BHP-Virus
BHP-Virus | |
---|---|
Entwickler | Papa Hacker aka Dr.Dr.Strobe Co-Autor: Garfield |
Firma | Bayrische Hackerpost |
Verleger | Bayrische Hackerpost |
Release | 1986 |
Plattform(en) | C64 |
Genre | Computervirus |
Medien | |
Sprache(n) | |
Information | Erster C64-Computervirus |
Der BHP-Virus ist einer der wenigen Computerviren für den Commodore 64 und somit ein schädliches Computerprogramm!
BHP steht dabei für die Bayrische Hackerpost; eine von 1984 bis 1988 erschienene Zeitung für den Computeranwender mit dem Untertitel "Das Informationsblatt für den lebensbejahenden DFÜ-Benutzer". Ein Mitglied der Hackerpost-Gruppe schrieb den Virus im Jahr 1986. Der Code besteht aus verschiedenen Teilen, die sich vom Programmierstil her teilweise stark unterscheiden. Der Autor hatte einige Funktionen gründlich über längere Zeit ausgearbeitet, andere Programmbestandteile auf die Schnelle während eines Programmierer-Marathons gefertigt.
Das Programm gilt als der erste C64-Virus, der erste Cluster-Virus und als einer der ersten Stealth-Viren, bzw. der erste dateiinfizierende Stealth-Virus.
Geschrieben wurde der Virus von einer Person unter dem Namen Dr.Dr.Strobe&Papa Hacker, was häufig als zwei verschiedene Pseudonyme fehlinterpretiert wird. Außerdem wird der Name Garfield in der Signatur genannt. Garfield hatte aber überwiegend beratende Funktionen und schrieb keine relevanten Teile des Codes. Er gehörte ebenfalls zur Hackerpost-Gruppe.
Hintergrund[Bearbeiten | Quelltext bearbeiten]
Der Virus sollte als Proof of Concept dienen, um zu belegen, dass sich ein Virus rein über Disketten verbreiten, ohne sich per Netzwerk zu übertragen. Anlass war eine Wette mit Wau Holland, dem Gründer des Chaos Computer Clubs. Er vertrat die Meinung, dass sich Computerviren auf Systemen wie dem C64 nicht verbreiten könnten. Ein 8-Bit-Computer ohne Netzwerkverbindungen, der nicht von einer Diskette bootet und dessen Betriebssystem keinen Speicherschutz unterstützt, war Hollands Meinung nach ein denkbar ungeeignetes Wirtssystem. Der Autor des BHP-Virus sah das anders – die lebhafte Raubkopierer- und Diskettentauscher-Szene des weit verbreiteten Heimcomputers war ihrer Einschätzung nach ausreichend, um ein Virus zu verbreiten. Den fehlenden Bootvorgang sollt man ebenfalls adäquat ersetzen können, indem man die Lade- und Speichervorgänge entsprechend ausnutzt. Einen Speicherbereich, der von Programmierern normalerweise kaum genutzt wurde, fanden die BHP-Autoren ebenfalls – der Bereich ab $D000, der im RAM direkt unter dem I/O-Bereich liegt, war dafür gut geeignet.
Der Einsatz bei der Wette mit Wau Holland war eher trivial: Es ging um ein Glas Bier.
