Bliss (Computervirus)

Bliss (englisch für „Glückseligkeit“) ist ein Computervirus, der GNU/Linux-Betriebssysteme befallen kann.

Am 5. Februar 1997 veröffentlichte sein Autor den Quelltext.

Bliss schreibt eine Log-Datei über alle seine Aktionen, "/tmp/.bliss" (der Punkt am Anfang des Dateinamens kennzeichnet in Linux versteckte Dateien, die also im gewöhnlichen Anzeige-Modus nicht zu sehen sind). Außerdem gibt es einen Kommandozeilen-Parameter "--bliss-uninfect-files-please" (etwa „Bliss, bitte desinfiziere die Dateien“), der tatsächlich dazu führt, dass die Infektionen rückgängig gemacht werden.^[1]

Der Viruscode enthält folgenden Text:^[2]

 dedicated to rkd
 infected by bliss
 skipping, infected with same vers or different type
 replacing older version
 replacing ourselves with newer version
 infect() returning success
 successfully (i hope) disinfected
 rsh%s%s %s 'cat>%s;chmod 777 %s;%s;rm -f %s'
 doing do_worm_stuff()
 /etc/hosts.equiv
 Compiled on Sep 28 1996 at 22:24:03
 Written by electric eel.
 help? hah! read the source!
 bliss was run %d sex ago, rep_wait=%d
 /usr/spool/news
 GCC: (GNU) 2.7.2.l.2

Das Virus enthält keine schädlichen Programmroutinen.

Wenn Bliss ausgeführt wird, hängt er sich selbst an ausführbare Dateien (Programme, Skripte), auf die gewöhnliche Benutzer keinen Zugriff haben. Diese ausführbaren Dateien können anschließend nicht mehr ausgeführt werden. Daher wird Bliss sehr rasch bemerkt.

Seine Eigenschaften deuten darauf hin, dass Bliss möglicherweise nur geschrieben wurde, um zu beweisen, dass Linux trotz der Benutzerkonten mit Computerviren infiziert werden kann (Proof of Concept). Auch vermehrt sich dieser Virus nicht sehr effektiv, weil das System der Benutzerrechte in Linux eine Verbreitung sehr erschwert. Bliss hat sich nie ausbreiten können und blieb damit eine Kuriosität aus der Forschung.^[1][3] Eine massive Sicherheitslücke stellten vor allem die Möglichkeiten der Anweisung chmod 777 dar, die in zeitgemäßen Linux-Versionen aber nicht mehr verfügbar sind.

Nach Staog war Bliss erst der zweite bekannte Virus, der speziell für Linux-Betriebssysteme geschrieben wurde.^[1] Linux war allerdings auch zuvor nicht völlig sicher vor Malware. Bootsektorenviren wie Parity Boot, die ausschließlich Maschinenbefehle benutzten gab es bereits seit einigen Jahren. Solche Viren konnten sich teilweise über Linux-Rechnern verbreiten, da sie vom Betriebssystem unabhängig waren.

Als die Entdeckung von Bliss öffentlich bekannt wurde, gaben einige Hersteller von Antivirensoftware Pressemitteilungen heraus. Unter anderem McAfee behauptete, dass nun, da tatsächlich ein Linux-Virus existiere, auch Linux-Benutzer unbedingt Antivirensoftware kaufen sollten, um sich zu schützen. Üblicherweise verwendeten Linux-Benutzer damals keine Antivirensoftware. Sinn ergab dies nur auf Servern, die als Datei- oder E-Mail-Server für Windows-Computer dienten. Die Daten wurden aber nur nach Windows-Viren durchsucht.^[1]

• Liste von Linux-Malware

1. ↑ ^{a b c d} F-Secure Advisory. Abgerufen im 1. Januar 1 
2. ↑ http://virus.wikidot.com/bliss Wiki: Bliss
3. ↑ Debian Security Advisory. Archiviert vom Original am 24. Oktober 2021; abgerufen am 6. Dezember 2020.  Info: Der Archivlink wurde automatisch eingesetzt und noch nicht geprüft. Bitte prüfe Original- und Archivlink gemäß Anleitung und entferne dann diesen Hinweis.@1@2Vorlage:Webachiv/IABot/www.debian.org 

• Bliss, a Linux Virus (englisch)