Was sind Computerviren?
br /
ausführbare Computerprogramme
wie biologische Viren suchen sie sich einen Wirt und hängen sich an ihn an z.B. an den Boot-Sektor im Startbereich eines Computers oder an eine ausführbare Datei
nach Infektion verbreitet er sich auf benachbarte Elemente
wird dieses Element von vielen Benutzern häufig verwendet oder weitergegeben, kann sich der Virus sehr weit verbreiten
ein Virus kann folgende Elemente infizieren
Programmdateien
Bereiche, in denen keine Daten abgelegt sind, da sie zum Starten des Computers verwendet werden - Boot-Sektoren
Datendateien mit Makrofähigkeit
Datenträger, die für den Austausch von Programmen verwendet werden
den Computer, wenn Dateien von Online-Diensten heruntergeladen werden
eine Datei, bevor sie an ein eMail angehängt wird
ein Virus kann folgende Elemente nicht infizieren...
Hardware
Grafikdateien, Dateien ohne Makrofähigkeit
Softwareelemente, de keine Programmdateien sind
schreibgeschützte Disketten
den Computer, wenn Online-Texte nur gelesen werden
textbasierte eMails
Trojanische Pferde werden oft mit Viren verwechselt
sie vermehren sich aber nicht, weshalb es sich nicht um Viren handelt
ein Trojanisches Pferd ist ein Programm, das scheinbar nützlich und interessant ist
Benutzer wird verleitet, es zu starten
es hat einen geheimen Zweck, z.B. Dateien zu zerstören, den Computer auszuspionieren oder einen Virus einzuschleusen
Infektion
Computerviren werden aktiviert, wenn ein infiziertes Programm ausgeführt wird oder aus einem infizierten Boot-Sektor gestartet wird
nach Aktivierung verbreiten sich Computerviren auf zwei mögliche Arten, je nach ihrem Zweck
direkte Infektion
speicherresidente Infektion
direkte Infektion
Virus wird aktiviert, sobald die infizierte Datei ausgeführt wird
übernimmt die Kontrolle über das System und sucht nach \"sauberen\" Dateien, die noch nicht infiziert sind
wird das infizierte Programm geschlossen, kann auch der Virus keine weiteren Infektionen vornehmen
speicherresidente Infektion
Virus verhält sich ähnlich wie ein speicherresidentes Programm
übernimmt die Kontrolle, sobald er aktiviert wird
verbleibt solange im System, bis der Speicher durch Ausschalten oder einen Neustart gelöscht wird
selbst wenn das infizierte Programm geschlossen wird
Auslöser
einige Viren sind mit einer willkürlichen Inkubationszeit
nachdem der Virus aktiviert wurde, wartet er auf einen Auslöser, der ihn aktiviert
z.B. bestimmtes Datum, den Ablauf von 60 Minuten nach dem Start des infizierten Programms oder die siebte Programmdatei, auf die der Virus trifft
manche Viren verwenden auch einen Zufallsauslöser
Ladung
manche Viren geben eine Ladung frei, wenn der entsprechende Auslöser aktiviert wurde
einige Viren entleeren sich ihrer Ladung aber auch, sobald sie aktiviert werden
Ladungen können zerstörerisch sein, z.B. Festplatten formatieren oder Dateien zerstören
andere sind relativ gutartig, und zeigen lediglich irgendwelche Meldungen auf dem Bildschirm an
nicht alle Viren zeigen ihre Aktivität unbedingt an, selbst wenn sie ihr Zerstörungswerk bereits begonnen haben
z.B. \"Ripper\" nimmt willkürlich Änderungen an den Dateien auf einer Platte so langsam vor, daß dies meist nicht bemerkt wird
Ziele von Viren
Viren werden nach ihren Zielen kategorisiert: Programmviren, Boot-Viren, Makroviren
Programmviren
infizieren Programmdateien, die meist folgende Erweiterungen haben: COM, EXE, SYS, DLL, OVL, SCR
am häufigsten werden Standard DOS-Programme (COM und EXE) Ziele von Viren
Programmdateien sind für Programmierer attraktive Ziele
werden von vielen verwendet und haben relativ einfache Formate, an die sich Viren leicht anhängen können
wie andere Programme auch müssen Programmviren für ein bestimmtes Betriebssystem geschrieben werden
die Mehrzahl wurde für DOS geschrieben, es gibt aber auch solche für Win 3.x, Win 95 und sogar für UNIX
alle Windows-Versionen sind DOS-kompatibel und können deshalb auch DOS-Viren beherbergen
wie verhalten sich DOS-Viren in den einzelnen Windows-Versionen?