Auswirkungen[Bearbeiten | Quelltext bearbeiten]
- Nach dem Laden eines infizierten Programmes wird selten bei Benutzung von
LOAD
oderSAVE
folgende Bildschirmmeldung ausgegeben, wobei die Serialno. die Anzahl der Infizierungen dieser Virus-Kopie angibt:
DR.DR.STROBE&PAPA HACKER WAS HERE! COPROGRAMMER: GARFIELD HALLO DICKERCHEN, DIES IST EIN ECHTER VIRUS! SERIALNO.:5
- Infizierte Programme zeigen beim Auflisten mit dem BASIC-Befehl
LIST
folgende BASIC-Zeile an:1986 SYS PEEK(43) + PEEK(44)*256 + 48:VIRUS
- Auch kann es passieren, das aufgerufene infizierte Programme nicht richtig oder gar nicht mehr funktionieren, da sich zunächst der BHP-Virus aktiviert und sich im Speicher an einer Stelle ablegt, an der eventuell Programmcode des ursprünglichen (infizierten) Programms überschrieben wird. Nach Einschätzung des Virus-Autors sollten aber 99 % aller mit
RUN
startbaren Programme problemlos infizierbar sein. - Wenn der BHP-Virus aktiv ist, verbreitet es sich bei Nutzung der BASIC-Befehle
LOAD
undSAVE
auf nicht infizierte Disketten, indem es dort andere Programme infiziert. - Der BHP-Virus belegt auf einer Diskette etwa 9 Blöcke pro Speichervorgang. Die Blöcke werden allerdings nur in der BAM als belegt markiert und nicht von der Anzahl der als frei angezeigten Blöcken im Directory abgezogen. Entsprechend kann es passieren, dass durch den Platzbedarf des Virus eine nach Anzeige im Directory nicht voll belegte Diskette tatsächlich keinen freien Platz mehr hat. VALIDATE aktualisiert bzw. korrigiert die im Directory als frei angegebene Blockanzahl.
- Der BHP-Virus nutzt einen Reset-Schutz und wird entsprechend durch normalen Reset nicht deaktiviert. Ebenso kann es nicht durch die Tastenkombination RUN/STOP +RESTORE deaktiviert werden.
- BHP nutzt den Speicherbereich ab $D000 (RAM unter dem I/O-Bereich, siehe Artikel Speicherbelegungsplan).
- Infizierte Disketten können mit dem BASIC-Antivirusprogramm BHP-Virus-Killer bereinigt werden.
- Auch wenn es sich um ein eher harmloses Virus handelt, werden durch ihn zusätzliche Daten in Programme eingefügt und auf Disketten abgespeichert.
Virus-Killer[Bearbeiten | Quelltext bearbeiten]
In der 64'er Ausgabe 2 von 1988 wurde ein kleines Programm vorgestellt, mit dem man den Virus ausmerzen konnte. Es wurde als Listing zum Abtippen abgedruckt und verwendete trotz seiner Kürze Checksummer. Das Antivirenprogramm wurde, wie es damals üblich war, als Virus-Killer bezeichnet.
Bereits in der 64'er Ausgabe 7 von 1987 wurde dem BHP-Virus, seiner Hintergrundgeschichte und seinen Auswirkungen, ein ausführlicher Artikel gewidmet.
Da die 64'er-Redaktion die Fähigkeiten des BHP-Virus unterschätzte, kam es in der Redaktion versehentlich zur Infektion von einem halben Dutzend nicht-schreibgeschützter Disketten. Man war fälschlicherweise davon ausgegangen, dass sich der Virus nur über den SAVE
-Befehl ausbreiten würde. Vor allem der Redakteur Thomas Röder und der freie Mitarbeiter Nikolaus Heusler (siehe Quellcodereferenz unter Literatur) befassten sich intensiv mit dem Schadprogramm. Heusler disassemblierte und kommentierte den Code. Röder schrieb mehrere Artikel und entwickelte Virus-Killer-Programme.
Videomitschnitt[Bearbeiten | Quelltext bearbeiten]
Die Auswirkungen des BHP-Virus (bei 4:15)
Literatur[Bearbeiten | Quelltext bearbeiten]
- Thema: Quellcode/Doku BHP Virus auf Forum64.de: PDF mit dem kommentierten Quelltext des Virus (Assemblercode), von Nikolaus Heusler (Februar 1988)
- 64'er Ausgabe 07/1987: "Achtung: Computerviren - Jetzt ist der C64 infiziert"
- 64'er Sonderheft 49: BHP-Virus-Killer
- Happy Computer 05/1988: "Medizin für infizierte Computer" bei starchiv.de
- Peter Ferrie: Virus Analysis (PDF) aus VIRUS BULLETIN www.virusbtn.com Jan. 2005
Weblinks[Bearbeiten | Quelltext bearbeiten]
Wikipedia: BHP (Computervirus) |
Wikipedia: Bayrische Hackerpost |