Computerviren
Was sind Computerviren?
ausführbare Computerprogramme
wie biologische Viren suchen sie sich einen
Wirt und hängen sich an ihn an z.B. an den Boot-Sektor im Startbereich
eines Computers oder an eine ausführbare Datei
nach Infektion verbreitet er sich auf
benachbarte Elemente
wird dieses Element von vielen Benutzern
häufig verwendet oder weitergegeben, kann sich der Virus sehr weit verbreiten
ein Virus kann folgende Elemente infizieren
Programmdateien
Bereiche, in denen keine
Daten abgelegt sind, da sie zum Starten des Computers verwendet werden - Boot-Sektoren
Datendateien mit
Makrofähigkeit
Datenträger, die für den
Austausch von Programmen verwendet werden
den Computer, wenn Dateien
von Online-Diensten heruntergeladen werden
eine Datei, bevor sie an
ein eMail angehängt wird
ein Virus kann folgende
Elemente nicht infizieren...
Hardware
Grafikdateien, Dateien ohne
Makrofähigkeit
Softwareelemente, de keine
Programmdateien sind
schreibgeschützte
Disketten
den Computer, wenn
Online-Texte nur gelesen werden
textbasierte eMails
Trojanische Pferde werden oft mit Viren
verwechselt
sie vermehren sich aber nicht, weshalb es
sich nicht um Viren handelt
ein Trojanisches Pferd ist ein Programm,
das scheinbar nützlich und interessant ist
Benutzer wird verleitet, es zu starten
es hat einen geheimen Zweck, z.
B. Dateien
zu zerstören, den Computer auszuspionieren oder einen Virus einzuschleusen
Infektion
Computerviren werden aktiviert, wenn ein
infiziertes Programm ausgeführt wird oder aus einem infizierten Boot-Sektor gestartet wird
nach Aktivierung verbreiten sich
Computerviren auf zwei mögliche Arten, je nach ihrem Zweck
direkte Infektion
speicherresidente Infektion
direkte Infektion
Virus wird aktiviert, sobald die infizierte
Datei ausgeführt wird
übernimmt die Kontrolle über das System
und sucht nach "sauberen" Dateien, die noch nicht infiziert sind
wird das infizierte Programm geschlossen,
kann auch der Virus keine weiteren Infektionen vornehmen
speicherresidente Infektion
Virus verhält sich ähnlich wie ein
speicherresidentes Programm
übernimmt die Kontrolle, sobald er
aktiviert wird
verbleibt solange im System, bis der
Speicher durch Ausschalten oder einen Neustart gelöscht wird
selbst wenn das infizierte Programm
geschlossen wird
Auslöser
einige Viren sind mit einer willkürlichen
Inkubationszeit
nachdem der Virus aktiviert wurde, wartet
er auf einen Auslöser, der ihn aktiviert
z.B. bestimmtes Datum, den Ablauf von 60
Minuten nach dem Start des infizierten Programms oder die siebte Programmdatei, auf die der Virus trifft
manche Viren verwenden auch einen
Zufallsauslöser
Ladung
manche Viren geben eine Ladung frei, wenn
der entsprechende Auslöser aktiviert wurde
einige Viren entleeren sich ihrer Ladung
aber auch, sobald sie aktiviert werden
Ladungen können zerstörerisch sein, z.B.
Festplatten formatieren oder Dateien zerstören
andere sind relativ gutartig, und zeigen
lediglich irgendwelche Meldungen auf dem Bildschirm an
nicht alle Viren zeigen ihre Aktivität
unbedingt an, selbst wenn sie ihr Zerstörungswerk bereits begonnen haben
z.
B. "Ripper" nimmt willkürlich
Änderungen an den Dateien auf einer Platte so langsam vor, daß dies meist nicht bemerkt wird
Ziele von Viren
Viren werden nach ihren Zielen kategorisiert:
Programmviren, Boot-Viren, Makroviren
Programmviren
infizieren Programmdateien, die meist
folgende Erweiterungen haben: COM, EXE, SYS, DLL, OVL, SCR
am häufigsten werden Standard
DOS-Programme (COM und EXE) Ziele von Viren
Programmdateien sind für Programmierer
attraktive Ziele
werden von vielen verwendet und haben
relativ einfache Formate, an die sich Viren leicht anhängen können
wie andere Programme auch müssen
Programmviren für ein bestimmtes Betriebssystem geschrieben werden
die Mehrzahl wurde für DOS geschrieben, es
gibt aber auch solche für Win 3.x, Win 95 und sogar für UNIX
alle Windows-Versionen sind DOS-kompatibel
und können deshalb auch DOS-Viren beherbergen
wie verhalten sich DOS-Viren in den
einzelnen Windows-Versionen?
