Computervirus

ï»ż
Computervirus

Ein Computervirus (von lateinisch virus fĂŒr „Gift“, „Schleim“; im Singular „das Computervirus“, alltagssprachlich auch „der Computervirus“, Plural „die Computerviren“) ist ein sich selbst verbreitendes Computerprogramm, welches sich in andere Computerprogramme einschleust und sich damit reproduziert. Die Klassifizierung als Virus bezieht sich hierbei auf die Verbreitungs- und Infektionsfunktion.

Einmal gestartet, kann es vom Anwender nicht kontrollierbare VerĂ€nderungen am Status der Hardware (zum Beispiel Netzwerkverbindungen), am Betriebssystem oder an der Software vornehmen (Schadfunktion). Computerviren können durch vom Ersteller gewĂŒnschte oder nicht gewĂŒnschte Funktionen die Computersicherheit beeintrĂ€chtigen und zĂ€hlen zur Malware.

Der Ausdruck Computervirus wird umgangssprachlich auch fĂŒr ComputerwĂŒrmer und Trojanische Pferde genutzt, da es oft Mischformen gibt und fĂŒr Anwender der Unterschied kaum zu erkennen ist.

Inhaltsverzeichnis

Arbeitsweise

Wie sein biologisches Vorbild benutzt ein Computervirus die Ressourcen seines Wirtes und schadet ihm dabei hÀufig. Auch vermehrt es sich meist unkontrolliert. Durch vom Virenautor eingebaute Schadfunktionen oder durch Fehler im Virus kann das Virus das Wirtssystem oder dessen Programme auf verschiedene Weisen beeintrÀchtigen, von harmloseren Störungen bis hin zu Datenverlust.

Viren brauchen, im Gegensatz zu ComputerwĂŒrmern, einen Wirt, um ihren Maschinencode auszufĂŒhren. Ohne eigenstĂ€ndige Verbreitungsroutinen können Computerviren nur durch ein infiziertes Wirtsprogramm verbreitet werden. Wird dieses Wirtsprogramm aufgerufen, wird – je nach Virentyp frĂŒher oder spĂ€ter â€“ das Virus ausgefĂŒhrt, das sich dann selbst in noch nicht infizierte Programme weiterverbreiten oder seine eventuell vorhandene Schadwirkung ausfĂŒhren kann.

Heutzutage sind Computerviren fast vollstĂ€ndig von WĂŒrmern verdrĂ€ngt worden, da fast jeder Rechner an das Internet oder lokale Netze angeschlossen ist und die aktive Verbreitungsstrategie der WĂŒrmer in kĂŒrzerer Zeit eine grĂ¶ĂŸere Verbreitung ermöglicht. Viren sind nur noch in neuen Nischen (siehe unten) von Bedeutung.

Unterschied zwischen Virus und Wurm

Computerviren und -WĂŒrmer verbreiten sich beide auf Rechnersystemen, jedoch basieren sie zum Teil auf vollkommen verschiedenen Konzepten und Techniken.

Ein Virus verbreitet sich, indem es sich selbst in noch nicht infizierte Dateien kopiert und diese so anpasst, dass das Virus mit ausgefĂŒhrt wird, wenn das Wirtsprogramm gestartet wird. Zu den infizierbaren Dateien zĂ€hlen normale Programmdateien, Programmbibliotheken, Skripte, Dokumente mit Makros oder anderen ausfĂŒhrbaren Inhalten sowie Bootsektoren (auch wenn Letztere normalerweise vom Betriebssystem nicht als Datei reprĂ€sentiert werden).

Die Verbreitung auf neue Systeme erfolgt durch Kopieren einer infizierten Wirtsdatei auf das neue System durch einen Anwender. Dabei ist es unerheblich, auf welchem Weg diese Wirtsdatei kopiert wird: FrĂŒher waren die Hauptverbreitungswege Wechselmedien wie Disketten, heute sind es Rechnernetze (zum Beispiel via E-Mail zugesandt, von FTP-Servern, Web-Servern oder aus Tauschbörsen heruntergeladen). Es existieren auch Viren, die Dateien in freigegebenen Ordnern in lokalen Netzwerken infizieren, wenn sie entsprechende Rechte besitzen.

Im Gegensatz zu Viren warten WĂŒrmer nicht passiv darauf, von einem Anwender auf einem neuen System verbreitet zu werden, sondern versuchen, aktiv in neue Systeme einzudringen. Sie nutzen dazu Sicherheitsprobleme auf dem Zielsystem aus, wie zum Beispiel:

  • Netzwerkdienste, die Standardpasswörter oder gar kein Passwort benutzen,
  • Design- und Programmierfehler in Netzwerkdiensten,
  • Design- und Programmierfehler in Anwenderprogrammen, die Netzwerkdienste benutzen (zum Beispiel E-Mail-Clients).