Windows-Version: Verhalten der Viren
Windows 3.x - die meisten DOS-Viren können sich in dieser Umgebung gut verbreiten
Win 3.x verwendet für alle seine grundlegenden Dateifunktionen DOS
Windows 95 - Win 95 ist mit fast jedem älteren Programm kompatibel
dadurch auch mit Programmviren
wenn ein speicherresidenter Virus, der Boot-Sektoren befällt, aktiv ist, kann es sein, daß Win 95 beim Starten Warnmeldungen anzeigt und sich die Systemleistung verschlechtert
Windows NT - Win NT ist am wenigsten DOS-kompatibel, stellt aber immer noch eine gute Umgebung
für Programmviren dar
speicherresidente Viren können nur in DOS-Sitzungen Infektionen verursachen und sich verbreiten
beim Beenden der DOS-Sitzung wird der Virus solange deaktiviert, bis wieder ein
infiziertes Programm in einer DOS-Sitzung gestartet wird
Boot-Viren
infizieren die Systembereiche von Festplatten und Disketten, auf denen sich keine Dateien befinden
sind hinsichtlich der Weiterverbreitung und die Infektion ihrer Ziele erfolgreicher als Programmviren
alle Festplatten und Disketten besitzen Boot-Sektoren
bei einer Diskette muß es sich nicht um eine Systemdiskette handeln
im Gegensatz zu Programmviren können fast alle Boot-Viren DOS-, Windows 3.x, 95, NT und sogar Novell
Netware-Systeme infizieren
sie verwenden nicht das Betriebssytem, sondern grundlegende Funktionen des Computers, um sich zu verbreiten
und zu aktivieren
ein interessanter Aspekt von Windows NT ist, daß es beim Starten (wenn es noch starten kann) alle Boot-Viren
deaktiviert
während der Windows-Sitzung kann der Virus nicht aktiv werden
Gefahr! - bei jedem Systemstart wird der Virus aktiviert und kann sich seiner Ladung entledigen
z.B. Stoned.Michelangelo, der am 6. März willkürlich Bytes auf jeden Zylinder der Festplatte schreibt
zuerst werden in Sekundenbruchteilen die Hauptsystembereiche zerstört, die der Computer zum Starten verwendet
jetzt ist es schlicht unmöglich, den Virus vom Zerstören aller Daten auf der Festplatte abzuhalten
Makroviren
infizieren Datendateien mit Makrofähigkeit und stellen die neueste Gefahr dar
Dokument- und Vorlagendateien von z.B. MS Word können Opfer werden
verbreiten sich durch die gemeinsame Nutzung von infizierten Dokumenten oder das Herunterladen solcher
Dokumente aus dem Internet sehr schnell
ältere Anwendungen enthalten Makrosysteme, mit denen man eine Abfolge von Aktionen aufzeichnen konnte
heute gibt es sehr viel komplexere Makrosysteme, mit denen man komplette Makroprogramme schreiben kann
Makroprogramme laufen dann innerhalb einer Textverarbeitungs- oder Tabellenkalkulationsumgebung
Makros werden an die Datendatei angehängt
diese sehr leistungstarke Funktion ermöglicht leider auch das Erstellen von Makroviren
infiziertes Dokument wird geladen - durch die Möglichkeit der sofortigen, automatischen Ausführung der
eingebundenen Makros erlangt der Virus Kontrolle über das Makrosystem
er wartet dann darauf, daß ein neues Dokument geöffnet oder erstellt wird
er hängt seine Virus-Makros an diese Dokumente an und läßt dann die Anwendung das Dokument ganz normal
speichern
der Virus verbreitet sich also ganz unauffällig auf eine neue Datei
die Anwendung dient dem Virus als \"Betriebssystem\" - ein einziger Virus unter MS Word kann sich so auf Win 3.x,
Win 95, Win NT und den Macintosh verbreiten
