Die Viren-Hystery...
Immer wieder geistern Horror-Meldungen über neue und gefährliche Computerviren
durch Zeitungen und Magazine. Meist wird hier jedoch kräftig übertrieben.
Wesentlich mehr Schaden an Computersystemen und deren Daten sind auf Sabotage
oder auch unabsichtliche Fehlbedienung zurückzuführen als auf Viren und deren
Folgen.
Ein Virenbefall kann unter Umständen zum Verlust aller Daten und Programme
führen und damit finanziellen Schaden in beträchtlicher Höhe anrichten.
Wie infiziert ein Virus eine Datei...
Die größten Unterschiede bei der Infektion von Dateien liegen in der Art, wie
ein Virus sich in einem Programm festsetzt. Viele Viren hängen ihren eigenen
Programmcode an das Ende einer ausführbaren Datei und setzen am Anfang einen
Zeiger auf diesen Code. Wird das Programm gestartet, springt es vor der
Ausführung seiner eigentlichen Aufgaben zuerst auf das Virusprogramm. Ist dieses
ausgeführt, springt es wieder an die Stelle zurück, an der der Ablauf
ursprünglich unterbrochen wurde. Der Benutzer bemerkt allenfalls eine minimale
Veränderung an der Aufrufgeschwindigkeit.
Jedesmal, wenn das Programm jetzt aufgerufen wird, startet zuerst der Virus. Er
sucht von diesem Moment an nach nicht infizierten, ausführbaren Dateien, um sich
auch an diese heranzumachen.
Die Infektion durch dieses Anhängen des Virencodes richtet keinen bleibenden
Schaden an der befallenen Datei an - diese Viren lassen sich wieder entfernen.
Manche Viren gehen allerdings viel radikaler vor und überschreiben einfach so
viel von der Datei, wie sie für ihren Programmcode benötigen. Ist das
Wirtsprogramm genauso groß oder größer als der Virus, geschieht das relativ
unauffällig. Ist der Virus größer als sein Wirt, überschreibt er die Datei
komplett und verlängert sie um den Platz, den er darüber hinaus benötigt.
Eine Sorte von Viren verschiebt den Originalbootsektor, schreibt das eigene
Ladeprogramm in den Bootstrap (eine Routine, die das Bios auffordert, das
Betriebssystem zu laden) und versteckt sich dann selbst irgendwo auf dem
Datenträger. Wird beim Rechnerstart auf den Bootsektor zugegriffen, startet der
Virus-Lader zuerst den Virus und leitet den Zugriff danach auf den verpflanzten
Original-Bootstrap um. Dadurch kann sich ein Virus auch auf Disketten
verbreiten, die nur Dateien und keine Programme enthalten, da auch
nicht-bootfähige Disketten einen minimalen Bootsektor haben. Wird bei einem
Bootversuch kein Betriebssystem gefunden, gibt das Ladeprogramm lediglich die
Meldung am Bildschirm aus: "keine Systemdiskette...". Eine solche Diskette kann
einen Virus dann als Krücke zum Starten verwenden.
Andere Viren überschreiben die in der FAT enthaltenen Informationen über ein
Verzeichnis und geben bei jedem Programm als Adresse die des Virusprogramms an.
Die Original-Adressen legt der Virus selbst in einer geordneten Liste ab. Wird
nun ein Programm aufgerufen, startet es zuerst den Virus. Dieser leitet den
Zugriff dann an die richtige Adresse weiter.
Von jedem dieser Infektionswege gibt es einige Varianten. Auch Kombinationen aus
mehreren Methoden kommen häufig vor. Deswegen lassen sich Viren auch zunehmend
schwerer klassifizieren.
Virentypen:
Bootsektorviren:
Die am häufigsten auftretenden Viren sind Bootsektorviren wie der Form- und der
Stoned-Virus. Solche Viren infizieren die Bootsektoren von Disketten oder den
MBR (Master Boot Record bzw. Master-Boot-Partitionssektor) oder den DBR (DOS
Boot Record bzw. DOS-Bootsektor) von Festplatten. Ein Bootsektorvirus vermehrt
sich folgendermaßen:
Eine Diskette mit Daten (vielleicht einigen Textverarbeitungsdateien und einem
Tabellenkalkulationsblatt) ist angekommen. Die Daten sind Bestandteil eines
Projekts, an dem Sie zusammen mit einem Kollegen arbeiten. Ihr Kollege weiß
jedoch nicht, dass sein Computer und damit auch die Diskette, die er Ihnen
zugeschickt hat, mit einem Bootsektorvirus infiziert ist. Sie legen die Diskette
in Laufwerk A: ein und beginnen, die darauf enthaltenen Dateien zu verwenden.