Ein Wurm kann sich dann wie ein Virus in eine andere Programmdatei einfĂŒgen; meistens versucht er sich jedoch nur an einer unauffĂ€lligen Stelle im System mit einem unauffĂ€lligen Namen zu verbergen und verĂ€ndert das Zielsystem so, dass beim Systemstart der Wurm aufgerufen wird (wie etwa die Autostart-Funktion in Microsoft-Windows-Systemen).

In der Umgangssprache werden ComputerwĂŒrmer wie „I Love You“ oft als Viren bezeichnet, da der Unterschied fĂŒr Anwender oft nicht ersichtlich ist.

GefÀhrdungsgrad unterschiedlicher Betriebssysteme

Das verwendete Betriebssystem hat großen Einfluss darauf, wie hoch die Wahrscheinlichkeit einer Virusinfektion ist oder wie hoch die Wahrscheinlichkeit fĂŒr eine systemweite Infektion ist. GrundsĂ€tzlich sind alle Betriebssysteme anfĂ€llig, die einem Programm erlauben, eine andere Datei zu manipulieren. Ob Sicherheitssysteme wie beispielsweise Benutzerrechtesysteme vorhanden sind und verwendet werden, beeinflusst, in wie weit sich ein Virus auf einem System ausbreiten kann.

Betriebssysteme ohne jegliche Rechtesysteme wie etwa MS-DOS, auf MS-DOS basierende Microsoft Windows- oder Amiga-Systeme sind die anfĂ€lligsten Systeme. Wenn der Benutzer ausschließlich als Administrator arbeitet und somit das Rechtesystem nicht eingreifen kann, sind jedoch auch neuere Microsoft Windows NT-, Unix- und Unix-Ă€hnliche Systeme wie Linux und Mac OS X genauso anfĂ€llig.

Besonders bei Windows NT und darauf basierenden Systemen wie Windows 2000 oder XP besteht das Problem, dass zwar ein gutes Benutzerrechtesystem vorhanden ist, dieses aber in der Standardeinstellung nicht verwendet wird, um die Rechte des Anwenders einzuschrĂ€nken. Ein Grund dafĂŒr ist, dass nach der Installation von einigen Windows-Versionen die automatisch eingerichteten Benutzerkonten Administratorenrechte besitzen. Anders jedoch ab Windows Vista, wo die Einrichtung eines Standardkontos nicht die vollen Administratorrechte hat und mit Hilfe der Benutzerkontensteuerung (UAC) wird zudem das System geschĂŒtzt. Die meisten Linux-Distributionen richten bei der Installation ein Nutzerkonto ohne administrative Rechte ein, so dass beim normalen Benutzen des Computers zunĂ€chst nur beschrĂ€nkte Rechte zur VerfĂŒgung stehen und nur der spezielle Root-Account Administratorenrechte besitzt.

Wenn ein Anwender mit einem Benutzerkonto mit eingeschrĂ€nkten Rechten arbeitet, kann ein Virus sich nur auf Dateien verbreiten, fĂŒr die der Benutzer die entsprechenden Rechte zur VerĂ€nderung besitzt. Dieses bedeutet normalerweise, dass Systemdateien vom Virus nicht infiziert werden können, solange der Administrator oder mit Administratorrechten versehene Systemdienste nicht Dateien des infizierten Benutzers aufrufen. Eventuell auf dem gleichen System arbeitende Benutzer können meist ebenfalls nicht infiziert werden, so lange sie nicht eine infizierte Datei des infizierten Benutzers ausfĂŒhren oder die Rechte des infizierten Benutzers es erlauben, die Dateien von anderen Benutzern zu verĂ€ndern.

Da Windows-Systeme heute die weiteste Verbreitung auf PCs haben, sind sie derzeit das Hauptziel von Virenautoren. Die Tatsache, dass sehr viele Windows-Anwender mit Konten arbeiten, die Administratorrechte haben, sowie die Unkenntnis von Sicherheitspraktiken bei der relativ hohen Zahl unerfahrener Privatanwender macht Windows-Systeme noch lohnender als Ziel von Virenautoren.

