HurricanX
05.10.2004, 20:31
Alles was Du über Viren wissen solltest...
Die Viren-Hystery...
Immer wieder geistern Horror-Meldungen über neue und gefährliche Computerviren
Durch Zeitungen und Magazine Meist wird hier jedoch kräftig übertrieben.
Wesentlich mehr Schaden an Computersystemen und deren Daten sind auf Sabotage oder
auch unabsichtliche Fehlbedienug zurückzuführen als auf Viren und deren Folgen.
Ein Virenbefall kann unter Umständen zum Verlust aller Daten und Programme führen
und damit finanziellen Schaden in beträchtlicher höhe anrichten.
Wie infiziert ein Virus eine Datei...
Die größten Unterschiede bei der Infektion von Dateien liegen in der Art wie ein Virus
sich in einem Programm festsetzt. Viele Viren hängen ihren eigenen Programmcode an das
Ende einer ausführbaren Datei und setzen am Anfang einen Zeiger auf diesen Code. Wird
das Programm gestartet, springt es vor der Ausführung seiner eigendlichen aufgaben
zuerst auf das Virusprogramm. Ist dieses ausgeführt, springt es wieder an die Stelle
zurück, an der der Ablauf ursprünglich unterbrochen wurde. Der Benutzer bemerkt
allenfallseine minimale veränderung an der Aufrufgeschwindigkeit.
Jedesmal, wenn das Programm jetzt aufgerufen wird, startet zuerst der Virus.
Er such von diesen Moment an nach nicht infizierten, ausführbaren Datein, um sich
auch an diese heranzumachen.
Die infektion durch dieses Anhängen, des Virencodes richtet keinen bleibenden Schaden,
an der befallenen Datei an - diese Viren lassen sich wieder entfernen.
Manche Viren gehen allerdings viel radikaler vor und überschreiben einfach so viel von
der Datei, wie sie führ ihren Programmcode benötigen. Ist das Wirtsprogramm genauso
groß oder größer als der Virus, geschieht das relativ unauffällig. Ist der Virus
größer als sein Wirt, überschreibt er die Datei komplett und verlängert sie um
den Platz, den er darüberhinaus benötigt.
Eine Sorte von Viren verschiebt den Orginal-Bootsektor, schreibt das eigene
Ladeprogramm in den Bootstrap (eine Routine, die das Bios auffordert, das
Betriebssystem zu laden) und versteckt sich dann selbst irgendwo auf dam Datenträger.
Wid beim Rechnerstart auf den Bootsector zugegriffen, startet der Virus-Lader
zuerst den Virus und leitet den Zugriff danach auf den verpflanzten Original-Bootstrap
um. Dadurch kann sich ein Virus auch auf Disketten verbreiten, die nur Datein
und keine Programme enthalten, da auch nicht-bootfähige Disketten einen minimalen
Bootsector haben. Wird bei einem Bootversuch kein Betriebssystem gefunden, gibt das
Ladeprogramm lediglich die Meldung am Bildschirm aus: "keine Systemdiskette..."
Eine solche Diskette kann einen Virus dann als Krüke zum Starten verwenden.
Andere Viren überschreiben die in der FAT enthaltenen Informationen über ein Verzeichnis
und geben bei jedem Programm als Adresse die des Virusprogramms an. Die Original-Adressen
legt der Virus selbst in einer geordnetet Liste ab. Wird nun ein Programm aufgerufen,
startet es zuerst den Virus. Dieser Leitet den Zugriff dann an die richtige Adresse
weiter.Von jedem dieser Infektionswege gibt es einige Varianten. Auch kombinationen
aus mehreren Methoden kommen häufig vor. Desswegen lassen sich Viren auch zunehmend
schwehrer klassifizieren.
Virentypen
-Bootsektorviren
Die am häufigsten auftretenden Viren sind Bootsektorviren wie der Form- und der
Stoned-Virus. Solche Viren infizieren die Bootsektoren von Disketten und entweder
den MBR (Master Boot Record bzw. Master-Boot-Partitionssektor) oder den DBR
(DOS Boot Record bzw. DOS-Bootsektor) von Festplatten. Ein Bootsektorvirus vermehrt
sich folgendermaßen:
Eine Diskette mit Daten (vielleicht einigen Textverarbeitungsdateien und einem
Tabellenkalkulationsblatt) ist angekommen. Die Daten sind Bestandteil eines Projekts,
an dem Sie zusammen mit einem Kollegen arbeiten. Ihr Kollege weiß jedoch nicht,
daß sein Computer und damit auch die Diskette, die er Ihnen zugeschickt hat,
mit einem Bootsektorvirus infiziert ist. Sie legen die Diskette in Laufwerk A:
ein und beginnen, die darauf enthaltenen Dateien zu verwenden. Bis jetzt hat der
Virus noch gar nichts gemacht. Bei Feierabend schalten Sie den Computer aus und gehen
nach Hause. Am nächsten Morgen betreten Sie Ihr Büro und schalten den Computer ein.
Die Diskette befindet sich noch in Laufwerk A:, also versucht der Computer, von dieser
Diskette zu starten. Er lädt den ersten Sektor der Diskette in den Speicher, um den
darin enthaltenen Code auszuführen (normalerweise handelt es sich dabei um ein
kleines Programm, das von Microsoft zum Laden von DOS geschrieben wurde) oder um
Ihnen mitzuteilen "Keine Systemdiskette, bitte drücken Sie eine beliebige Taste,
um fortzufahren", falls er keine DOS-Systemdateien darauf finden kann. Diese Meldung
haben Sie schon tausendmal gesehen, also öffnen Sie die Laufwerksverriegelung und
drücken eine Taste.
Aber diese Diskette ist mit dem Stoned-Virus infiziert, und daher wurde nicht das
Programm von Microsoft, sondern der 1987 in Neuseeland geschriebene (und deshalb
manchmal auch als New Zealand-Virus bezeichnete) Stoned-Virus ausgeführt. Der Virus
installiert sich selbst auf der Festplatte, ersetzt den MBR und kopiert den
Original-MBR an eine andere Stelle der Festplatte.
Wenn Sie von der Festplatte starten, wird der MBR ausgeführt, der jetzt jedoch
nichts anderes als der Stoned-Virus ist. Der Stoned-Virus wird speicherresident,
fängt den Interrupt 13h (Lesen von/Schreiben auf Datenträger) ab und lädt danach
den Original-MBR, und von da ab wird der Startvorgang ganz normal fortgesetzt.
Da jedoch der Interrupt für das Lesen von/Schreiben auf Diskette abgefangen wurde,
wird bei jedem Schreib- oder Lesezugriff auf Laufwerk A: (obwohl Sie denken, es
handle sich um einen Lesezugriff, schreibt jedoch in Wirklichkeit der Virus auf
Diskette) die Diskette untersucht, und wenn sie noch nicht infiziert ist, wird der
Stoned-Virus im Bootsektor installiert. Somit infiziert Ihr Computer jetzt jede
Diskette, die in Laufwerk A: eingelegt wird, und früher oder später wird eine
dieser Disketten an einen Kollegen weitergegeben, und der Kreislauf beginnt von
vorne.
