Die Viren-Hystery...
Immer wieder geistern Horror-Meldungen über neue und gefährliche Computerviren
Durch Zeitungen und Magazine Meist wird hier jedoch kräftig übertrieben.
Wesentlich mehr Schaden an Computersystemen und deren Daten sind auf Sabotage
oder auch unabsichtliche Fehlbedienung zurückzuführen als auf Viren und deren
Folgen.
Ein Virenbefall kann unter Umständen zum Verlust aller Daten und Programme führen
und damit finanziellen Schaden in beträchtlicher Höhe anrichten.
--------------------------------------------------------------------------------
Wie infiziert ein Virus eine Datei...
Die größten Unterschiede bei der Infektion von Dateien liegen in der Art wie ein
Virus sich in einem Programm festsetzt. Viele Viren hängen ihren eigenen
Programmcode an das Ende einer ausführbaren Datei und setzen am Anfang einen
Zeiger auf diesen Code. Wird das Programm gestartet, springt es vor der
Ausführung seiner eigentlichen aufgaben zuerst auf das Virusprogramm. Ist dieses
ausgeführt, springt es wieder an die Stelle zurück, an der der Ablauf
ursprünglich unterbrochen wurde. Der Benutzer bemerkt allenfalls eine minimale
Veränderung an der Aufrufgeschwindigkeit.
Jedes Mal, wenn das Programm jetzt aufgerufen wird, startet zuerst der Virus. Er
such von diesen Moment an nach nicht infizierten, ausführbaren Dateien, um sich
auch an diese heranzumachen.
Die Infektion durch dieses Anhängen, des Virencodes richtet keinen bleibenden
Schaden, an der befallenen Datei an - diese Viren lassen sich wieder entfernen.
Manche Viren gehen allerdings viel radikaler vor und überschreiben einfach so
viel von der Datei, wie sie führ ihren Programmcode benötigen. Ist das
Wirtsprogramm genauso groß oder größer als der Virus, geschieht das relativ
unauffällig. Ist der Virus größer als sein Wirt, überschreibt er die Datei
komplett und verlängert sie um den Platz, den er darüber hinaus benötigt.
Eine Sorte von Viren verschiebt den Orginal-Bootsektor, schreibt das eigene
Ladeprogramm in den Bootstrap (eine Routine, die das Bios auffordert, das
Betriebssystem zu laden) und versteckt sich dann selbst irgendwo auf dam
Datenträger. Wird beim Rechnerstart auf den Bootsektor zugegriffen, startet der
Virus-Lader zuerst den Virus und leitet den Zugriff danach auf den verpflanzten
Original-Bootstrap um. Dadurch kann sich ein Virus auch auf Disketten verbreiten,
die nur Dateien und keine Programme enthalten, da auch nicht-bootfähige Disketten
einen minimalen Bootsektor haben. Wird bei einem Bootversuch kein Betriebssystem
gefunden, gibt das Ladeprogramm lediglich die Meldung am Bildschirm aus: "keine
Systemdiskette..." Eine solche Diskette kann einen Virus dann als Krücke zum
Starten verwenden.
Andere Viren überschreiben die in der FAT enthaltenen Informationen über ein
Verzeichnis und geben bei jedem Programm als Adresse die des Virusprogramms an.
Die Original-Adressen legt der Virus selbst in einer geordneten Liste ab. Wird
nun ein Programm aufgerufen, startet es zuerst den Virus. Dieser Leitet den
Zugriff dann an die richtige Adresse weiter.
Von jedem dieser Infektionswege gibt es einige Varianten. Auch Kombinationen aus
mehreren Methoden kommen häufig vor. Deswegen lassen sich Viren auch zunehmend
schwerer klassifizieren.
--------------------------------------------------------------------------------
Virentypen
--------------------------------------------------------------------------------
Bootsektorviren
Die am häufigsten auftretenden Viren sind Bootsektorviren wie der Form- und der
Stoned-Virus. Solche Viren infizieren die Bootsektoren von Disketten und entweder
den MBR (Master Boot Record bzw. Master-Boot-Partitionssektor) oder den DBR (DOS
Boot Record bzw. DOS-Bootsektor) von Festplatten. Ein Bootsektorvirus vermehrt
sich folgendermaßen:
Eine Diskette mit Daten (vielleicht einigen Textverarbeitungsdateien und einem
Tabellenkalkulationsblatt) ist angekommen. Die Daten sind Bestandteil eines
Projekts, an dem Sie zusammen mit einem Kollegen arbeiten. Ihr Kollege weiß
jedoch nicht, daß sein Computer und damit auch die Diskette, die er Ihnen
zugeschickt hat, mit einem Bootsektorvirus infiziert ist. Sie legen die Diskette
in Laufwerk A: ein und beginnen, die darauf enthaltenen Dateien zu verwenden.