WĂ€hrend fĂŒr Windows-Systeme ĂŒber hunderttausende Viren bekannt sind, liegt die Zahl der bekannten Viren fĂŒr Linux und das klassische Mac OS deutlich niedriger. In „freier Wildbahn“ werden allerdings weitaus weniger verschiedene Viren beobachtet, als theoretisch bekannt sind. Das erste Virus fĂŒr Apples Mac-OS-X-Betriebssystem wurde am 13. Februar 2006 im Forum einer US-amerikanischen GerĂŒchteseite veröffentlicht. Bis dahin galt das Betriebssystem der Macintosh-Computer als gĂ€nzlich von Viren und WĂŒrmern unbelastet. Der Hersteller von Windows-Antivirenprogrammen Sophos stellt in seinem Security Report 2006 öffentlich fest, dass Mac OS X sicherer sei als Windows.[1]

Bei Unix- und Linux-Systemen sorgen ebenfalls die hohen Sicherheitsstandards und die noch seltene Verbreitung dieser Systeme bei Endanwendern dafĂŒr, dass sie fĂŒr Virenautoren momentan kein lohnendes Ziel darstellen und Viren „in freier Wildbahn“ praktisch nicht vorkommen. Anders sieht es bei ComputerwĂŒrmern aus. Unix- bzw. Linux-Systeme sind wegen der hohen Marktanteile bei Internet-Servern mittlerweile ein hĂ€ufiges Ziel von Wurmautoren.

Allgemeine PrÀvention

Allgemeine PrĂ€vention fĂŒr sĂ€mtliche Betriebssysteme

Anwender sollten niemals unbekannte Dateien oder Programme aus unsicherer Quelle ausfĂŒhren und generell beim Öffnen von Dateien Vorsicht walten lassen. Das gilt insbesondere fĂŒr Dateien, die per E-Mail empfangen wurden. Solche Dateien – auch harmlos erscheinende Dokumente wie Bilder oder PDF-Dokumente â€“ können durch SicherheitslĂŒcken in den damit verknĂŒpften Anwendungen auf verschiedene Weise Schadprogramme aktivieren. Daher ist deren ÜberprĂŒfung mit einem aktuellen Antivirenprogramm zu empfehlen.

Betriebssystem und Anwendungen sollten regelmĂ€ĂŸig aktualisiert werden und vom Hersteller bereitgestellte Service Packs und Patches/Hotfixes eingespielt werden. Dabei ist zu beachten, dass es einige Zeit dauern kann, bis Patches bereitgestellt werden.[2] Einige Betriebssysteme vereinfachen diese Prozedur, indem sie das automatische Herunterladen und Installieren von Aktualisierungen unterstĂŒtzen. Manche unterstĂŒtzen sogar das gezielte Herunterladen und Installieren nur derjenigen Aktualisierungen, die sicherheitskritische Probleme beheben. Dazu gibt es auch die Möglichkeit, die Service Packs und Hotfixes fĂŒr Windows 2000 und Windows XP via „Offline-Update“ einzuspielen. Diese Offline-Updates sind besonders bei neuen PCs zu empfehlen, da andernfalls der PC bereits beim ersten Verbinden mit dem Internet infiziert werden könnte.

Die eingebauten Schutzfunktionen des Betriebssystems sollten ausgenutzt werden. Dazu zÀhlt insbesondere, nicht als Administrator mit allen Rechten, sondern als Nutzer mit eingeschrÀnkten Rechten zu arbeiten, da dieser keine Software systemweit installieren darf.

Das automatische Öffnen von Dateien aus dem Internet sowie das automatische Ausblenden von bekannten DateianhĂ€ngen sollte deaktiviert werden, um nicht versehentlich Dateien auszufĂŒhren, die man sonst als getarnten SchĂ€dling erkennen wĂŒrde. Auch durch die Autostartfunktion fĂŒr CD-ROMs und DVD-ROMs können Programme bereits beim Einlegen eines solchen DatentrĂ€gers ausgefĂŒhrt und damit ein System infiziert werden.

Es empfiehlt sich, die auf den meisten Privatrechnern vorinstallierte Software von Microsoft zu meiden oder sicherer zu konfigurieren, da sie meist so konfiguriert sind, dass sie fĂŒr den Anwender den höchsten Komfort und nicht die höchste Sicherheit bieten. Auch bieten sie durch ihren extrem hohen Verbreitungsgrad eine große AngriffsflĂ€che. Vor allem Internet Explorer und Outlook Express sind hier zu nennen. Sie sind die am hĂ€ufigsten von SchĂ€dlingen angegriffenen Anwendungen, da sie weit verbreitet und in den Standardeinstellungen leicht angreifbar sind. Die zurzeit bedeutendsten Alternativen zum Internet Explorer sind Firefox sowie Opera, da beide deutlich mehr Sicherheit versprechen. Alternativen zu Outlook Express sind beispielsweise Mozilla Thunderbird, Opera oder The Bat.

Es existieren auch Computerviren fĂŒr Nicht-Microsoft-Betriebssysteme wie Symbian OS, Linux, Mac OS und Betriebssysteme der BSD-Reihe.