Bis jetzt hat der Virus noch gar nichts gemacht. Bei Feierabend schalten Sie den
Computer aus und gehen nach Hause. Am nächsten Morgen betreten Sie Ihr Büro und
schalten den Computer ein. Die Diskette befindet sich noch in Laufwerk A:, also
versucht der Computer, von dieser Diskette zu starten. Er lädt den ersten Sektor
der Diskette in den Speicher, um den darin enthaltenen Code auszuführen
(normalerweise handelt es sich dabei um ein kleines Programm, das von Microsoft
zum Laden von DOS geschrieben wurde) oder um Ihnen mitzuteilen "Keine
Systemdiskette, bitte drücken Sie eine beliebige Taste, um fortzufahren", falls
er keine DOS-Systemdateien darauf finden kann. Diese Meldung haben Sie schon
tausendmal gesehen, also öffnen Sie die Laufwerksverriegelung und drücken eine
Taste.
Aber diese Diskette ist mit dem Stoned-Virus infiziert, und daher wurde nicht
das Programm von Microsoft, sondern der 1987 in Neuseeland geschriebene (und
deshalb manchmal auch als New Zealand-Virus bezeichnete) Stoned-Virus
ausgeführt. Der Virus installiert sich selbst auf der Festplatte, ersetzt den
MBR und kopiert den Original-MBR an eine andere Stelle der Festplatte.
Wenn Sie von der Festplatte starten, wird der MBR ausgeführt, der jetzt jedoch
nichts anderes als der Stoned-Virus ist. Der Stoned-Virus wird
speicherresistent, fängt den Interrupt 13h (Lesen von/Schreiben auf Datenträger)
ab und lädt danach den Original-MBR, und von da ab wird der Startvorgang ganz
normal fortgesetzt. Da jedoch der Interrupt für das Lesen von/Schreiben auf
Diskette abgefangen wurde, wird bei jedem Schreib- oder Lesezugriff auf Laufwerk
A: (obwohl Sie denken, es handle sich um einen Lesezugriff, schreibt jedoch in
Wirklichkeit der Virus auf Diskette) die Diskette untersucht, und wenn sie noch
nicht infiziert ist, wird der Stoned-Virus im Bootsektor installiert. Somit
infiziert Ihr Computer jetzt jede Diskette, die in Laufwerk A: eingelegt wird,
und früher oder später wird eine dieser Disketten an einen Kollegen
weitergegeben, und der Kreislauf beginnt von vorne.
Im Detail unterscheiden sich die verschiedenen Bootsektorviren in ihrer
Arbeitsweise voneinander, aber allen liegt dasselbe Prinzip zugrunde. Sie werden
über die Bootsektoren infizierter Disketten übertragen und können nur auf diesem
Weg weitergegeben werden (ein Bootsektorvirus kann sich beispielsweise nicht
über ein Netzwerk ausbreiten). Eine Infektion kann nur durch den Versuch, von
einer infizierten Diskette zu starten, stattfinden, selbst wenn dieser Versuch
erfolglos verläuft.
Bootsektorviren befallen PCs. Dabei spielt es überhaupt keine Rolle, welches
Betriebssystem verwendet wird oder welche Schutzprogramme installiert sind, denn
zu dem Zeitpunkt, zu dem sich der Bootsektorvirus installiert, werden das
Betriebssystem oder das Schutzprogramm noch gar nicht ausgeführt. Bei einigen
Betriebssystemen allerdings, die nicht auf DOS beruhen, wird zwar der PC
infiziert, kann sich der Virus jedoch nicht auf Disketten kopieren, die danach
eingelegt werden, und sich somit nicht ausbreiten. Er kann jedoch nach wie vor
Schaden anrichten, wie ein Unix-Anwender erstaunt feststellen musste, als am 6.
März überraschend der Michelangelo-Virus zuschlug.
