SCA-Virus

Der SCA-Virus ist ein Virus für Amiga-Computer der Firma Commodore. Er war seinerzeit der erste Computervirus, der auf dem Amiga entdeckt wurde und in der Folgezeit eine weite Verbreitung fand.

Funktionsweise[Bearbeiten | Quelltext bearbeiten]

Der SCA-Virus gehört zur Gruppe der Bootblockviren. Er befindet sich auf dem Bootsektor einer bootfähigen Diskette und wird vor dem eigentlichen Betriebssystem eingelesen und ausgeführt. Amiga-Computer mussten, bevor sie benutzt werden konnten, zunächst von einer Diskette booten, um einen Teil ihres normalen Betriebssystems (Workbench) oder einer alternativen Software einzulesen, wobei als erstes der im Bootsektor der Diskette stehende Programmcode ausgeführt wird. Da der Bootsektor mehr Speicherplatz bereitstellt als vom Amiga-Betriebssystem verwendet wurde, konnte dieser vom SCA-Virus genutzt werden, um sich darauf abzuspeichern. Dabei überschrieb der Virus den Bootsektor so, dass sein Programmcode zuerst ausgeführt wurde, bevor die Ausführung des normalen Programmcodes des Betriebssystems erfolgte. Der Virus kopiert sich dann in den Speicher, wo er unter Ausnutzung der CoolCapture-Funktion des Amiga-Betriebssystems auch nach einem Reset (Warmstart) aktiv blieb.^[1][2]

Vervielfältigungsroutine[Bearbeiten | Quelltext bearbeiten]

Jeder Zugriff auf das Diskettenlaufwerk wird von SCA abgefangen, wenn das Virus speicherresident ist. Neben dem Ausführen der normalen Diskettenoperation prüft SCA dann zusätzlich, ob es sich um eine bootfähige Diskette ohne aktivierten Schreibschutz handelt, und kopiert sich dann gegebenenfalls in deren Bootsektor. Da das Virus bei einem Softwarereset nicht aus dem Speicher gelöscht wird, wirkt dieser wegen des folgenden Bootversuchs ebenfalls als Infektionstrigger.^[1][2]

Payload[Bearbeiten | Quelltext bearbeiten]

Der Viruscode enthält eine Zählvariable, die SCA entsprechend in jeder Kopie anpasste und die dazu führte, dass nach der 15. erfolgreichen Infektion die folgende Textausgabe auf dem Bildschirm erschien:^[1][2]

Hierbei war die erste Textzeile von einer entsprechenden Formulierung in dem zeitgenössischen Science-Fiction-Film Nummer 5 lebt! inspiriert, in dem ein Militärroboter vom Blitz getroffen und dadurch lebendig (engl. alive) wurde.^[1]

Der Virus enthielt zwar keinen destruktiven Schadcode, aber das Überschreiben des Bootblocks konnte bei Programmen, insbesondere bei Spielen, die einen modifizierten Bootblock verwendeten, dazu führen, dass diese sich nicht mehr starten ließen. Zudem führte die Kopie des Virus im Speicher in bestimmten Fällen zu einem Systemabsturz.^[3][4]

Geschichte[Bearbeiten | Quelltext bearbeiten]

Der SCA-Virus entstand im Juli 1987 aufgrund einer Wette zwischen zwei befreundeten europäischen Hackern, die darüber stritten, ob die 1024 Byte des Bootblocks einer Amiga-Diskette ausreichten, um einen Computervirus in ihm zu speichern. Der Virus war dabei lediglich als Proof of Concept gedacht und seine spätere Verbreitung war ein unerwarteter und unerwünschter Nebeneffekt. Die Bezeichnung SCA leitet sich hierbei von der Hackergruppe Swiss Cracking Association, der der Autor des Virus angehörte, ab. Dieser infizierte mehrere Disketten mit seinem Virus, die er seinem Wettpartner per Post im Rahmen des damals üblichen Software- beziehungsweise Diskettentausches zusandte. Bevor er sich bei diesem jedoch bemerkbar machte, hatte er sich bereits per Diskettentausch zu anderen Computerbesitzern weiterverbreitet.^[1]

Im November 1987 wurde der Virus erstmals in unkontrolliertem Umlauf entdeckt^[2] und innerhalb weniger Monate hatte er sich von Europa nach Nordamerika und Australien verbreitet. Im März 1988 verbreitete er sich auf The World of Commodore-Show in Toronto.^[4] Schätzungen zufolge waren am Ende etwa 40 % aller Amiga-Besitzer betroffen, also waren sie zumindest zeitweise im Besitz infizierter Disketten.^[3] Zudem war mindestens ein Software-Hersteller unbemerkt infiziert worden und lieferte seine Software auf infizierten Disketten an seine Kunden.^[1]

Da der Virus und die Gerüchte um ihn zu einer erheblichen Verunsicherung unter den Amiga-Besitzern führten, beauftragte Commodore den Angestellten Bill Koester den Virus zu untersuchen. Um den Virus aus dem Speicher zu entfernen, benötigte man einen Kaltstart des Amiga. Vom Virus überschriebene Bootblöcke ließen sich mit einem CLI-Befehl wiederherstellen, sofern es sich um den Standardbootblock des Amiga-Betriebssystems gehandelt hatte. Schon bald erschienen neue Viren auf dem Amiga wie zum Beispiel der Byte Bandit (1988) und der Lamer Exterminator (1989) und es wurden die ersten Antivirenprogramme für den Amiga veröffentlicht. Auch die Swiss Cracking Association veröffentlichte einen eigenen Virenkiller.^[1][3][4]

Literatur[Bearbeiten | Quelltext bearbeiten]

• Jimmy Maher: The Future Was Here: The Commodore Amiga. MIT Press, 2012, ISBN 978-0-262-01720-6, S. 171–178
• David Salomon: Foundations of Computer Security. Springer, 2006, ISBN 978-1-84628-341-3, S. 131
• Georg Pichler: GAMES VON GESTERN - "20.000 Meilen": Wie ein Amiga-Virus ein Videospiel versenkte. Der Standard, 8. Juli 2018
• William Sen: Der erste Computervirus war lebendig. Dieser Computervirus schockte die User. dw Magazin
• Jim Butterfield: The Amiga Virus. Compute, Ausgabe 94, März 1988, S. 48

Weblinks[Bearbeiten | Quelltext bearbeiten]

• Amiga Virus Encyclopedia: SCA Virus
• Tech Time Warp: SCA virus infects the Commodore Amiga

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

1. ↑ ^{a b c d e f g} Jimmy Maher: The Future Was Here: The Commodore Amiga. MIT Press, 2012, ISBN 978-0-262-01720-6, S. 171–178
2. ↑ ^{a b c d e} David Salomon: Foundations of Computer Security. Springer, 2006, ISBN 978-1-84628-341-3, S. 131
3. ↑ ^{a b c} Georg Pichler: GAMES VON GESTERN - "20.000 Meilen": Wie ein Amiga-Virus ein Videospiel versenkte. Der Standard, 8. Juli 2018
4. ↑ ^{a b c} Jim Butterfield: The Amiga Virus. Compute, Ausgabe 94, März 1988, S. 48