Bis jetzt hat der Virus noch gar nichts gemacht. Bei Feierabend schalten Sie den
Computer aus und gehen nach Hause. Am nächsten Morgen betreten Sie Ihr Büro und
schalten den Computer ein. Die Diskette befindet sich noch in Laufwerk A:, also
versucht der Computer, von dieser Diskette zu starten. Er lädt den ersten Sektor
der Diskette in den Speicher, um den darin enthaltenen Code auszuführen
(normalerweise handelt es sich dabei um ein kleines Programm, das von Microsoft
zum Laden von DOS geschrieben wurde) oder um Ihnen mitzuteilen "Keine
Systemdiskette, bitte drücken Sie eine beliebige Taste, um fortzufahren", falls
er keine DOS-Systemdateien darauf finden kann. Diese Meldung haben Sie schon
tausendmal gesehen, also öffnen Sie die Laufwerksverriegelung und drücken eine
Taste.
Aber diese Diskette ist mit dem Stoned-Virus infiziert, und daher wurde nicht das
Programm von Microsoft, sondern der 1987 in Neuseeland geschriebene (und deshalb
manchmal auch als New Zealand-Virus bezeichnete) Stoned-Virus ausgeführt. Der
Virus installiert sich selbst auf der Festplatte, ersetzt den MBR und kopiert den
Original-MBR an eine andere Stelle der Festplatte.
Wenn Sie von der Festplatte starten, wird der MBR ausgeführt, der jetzt jedoch
nichts anderes als der Stoned-Virus ist. Der Stoned-Virus wird speicherresident,
fängt den Interrupt 13h (Lesen von/Schreiben auf Datenträger) ab und lädt danach
den Original-MBR, und von da ab wird der Startvorgang ganz normal fortgesetzt. Da
jedoch der Interrupt für das Lesen von/Schreiben auf Diskette abgefangen wurde,
wird bei jedem Schreib- oder Lesezugriff auf Laufwerk A: (obwohl Sie denken, es
handle sich um einen Lesezugriff, schreibt jedoch in Wirklichkeit der Virus auf
Diskette) die Diskette untersucht, und wenn sie noch nicht infiziert ist, wird
der Stoned-Virus im Bootsektor installiert. Somit infiziert Ihr Computer jetzt
jede Diskette, die in Laufwerk A: eingelegt wird, und früher oder später wird
eine dieser Disketten an einen Kollegen weitergegeben, und der Kreislauf beginnt
von vorne.
Im Detail unterscheiden sich die verschiedenen Bootsektorviren in ihrer
Arbeitsweise voneinander, aber allen liegt dasselbe Prinzip zugrunde. Sie werden
über die Bootsektoren infizierter Disketten übertragen und können nur auf diesem
Weg weitergegeben werden (ein Bootsektorvirus kann sich beispielsweise nicht über
ein Netzwerk ausbreiten). Eine Infektion kann nur durch den Versuch, von einer
infizierten Diskette zu starten, stattfinden, selbst wenn dieser Versuch
erfolglos verläuft.
Bootsektorviren befallen PCs. Dabei spielt es überhaupt keine Rolle, welches
Betriebssystem verwendet wird oder welche Schutzprogramme installiert sind, denn
zu dem Zeitpunkt, zu dem sich der Bootsektorvirus installiert, werden das
Betriebssystem oder das Schutzprogramm noch gar nicht ausgeführt. Bei einigen
Betriebssystemen allerdings, die nicht auf DOS beruhen, wird zwar der PC
infiziert, kann sich der Virus jedoch nicht auf Disketten kopieren, die danach
eingelegt werden, und sich somit nicht ausbreiten. Er kann jedoch nach wie vor
Schaden anrichten, wie ein Unix-Anwender erstaunt feststellen musste, als am 6.