Die meisten Leute sind vollkommen überrascht, wenn sie erfahren, dass sich ein
Virus auf diese Art verbreitet, worin wohl auch der Grund für die Häufigkeit der
Bootsektorviren zu suchen ist.
Companionviren:
Wenn Sie eine COM- und eine EXE-Datei mit demselben Dateinamen haben und diesen
Dateinamen eingeben, führt DOS stets vorzugsweise die COM-Datei aus.
Companion-Viren nutzen diesen Umstand, und erstellen für jede Ihrer EXE-Dateien
eine gleichnamige (sozusagen begleitende) COM-Datei. Wenn Sie dann versuchen,
Ihr EXE-Programm auszuführen, wird statt dessen das COM-Programm, also der
Virus, ausgeführt. Wenn der Virus das, was er tun sollte, abgeschlossen (und
beispielsweise einen weiteren Companion-Virus für eine weitere Datei erstellt)
hat, startet er das EXE-Programm, damit alles ganz normal zu funktionieren
scheint.
Es gab ein paar recht erfolgreiche Companion-Viren, aber nicht viele. Der
Hauptvorteil für den Virenprogrammierer besteht darin, dass die EXE-Datei
überhaupt nicht verändert wird und einige der änderungssensitiven Programme
daher gar nicht bemerken, dass sich ein Virus ausbreitet.
Eine andere Art des Companion-Virus ist der "Path-Companion" oder Pfadbegleiter.
Diese Art von Virus legt ein Programm in einem Verzeichnis ab, das bei der
Abarbeitung der PATH-Anweisung von DOS vor dem Pfad, in dem sich die Opferdatei
befindet, abgesucht wird. Wenn Sie ein Programm ausführen, das sich nicht im
aktuellen Unterverzeichnis befindet, sucht DOS dieses Programm in mehreren
Unterverzeichnissen, die in der PATH-Anweisung in Ihrer AUTOEXEC.BAT festgelegt
sind. Pfadbegleiter sind schwerer zu schreiben als gewöhnliche Companion-Viren;
daher gibt es auch nicht so viele.
Dropper:
Ein Dropper ist weder ein Virus noch ist es ein mit einem Virus infiziertes
Programm, aber wenn dieses Programm ausgeführt wird, installiert es einen Virus
im Speicher, auf der Festplatte oder in einer Datei. Dropper wurden als
geeignete Überträger für einen bestimmten Virus oder einfach als Hilfsmittel zur
Sabotage geschrieben. Einige Anti-Virus-Programme versuchen, Dropper zu
erkennen.
Hybridviren:
Viren, die sowohl Programmdateien als auch Boot-Sektoren infizieren.
Keime:
Ein Keim ist ein Virus der Generation Null, der in einer solchen Form vorliegt,
dass die Infektion nicht auf normale Weise stattgefunden haben kann, wie
beispielsweise bei einem Virus, der lediglich Dateien von mindestens 5 KB Umfang
infiziert und jetzt eine winzige Datei von 10 Byte infiziert hat. Als Keim wird
aber auch eine Viruskopie ohne Wirtsdatei betrachtet. Wenn Sie aus einer solchen
Datei den Viruscode entfernen, bleibt eine Datei von 0 Byte übrig. Bei dieser
zweiten Art von Keim handelt es sich also um die vom Virenprogrammierer
erstellte Originaldatei.
Killerprogramme:
Killerprogramme sind Viren, die beispielsweise nach einer gewissen Anzahl von
Infektionen die Festplatte des infizierten Rechners zerstören. Der Virus enthält
dazu einen Infektionszähler, der von einem festgelegten Wert ausgehend, nach
unten zählt. Ist dieser Zähler bei Null angekommen, wird die zerstörende Aktion
ausgelöst. In manchen Fällen ruft der Virus dann den Befehl FORMAT auf und
bestätigt ihn. Andere Viren lassen "nur" sämtliche Dateien auf einem Datenträger
löschen. Die unerfreulichste Variante dieser Viren ändert die Einträge in der
FAT. Dabei sind zwar alle Dateien noch wie vor auf der Festplatte vorhanden, der
Datenbestand ist allerdings nicht mehr les- und verwendbar.
Logische Bomben:
Logische Bomben sind eine besondere Art von Viren: Sie können entweder durch
eine Art von Zeitzünder ausgelöst werden, oder durch das Erfüllen einer
Bedingung, beispielsweise die Eingabe oder das Fehlen eines bestimmten Wortes
oder eines Benutzernamens.