Technologien von Viren
Programm- und Boot-Viren werden auch nach ihren Technologien kategorisiert, die sie verwenden, um sich zu verbreiten und ihre Entdeckung zu verhindern
Stealth- oder Tarnkappen-Viren
- versuchen gezielt, sich einer Analyse oder Entfernung zu entziehen
z.B. werden Festplattenlesevorgänge umgeleitet, um eine nichtinfizierte Kopie des Originalobjekts zu präsentieren
oder Ordnerdaten für die infizierten Programmdateien werden verändert - Größentarnung
z.B. der Whale-Virus ist ein Virus mit Größentarnung
er versucht die Ordnereinträge von infizierten EXE-Dateien zu manipulieren
er addiert 9216 Bytes zu einer infizierten Datei
da Änderungen an der Dateigröße auf einen Virus hindeuten, subtrahiert er dann dieselbe Anzahl von Bytes von der
im Ordnereintrag angegebenen Dateigröße
dadurch entsteht der Eindruck, die Datei sei nicht verändert worden
Polymorphe Viren
die meisten einfachen Viren hängen identische Kopien ihrer selbst an die zu infizierenden Dateien an
Antivirus-Programm kann den Code des Virus erkennen, da dieser immer gleich ist, und schnell aufspüren
polymorphe Viren verschlüsseln ihren Viruscode, wenn sie ein Programm infizieren
keine zwei Infektionen durch denselben Virus sind identisch und die Entdeckung wird erschwert
Stellvertreterviren
sind die Ausnahme zur Regel, daß sich ein Virus immer an eine Datei anhängt
der Stellvertretervirus erstellt statt dessen eine neue Datei und vertraut auf die Eigenschaft von DOS, diese Datei
anstelle der Programmdatei auszuführen, die normalerweise ausgeführt werden würde
einige erstellen eine COM-Datei mit demselben Namen wie eine vorhandene EXE
z.B. erstellt ein Virus eine Datei namens CHKDSK.COM im gleichen Verzeichnis wie eine Datei namens
CHKDSK.EXE
wenn DOS wählen muß, führt es die COM-Datei aus
Hybridviren
sind sowohl Programm- als auch Boot-Viren
z.B. der Virus Tequila
startet man ein infiziertes Textverarbeitungsprogramm, wird der Virus aktiviert und infiziert den Master-Boot-Sektor
auf der Festplatte
beim nächsten Start des Computers wird dann der Virus wieder aktiviert und infiziert jedes Programm, welches gestartet wird
Vorstellung einiger Viren
Peter - verschlüsselt am 27. Februar die Festplatte und es werden Fragen zur Musik gestellt
werden diese richtig beantwortet, wird der Virus inaktiv
Smiley - grinsende Gesichter erscheinen auf dem Bildschirm
Stoned.Michelangelo - beim Starten am 6. März überschreibt er die Festplatte mit dem Inhalt des Arbeitsspeichers
Swiss Boot - enthält eine Meldung über die Auflösung der schweizerischen Armee
Ugly Jo - veranlaßt den Computer am 27. Juli zum ständigen Neustart und macht ihn somit unbrauchbar
andere Viren formatieren zusätzliche Spuren auf Disketten, um sich dort festzusetzen
spielen Musik, lassen harmlose Meldungen erscheinen, drehen den Bildschirm um o.ä.
Was man gegen Viren tun kann
qualitativ hochwertige Antivirenprogramme
Norton AntiVirus, McAffee
erkennen Viren anhand ihrer charakteristischen Eigenschaften oder Virussignaturen
diese speicherresidenten Programme melden auch Aktivitäten, die auf Viren hindeuten
z.B. Schreibvorgänge in den Boot-Sektor oder Änderungen an Programmdateien
so können auch unbekannte Viren aufgespürt werden
Virenschutz muß aktuell gehalten gehalten werden - durch kostenlose Aktualisierungen, z.B. aus dem Internet
|