Mit dem Delphi-Virus ist Malware-Entwicklern eine echte Innovation gelungen, wenn auch eine, die für die Betroffenen äußerst unangenehm ist. Der Virus befällt ein Programm, bevor dieses zum ersten Mal läuft, ja bevor es überhaupt lauffähig ist.
"Neu ist, dass hier, während ein Programm entwickelt wird, dessen Quelltext infiziert werden soll. Die Virenschreiber greifen nicht wie ansonsten üblich erst das fertige Produkt an, also den Maschinen-Code der Software",
so David Emm von den Kaspersky-Labs, die den Virus entdeckt haben. Zunächst infiziert er auf herkömmlichem Weg, also als maschinenlesbarer Code, die Entwicklungsumgebung Delphi. Dabei bringt er allerdings – das ist das Besondere - seinen eigenen Quelltext mit. Und wenn dann der Programmierer mit der manipulierten Delphi-Version ein Stück Software schreibt und es kompiliert, also in maschinenlesbaren Code übersetzen lässt, dann wird der Quelltext des Schadprogramms gleich mit übersetzt.
"Sagen wir, der Entwickler A hat eine infizierte Version von Delphi und schreibt damit ein Programm. Dadurch befällt der Virus auch das. Wenn er es dann anderen gibt, die ebenfalls Delphi installiert haben, dann infizieren sich auch die, selbst wenn ihre Versionen ursprünglich sauber waren."
Und so verbreitet sich der Virus gezielt von Entwickler-Workstation zu Entwickler-Workstation. Ein Rechner ohne Delphi bildet für ihn eine Sackgasse. Von dort aus springt er auf keine anderen Computer mehr über.
"Delphi ist in der Programmierergemeinde und den IT-Abteilungen der Unternehmen ziemlich beliebt. Und deshalb hat sich – so wie es ausschaut – mit dem Virus infizierte Software vor kurzem sehr stark verbreitet. Wir haben Abertausende von Proben in unsere Labors bekommen",
so Graham Cluley vom Anti-Viren-Unternehmen Sophos. Unter den Tausenden mit dem Schädling infizierten Programmen, die seine Firma entdeckt hat, sind interessanterweise auch viele, die selbst lediglich Schadfunktionen haben, Trojaner, die ihrerseits vom Delphi-Virus befallen sind.
"Na ja, Hacker sind Programmierer wie andere auch. Sie schreiben halt nur bösen anstatt guten Code. Ironischerweise scheint es so, als seien ziemlich viele trojanische Pferde selbst infiziert, also Spionage-Software zum Stehlen von Zugangsdaten. Trojanische Pferde werden sehr oft mit Delphi entwickelt. Infiziert wurden sie vermutlich ohne das Wissen der Hacker."
Vor allem aus Brasilien stammen die abgefangenen und infizierten Trojaner. Offenkundig ist Delphi in der dortigen Hacker-Szene besonders beliebt. Das dürfte damit zusammenhängen, dass die Entwicklungsumgebung sich besonders dafür eignet, unkomplizierte Allerweltsanwendungen zu erstellen. Das nämlich sind die meisten Schadprogramme. Und dementsprechend ähnelt ihre Entwicklung der industriellen Massenproduktion.
"Was Delphi so attraktiv macht, ist, dass man damit sehr rasch eine Windows-Anwendung hinstellen kann. Und diese Hacker sind nur daran interessiert, neue Varianten ihrer Trojaner zu entwickeln, weniger von Grund auf neu programmierte Schädlinge. In diesem Fall könnten sie vielleicht zu C wechseln. Aber wenn sie etwas bereits in Delphi geschrieben haben und es Geld bringt, warum sollten sie wechseln und sich zusätzlich Mühe machen."
Derzeit tut der Delphi-Virus nur eines: er pflanzt sich fort. Über eine Schadfunktion verfügt er nicht.
"Dieser Virus ist eine Machbarkeitsstudie. Es ging wohl nur darum, zu testen, was möglich ist. Ein konkreter Schaden lässt sich damit nicht anrichten. Aber wir könnten es sehr wohl in Zukunft mit bösartigeren Varianten des Virus’ zu tun bekommen."
Machbar wäre demnach einiges: Hacker könnten ihre Auseinandersetzungen mithilfe von verseuchten Programmierwerkzeugen austragen. Die Entwicklung und der Einsatz von Malware ist ja ein lukratives Geschäft. Da kommt es leicht zu Bandenkriegen, so wie vor ein paar Jahren jener zwischen den Programmierern der Würmer Netsky und Bagle. Für einen solchen Bandenkrieg könnte der Delphi-Virus neue Munition liefern. Oder es könnten weitere Entwicklungswerkzeuge infiziert werden. Der Phantasie sind da keine Grenzen gesetzt. Und wenn’s um Schadprogramme geht, eilt erfahrungsgemäß die Phantasie der Wirklichkeit nicht sehr weit voraus.