Im Detail unterscheiden sich die verschiedenen Bootsektorviren in ihrer Arbeitsweise
voneinander, aber allen liegt dasselbe Prinzip zugrunde. Sie werden über die
Bootsektoren infizierter Disketten übertragen und können nur auf diesem Weg
weitergegeben werden (ein Bootsektorvirus kann sich beispielsweise nicht über ein
Netzwerk ausbreiten). Eine Infektion kann nur durch den Versuch, von einer infizierten
Diskette zu starten, stattfinden, selbst wenn dieser Versuch erfolglos verläuft.
Bootsektorviren befallen PCs. Dabei spielt es überhaupt keine Rolle, welches
Betriebssystem verwendet wird oder welche Schutzprogramme installiert sind, denn zu
dem Zeitpunkt, zu dem sich der Bootsektorvirus installiert, werden das Betriebssystem
oder das Schutzprogramm noch gar nicht ausgeführt. Bei einigen Betriebssystemen allerdings,
die nicht auf DOS beruhen, wird zwar der PC infiziert, kann sich der Virus jedoch nicht
auf Disketten kopieren, die danach eingelegt werden, und sich somit nicht ausbreiten.
Er kann jedoch nach wie vor Schaden anrichten, wie ein Unix-Anwender erstaunt
feststellen mußte, als am 6. März überraschend der Michelangelo-Virus zuschlug.
Die meisten Leute sind vollkommen überrascht, wenn sie erfahren, daß sich ein Virus auf
diese Art verbreitet, worin wohl auch der Grund für die Häufigkeit der Bootsektorviren
zu suchen ist.
-Companionviren
Wenn Sie eine COM- und eine EXE-Datei mit demselben Dateinamen haben und diesen Dateinamen
eingeben, führt DOS stets vorzugsweise die COM-Datei aus. Companion-Viren nutzen diesen
Umstand, und erstellen für jede Ihrer EXE-Dateien eine gleichnamige (sozusagen
begleitende) COM-Datei. Wenn Sie dann versuchen, Ihr EXE-Programm auszuführen, wird
statt dessen das COM-Programm, also der Virus, ausgeführt. Wenn der Virus das, was er
tun sollte, abgeschlossen (und beispielsweise einen weiteren Companion-Virus für eine
weitere Datei erstellt) hat, startet er das EXE-Programm, damit alles ganz normal zu
funktionieren scheint.
Es gab ein paar recht erfolgreiche Companion-Viren, aber nicht viele. Der Hauptvorteil
für den Virenprogrammierer besteht darin, daß die EXE-Datei überhaupt nicht verändert
wird und einige der änderungssensitiven Programme daher gar nicht bemerken, daß sich
ein Virus ausbreitet.
Eine andere Art des Companion-Virus ist der "Path-Companion" oder Pfadbegleiter.
Diese Art von Virus legt ein Programm in einem Verzeichnis ab, das bei der Abarbeitung
der PATH-Anweisung von DOS vor dem Pfad, in dem sich die Opferdatei befindet, abgesucht
wird. Wenn Sie ein Programm ausführen, das sich nicht im aktuellen Unterverzeichnis
befindet, sucht DOS dieses Programm in mehreren Unterverzeichnissen, die in der
PATH-Anweisung in Ihrer AUTOEXEC.BAT festgelegt sind. Pfadbegleiter sind schwerer
zu schreiben als gewöhnliche Companion-Viren; daher gibt es auch nicht so viele.
-Dropper
Ein Dropper ist weder ein Virus noch ist es ein mit einem Virus infiziertes Programm,
aber wenn dieses Programm ausgeführt wird, installiert es einen Virus im Speicher, auf
der Festplatte oder in einer Datei. Dropper wurden als geeignete Überträger für einen
bestimmten Virus oder einfach als Hilfsmittel zur Sabotage geschrieben. Einige
Anti-Virus-Programme versuchen, Dropper zu erkennen.
-Hybridviren
Viren, die sowohl Programmdateien als auch Boot-Sektoren infizieren.
-Keime
Ein Keim ist ein Virus der Generation Null, der in einer solchen Form vorliegt, daß die
Infektion nicht auf normale Weise stattgefunden haben kann, wie beispielsweise bei einem
Virus, der lediglich Dateien von mindestens 5 KB Umfang infiziert und jetzt eine winzige
Datei von 10 Byte infiziert hat. Als Keim wird aber auch eine Viruskopie ohne
Wirtsdatei betrachtet. Wenn Sie aus einer solchen Datei den Viruscode entfernen,
bleibt eine Datei von 0 Byte übrig. Bei dieser zweiten Art von Keim handelt es sich
also um die vom Virenprogrammierer erstellte Originaldatei.
-Killerprogramme
Killerprogramme sind Viren, die beispielsweise nach einer gewissen Anzahl von
Infektionen die Festplatte des Infizierten Rechners zerstören. Der Virus enthält
dazu einen Infektionszähler, der von einem Festgelegten Wert ausgehen, nach unten zählt.
Ist dieser Zähler bei Null angekommen, wird die zerstörende Aktion ausgelöst.
In manchen fällen ruft der Virus dann den Befehl FORMAT auf und bestätigt ihn.
Andere Viren lassen "nur" sämtliche Deteien auf einem Datenträger Löschen. Die
unfreundlichste Variante dieser Viren ändert die Einträge in der FAT. Dabei sind
zwar alle Dateien noch wie zuvor auf der Festplatte vorhanden, der Datenbestand
ist allerdings nicht mehr les- und verwendbar.
-Logische Bomben
Logische Bobmbens sind eine besondere Art von Viren: Sie können entweder durch eine
Art von Zeitzünder ausgelöst werden, oder durch das Erfüllen einer Bedingung,
beispielsweise die Eingabe oder das Fehlen eines Bestimmten Wortes oder eines
Benutzernamens.Diese Viren sind meistens auf ein Bestimmtes System beschränkt:
Sie können sich normalerweise nur innerhalb eines vorgegebenen Umfeldes reproduzieren
und sind daher ausehalb dieses Umfelds meist wirkungslos.
-Macro-Viren
Makroviren sind Viren, die Datendateien infizieren. Sie werden typischerweise in Microsoft
Word-Dokumenten (.doc und .dot) gefunden. So bald ein infiziertes Dokument geöffnet wird,
wird die Datei Normal.dot infiziert. Wird jetzt ein Dokument gespeichert/geöffnet, wird
dieses mit dem Virus infiziert. Macroviren ersetzen beispielsweise, dem Speichern-Befehl
durch den Format-Befehl.
-Netzwerk-Viren
Spezielle Netzwerk-Viren gibt es bisher nur wenige, doch können sich die meisten Vieren
auch in Netzwerken verbreiten. Die klassischen Netzwerk-Viren sind die sogenanten Würmer.
Sie verbreiten sich nicht als anhängsel eines Programmes in Systemen, sondern können
ihren eigenen Code selbstständig reproduzieren. und als eigenständiges Programm ablaufen
lassen.Bis heute gibt es allerdings noch keine Viren, die sich in mehreren
Betriebssystemen verbreiten können. Viren sind von ihrer Konzeption her immer auf die
Schwachstellen eines Systems angewiesen. Da diese jedoch bei jedem System an anderer
Stelle sitzen und jedes System andere Programmieranforderrungen stellt, wird es auch
in absehbarer Zeit kaum Viren Geben, die beispielsweise auf MAC- und MS-DOS-Rechnern
agieren können.