März überraschend der Michelangelo-Virus zuschlug.
Die meisten Leute sind vollkommen überrascht, wenn sie erfahren, daß sich ein
Virus auf diese Art verbreitet, worin wohl auch der Grund für die Häufigkeit der
Bootsektorviren zu suchen ist.
Companionviren
Wenn Sie eine COM- und eine EXE-Datei mit demselben Dateinamen haben und diesen
Dateinamen eingeben, führt DOS stets vorzugsweise die COM-Datei aus.
Companion-Viren nutzen diesen Umstand, und erstellen für jede Ihrer EXE-Dateien
eine gleichnamige (sozusagen begleitende) COM-Datei. Wenn Sie dann versuchen, Ihr
EXE-Programm auszuführen, wird statt dessen das COM-Programm, also der Virus,
ausgeführt. Wenn der Virus das, was er tun sollte, abgeschlossen (und beispiels-
weise einen weiteren Companion-Virus für eine weitere Datei erstellt) hat,
startet er das EXE-Programm, damit alles ganz normal zu funktionieren scheint.
Es gab ein paar recht erfolgreiche Companion-Viren, aber nicht viele. Der
Hauptvorteil für den Virenprogrammierer besteht darin, dass die EXE-Datei
überhaupt nicht verändert wird und einige der änderungssensitiven Programme daher
gar nicht bemerken, daß sich ein Virus ausbreitet.
Eine andere Art des Companion-Virus ist der "Path-Companion" oder Pfadbegleiter.
Diese Art von Virus legt ein Programm in einem Verzeichnis ab, das bei der
Abarbeitung der PATH-Anweisung von DOS vor dem Pfad, in dem sich die Opferdatei
befindet, abgesucht wird. Wenn Sie ein Programm ausführen, das sich nicht im
aktuellen Unterverzeichnis befindet, sucht DOS dieses Programm in mehreren
Unterverzeichnissen, die in der PATH-Anweisung in Ihrer AUTOEXEC.BAT festgelegt
sind. Pfadbegleiter sind schwerer zu schreiben als gewöhnliche Companion-Viren;
daher gibt es auch nicht so viele.
Dropper
Ein Dropper ist weder ein Virus noch ist es ein mit einem Virus infiziertes
Programm, aber wenn dieses Programm ausgeführt wird, installiert es einen Virus
im Speicher, auf der Festplatte oder in einer Datei. Dropper wurden als geeignete
Überträger für einen bestimmten Virus oder einfach als Hilfsmittel zur Sabotage
geschrieben. Einige Anti-Virus-Programme versuchen, Dropper zu erkennen.
Hybridviren
Viren, die sowohl Programmdateien als auch Boot-Sektoren infizieren.
Keime
Ein Keim ist ein Virus der Generation Null, der in einer solchen Form vorliegt,
dass die Infektion nicht auf normale Weise stattgefunden haben kann, wie
beispielsweise bei einem Virus, der lediglich Dateien von mindestens 5 KB Umfang
infiziert und jetzt eine winzige Datei von 10 Byte infiziert hat. Als Keim wird
aber auch eine Viruskopie ohne Wirtsdatei betrachtet. Wenn Sie aus einer solchen
Datei den Viruscode entfernen, bleibt eine Datei von 0 Byte übrig. Bei dieser
zweiten Art von Keim handelt es sich also um die vom Virenprogrammierer erstellte
Originaldatei.
Killerprogramme
Killerprogramme sind Viren, die beispielsweise nach einer gewissen Anzahl von
Infektionen die Festplatte des Infizierten Rechners zerstören. Der Virus enthält
dazu einen Infektionszähler, der von einem Festgelegten Wert ausgehen, nach unten
zählt. Ist dieser Zähler bei Null angekommen, wird die zerstörende Aktion
ausgelöst. In manchen fällen ruft der Virus dann den Befehl FORMAT auf und
bestätigt ihn. Andere Viren lassen "nur" sämtliche Dateien auf einem Datenträger
Löschen. Die unfreundlichste Variante dieser Viren ändert die Einträge in der
FAT. Dabei sind zwar alle Dateien noch wie zuvor auf der Festplatte vorhanden,
der Datenbestand ist allerdings nicht mehr les- und verwendbar.
