suche nach Viren zu ermöglichen. Ungeachtet der Schwierigkeit dieser scheinbar einfachen Aufgabe, haben fast alle Anbieter von Antivirensoftware diese Funktion zum Schutz vor Power-Point-Viren heute in ihre Produkte integriert.
Im Januar startete das Virus Bulletin das Projekt VB 100%. Diese regelmäßig durchgeführten Testreihen sollen aufzeigen, ob eine Software in der Lage ist, alle in freier Wildbahn existierenden Viren 100%ig aufzuspüren. VB 100% ist heute eine der höchst angesehenen unabhängigen Testinstitutionen.
Auch in der Antivirenbranche gab es entscheidende Veränderungen. Im Mai gaben Symantec und IBM ihren Entschluss bekannt, gemeinsam ein Antivirenprodukt zu entwickeln. Das Resultat dieser Zusammenarbeit wurde von Symantec unter dessen Markennamen Norton Antivirus vermarktet während das Produkt von IBM, IBM Anti-Virus, aufhörte zu existieren. Ende September gab Symantec den Erwerb des Geschäftszweiges Antivirenprodukte der Intel Corporation, LANDesk Virus Project, bekannt. Nur zwei Wochen später überraschte Symantec die Branche erneut mit einem weiteren Aufkauf, dieses Mal handelte es sich um Quarter Deck, das Symantec für 65 Millionen Dollar erwarb. Die Produktpalette dieses Unternehmens beinhaltete u.a. Antivirenprodukte wie z.B. ViruSweep.
Ein so aggressives Expansionsverhalten blieb auch NAI, einem anderen amerikanischen Giganten der Antivirenbranche, nicht unbemerkt. Am 13. August schluckte NAI einen seiner Hauptkonkurrenten, das britische Unternehmen Dr. Solomon's, für das ein Rekordpreis in Höhe von 640 Millionen Dollar in Form von Aktientausch erzielt wurde. Diese Ereignisse versetzten die Antivirenbranche in einen Schockzustand. Der Konflikt zweier Hauptfiguren des Gewerbes wurde durch einen Ver- bzw. Aufkauf gelöst, wodurch einer der bedeutendsten und technisch stärksten Entwickler von Antivirentechnologie endgültig vom Markt verschwand.
Interessant ist auch der Verkauf von EliaShim, Hersteller des Antivirenproduktes E-Safe, im Dezember an Aladdin Knowledge Systems, einen bekannten Entwickler von Ausrüstung und Software für Computersicherheit.
Am 21. Dezember wurde in der New York Times eine kuriose Warnung vor einem neuen Virus, der sich per E-Mail verbreitete und schon in einigen Netzwerken ausgemacht wurde, veröffentlicht. Kurios deshalb, weil sich dieser gefährliche Virus als der schon lange wohlbekannte Makrovirus Class entpuppte.
SELFPHP
SELFPHP OHG, info@selfphp.de, Impressum, Kontakt