Windows-Version: Verhalten der Viren
Windows 3.x - die meisten DOS-Viren können
sich in dieser Umgebung gut verbreiten
Win 3.x verwendet für alle seine
grundlegenden Dateifunktionen DOS
Windows 95 - Win 95 ist mit fast jedem
älteren Programm kompatibel
dadurch auch mit Programmviren
wenn ein speicherresidenter Virus, der
Boot-Sektoren befällt, aktiv ist, kann es sein, daß Win 95 beim Starten Warnmeldungen
anzeigt und sich die Systemleistung verschlechtert
Windows NT - Win NT ist am wenigsten
DOS-kompatibel, stellt aber immer noch eine gute Umgebung
für Programmviren dar
speicherresidente Viren können nur in
DOS-Sitzungen Infektionen verursachen und sich verbreiten
beim Beenden der DOS-Sitzung wird der Virus
solange deaktiviert, bis wieder ein
infiziertes Programm in einer DOS-Sitzung
gestartet wird
Boot-Viren
infizieren die Systembereiche von
Festplatten und Disketten, auf denen sich keine Dateien befinden
sind hinsichtlich der Weiterverbreitung und
die Infektion ihrer Ziele erfolgreicher als Programmviren
alle Festplatten und Disketten besitzen
Boot-Sektoren
bei einer Diskette muß es sich nicht um
eine Systemdiskette handeln
im Gegensatz zu Programmviren können fast
alle Boot-Viren DOS-, Windows 3.x, 95, NT und sogar Novell
Netware-Systeme infizieren
sie verwenden nicht das Betriebssytem,
sondern grundlegende Funktionen des Computers, um sich zu verbreiten
und zu aktivieren
ein interessanter Aspekt von Windows NT
ist, daß es beim Starten (wenn es noch starten kann) alle Boot-Viren
deaktiviert
während der Windows-Sitzung kann der Virus
nicht aktiv werden
Gefahr! - bei jedem Systemstart wird der
Virus aktiviert und kann sich seiner Ladung entledigen
z.
B. Stoned.Michelangelo, der am 6. März
willkürlich Bytes auf jeden Zylinder der Festplatte schreibt
zuerst werden in Sekundenbruchteilen die
Hauptsystembereiche zerstört, die der Computer zum Starten verwendet
jetzt ist es schlicht unmöglich, den Virus
vom Zerstören aller Daten auf der Festplatte abzuhalten
Makroviren
infizieren Datendateien mit Makrofähigkeit
und stellen die neueste Gefahr dar
Dokument- und Vorlagendateien von z.B. MS
Word können Opfer werden
verbreiten sich durch die gemeinsame
Nutzung von infizierten Dokumenten oder das Herunterladen solcher
Dokumente aus dem Internet sehr schnell
ältere Anwendungen enthalten Makrosysteme,
mit denen man eine Abfolge von Aktionen aufzeichnen konnte
heute gibt es sehr viel komplexere
Makrosysteme, mit denen man komplette Makroprogramme schreiben kann
Makroprogramme laufen dann innerhalb einer
Textverarbeitungs- oder Tabellenkalkulationsumgebung
Makros werden an die Datendatei angehängt
diese sehr leistungstarke Funktion
ermöglicht leider auch das Erstellen von Makroviren
infiziertes Dokument wird geladen - durch
die Möglichkeit der sofortigen, automatischen Ausführung der
eingebundenen Makros erlangt der Virus
Kontrolle über das Makrosystem
er wartet dann darauf, daß ein neues
Dokument geöffnet oder erstellt wird
er hängt seine Virus-Makros an diese
Dokumente an und läßt dann die Anwendung das Dokument ganz normal
speichern
der Virus verbreitet sich also ganz
unauffällig auf eine neue Datei
die Anwendung dient dem Virus als
"Betriebssystem" - ein einziger Virus unter MS Word kann sich so auf Win 3.