Logische Bomben
Logische Bobmben sind eine besondere Art von Viren: Sie können entweder durch
eine Art von Zeitzünder ausgelöst werden, oder durch das Erfüllen einer
Bedingung, beispielsweise die Eingabe oder das Fehlen eines Bestimmten Wortes
oder eines Benutzernamens.
Diese Viren sind meistens auf ein Bestimmtes System beschränkt: Sie können sich
normalerweise nur innerhalb eines vorgegebenen Umfeldes reproduzieren und sind
daher außerhalb dieses Umfelds meist wirkungslos.
Macro-Viren
Makroviren sind Viren, die Datendateien infizieren. Sie werden typischerweise in
Microsoft Word-Dokumenten (.doc und .dot) gefunden. So bald ein infiziertes
Dokument geöffnet wird, wird die Datei Normal.dot infiziert. Wird jetzt ein
Dokument gespeichert/geöffnet, wird dieses mit dem Virus infiziert. Macroviren
ersetzen beispielsweise, dem Speichern-Befehl durch den Format-Befehl.
Netzwerk-Viren
Spezielle Netzwerk-Viren gibt es bisher nur wenige, doch können sich die meisten
Vieren auch in Netzwerken verbreiten. Die klassischen Netzwerk-Viren sind die
so genannten Würmer. Sie verbreiten sich nicht als Anhängsel eines Programms in
Systemen, sondern können ihren eigenen Code selbstständig reproduzieren. und als
eigenständiges Programm ablaufen lassen.
Bis heute gibt es allerdings noch keine Viren, die sich in mehreren
Betriebssystemen verbreiten können. Viren sind von ihrer Konzeption her immer auf
die Schwachstellen eines Systems angewiesen. Da diese jedoch bei jedem System an
anderer Stelle sitzen und jedes System andere Programmieranforderrungen stellt,
wird es auch in absehbarer Zeit kaum Viren Geben, die beispielsweise auf MAC- und
MS-DOS-Rechnern agieren können.
Die meisten glauben, dass sich ein Virus, sobald er bis in ein Netz vorgedrungen
ist, sofort irgendwie rasend schnell über das gesamte Netzwerk ausbreitet. Die
Wahrheit ist jedoch weitaus komplizierter. Erstens können sich Bootsektorviren
nicht über Netzwerke ausbreiten, selbst wenn mehrere der angeschlossenen Computer
infiziert sind, denn diese Virenart verbreitet sich über Disketten. Dateiviren
dagegen breiten sich folgendermaßen über ein Netzwerk aus:
1. Benutzer 1 infiziert seinen Computer, möglicherweise durch die Demodiskette
eines Vertreters. Der Virus wird speicherresident.
2. Benutzer 1 führt weitere Programme auf seiner Festplatte aus, die dadurch
ebenfalls infiziert werden.
3. Benutzer 1 führt ein paar Programme auf dem Netzwerk aus, die dadurch
ebenfalls infiziert werden. Ein Netzwerk emuliert ein DOS-Gerät, d. h. Lesen
und Schreiben in Dateien auf dem Server findet in derselben Weise statt wie
lokal.
Der Virus muss sich also nicht anders als sonst verhalten, um Dateien auf dem
Server zu infizieren.
4. Benutzer 2 meldet sich am Server an und führt eine infizierte Datei aus. Der
Virus wird auf dem Computer von Benutzer 2 speicherresident.
5. Benutzer 2 führt mehrere andere Programme auf seiner lokalen Festplatte und
auf dem Server aus. Jede ausgeführte Datei wird infiziert.
6. Benutzer 3, Benutzer 4 und Benutzer 5 melden sich an und führen infizierte
Dateien aus.
7. Und so weiter.
Pholymorphe Viren
Die am häufigsten verwendete Art von Anti-Virus-Programm ist der Scanner, der
nach einem Repertoire von Viren sucht. Für den Virenprogrammierer ist dies das
Produkt, das er am liebsten täuschen würde. Ein polymorpher Virus ist ein Virus,
von dem keine zwei Kopien an irgendeiner Stelle gemeinsame Byte-Folgen enthalten.
Daher kann ein solcher Virus nicht einfach anhand einer bestimmten Byte-Folge
erkannt werden, sondern es muß eine wesentlich komplexere und schwierigere
Aufgabe bewältigt werden, um ihn ermitteln zu können.