Die meisten glauben, daß sich ein Virus, sobald er bis in ein Netz vorgedrungen ist,
sofort irgendwie rasend schnell über das gesamte Netzwerk ausbreitet. Die Wahrheit ist
jedoch weitaus komplizierter. Erstens können sich Bootsektorviren nicht über Netzwerke
ausbreiten, selbst wenn mehrere der angeschlossenen Computer infiziert sind, denn diese
Virenart verbreitet sich über Disketten. Dateiviren dagegen breiten sich folgendermaßen
über ein Netzwerk aus:
1. Benutzer 1 infiziert seinen Computer, möglicherweise durch die Demodiskette eines
Vertreters. Der Virus wird speicherresident.
2. Benutzer 1 führt weitere Programme auf seiner Festplatte aus, die dadurch ebenfalls
infiziert werden.
3. Benutzer 1 führt ein paar Programme auf dem Netzwerk aus, die dadurch ebenfalls
infiziert werden. Ein Netzwerk emuliert ein DOS-Gerät, d. h. Lesen und Schreiben in
Dateien auf dem Server findet in derselben Weise statt wie lokal. Der Virus muß sich
also nicht anders als sonst verhalten, um Dateien auf dem Server zu infizieren.
4. Benutzer 2 meldet sich am Server an und führt eine infizierte Datei aus. Der Virus wird
auf dem Computer von Benutzer 2 speicherresident.
5. Benutzer 2 führt mehrere andere Programme auf seiner lokalen Festplatte und auf dem
Server aus. Jede ausgeführte Datei wird infiziert.
6. Benutzer 3, Benutzer 4 und Benutzer 5 melden sich an und führen infizierte Dateien aus.
7. Und so weiter.
-Pholymorphe Viren
Die am häufigsten verwendete Art von Anti-Virus-Programm ist der Scanner, der nach einem
Repertoire von Viren sucht. Für den Virenprogrammierer ist dies das Produkt, das er am
liebsten täuschen würde. Ein polymorpher Virus ist ein Virus, von dem keine zwei Kopien
an irgendeiner Stelle gemeinsame Byte-Folgen enthalten. Daher kann ein solcher Virus
nicht einfach anhand einer bestimmten Byte-Folge erkannt werden, sondern es muß eine
wesentlich komplexere und schwierigere Aufgabe bewältigt werden, um ihn ermitteln zu
können.
-Stealth- oder Tarnkappen-Viren
Wenn ein Virus speicherresident werden kann (was auf 99 % aller in der Computerwelt
auftretenden Viren zutrifft), dann kann er mindestens einen der Interrupts abfangen.
Wenn es sich um einen Bootsektorvirus handelt, dann mißbraucht er den Interrupt 13h
(Lesen von/Schreiben auf Datenträger). Wenn es sich um einen Stealth-Virus handelt und
ein beliebiges Programm den Bootsektor zu lesen versucht, sagt sich der Virus
"Aha, da will einer den Bootsektor sehen. Ich werde einfach dort, wo ich ihn abgelegt
habe, den Original-Bootsektor lesen und dann statt des infizierten Bootsektors den
Inhalt des Originals präsentieren".Dadurch fällt dem anfragenden Programm nichts
Ungewöhnliches auf. Der Brain-Virus, Baujahr 1986, war der erste Virus, der mit
diesem Trick gearbeitet hat. Dateiviren wie beispielsweise der Frodo-Virus können mit
einem ähnlichen Trick ebenfalls ihre Existenz so verbergen, daß jedes Programm, das die
Datei liest, nur die Bytes zu Gesicht bekommt, die vor der Virusinfektion darin
enthalten waren. Solche Tarnfähigkeiten sind jedoch häufiger bei Bootsektorviren als
bei Dateiviren zu beobachten, da es bei einem Bootsektorvirus viel einfacher ist,
eine Tarnroutine zu programmieren.
-Trojanische Pferde
Trojanische Pferde sind streng genommen keine Viren, da es sich dabei nicht um Programme
handelt, die sich selbst reproduzieren und ausführen können. Meist dienen nützliche
Hilfsprogramme oder Informations-Disketten als Tarnung, oft verbunden mit der Einladung,
die Dateien kostenlos zu kopieren und weiterzugeben. Die verstecken Schädlinge werden
erst wirksam, wenn der Anwender dass Programm aufruft, in dem sie verborgen sind.
Eines der bekanntesten Trojanischen Pferde ist als Diskette mit wichtigem
Informationsmaterial zum Thema AIDS getarnt. Diese "AIDS-Informationsdiskette" wurde aus
Panama kostenlos an Teilnehmer eines Fachkongresses verschickt.
-TSR-Dateiviren
Die zweithäufigste Art von Viren ist der TSR-Dateivirus. Wie der Name schon sagt,
werden von Viren dieser Art Dateien befallen. Dabei handelt es sich in der Regel um
COM- und EXE-Dateien; es gibt aber auch ein paar Gerätetreiberviren, und einige Viren
infizieren Überlagerungsdateien, außerdem müssen ausführbare Programme nicht unbedingt
die Namenserweiterung COM oder EXE haben, obwohl dies in 99 % der Fälle zutrifft.
Damit sich ein TSR-Virus verbreiten kann, muß jemand ein infiziertes Programm ausführen.
Der Virus wird speicherresident, und prüft in der Regel jedes nach ihm ausgeführte
Programm, um es ebenfalls zu infizieren, falls es noch nicht infiziert ist. Einige Viren
werden als "schnell infizierende Viren" bezeichnet. Solche Viren infizieren eine Datei
bereits, wenn Sie diese nur öffnen (zum Beispiel wird bei einer Datensicherung unter
Umständen jede auf einem Laufwerk enthaltene Datei geöffnet). Der erste schnell
infizierende Virus war Dark Avenger. Die Infektionsroutine des Green Caterpillar
dagegen wird durch jeden Vorgang ausgelöst, mit dem bestimmt wird, welche Dateien
vorhanden sind (z. B. durch den DIR-Befehl). Es wuden auch noch andere Infektionsauslöser
verwendet, aber in den meisten Fällen wird ein Programm infiziert, sobald es ausgeführt
wird.
-Update-Viren
Update-Viren sind eine besonders ausgeklügelte Virenart. Sie sind nach Familien
gegliedert und werden meist von einem einzigen Programmierer oder einer Gruppe entwickelt.
Neben ihrem Hex-Pattern enthalten diese Viren nicht nur eine Versionsnummer, sondern
auch eine Update-Routine, die überprüft, ob der Virus bereits in einer Version vertreten
ist. Aber damit nicht genug: Die Routine untersucht ausserdem, ob die Datei bereits
eine ältere Version des Virus enthalten. Ist das der Fall, wird diese ersetzt. Ist eine
neuere Version installiert, wird diese nicht noch einmal infiziert.
-Würmer
Computerwürmer sind Programme, die sich selbstständig in einem Netzwerk verbreiten können.
Es handelt sich dabei nicht um klassische Viren, sondern um damit verwandte Störprogramme,
die jedoch auch Viren enthalten können. Würmer sind eigenständige Programme, die keine
Wirtsprogramme benötigen, um sich daran anzuhängen. Meist bestehen sie aus mehreren
Programmsegmenten, die miteinander in Verbindung stehen. Computerwürmer können sich
selbst reproduzieren und sich zu dem mit Hilfe von Netzwerkfunktionen auf andere
Rechner kopieren.