"Neu ist, dass hier, während ein Programm entwickelt wird, dessen Quelltext infiziert werden soll. Die Virenschreiber greifen nicht wie ansonsten üblich erst das fertige Produkt an, also den Maschinen-Code der Software",
so David Emm von den Kaspersky-Labs, die den Virus entdeckt haben. Zunächst infiziert er auf herkömmlichem Weg, also als maschinenlesbarer Code, die Entwicklungsumgebung Delphi. Dabei bringt er allerdings – das ist das Besondere - seinen eigenen Quelltext mit. Und wenn dann der Programmierer mit der manipulierten Delphi-Version ein Stück Software schreibt und es kompiliert, also in maschinenlesbaren Code übersetzen lässt, dann wird der Quelltext des Schadprogramms gleich mit übersetzt.
"Sagen wir, der Entwickler A hat eine infizierte Version von Delphi und schreibt damit ein Programm. Dadurch befällt der Virus auch das. Wenn er es dann anderen gibt, die ebenfalls Delphi installiert haben, dann infizieren sich auch die, selbst wenn ihre Versionen ursprünglich sauber waren."
Und so verbreitet sich der Virus gezielt von Entwickler-Workstation zu Entwickler-Workstation. Ein Rechner ohne Delphi bildet für ihn eine Sackgasse. Von dort aus springt er auf keine anderen Computer mehr über.
"Delphi ist in der Programmierergemeinde und den IT-Abteilungen der Unternehmen ziemlich beliebt. Und deshalb hat sich – so wie es ausschaut – mit dem Virus infizierte Software vor kurzem sehr stark verbreitet. Wir haben Abertausende von Proben in unsere Labors bekommen",
so Graham Cluley vom Anti-Viren-Unternehmen Sophos. Unter den Tausenden mit dem Schädling infizierten Programmen, die seine Firma entdeckt hat, sind interessanterweise auch viele, die selbst lediglich Schadfunktionen haben, Trojaner, die ihrerseits vom Delphi-Virus befallen sind.
"Na ja, Hacker sind Programmierer wie andere auch. Sie schreiben halt nur bösen anstatt guten Code. Ironischerweise scheint es so, als seien ziemlich viele trojanische Pferde selbst infiziert, also Spionage-Software zum Stehlen von Zugangsdaten. Trojanische Pferde werden sehr oft mit Delphi entwickelt. Infiziert wurden sie vermutlich ohne das Wissen der Hacker."
Vor allem aus Brasilien stammen die abgefangenen und infizierten Trojaner. Offenkundig ist Delphi in der dortigen Hacker-Szene besonders beliebt. Das dürfte damit zusammenhängen, dass die Entwicklungsumgebung sich besonders dafür eignet, unkomplizierte Allerweltsanwendungen zu erstellen. Das nämlich sind die meisten Schadprogramme. Und dementsprechend ähnelt ihre Entwicklung der industriellen Massenproduktion.
"Was Delphi so attraktiv macht, ist, dass man damit sehr rasch eine Windows-Anwendung hinstellen kann. Und diese Hacker sind nur daran interessiert, neue Varianten ihrer Trojaner zu entwickeln, weniger von Grund auf neu programmierte Schädlinge. In diesem Fall könnten sie vielleicht zu C wechseln. Aber wenn sie etwas bereits in Delphi geschrieben haben und es Geld bringt, warum sollten sie wechseln und sich zusätzlich Mühe machen."
Derzeit tut der Delphi-Virus nur eines: er pflanzt sich fort. Über eine Schadfunktion verfügt er nicht.
"Dieser Virus ist eine Machbarkeitsstudie. Es ging wohl nur darum, zu testen, was möglich ist. Ein konkreter Schaden lässt sich damit nicht anrichten. Aber wir könnten es sehr wohl in Zukunft mit bösartigeren Varianten des Virus’ zu tun bekommen."
Machbar wäre demnach einiges: Hacker könnten ihre Auseinandersetzungen mithilfe von verseuchten Programmierwerkzeugen austragen. Die Entwicklung und der Einsatz von Malware ist ja ein lukratives Geschäft. Da kommt es leicht zu Bandenkriegen, so wie vor ein paar Jahren jener zwischen den Programmierern der Würmer Netsky und Bagle. Für einen solchen Bandenkrieg könnte der Delphi-Virus neue Munition liefern. Oder es könnten weitere Entwicklungswerkzeuge infiziert werden. Der Phantasie sind da keine Grenzen gesetzt. Und wenn’s um Schadprogramme geht, eilt erfahrungsgemäß die Phantasie der Wirklichkeit nicht sehr weit voraus.