Diese Viren sind meistens auf ein bestimmtes System beschränkt: Sie können sich
normalerweise nur innerhalb eines vorgegebenen Umfeldes reproduzieren und sind
daher ausserhalb dieses Umfelds meist wirkungslos.
Macro-Viren:
Makroviren sind Viren, die Datendateien infizieren. Sie werden typischerweise in
Microsoft Word-Dokumenten (.doc und .dot) gefunden. Sobald ein infiziertes
Dokument geöffnet wird, wird die Datei Normal.dot infiziert. Wird jetzt ein
Dokument gespeichert/geöffnet, wird dieses mit dem Virus infiziert. Macroviren
ersetzen beispielsweise, den "Speichern-Befehl" durch den "Format-Befehl".
Netzwerk-Viren:
Spezielle Netzwerk-Viren gibt es bisher nur wenige, doch können sich die meisten
Viren auch in Netzwerken verbreiten. Die klassischen Netzwerk-Viren sind die
sogenannten Würmer. Sie verbreiten sich nicht als Anhängsel eines Programmes in
Systemen, sondern können ihren eigenen Code selbstständig reproduzieren und als
eigenständiges Programm ablaufen.
Bis heute gibt es allerdings noch keine Viren, die sich in mehreren
Betriebssystemen verbreiten können. Viren sind von ihrer Konzeption her immer
auf die Schwachstellen eines Systems angewiesen. Da diese jedoch bei jedem
System an anderer Stelle sitzen und jedes System andere
Programmieranforderrungen stellt, wird es auch in absehbarer Zeit kaum Viren
geben, die beispielsweise auf MAC- und MS-DOS-Rechnern agieren können.
Die meisten glauben, dass sich ein Virus, sobald er bis in ein Netz vorgedrungen
ist, sofort irgendwie rasend schnell über das gesamte Netzwerk ausbreitet. Die
Wahrheit ist jedoch weitaus komplizierter. Erstens können sich Bootsektorviren
nicht über Netzwerke ausbreiten, selbst wenn mehrere der angeschlossenen
Computer infiziert sind, denn diese Virenart verbreitet sich über Disketten.
Dateiviren dagegen breiten sich folgendermaßen über ein Netzwerk aus:
1. Benutzer 1 infiziert seinen Computer, möglicherweise durch die Demodiskette
eines Vertreters. Der Virus wird speicherresistent.
2. Benutzer 1 führt weitere Programme auf seiner Festplatte aus, die dadurch
ebenfalls infiziert werden.
3. Benutzer 1 führt ein paar Programme auf dem Netzwerk aus, die dadurch
ebenfalls infiziert werden. Ein Netzwerk emuliert ein DOS-Gerät, d. h. Lesen und
Schreiben in Dateien auf dem Server findet in derselben Weise statt wie lokal.
Der Virus muss sich also nicht anders als sonst verhalten, um Dateien auf dem
Server zu infizieren.
4. Benutzer 2 meldet sich am Server an und führt eine infizierte Datei aus. Der
Virus wird auf dem Computer von Benutzer 2 speicherresistent.
5. Benutzer 2 führt mehrere andere Programme auf seiner lokalen Festplatte und
auf dem Server aus. Jede ausgeführte Datei wird infiziert.
6. Benutzer 3, Benutzer 4 und Benutzer 5 melden sich an und führen infizierte
Dateien aus.
7. Und so weiter.
Polymorphe Viren:
Die am häufigsten verwendete Art von Anti-Virus-Programmen ist der Scanner, der
nach einem Reportoire von Viren sucht. Für den Virenprogrammierer ist dies das
Produkt, das er am liebsten täuschen würde. Ein polymorpher Virus ist ein Virus,
von dem keine zwei Kopien an irgendeiner Stelle gemeinsame Byte-Folgen
enthalten. Daher kann ein solcher Virus nicht einfach anhand einer bestimmten
Byte-Folge erkannt werden, sondern es muss eine wesentlich komplexere und
schwierigere Aufgabe bewältigt werden, um ihn ermitteln zu können.