-Zeitzünder
Zeitzünder sind spezielle Auslösemechanismen für Viren. Ein Routine fragt hier
innerhalb eines Virusprogramms die Systemzeit ab. Wird ein festgelegter Wert erreicht,
löst dieses die Ausführung des Aktionsteiles des Virus aus. Bei der Bedingung kann es
sich um eine Zeitspanne nach dem einschalten handeln oder um ein festgelegtes Datum.
Theoretisch ist es so zom Beispiel möglich, jemandem einen Geburtstagsgruß zu schicken,
der am bewusten Tag automatisch aufgerufen wird. Neben Kalenderdaten lässt sich auch
eine Routine einsetzen, die jeden Tag um die seilbe Uhrzeit gestartet wird. Die auswahl
an Bedingungen für Zeitzünder ist beinahe unbegrenzt - "Trigger Days" sind zuminderst
jene Tage, an denen in der Vergangenheit bestimmte Virentypen zugeschlagen haben.
-Ansteckung
Als Ansteckung bezeichnet man in der Medizin, den Vorgang, bei dem ein Krankeitserreger
übertragen wird. Da sich Computerviren ähnlich wie biologische Viren verhalten, wird
in Analogie auch hier der Übertragungsprozess Ansteckung genannt. Dabei wird über einen
Virenträger, meist eine Diskette, der Virus auf einen anderen potentionellen Virenträger,
wie eine Festplatte, übertragen. Dies geschieht entweder durch den Aufruf eines
verseuchten Programms oder eine verseuchten Bootroutine der Diskette.
-Aufbau eines Virus
Jeder Virus besteht aus drei, meißt vier Programmteilen: Beim ersten Teil handelt es
sich um eine Art Kennung, das Hex-Pattern, durch das der Virus sich selbst erkennen
kann. Mit seiner Hilfe kann ein Virus jederzeit überprüfen, ob eine Datei bereits
infiziert ist.Der zweite Teil enthält die eigendliche Infektionsroutine. Hierbei handelt
es sich zuerst um eine Routine, die nach einer nicht infizierten, ausführbaren Datei
sucht.Ist eine solche Datei gefunden, kopiert der Virus seinen Programmcode in die Datei.
Ausserdem befindet sich in diesem Teil auch der Programmcode, der bei bedarf die Datei
so umbaut, dass der Virus sofort bei aufrufs des Programms sofort aktiv werden kann.
Auch die Routine für einen eventuellen Tarnmechanismus befindet sich hier.
Der dritte Teil entscheidet darüber, ob es sich um einen harmlosen Virus handelt, der
nur einen kleinen Scherz macht, oder um einen destruktiven Typ, der eine mitlere oder
größere Katastrophe auslöst. Im harmlosen Fall steht hier die Anweisung, dass der Virus
am Tag X ein Bild auf den Monitor Zeichnet oder einen bestimmten Text ausgeben soll.
Hier kann sich aber auch der Befehl befinden: "formatiere nach dem x-ten Neustart die
Festplatte."Mit dem vierten Teil schließt sich der Kreis. Hier befindet sich der Befehl
mit dem das Programm nach ausführung des Virencodes wieder zu der Stelle zurückkehrt,
an ser der Virus den Programmablauf unterbrochen hat.
-Bug
Nicht jeder Fehler, der während der Arbeit am Computer auftritt, ist auf einen Virus
zurückzuführen. In den meisten Faällen handelt es sich um Mängel in der Software.
Trotzdem sollten Sie vorsichtig sein: Stellen sich plötzlich Fehler ein, die unter
den selben Bedingungen bisher nicht auftraten, sollten Sie einen Vierencheck durchführen.
-Cohen ,Fred
Fred Cohen von der Universität Südkalifornien programmierte 1983 den ersten offiziell
bekanntgewordenen Virus. Er entwickelte für seine Docktorarbeit die Theorie des sich
selbst reproduzierenden Programms und trat zugleich den Beweis dafür an. Der von ihm
programmierte Virus lief unter dem Betriebssystem UNIX. Er bewirkte, dass jeder
Benutzer des Systems sämtliche Zugriffsrechte erhielt.
-Defekte Cluster
Viren haben zumeist Tarnmechanismen, die sie vor Entdeckung schützen sollen. Einer dieser
Mechanismen verhindert etwa, dass der Anwender den von Virus belegten Speicherplatz
entdeckt. Dazu setzt sich der Virus auf dem Datenträger an einer beliebigen Stelle fest
und markiert den belegten Cluster (die Speichereinheit) als defekt. Die meisten
Anwendungsprogramme (also auch Virenscanner) übergehen Defekte Cluster einfach oder
melden lediglich den Defekt und zeichen den noch verbleibenden Restspeicher an.
-Fat
Die File Allocation Table (FAT) oder Deteizuordnungstabelle ist eine Art Notizbuch des
Systems, indem sich ein Eintrag für jeden Cluster befindet. Je nach Status des Clusters
ist hier ein Zeiger auf den nächsten Cluster einer Datei, auf eine Ende-Kennung oder
auf die Meldung "defekt" oder "frei" verzeichnet. Das macht sie zu einem der
beliebtesten Angriffspunkte: Der Virus kann hier den Zeiger auf den nächsten Cluster
einer Datei durch den Zeiger auf seinen eigenen Programmcode ersetzen. Wird eine
solche Datei aufgerufen, aktiviert dies den Virus.
-Grafikkarten
Grafikkarten stehen oft als Überträger in Verdacht. Die Viren sollen sich dabei im
Viedeospeicher der Grafikkarte einnisten. Tatsächlich ist dies unmöglich: Der
Videospeicher einer Grafikkarte ist nicht Bootfähig, es werden hier nur Daten abgelegt.
Ein Virus kann daher nicht direkt von Speicher der Grafikkarte aus in den ausführbaren
Speicher des Rechners gelangen. Der Speicher einer Grafikkarte kann vom Virus höchstens
zum ablegen einer Kennung verwendet werden.
-Hex-Pattern
Jeder Virus besitzt ein charakteristisches Bitmuster, das Hex-Pattern. Es besteht aus
einer 10 bis 16 bytes langen Kette von hexadezimalen Zeichen (manchmal Wörter wie z.B.
"Gotcha!") und dient dem Virus dazu, zu erkennen, ob eine Datei bereits infiziert ist.
Ist diese Hex-Pattern bekannt, läßt es sich dazu nutzen, auf einem Datenträger nach
einem bestimmten Virus zu suchen. Problematisch wird die Suche erst bei den sich
selbst verschlüsselnden Viren.
-Infektionsteil
Jeder Virus besteht aus mehreren Teilen. Der erste Teil etwa, dient zur Selbsterkennung
und enthält meist das oben genannte Hex-Pattern, durch das der Virus erkennen kann,
ob die Datei bereits infiziert ist oder nicht. Der zweite Teil wird als Infektions-
oder Kopierteil bezeichnet und enthält semtliche Anweisungen, die der Virus benötigt,
um sich in Dateien Auszubreiten. Je nachdem, zu welchem Zweck dieser Teil programmiert
ist, vermehrt sich der Virus schnell oder eher langsam.
Auch ein von Urheber harmlos gedachter Ulk-Virus kann großen Schaden anrichten, wenn
der Kopierteil so programmiert ist, dass die vorhandenen Dateien ganz oder teilweise
überschrieben werden.
