|
Programmviren befallen Dateien die in ausführbaren Programmcodes vorliegen. Zumeist sind diese .exe, .com und oft auch .sys Dateien. Diese Programme bestehen aus drei Teilen: Start - eigentlichem Programm - Ende. Programmviren gliedern sich wiederum in zwei Bereiche. Nichtüberschreibende Viren, bei denen sich der Virus entweder an den Programmanfang oder das Programmende kopiert. Überschreibende Viren, die bei der Fortpflanzung einfach den Anfang des jeweiligen Wirtprogramms überschreiben. Dieses wird dadurch fehlerhaft und funktionsunfähig. Die Vorteile liegen bei dieser Art von Virus in der einfachen Struktur, die der Programmierer vornehmen muss und der unveränderten Dateigröße, wodurch es manchen Antivirenprogrammen nicht mehr möglich ist, den Virus aufzuspüren.
Speicherresidente Viren: Wird ein infiziertes Programm aufgerufen, lädt sich der Virus in den Arbeitsspeicher. So kann er auch nach Beendigung des infizierten Programms aktiv bleiben. Der Virus überwacht spezielle Interrupts in der Interrupt-Vektor-Tabelle. Benötigt ein Programm nun eine Systemfunktion (z.B. eine Tastatureingabe) so fordert sie diese über einen Interrupt an. Was bei dem Ausühren eines Interrupts geschieht, steht in der Interrupt-Vektor-Tabelle. Da diese Tabelle im Arbeitsspeicher liegt, kann der Virus hier verändernd eingreifen und der angeforderte Interrupt führt anstatt der unsprünglichen Interruptfunktion die Virusfortpflanzungsroutine aus. Das aktive Programm wird infiziert.
Source-Code Viren liegen nicht als ausführbarer Programmcode vor, sondern als Quellcode einer Programmiersprache wie z.B. Pascal, C, usw. Da ein plötzlich auftauchender fremder Code in einem Programm sehr verdächtig sein würde, infiziert der Virus bervorzugt Programmbibliotheken, die meist nicht kontrolliert werden. Startet man das Programm, wird irgendwann auch die Programmbibliothek benötigt und der Virus kann somit aktiv werden. Er sucht dann wiederum nach anderern Bibliotheken und infiziert diese.
Call Viren versuchen Auffälligkeiten wie die Veränderung der Dateigröße oder Zerstörung des Wirtprogrammes zu vermeiden. Deshalb liegt der Virus als verstecke Datei irgendwo auf dem Datenträger vor. Nur ein Link, der ggf. so angebracht werden kann, dass das infizierte Programm nicht vergrößert wird, ruft den Virus vom Wirtprogamm aus auf.
Bootsektorviren infizieren den Sektor einer Festplatte, der beim Systemstart als erstes gelesen wird und der dem Rechner mitteilt, was er nach dem Einschalten tun soll. Ein Bootsektorvirus überschreibt diesen Sektor mit dem eigenen Programmcode und verweist, nach der Erfüllung seiner Aufgabe, auf eine zuvor angelegte Kopie des orginalen Bootsektors auf der Festplatte.
|