x,
Win 95, Win NT und den Macintosh verbreiten
Technologien von Viren
Programm- und Boot-Viren werden auch nach
ihren Technologien kategorisiert, die sie verwenden, um sich zu verbreiten und ihre
Entdeckung zu verhindern
Stealth- oder Tarnkappen-Viren
- versuchen gezielt, sich einer Analyse oder
Entfernung zu entziehen
z.B. werden Festplattenlesevorgänge
umgeleitet, um eine nichtinfizierte Kopie des Originalobjekts zu präsentieren
oder Ordnerdaten für die infizierten
Programmdateien werden verändert - Größentarnung
z.B. der Whale-Virus ist ein Virus mit
Größentarnung
er versucht die Ordnereinträge von
infizierten EXE-Dateien zu manipulieren
er addiert 9216 Bytes zu einer infizierten
Datei
da Änderungen an der Dateigröße auf
einen Virus hindeuten, subtrahiert er dann dieselbe Anzahl von Bytes von der
im Ordnereintrag angegebenen Dateigröße
dadurch entsteht der Eindruck, die Datei
sei nicht verändert worden
Polymorphe Viren
die meisten einfachen Viren hängen
identische Kopien ihrer selbst an die zu infizierenden Dateien an
Antivirus-Programm kann den Code des Virus
erkennen, da dieser immer gleich ist, und schnell aufspüren
polymorphe Viren verschlüsseln ihren
Viruscode, wenn sie ein Programm infizieren
keine zwei Infektionen durch denselben
Virus sind identisch und die Entdeckung wird erschwert
Stellvertreterviren
sind die Ausnahme zur Regel, daß sich ein
Virus immer an eine Datei anhängt
der Stellvertretervirus erstellt statt
dessen eine neue Datei und vertraut auf die Eigenschaft von DOS, diese Datei
anstelle der Programmdatei auszuführen, die
normalerweise ausgeführt werden würde
einige erstellen eine COM-Datei mit
demselben Namen wie eine vorhandene EXE
z.B.
erstellt ein Virus eine Datei namens CHKDSK.COM im gleichen Verzeichnis wie eine Datei namens
CHKDSK.EXE
wenn DOS wählen muß, führt es die
COM-Datei aus
Hybridviren
sind sowohl Programm- als auch Boot-Viren
z.B. der Virus Tequila
startet man ein infiziertes
Textverarbeitungsprogramm, wird der Virus aktiviert und infiziert den Master-Boot-Sektor
auf der Festplatte
beim nächsten Start des Computers wird
dann der Virus wieder aktiviert und infiziert jedes Programm, welches gestartet wird
Vorstellung einiger Viren
Peter - verschlüsselt am 27. Februar die
Festplatte und es werden Fragen zur Musik gestellt
werden diese richtig beantwortet, wird der
Virus inaktiv
Smiley - grinsende Gesichter erscheinen auf
dem Bildschirm
Stoned.
Michelangelo - beim Starten am 6.
März überschreibt er die Festplatte mit dem Inhalt des Arbeitsspeichers
Swiss Boot - enthält eine Meldung über die
Auflösung der schweizerischen Armee
Ugly Jo - veranlaßt den Computer am 27. Juli
zum ständigen Neustart und macht ihn somit unbrauchbar
andere Viren formatieren zusätzliche
Spuren auf Disketten, um sich dort festzusetzen
spielen Musik, lassen harmlose Meldungen
erscheinen, drehen den Bildschirm um o.ä.
Was man gegen Viren tun kann
qualitativ hochwertige Antivirenprogramme
Norton AntiVirus, McAffee
erkennen Viren anhand ihrer
charakteristischen Eigenschaften oder Virussignaturen
diese speicherresidenten Programme melden
auch Aktivitäten, die auf Viren hindeuten
z.B.
Schreibvorgänge in den Boot-Sektor
oder Änderungen an Programmdateien
so können auch unbekannte Viren
aufgespürt werden
Virenschutz muß aktuell gehalten gehalten
werden - durch kostenlose Aktualisierungen, z.B. aus dem Internet
| Anmerkungen: |
| impressum | datenschutz
© Copyright Artikelpedia.com