Die Viren-Hystery...
Immer wieder geistern Horror-Meldungen über neue und gefährliche Computerviren
Durch Zeitungen und Magazine Meist wird hier jedoch kräftig übertrieben.
Wesentlich mehr Schaden an Computersystemen und deren Daten sind auf Sabotage oder
auch unabsichtliche Fehlbedienug zurückzuführen als auf Viren und deren Folgen.
Ein Virenbefall kann unter Umständen zum Verlust aller Daten und Programme führen
und damit finanziellen Schaden in beträchtlicher höhe anrichten.
Wie infiziert ein Virus eine Datei...
Die größten Unterschiede bei der Infektion von Dateien liegen in der Art wie ein Virus
sich in einem Programm festsetzt. Viele Viren hängen ihren eigenen Programmcode an das
Ende einer ausführbaren Datei und setzen am Anfang einen Zeiger auf diesen Code. Wird
das Programm gestartet, springt es vor der Ausführung seiner eigendlichen aufgaben
zuerst auf das Virusprogramm. Ist dieses ausgeführt, springt es wieder an die Stelle
zurück, an der der Ablauf ursprünglich unterbrochen wurde. Der Benutzer bemerkt
allenfallseine minimale veränderung an der Aufrufgeschwindigkeit.
Jedesmal, wenn das Programm jetzt aufgerufen wird, startet zuerst der Virus.
Er such von diesen Moment an nach nicht infizierten, ausführbaren Datein, um sich
auch an diese heranzumachen.
Die infektion durch dieses Anhängen, des Virencodes richtet keinen bleibenden Schaden,
an der befallenen Datei an - diese Viren lassen sich wieder entfernen.
Manche Viren gehen allerdings viel radikaler vor und überschreiben einfach so viel von
der Datei, wie sie führ ihren Programmcode benötigen. Ist das Wirtsprogramm genauso
groß oder größer als der Virus, geschieht das relativ unauffällig. Ist der Virus
größer als sein Wirt, überschreibt er die Datei komplett und verlängert sie um
den Platz, den er darüberhinaus benötigt.
Eine Sorte von Viren verschiebt den Orginal-Bootsektor, schreibt das eigene
Ladeprogramm in den Bootstrap (eine Routine, die das Bios auffordert, das
Betriebssystem zu laden) und versteckt sich dann selbst irgendwo auf dam Datenträger.
Wid beim Rechnerstart auf den Bootsector zugegriffen, startet der Virus-Lader
zuerst den Virus und leitet den Zugriff danach auf den verpflanzten Original-Bootstrap
um. Dadurch kann sich ein Virus auch auf Disketten verbreiten, die nur Datein
und keine Programme enthalten, da auch nicht-bootfähige Disketten einen minimalen
Bootsector haben. Wird bei einem Bootversuch kein Betriebssystem gefunden, gibt das
Ladeprogramm lediglich die Meldung am Bildschirm aus: "keine Systemdiskette..."
Eine solche Diskette kann einen Virus dann als Krüke zum Starten verwenden.
Andere Viren überschreiben die in der FAT enthaltenen Informationen über ein Verzeichnis
und geben bei jedem Programm als Adresse die des Virusprogramms an. Die Original-Adressen
legt der Virus selbst in einer geordnetet Liste ab. Wird nun ein Programm aufgerufen,
startet es zuerst den Virus. Dieser Leitet den Zugriff dann an die richtige Adresse
weiter.Von jedem dieser Infektionswege gibt es einige Varianten. Auch kombinationen
aus mehreren Methoden kommen häufig vor. Desswegen lassen sich Viren auch zunehmend
schwehrer klassifizieren.
Virentypen
-Bootsektorviren
Die am häufigsten auftretenden Viren sind Bootsektorviren wie der Form- und der
Stoned-Virus. Solche Viren infizieren die Bootsektoren von Disketten und entweder
den MBR (Master Boot Record bzw. Master-Boot-Partitionssektor) oder den DBR
(DOS Boot Record bzw. DOS-Bootsektor) von Festplatten. Ein Bootsektorvirus vermehrt
sich folgendermaßen:
Eine Diskette mit Daten (vielleicht einigen Textverarbeitungsdateien und einem
Tabellenkalkulationsblatt) ist angekommen. Die Daten sind Bestandteil eines Projekts,
an dem Sie zusammen mit einem Kollegen arbeiten. Ihr Kollege weiß jedoch nicht,
daß sein Computer und damit auch die Diskette, die er Ihnen zugeschickt hat,
mit einem Bootsektorvirus infiziert ist. Sie legen die Diskette in Laufwerk A:
ein und beginnen, die darauf enthaltenen Dateien zu verwenden. Bis jetzt hat der
Virus noch gar nichts gemacht. Bei Feierabend schalten Sie den Computer aus und gehen
nach Hause. Am nächsten Morgen betreten Sie Ihr Büro und schalten den Computer ein.
Die Diskette befindet sich noch in Laufwerk A:, also versucht der Computer, von dieser
Diskette zu starten. Er lädt den ersten Sektor der Diskette in den Speicher, um den
darin enthaltenen Code auszuführen (normalerweise handelt es sich dabei um ein
kleines Programm, das von Microsoft zum Laden von DOS geschrieben wurde) oder um
Ihnen mitzuteilen "Keine Systemdiskette, bitte drücken Sie eine beliebige Taste,
um fortzufahren", falls er keine DOS-Systemdateien darauf finden kann. Diese Meldung
haben Sie schon tausendmal gesehen, also öffnen Sie die Laufwerksverriegelung und
drücken eine Taste.
Aber diese Diskette ist mit dem Stoned-Virus infiziert, und daher wurde nicht das
Programm von Microsoft, sondern der 1987 in Neuseeland geschriebene (und deshalb
manchmal auch als New Zealand-Virus bezeichnete) Stoned-Virus ausgeführt. Der Virus
installiert sich selbst auf der Festplatte, ersetzt den MBR und kopiert den
Original-MBR an eine andere Stelle der Festplatte.
Wenn Sie von der Festplatte starten, wird der MBR ausgeführt, der jetzt jedoch
nichts anderes als der Stoned-Virus ist. Der Stoned-Virus wird speicherresident,
fängt den Interrupt 13h (Lesen von/Schreiben auf Datenträger) ab und lädt danach
den Original-MBR, und von da ab wird der Startvorgang ganz normal fortgesetzt.
Da jedoch der Interrupt für das Lesen von/Schreiben auf Diskette abgefangen wurde,
wird bei jedem Schreib- oder Lesezugriff auf Laufwerk A: (obwohl Sie denken, es
handle sich um einen Lesezugriff, schreibt jedoch in Wirklichkeit der Virus auf
Diskette) die Diskette untersucht, und wenn sie noch nicht infiziert ist, wird der
Stoned-Virus im Bootsektor installiert. Somit infiziert Ihr Computer jetzt jede
Diskette, die in Laufwerk A: eingelegt wird, und früher oder später wird eine
dieser Disketten an einen Kollegen weitergegeben, und der Kreislauf beginnt von
vorne.