Stealth- oder Tarnkappen-Viren
Wenn ein Virus speicherresident werden kann (was auf 99 % aller in der
Computerwelt auftretenden Viren zutrifft), dann kann er mindestens einen der
Interrupts abfangen. Wenn es sich um einen Bootsektorvirus handelt, dann
missbraucht er den Interrupt 13h (Lesen von/Schreiben auf Datenträger). Wenn es
sich um einen Stealth-Virus handelt und ein beliebiges Programm den Bootsektor zu
lesen versucht, sagt sich der Virus "Aha, da will einer den Bootsektor sehen. Ich
werde einfach dort, wo ich ihn abgelegt habe, den Original-Bootsektor lesen und
dann statt des infizierten Bootsektors den Inhalt des Originals präsentieren".
Dadurch fällt dem anfragenden Programm nichts Ungewöhnliches auf. Der
Brain-Virus, Baujahr 1986, war der erste Virus, der mit diesem Trick gearbeitet
hat. Dateiviren wie beispielsweise der Frodo-Virus können mit einem ähnlichen
Trick ebenfalls ihre Existenz so verbergen, dass jedes Programm, das die Datei
liest, nur die Bytes zu Gesicht bekommt, die vor der Virusinfektion darin
enthalten waren. Solche Tarnfähigkeiten sind jedoch häufiger bei Bootsektorviren
als bei Dateiviren zu beobachten, da es bei einem Bootsektorvirus viel einfacher
ist, eine Tarnroutine zu programmieren.
Trojanische Pferde
Trojanische Pferde sind streng genommen keine Viren, da es sich dabei nicht um
Programme handelt, die sich selbst reproduzieren und ausführen können. Meist
dienen nützliche Hilfsprogramme oder Informations-Disketten als Tarnung, oft
verbunden mit der Einladung, die Dateien kostenlos zu kopieren und weiterzugeben.
Die verstecken Schädlinge werden erst wirksam, wenn der Anwender dass Programm
aufruft, in dem sie verborgen sind.
Eines der bekanntesten Trojanischen Pferde ist als Diskette mit wichtigem
Informationsmaterial zum Thema AIDS getarnt. Diese "AIDS-Informationsdiskette"
wurde aus Panama kostenlos an Teilnehmer eines Fachkongresses verschickt.
TSR-Dateiviren
Die zweithäufigste Art von Viren ist der TSR-Dateivirus. Wie der Name schon sagt,
werden von Viren dieser Art Dateien befallen. Dabei handelt es sich in der Regel
um COM- und EXE-Dateien; es gibt aber auch ein paar Gerätetreiberviren, und
einige Viren infizieren Überlagerungsdateien, außerdem müssen ausführbare
Programme nicht unbedingt die Namenserweiterung COM oder EXE haben, obwohl dies
in 99 % der Fälle zutrifft.
Damit sich ein TSR-Virus verbreiten kann, muss jemand ein infiziertes Programm
ausführen. Der Virus wird speicherresident, und prüft in der Regel jedes nach ihm
ausgeführte Programm, um es ebenfalls zu infizieren, falls es noch nicht
infiziert ist. Einige Viren werden als "schnell infizierende Viren" bezeichnet.
Solche Viren infizieren eine Datei bereits, wenn Sie diese nur öffnen (zum
Beispiel wird bei einer Datensicherung unter Umständen jede auf einem Laufwerk
enthaltene Datei geöffnet). Der erste schnell infizierende Virus war Dark
Avenger. Die Infektionsroutine des Green Caterpillar dagegen wird durch jeden
Vorgang ausgelöst, mit dem bestimmt wird, welche Dateien vorhanden sind (z. B.
durch den DIR-Befehl). Es wurden auch noch andere Infektionsauslöser verwendet,
aber in den meisten Fällen wird ein Programm infiziert, sobald es ausgeführt
wird.