Stealth- oder Tarnkappen-Viren:
Wenn ein Virus speicherresistent werden kann (was auf 99 % aller in der
Computerwelt auftretenden Viren zutrifft), dann kann er mindestens einen der
Interrupts abfangen. Wenn es sich um einen Bootsektorvirus handelt, dann
missbraucht er den Interrupt 13h (Lesen von/Schreiben auf Datenträger). Wenn es
sich um einen Stealth-Virus handelt und ein beliebiges Programm den Bootsektor
zu lesen versucht, sagt sich der Virus "Aha, da will einer den Bootsektor sehen.
Ich werde einfach dort, wo ich ihn abgelegt habe, den Original-Bootsektor lesen
und dann statt des infizierten Bootsektors den Inhalt des Originals
präsentieren". Dadurch fällt dem anfragenden Programm nichts Ungewöhnliches auf.
Der Brain-Virus, Baujahr 1986, war der erste Virus, der mit diesem Trick
gearbeitet hat. Dateiviren wie beispielsweise der Frodo-Virus können mit einem
ähnlichen Trick ebenfalls ihre Existenz so verbergen, dass jedes Programm, das
die Datei liest, nur die Bytes zu Gesicht bekommt, die vor der Virusinfektion
darin enthalten waren. Solche Tarnfähigkeiten sind jedoch häufiger bei
Bootsektorviren als bei Dateiviren zu beobachten, da es bei einem
Bootsektorvirus viel einfacher ist, eine Tarnroutine zu programmieren.
Trojanische Pferde:
Trojanische Pferde sind streng genommen keine Viren, da es sich dabei nicht um
Programme handelt, die sich selbst reproduzieren und ausführen können. Meist
dienen nützliche Hilfsprogramme oder Informations-Disketten als Tarnung, oft
verbunden mit der Einladung, die Dateien kostenlos zu kopieren und
weiterzugeben. Die versteckten Schädlinge werden erst wirksam, wenn der Anwender
das Programm aufruft, in dem sie verborgen sind.
Eines der bekanntesten Trojanischen Pferde ist als Diskette mit wichtigem
Informationsmaterial zum Thema AIDS getarnt. Diese "AIDS-Informationsdiskette"
wurde aus Panama kostenlos an Teilnehmer eines Fachkongresses verschickt.
TSR-Dateiviren:
Die zweithäufigste Art von Viren ist der TSR-Dateivirus. Wie der Name schon
sagt, werden von Viren dieser Art Dateien befallen. Dabei handelt es sich in der
Regel um COM- und EXE-Dateien; es gibt aber auch ein paar Gerätetreiberviren,
und einige Viren infizieren Überlagerungsdateien, außerdem müssen ausführbare
Programme nicht unbedingt die Namenserweiterung COM oder EXE haben, obwohl dies
in 99 % der Fälle zutrifft.
Damit sich ein TSR-Virus verbreiten kann, muss jemand ein infiziertes Programm
ausführen. Der Virus wird speicherresistent, und prüft in der Regel jedes nach
ihm ausgeführte Programm, um es ebenfalls zu infizieren, falls es noch nicht
infiziert ist. Einige Viren werden als "schnell infizierende Viren" bezeichnet.
Solche Viren infizieren eine Datei bereits, wenn Sie diese nur öffnen (zum
Beispiel wird bei einer Datensicherung unter Umständen jede auf einem Laufwerk
enthaltene Datei geöffnet). Der erste schnell infizierende Virus war Dark
Avenger. Die Infektionsroutine des Green Caterpillar dagegen wird durch jeden
Vorgang ausgelöst, mit dem bestimmt wird, welche Dateien vorhanden sind (z. B.
durch den DIR-Befehl). Es wurden auch noch andere Infektionsauslöser verwendet,
aber in den meisten Fällen wird ein Programm infiziert, sobald es ausgeführt
wird.
Update-Viren:
Update-Viren sind eine besonders ausgeklügelte Virenart. Sie sind nach Familien
gegliedert und werden meist von einem einzigen Programmierer oder einer Gruppe
entwickelt. Neben ihrem Hex-Pattern enthalten diese Viren nicht nur eine
Versionsnummer, sondern auch eine Update-Routine, die überprüft, ob der Virus
bereits in einer Version vertreten ist. Aber damit nicht genug: Die Routine
untersucht ausserdem, ob die Datei bereits eine ältere Version des Virus
enthält. Ist das der Fall, wird diese ersetzt. Ist eine neuere Version
installiert, wird diese nicht noch einmal infiziert.