Im Detail unterscheiden sich die verschiedenen Bootsektorviren in ihrer Arbeitsweise
voneinander, aber allen liegt dasselbe Prinzip zugrunde. Sie werden über die
Bootsektoren infizierter Disketten übertragen und können nur auf diesem Weg
weitergegeben werden (ein Bootsektorvirus kann sich beispielsweise nicht über ein
Netzwerk ausbreiten). Eine Infektion kann nur durch den Versuch, von einer infizierten
Diskette zu starten, stattfinden, selbst wenn dieser Versuch erfolglos verläuft.
Bootsektorviren befallen PCs. Dabei spielt es überhaupt keine Rolle, welches
Betriebssystem verwendet wird oder welche Schutzprogramme installiert sind, denn zu
dem Zeitpunkt, zu dem sich der Bootsektorvirus installiert, werden das Betriebssystem
oder das Schutzprogramm noch gar nicht ausgeführt. Bei einigen Betriebssystemen allerdings,
die nicht auf DOS beruhen, wird zwar der PC infiziert, kann sich der Virus jedoch nicht
auf Disketten kopieren, die danach eingelegt werden, und sich somit nicht ausbreiten.
Er kann jedoch nach wie vor Schaden anrichten, wie ein Unix-Anwender erstaunt
feststellen mußte, als am 6. März überraschend der Michelangelo-Virus zuschlug.
Die meisten Leute sind vollkommen überrascht, wenn sie erfahren, daß sich ein Virus auf
diese Art verbreitet, worin wohl auch der Grund für die Häufigkeit der Bootsektorviren
zu suchen ist.
-Companionviren
Wenn Sie eine COM- und eine EXE-Datei mit demselben Dateinamen haben und diesen Dateinamen
eingeben, führt DOS stets vorzugsweise die COM-Datei aus. Companion-Viren nutzen diesen
Umstand, und erstellen für jede Ihrer EXE-Dateien eine gleichnamige (sozusagen
begleitende) COM-Datei. Wenn Sie dann versuchen, Ihr EXE-Programm auszuführen, wird
statt dessen das COM-Programm, also der Virus, ausgeführt. Wenn der Virus das, was er
tun sollte, abgeschlossen (und beispielsweise einen weiteren Companion-Virus für eine
weitere Datei erstellt) hat, startet er das EXE-Programm, damit alles ganz normal zu
funktionieren scheint.
Es gab ein paar recht erfolgreiche Companion-Viren, aber nicht viele. Der Hauptvorteil
für den Virenprogrammierer besteht darin, daß die EXE-Datei überhaupt nicht verändert
wird und einige der änderungssensitiven Programme daher gar nicht bemerken, daß sich
ein Virus ausbreitet.
Eine andere Art des Companion-Virus ist der "Path-Companion" oder Pfadbegleiter.
Diese Art von Virus legt ein Programm in einem Verzeichnis ab, das bei der Abarbeitung
der PATH-Anweisung von DOS vor dem Pfad, in dem sich die Opferdatei befindet, abgesucht
wird. Wenn Sie ein Programm ausführen, das sich nicht im aktuellen Unterverzeichnis
befindet, sucht DOS dieses Programm in mehreren Unterverzeichnissen, die in der
PATH-Anweisung in Ihrer AUTOEXEC.BAT festgelegt sind. Pfadbegleiter sind schwerer
zu schreiben als gewöhnliche Companion-Viren; daher gibt es auch nicht so viele.
-Dropper
Ein Dropper ist weder ein Virus noch ist es ein mit einem Virus infiziertes Programm,
aber wenn dieses Programm ausgeführt wird, installiert es einen Virus im Speicher, auf
der Festplatte oder in einer Datei. Dropper wurden als geeignete Überträger für einen
bestimmten Virus oder einfach als Hilfsmittel zur Sabotage geschrieben. Einige
Anti-Virus-Programme versuchen, Dropper zu erkennen.
-Hybridviren
Viren, die sowohl Programmdateien als auch Boot-Sektoren infizieren.
-Keime
Ein Keim ist ein Virus der Generation Null, der in einer solchen Form vorliegt, daß die
Infektion nicht auf normale Weise stattgefunden haben kann, wie beispielsweise bei einem
Virus, der lediglich Dateien von mindestens 5 KB Umfang infiziert und jetzt eine winzige
Datei von 10 Byte infiziert hat. Als Keim wird aber auch eine Viruskopie ohne
Wirtsdatei betrachtet. Wenn Sie aus einer solchen Datei den Viruscode entfernen,
bleibt eine Datei von 0 Byte übrig. Bei dieser zweiten Art von Keim handelt es sich
also um die vom Virenprogrammierer erstellte Originaldatei.
-Killerprogramme
Killerprogramme sind Viren, die beispielsweise nach einer gewissen Anzahl von
Infektionen die Festplatte des Infizierten Rechners zerstören. Der Virus enthält
dazu einen Infektionszähler, der von einem Festgelegten Wert ausgehen, nach unten zählt.
Ist dieser Zähler bei Null angekommen, wird die zerstörende Aktion ausgelöst.
In manchen fällen ruft der Virus dann den Befehl FORMAT auf und bestätigt ihn.
Andere Viren lassen "nur" sämtliche Deteien auf einem Datenträger Löschen. Die
unfreundlichste Variante dieser Viren ändert die Einträge in der FAT. Dabei sind
zwar alle Dateien noch wie zuvor auf der Festplatte vorhanden, der Datenbestand
ist allerdings nicht mehr les- und verwendbar.
-Logische Bomben
Logische Bobmbens sind eine besondere Art von Viren: Sie können entweder durch eine
Art von Zeitzünder ausgelöst werden, oder durch das Erfüllen einer Bedingung,
beispielsweise die Eingabe oder das Fehlen eines Bestimmten Wortes oder eines
Benutzernamens.Diese Viren sind meistens auf ein Bestimmtes System beschränkt:
Sie können sich normalerweise nur innerhalb eines vorgegebenen Umfeldes reproduzieren
und sind daher ausehalb dieses Umfelds meist wirkungslos.
-Macro-Viren
Makroviren sind Viren, die Datendateien infizieren. Sie werden typischerweise in Microsoft
Word-Dokumenten (.doc und .dot) gefunden. So bald ein infiziertes Dokument geöffnet wird,
wird die Datei Normal.dot infiziert. Wird jetzt ein Dokument gespeichert/geöffnet, wird
dieses mit dem Virus infiziert. Macroviren ersetzen beispielsweise, dem Speichern-Befehl
durch den Format-Befehl.
-Netzwerk-Viren
Spezielle Netzwerk-Viren gibt es bisher nur wenige, doch können sich die meisten Vieren
auch in Netzwerken verbreiten. Die klassischen Netzwerk-Viren sind die sogenanten Würmer.
Sie verbreiten sich nicht als anhängsel eines Programmes in Systemen, sondern können
ihren eigenen Code selbstständig reproduzieren. und als eigenständiges Programm ablaufen
lassen.Bis heute gibt es allerdings noch keine Viren, die sich in mehreren
Betriebssystemen verbreiten können. Viren sind von ihrer Konzeption her immer auf die
Schwachstellen eines Systems angewiesen. Da diese jedoch bei jedem System an anderer
Stelle sitzen und jedes System andere Programmieranforderrungen stellt, wird es auch
in absehbarer Zeit kaum Viren Geben, die beispielsweise auf MAC- und MS-DOS-Rechnern
agieren können.