Update-Viren
Update-Viren sind eine besonders ausgeklügelte Virenart. Sie sind nach Familien
gegliedert und werden meist von einem einzigen Programmierer oder einer Gruppe
entwickelt. Neben ihrem Hex-Pattern enthalten diese Viren nicht nur eine
Versionsnummer, sondern auch eine Update-Routine, die überprüft, ob der Virus
bereits in einer Version vertreten ist. Aber damit nicht genug: Die Routine
untersucht außerdem, ob die Datei bereits eine ältere Version des Virus
enthalten. Ist das der Fall, wird diese ersetzt. Ist eine neuere Version
installiert, wird diese nicht noch einmal infiziert.
Würmer
Computerwürmer sind Programme, die sich selbstständig in einem Netzwerk
verbreiten können. Es handelt sich dabei nicht um klassische Viren, sondern um
damit verwandte Störprogramme, die jedoch auch Viren enthalten können. Würmer
sind eigenständige Programme, die keine Wirtsprogramme benötigen, um sich daran
anzuhängen. Meist bestehen sie aus mehreren Programmsegmenten, die miteinander in
Verbindung stehen. Computerwürmer können sich selbst reproduzieren und sich zu
dem mit Hilfe von Netzwerkfunktionen auf andere Rechner kopieren.
Zeitzünder
Zeitzünder sind spezielle Auslösemechanismen für Viren. Ein Routine fragt hier
innerhalb eines Virusprogramms die Systemzeit ab. Wird ein festgelegter Wert
erreicht, löst dieses die Ausführung des Aktionsteiles des Virus aus. Bei der
Bedingung kann es sich um eine Zeitspanne nach dem einschalten handeln oder um
ein festgelegtes Datum. Theoretisch ist es so zum Beispiel möglich, jemandem
einen Geburtstagsgruß zu schicken, der am bewussten Tag automatisch aufgerufen
wird. Neben Kalenderdaten lässt sich auch eine Routine einsetzen, die jeden Tag
um die selbe Uhrzeit gestartet wird. Die Auswahl an Bedingungen für Zeitzünder
ist beinahe unbegrenzt - "Trigger Days" sind zuminderst jene Tage, an denen in
der Vergangenheit bestimmte Virentypen zugeschlagen haben.
--------------------------------------------------------------------------------
Ansteckung
Als Ansteckung bezeichnet man in der Medizin, den Vorgang, bei dem ein
Krankheitserreger übertragen wird. Da sich Computerviren ähnlich wie biologische
Viren verhalten, wird in Analogie auch hier der Übertragungsprozess Ansteckung
genannt. Dabei wird über einen Virenträger, meist eine Diskette, der Virus auf
einen anderen potentiellen Virenträger, wie eine Festplatte, übertragen. Dies
geschieht entweder durch den Aufruf eines verseuchten Programms oder eine
verseuchten Bootroutine der Diskette.
Aufbau eines Virus
Jeder Virus besteht aus drei, meist vier Programmteilen: Beim ersten Teil handelt
es sich um eine Art Kennung, das Hex-Pattern, durch das der Virus sich selbst
erkennen kann. Mit seiner Hilfe kann ein Virus jederzeit überprüfen, ob eine
Datei bereits infiziert ist.
Der zweite Teil enthält die eigentliche Infektionsroutine. Hierbei handelt es
sich zuerst um eine Routine, die nach einer nicht infizierten, ausführbaren Datei
sucht. Ist eine solche Datei gefunden, kopiert der Virus seinen Programmcode in
die Datei. Außerdem befindet sich in diesem Teil auch der Programmcode, der bei
bedarf die Datei so umbaut, dass der Virus sofort bei Aufrufs des Programms
sofort aktiv werden kann. Auch die Routine für einen eventuellen Tarnmechanismus
befindet sich hier.
Der dritte Teil entscheidet darüber, ob es sich um einen harmlosen Virus handelt,
der nur einen kleinen Scherz macht, oder um einen destruktiven Typ, der eine
mittlere oder größere Katastrophe auslöst. Im harmlosen Fall steht hier die
Anweisung, dass der Virus am Tag X ein Bild auf den Monitor Zeichnet oder einen
bestimmten Text ausgeben soll. Hier kann sich aber auch der Befehl befinden:
"formatiere nach dem x-ten Neustart die Festplatte."
Mit dem vierten Teil schließt sich der Kreis. Hier befindet sich der Befehl mit
dem das Programm nach Ausführung des Virencodes wieder zu der Stelle zurückkehrt,
an welcher der Virus den Programmablauf unterbrochen hat.