Würmer:
Computerwürmer sind Programme, die sich selbstständig in einem Netzwerk
verbreiten können. Es handelt sich dabei nicht um klassische Viren, sondern um
damit verwandte Störprogramme, die jedoch auch Viren enthalten können. Würmer
sind eigenständige Programme, die keine Wirtsprogramme benötigen, um sich daran
anzuhängen. Meist bestehen sie aus mehreren Programmsegmenten, die miteinander
in Verbindung stehen. Computerwürmer können sich selbst reproduzieren und sich
zu dem mit Hilfe von Netzwerkfunktionen auf andere Rechner kopieren.
Zeitzünder:
Zeitzünder sind spezielle Auslösemechanismen für Viren. Eine Routine fragt hier
innerhalb eines Virusprogramms die Systemzeit ab. Wird ein festgelegter Wert
erreicht, löst dieses die Ausführung des Aktionsteiles des Virus aus. Bei der
Bedingung kann es sich um eine Zeitspanne nach dem einschalten handeln, oder um
ein festgelegtes Datum. Theoretisch ist es so z.B. möglich, jemandem einen
Geburtstagsgruß zu schicken, der am bewussten Tag automatisch aufgerufen wird.
Neben Kalenderdaten lässt sich auch eine Routine einsetzen, die jeden Tag um die
selbe Uhrzeit gestartet wird. Die Auswahl an Bedingungen für Zeitzünder ist
beinahe unbegrenzt - "Trigger Days" sind zumindest jene Tage, an denen in der
Vergangenheit bestimmte Virentypen zugeschlagen haben.
Ansteckung:
Als Ansteckung bezeichnet man in der Medizin den Vorgang, bei dem ein
Krankheitserreger übertragen wird. Da sich Computerviren ähnlich wie biologische
Viren verhalten, wird in Analogie auch hier der Übertragungsprozess Ansteckung
genannt. Dabei wird über einen Virenträger, meist eine Diskette, der Virus auf
einen anderen potentiellen Virenträger, wie eine Festplatte, übertragen. Dies
geschieht entweder durch den Aufruf eines verseuchten Programms oder eine
verseuchten Bootroutine der Diskette.
Aufbau eines Virus:
Jeder Virus besteht aus drei, meist vier Programmteilen:
Beim ersten Teil handelt es sich um eine Art Kennung, das Hex-Pattern, durch das
der Virus sich selbst erkennen kann. Mit seiner Hilfe kann ein Virus jederzeit
überprüfen, ob eine Datei bereits infiziert ist.
Der zweite Teil enthält die eigentliche Infektionsroutine. Hierbei handelt es
sich zuerst um eine Routine, die nach einer nicht infizierten, ausführbaren
Datei sucht. Ist eine solche Datei gefunden, kopiert der Virus seinen
Programmcode in die Datei. Ausserdem befindet sich in diesem Teil auch der
Programmcode, der bei Bedarf die Datei so umbaut, dass der Virus sofort bei
Aufruf des Programms sofort aktiv werden kann. Auch die Routine für einen
eventuellen Tarnmechanismus befindet sich hier.
Der dritte Teil entscheidet darüber, ob es sich um einen harmlosen Virus
handelt, der nur einen kleinen Scherz macht, oder um einen destruktiven Typ, der
eine mittlere oder größere Katastrophe auslöst. Im harmlosen Fall steht hier die
Anweisung, dass der Virus am Tag X ein Bild auf den Monitor zeichnet oder einen
bestimmten Text ausgeben soll. Hier kann sich aber auch der Befehl befinden:
"formatiere nach dem x-ten Neustart die Festplatte."
Mit dem vierten Teil schließt sich der Kreis. Hier befindet sich der Befehl mit
dem das Programm nach Ausführung des Virencodes wieder zu der Stelle
zurückkehrt, an der der Virus den Programmablauf unterbrochen hat.
Bug:
Nicht jeder Fehler, der während der Arbeit am Computer auftritt, ist auf einen
Virus zurückzuführen. In den meisten Fällen handelt es sich um Mängel in der
Software. Trotzdem sollten Sie vorsichtig sein: Stellen sich plötzlich Fehler
ein, die unter den selben Bedingungen bisher nicht auftraten, sollten Sie einen
Virencheck durchführen.