Die meisten glauben, daß sich ein Virus, sobald er bis in ein Netz vorgedrungen ist,
sofort irgendwie rasend schnell über das gesamte Netzwerk ausbreitet. Die Wahrheit ist
jedoch weitaus komplizierter. Erstens können sich Bootsektorviren nicht über Netzwerke
ausbreiten, selbst wenn mehrere der angeschlossenen Computer infiziert sind, denn diese
Virenart verbreitet sich über Disketten. Dateiviren dagegen breiten sich folgendermaßen
über ein Netzwerk aus:
1. Benutzer 1 infiziert seinen Computer, möglicherweise durch die Demodiskette eines
Vertreters. Der Virus wird speicherresident.
2. Benutzer 1 führt weitere Programme auf seiner Festplatte aus, die dadurch ebenfalls
infiziert werden.
3. Benutzer 1 führt ein paar Programme auf dem Netzwerk aus, die dadurch ebenfalls
infiziert werden. Ein Netzwerk emuliert ein DOS-Gerät, d. h. Lesen und Schreiben in
Dateien auf dem Server findet in derselben Weise statt wie lokal. Der Virus muß sich
also nicht anders als sonst verhalten, um Dateien auf dem Server zu infizieren.
4. Benutzer 2 meldet sich am Server an und führt eine infizierte Datei aus. Der Virus wird
auf dem Computer von Benutzer 2 speicherresident.
5. Benutzer 2 führt mehrere andere Programme auf seiner lokalen Festplatte und auf dem
Server aus. Jede ausgeführte Datei wird infiziert.
6. Benutzer 3, Benutzer 4 und Benutzer 5 melden sich an und führen infizierte Dateien aus.
7. Und so weiter.
-Pholymorphe Viren
Die am häufigsten verwendete Art von Anti-Virus-Programm ist der Scanner, der nach einem
Repertoire von Viren sucht. Für den Virenprogrammierer ist dies das Produkt, das er am
liebsten täuschen würde. Ein polymorpher Virus ist ein Virus, von dem keine zwei Kopien
an irgendeiner Stelle gemeinsame Byte-Folgen enthalten. Daher kann ein solcher Virus
nicht einfach anhand einer bestimmten Byte-Folge erkannt werden, sondern es muß eine
wesentlich komplexere und schwierigere Aufgabe bewältigt werden, um ihn ermitteln zu
können.
-Stealth- oder Tarnkappen-Viren
Wenn ein Virus speicherresident werden kann (was auf 99 % aller in der Computerwelt
auftretenden Viren zutrifft), dann kann er mindestens einen der Interrupts abfangen.
Wenn es sich um einen Bootsektorvirus handelt, dann mißbraucht er den Interrupt 13h
(Lesen von/Schreiben auf Datenträger). Wenn es sich um einen Stealth-Virus handelt und
ein beliebiges Programm den Bootsektor zu lesen versucht, sagt sich der Virus
"Aha, da will einer den Bootsektor sehen. Ich werde einfach dort, wo ich ihn abgelegt
habe, den Original-Bootsektor lesen und dann statt des infizierten Bootsektors den
Inhalt des Originals präsentieren".Dadurch fällt dem anfragenden Programm nichts
Ungewöhnliches auf. Der Brain-Virus, Baujahr 1986, war der erste Virus, der mit
diesem Trick gearbeitet hat. Dateiviren wie beispielsweise der Frodo-Virus können mit
einem ähnlichen Trick ebenfalls ihre Existenz so verbergen, daß jedes Programm, das die
Datei liest, nur die Bytes zu Gesicht bekommt, die vor der Virusinfektion darin
enthalten waren. Solche Tarnfähigkeiten sind jedoch häufiger bei Bootsektorviren als
bei Dateiviren zu beobachten, da es bei einem Bootsektorvirus viel einfacher ist,
eine Tarnroutine zu programmieren.
-Trojanische Pferde
Trojanische Pferde sind streng genommen keine Viren, da es sich dabei nicht um Programme
handelt, die sich selbst reproduzieren und ausführen können. Meist dienen nützliche
Hilfsprogramme oder Informations-Disketten als Tarnung, oft verbunden mit der Einladung,
die Dateien kostenlos zu kopieren und weiterzugeben. Die verstecken Schädlinge werden
erst wirksam, wenn der Anwender dass Programm aufruft, in dem sie verborgen sind.
Eines der bekanntesten Trojanischen Pferde ist als Diskette mit wichtigem
Informationsmaterial zum Thema AIDS getarnt. Diese "AIDS-Informationsdiskette" wurde aus
Panama kostenlos an Teilnehmer eines Fachkongresses verschickt.
-TSR-Dateiviren
Die zweithäufigste Art von Viren ist der TSR-Dateivirus. Wie der Name schon sagt,
werden von Viren dieser Art Dateien befallen. Dabei handelt es sich in der Regel um
COM- und EXE-Dateien; es gibt aber auch ein paar Gerätetreiberviren, und einige Viren
infizieren Überlagerungsdateien, außerdem müssen ausführbare Programme nicht unbedingt
die Namenserweiterung COM oder EXE haben, obwohl dies in 99 % der Fälle zutrifft.
Damit sich ein TSR-Virus verbreiten kann, muß jemand ein infiziertes Programm ausführen.
Der Virus wird speicherresident, und prüft in der Regel jedes nach ihm ausgeführte
Programm, um es ebenfalls zu infizieren, falls es noch nicht infiziert ist. Einige Viren
werden als "schnell infizierende Viren" bezeichnet. Solche Viren infizieren eine Datei
bereits, wenn Sie diese nur öffnen (zum Beispiel wird bei einer Datensicherung unter
Umständen jede auf einem Laufwerk enthaltene Datei geöffnet). Der erste schnell
infizierende Virus war Dark Avenger. Die Infektionsroutine des Green Caterpillar
dagegen wird durch jeden Vorgang ausgelöst, mit dem bestimmt wird, welche Dateien
vorhanden sind (z. B. durch den DIR-Befehl). Es wuden auch noch andere Infektionsauslöser
verwendet, aber in den meisten Fällen wird ein Programm infiziert, sobald es ausgeführt
wird.
-Update-Viren
Update-Viren sind eine besonders ausgeklügelte Virenart. Sie sind nach Familien
gegliedert und werden meist von einem einzigen Programmierer oder einer Gruppe entwickelt.
Neben ihrem Hex-Pattern enthalten diese Viren nicht nur eine Versionsnummer, sondern
auch eine Update-Routine, die überprüft, ob der Virus bereits in einer Version vertreten
ist. Aber damit nicht genug: Die Routine untersucht ausserdem, ob die Datei bereits
eine ältere Version des Virus enthalten. Ist das der Fall, wird diese ersetzt. Ist eine
neuere Version installiert, wird diese nicht noch einmal infiziert.
-Würmer
Computerwürmer sind Programme, die sich selbstständig in einem Netzwerk verbreiten können.
Es handelt sich dabei nicht um klassische Viren, sondern um damit verwandte Störprogramme,
die jedoch auch Viren enthalten können. Würmer sind eigenständige Programme, die keine
Wirtsprogramme benötigen, um sich daran anzuhängen. Meist bestehen sie aus mehreren
Programmsegmenten, die miteinander in Verbindung stehen. Computerwürmer können sich
selbst reproduzieren und sich zu dem mit Hilfe von Netzwerkfunktionen auf andere
Rechner kopieren.