Bug
Nicht jeder Fehler, der während der Arbeit am Computer auftritt, ist auf einen
Virus zurückzuführen. In den meisten Fällen handelt es sich um Mängel in der
Software. Trotzdem sollten Sie vorsichtig sein: Stellen sich plötzlich Fehler
ein, die unter den selben Bedingungen bisher nicht auftraten, sollten Sie einen
Vierencheck durchführen.
Cohen ,Fred
Fred Cohen von der Universität Südkalifornien programmierte 1983 den ersten
offiziell bekannt gewordenen Virus. Er entwickelte für seine Docktorarbeit die
Theorie des sich selbst reproduzierenden Programms und trat zugleich den Beweis
dafür an. Der von ihm programmierte Virus lief unter dem Betriebssystem UNIX. Er
bewirkte, dass jeder Benutzer des Systems sämtliche Zugriffsrechte erhielt.
Defekte Cluster
Viren haben zumeist Tarnmechanismen, die sie vor Entdeckung schützen sollen.
Einer dieser Mechanismen verhindert etwa, dass der Anwender den von Virus
belegten Speicherplatz entdeckt. Dazu setzt sich der Virus auf dem Datenträger an
einer beliebigen Stelle fest und markiert den belegten Cluster (die Speicher-
einheit) als defekt. Die meisten Anwendungsprogramme (also auch Virenscanner)
übergehen Defekte Cluster einfach oder melden lediglich den Defekt und zeigen den
noch verbleibenden Restspeicher an.
Fat
Die File Allocation Table (FAT) oder Deteizuordnungstabelle ist eine Art
Notizbuch des Systems, indem sich ein Eintrag für jeden Cluster befindet. Je nach
Status des Clusters ist hier ein Zeiger auf den nächsten Cluster einer Datei, auf
eine Ende-Kennung oder auf die Meldung "defekt" oder "frei" verzeichnet. Das
macht sie zu einem der beliebtesten Angriffspunkte: Der Virus kann hier den
Zeiger auf den nächsten Cluster einer Datei durch den Zeiger auf seinen eigenen
Programmcode ersetzen. Wird eine solche Datei aufgerufen, aktiviert dies den
Virus.
Grafikkarten
Grafikkarten stehen oft als Überträger in Verdacht. Die Viren sollen sich dabei
im Videospeicher der Grafikkarte einnisten. Tatsächlich ist dies unmöglich: Der
Videospeicher einer Grafikkarte ist nicht Bootfähig, es werden hier nur Daten
abgelegt. Ein Virus kann daher nicht direkt von Speicher der Grafikkarte aus in
den ausführbaren Speicher des Rechners gelangen. Der Speicher einer Grafikkarte
kann vom Virus höchstens zum ablegen einer Kennung verwendet werden.
Hex-Pattern
Jeder Virus besitzt ein charakteristisches Bitmuster, das Hex-Pattern. Es besteht
aus einer 10 bis 16 Bytes langen Kette von hexadezimalen Zeichen (manchmal Wörter
wie z.B. "Gotcha!") und dient dem Virus dazu, zu erkennen, ob eine Datei bereits
infiziert ist. Ist diese Hex-Pattern bekannt, lässt es sich dazu nutzen, auf einem
Datenträger nach einem bestimmten Virus zu suchen. Problematisch wird die Suche
erst bei den sich selbst verschlüsselnden Viren.
Infektionsteil
Jeder Virus besteht aus mehreren Teilen. Der erste Teil etwa, dient zur
Selbsterkennung und enthält meist das oben genannte Hex-Pattern, durch das der
Virus erkennen kann, ob die Datei bereits infiziert ist oder nicht. Der zweite
Teil wird als Infektions- oder Kopierteil bezeichnet und enthält sämtliche
Anweisungen, die der Virus benötigt, um sich in Dateien Auszubreiten. Je nachdem,
zu welchem Zweck dieser Teil programmiert ist, vermehrt sich der Virus schnell
oder eher langsam.
Auch ein von Urheber harmlos gedachter Ulk-Virus kann großen Schaden anrichten,
wenn der Kopierteil so programmiert ist, dass die vorhandenen Dateien ganz oder
teilweise überschrieben werden.
Weitere interessante Texte Kommentar zum Text im Forum abgeben Diese Seite drucken