Cohen, Fred:
Fred Cohen von der Universität Südkalifornien programmierte 1983 den ersten
offiziell bekannt gewordenen Virus. Er entwickelte für seine Doktorarbeit die
Theorie des sich selbst reproduzierenden Programms und trat zugleich den Beweis
dafür an. Der von ihm programmierte Virus lief unter dem Betriebssystem UNIX. Er
bewirkte, dass jeder Benutzer des Systems sämtliche Zugriffsrechte erhielt.
Defekte Cluster:
Viren haben zumeist Tarnmechanismen, die sie vor Entdeckung schützen sollen.
Einer dieser Mechanismen verhindert etwa, dass der Anwender den von Virus
belegten Speicherplatz entdeckt. Dazu setzt sich der Virus auf dem Datenträger
an einer beliebigen Stelle fest und markiert den belegten Cluster (die
Speichereinheit) als defekt. Die meisten Anwendungsprogramme (also auch
Virenscanner) übergehen defekte Cluster einfach oder melden lediglich den Defekt
und zeichnen den noch verbleibenden Restspeicher an.
Fat:
Die File Allocation Table (FAT) oder Dateizuordnungstabelle ist eine Art
Notizbuch des Systems, indem sich ein Eintrag für jeden Cluster befindet. Je
nach Status des Clusters ist hier ein Zeiger auf den nächsten Cluster einer
Datei, auf eine Ende-Kennung oder auf die Meldung "defekt" oder "frei"
verzeichnet. Das macht sie zu einem der beliebtesten Angriffspunkte: Der Virus
kann hier den Zeiger auf den nächsten Cluster einer Datei durch den Zeiger auf
seinen eigenen Programmcode ersetzen. Wird eine solche Datei aufgerufen,
aktiviert dies den Virus.
Grafikkarten:
Grafikkarten stehen oft als Überträger in Verdacht. Die Viren sollen sich dabei
im Viedeospeicher der Grafikkarte einnisten. Tatsächlich ist dies unmöglich: Der
Videospeicher einer Grafikkarte ist nicht bootfähig, es werden hier nur Daten
abgelegt. Ein Virus kann daher nicht direkt vom Speicher der Grafikkarte aus in
den ausführbaren Speicher des Rechners gelangen. Der Speicher einer Grafikkarte
kann vom Virus höchstens zum Ablegen einer Kennung verwendet werden.
Hex-Pattern:
Jeder Virus besitzt ein charakteristisches Bitmuster, das Hex-Pattern. Es
besteht aus einer 10 bis 16 Bytes langen Kette von hexadezimalen Zeichen
(manchmal Wörter wie z.B. "Gotcha!") und dient dem Virus dazu, zu erkennen, ob
eine Datei bereits infiziert ist. Ist dieses Hex-Pattern bekannt, lässt es sich
dazu nutzen, auf einem Datenträger nach einem bestimmten Virus zu suchen.
Problematisch wird die Suche erst bei den sich selbst verschlüsselnden Viren.
Infektionsteil:
Jeder Virus besteht aus mehreren Teilen. Der erste Teil etwa, dient zur
Selbsterkennung und enthält meist das oben genannte Hex-Pattern, durch das der
Virus erkennen kann, ob die Datei bereits infiziert ist oder nicht. Der zweite
Teil wird als Infektions- oder Kopierteil bezeichnet und enthält sämtliche
Anweisungen, die der Virus benötigt, um sich in Dateien auszubreiten. Je
nachdem, zu welchem Zweck dieser Teil programmiert ist, vermehrt sich der Virus
schnell oder eher langsam.
Auch ein vom Urheber harmlos gedachter Ulk-Virus kann großen Schaden anrichten,
wenn der Kopierteil so programmiert ist, dass die vorhandenen Dateien ganz oder
teilweise überschrieben werden.
Noch Fragen?
Texte by Warlock
©1997-2008 by
andreas@perwein.com
Die auf mr-virus.cc veröffentlichen Texte sind das geistige Eigentum ihrer
Autoren.
Jegliche Art der Vervielfältigung, Kopie oder Übernahme ist ohne ausdrückliche
Genehmigung nicht gestattet!
Weitere Infos sind dem
Impressum zu entnehmen.