-Zeitzünder
Zeitzünder sind spezielle Auslösemechanismen für Viren. Ein Routine fragt hier
innerhalb eines Virusprogramms die Systemzeit ab. Wird ein festgelegter Wert erreicht,
löst dieses die Ausführung des Aktionsteiles des Virus aus. Bei der Bedingung kann es
sich um eine Zeitspanne nach dem einschalten handeln oder um ein festgelegtes Datum.
Theoretisch ist es so zom Beispiel möglich, jemandem einen Geburtstagsgruß zu schicken,
der am bewusten Tag automatisch aufgerufen wird. Neben Kalenderdaten lässt sich auch
eine Routine einsetzen, die jeden Tag um die seilbe Uhrzeit gestartet wird. Die auswahl
an Bedingungen für Zeitzünder ist beinahe unbegrenzt - "Trigger Days" sind zuminderst
jene Tage, an denen in der Vergangenheit bestimmte Virentypen zugeschlagen haben.
-Ansteckung
Als Ansteckung bezeichnet man in der Medizin, den Vorgang, bei dem ein Krankeitserreger
übertragen wird. Da sich Computerviren ähnlich wie biologische Viren verhalten, wird
in Analogie auch hier der Übertragungsprozess Ansteckung genannt. Dabei wird über einen
Virenträger, meist eine Diskette, der Virus auf einen anderen potentionellen Virenträger,
wie eine Festplatte, übertragen. Dies geschieht entweder durch den Aufruf eines
verseuchten Programms oder eine verseuchten Bootroutine der Diskette.
-Aufbau eines Virus
Jeder Virus besteht aus drei, meißt vier Programmteilen: Beim ersten Teil handelt es
sich um eine Art Kennung, das Hex-Pattern, durch das der Virus sich selbst erkennen
kann. Mit seiner Hilfe kann ein Virus jederzeit überprüfen, ob eine Datei bereits
infiziert ist.Der zweite Teil enthält die eigendliche Infektionsroutine. Hierbei handelt
es sich zuerst um eine Routine, die nach einer nicht infizierten, ausführbaren Datei
sucht.Ist eine solche Datei gefunden, kopiert der Virus seinen Programmcode in die Datei.
Ausserdem befindet sich in diesem Teil auch der Programmcode, der bei bedarf die Datei
so umbaut, dass der Virus sofort bei aufrufs des Programms sofort aktiv werden kann.
Auch die Routine für einen eventuellen Tarnmechanismus befindet sich hier.
Der dritte Teil entscheidet darüber, ob es sich um einen harmlosen Virus handelt, der
nur einen kleinen Scherz macht, oder um einen destruktiven Typ, der eine mitlere oder
größere Katastrophe auslöst. Im harmlosen Fall steht hier die Anweisung, dass der Virus
am Tag X ein Bild auf den Monitor Zeichnet oder einen bestimmten Text ausgeben soll.
Hier kann sich aber auch der Befehl befinden: "formatiere nach dem x-ten Neustart die
Festplatte."Mit dem vierten Teil schließt sich der Kreis. Hier befindet sich der Befehl
mit dem das Programm nach ausführung des Virencodes wieder zu der Stelle zurückkehrt,
an ser der Virus den Programmablauf unterbrochen hat.
-Bug
Nicht jeder Fehler, der während der Arbeit am Computer auftritt, ist auf einen Virus
zurückzuführen. In den meisten Faällen handelt es sich um Mängel in der Software.
Trotzdem sollten Sie vorsichtig sein: Stellen sich plötzlich Fehler ein, die unter
den selben Bedingungen bisher nicht auftraten, sollten Sie einen Vierencheck durchführen.
-Cohen ,Fred
Fred Cohen von der Universität Südkalifornien programmierte 1983 den ersten offiziell
bekanntgewordenen Virus. Er entwickelte für seine Docktorarbeit die Theorie des sich
selbst reproduzierenden Programms und trat zugleich den Beweis dafür an. Der von ihm
programmierte Virus lief unter dem Betriebssystem UNIX. Er bewirkte, dass jeder
Benutzer des Systems sämtliche Zugriffsrechte erhielt.
-Defekte Cluster
Viren haben zumeist Tarnmechanismen, die sie vor Entdeckung schützen sollen. Einer dieser
Mechanismen verhindert etwa, dass der Anwender den von Virus belegten Speicherplatz
entdeckt. Dazu setzt sich der Virus auf dem Datenträger an einer beliebigen Stelle fest
und markiert den belegten Cluster (die Speichereinheit) als defekt. Die meisten
Anwendungsprogramme (also auch Virenscanner) übergehen Defekte Cluster einfach oder
melden lediglich den Defekt und zeichen den noch verbleibenden Restspeicher an.
-Fat
Die File Allocation Table (FAT) oder Deteizuordnungstabelle ist eine Art Notizbuch des
Systems, indem sich ein Eintrag für jeden Cluster befindet. Je nach Status des Clusters
ist hier ein Zeiger auf den nächsten Cluster einer Datei, auf eine Ende-Kennung oder
auf die Meldung "defekt" oder "frei" verzeichnet. Das macht sie zu einem der
beliebtesten Angriffspunkte: Der Virus kann hier den Zeiger auf den nächsten Cluster
einer Datei durch den Zeiger auf seinen eigenen Programmcode ersetzen. Wird eine
solche Datei aufgerufen, aktiviert dies den Virus.
-Grafikkarten
Grafikkarten stehen oft als Überträger in Verdacht. Die Viren sollen sich dabei im
Viedeospeicher der Grafikkarte einnisten. Tatsächlich ist dies unmöglich: Der
Videospeicher einer Grafikkarte ist nicht Bootfähig, es werden hier nur Daten abgelegt.
Ein Virus kann daher nicht direkt von Speicher der Grafikkarte aus in den ausführbaren
Speicher des Rechners gelangen. Der Speicher einer Grafikkarte kann vom Virus höchstens
zum ablegen einer Kennung verwendet werden.
-Hex-Pattern
Jeder Virus besitzt ein charakteristisches Bitmuster, das Hex-Pattern. Es besteht aus
einer 10 bis 16 bytes langen Kette von hexadezimalen Zeichen (manchmal Wörter wie z.B.
"Gotcha!") und dient dem Virus dazu, zu erkennen, ob eine Datei bereits infiziert ist.
Ist diese Hex-Pattern bekannt, läßt es sich dazu nutzen, auf einem Datenträger nach
einem bestimmten Virus zu suchen. Problematisch wird die Suche erst bei den sich
selbst verschlüsselnden Viren.
-Infektionsteil
Jeder Virus besteht aus mehreren Teilen. Der erste Teil etwa, dient zur Selbsterkennung
und enthält meist das oben genannte Hex-Pattern, durch das der Virus erkennen kann,
ob die Datei bereits infiziert ist oder nicht. Der zweite Teil wird als Infektions-
oder Kopierteil bezeichnet und enthält semtliche Anweisungen, die der Virus benötigt,
um sich in Dateien Auszubreiten. Je nachdem, zu welchem Zweck dieser Teil programmiert
ist, vermehrt sich der Virus schnell oder eher langsam.
Auch ein von Urheber harmlos gedachter Ulk-Virus kann großen Schaden anrichten, wenn
der Kopierteil so programmiert ist, dass die vorhandenen Dateien ganz oder teilweise
überschrieben werden.