Da diese Viren jedoch kaum verbreitet sind, stellen sie fĂŒr den Benutzer keine große Gefahr da. Ein Grund dafĂŒr ist einerseits die geringere Verbreitung dieser Plattformen (deren Verbreitung lag Anfang 2009 bei ca. fĂŒnf Prozent),[3] sodass Virenschreiber diese Systeme in der Vergangenheit eher verschont haben und es andererseits fĂŒr die Schadprogramme eine erhebliche Schwierigkeit bietet, weitere Infektionsopfer zu finden. Ein weiterer, technischer Grund ist die explizite Rechtetrennung vieler anderer Betriebssysteme. Bei quelloffenen Betriebssystemen kommt noch hinzu, dass es viele verschiedene Distributionen gibt, was wiederum eine EinschrĂ€nkung fĂŒr Viren darstellt.

Personal Firewall

→ Hauptartikel: Personal Firewall

Personal Firewalls zeigen gegen Viren keine Wirkung, da ihre FunktionalitĂ€t auf die Arbeitsweise von WĂŒrmern zugeschnitten ist und Viren nicht beeintrĂ€chtigt.

Antivirensoftware

Ein Online-Scanner erkennt einen Virus
→ Hauptartikel: Antivirenprogramm

Antivirenprogramme schĂŒtzen im Wesentlichen nur vor bekannten Viren. Daher ist es bei der Benutzung eines solchen Programms wichtig, regelmĂ€ĂŸig die von den Herstellern bereitgestellten aktualisierten Virensignaturen einzuspielen. Viren der nĂ€chsten Generation (Tarnkappenviren) können von Antivirensoftware fast nicht mehr erkannt werden[4] (siehe auch Rootkit).

Mit Hilfe dieser Programme werden Festplatte und Arbeitsspeicher nach schĂ€dlichen Programmen durchsucht. Antivirenprogramme bieten meist zwei Betriebsmodi: einen manuellen, bei dem das Antivirenprogramm erst auf Aufforderung des Benutzers alle Dateien einmalig ĂŒberprĂŒft (on demand) und einen automatischen, bei dem alle Schreib- und Lesezugriffe auf die Festplatte und teilweise auch auf den Arbeitsspeicher ĂŒberprĂŒft werden (on access). Es gibt Antivirenprogramme, die mehrere fĂŒr das Scannen nach Viren verantwortliche Programmmodule (engines) nutzen. Wenn diese unabhĂ€ngig voneinander suchen, steigt die Erkennungswahrscheinlichkeit.

Antivirenprogramme bieten nie vollstĂ€ndigen Schutz, da die Erkennungsrate selbst bei bekannten Viren nicht bei 100 % liegt. Unbekannte Viren können von den meisten dieser Programme anhand ihres Verhaltens entdeckt werden („Heuristik“); diese Funktionen arbeiten jedoch sehr unzuverlĂ€ssig. Auch entdecken Antivirenprogramme Viren oft erst nach der Infektion und können das Virus unter UmstĂ€nden nicht im normalen Betrieb entfernen.

Besteht der berechtigte Verdacht einer Infektion, sollten nacheinander mehrere On-Demand-Programme eingesetzt werden. Dabei ist es sinnvoll, darauf zu achten, dass die Programme unterschiedliche Engines nutzen, damit die Erkennungsrate steigt. Es gibt Antivirenprogramme verschiedener Hersteller, welche die gleichen Scan-Methoden anwenden, also im Grunde eine Ă€hnlich hohe Erkennungswahrscheinlichkeit haben und damit auch ein Ă€hnliches Risiko, bestimmte Viren zu ĂŒbersehen. Verschiedene On-Access-Antivirenprogramme („WĂ€chter“, „Guard“, „Shield“, etc.) sollten nie gleichzeitig installiert werden, weil das zu Fehlfunktionen des PC fĂŒhren kann: Da viele dieser On-Access-Scanner bereits beim Hochfahren des Betriebssystems nach Bootsektorviren suchen, werden sie quasi gleichzeitig gestartet und versuchen einen alleinigen und ersten Zugriff auf jede zu lesende Datei zu erlangen, was naturgemĂ€ĂŸ unmöglich ist und daher zu schweren Systemstörungen fĂŒhren kann bzw. muss.

Werden mehrere On-Demand-Scanner installiert und – auch unabhĂ€ngig, also nicht gleichzeitig â€“ gestartet und ausgefĂŒhrt, sind falsche Virenfunde hĂ€ufig, bei denen das eine Programm die Virensignaturen des anderen auf der Festplatte oder im Arbeitsspeicher als Virus erkennt bzw. schon gesicherte Virendateien im so genannten „QuarantĂ€ne-Ordner“ des anderen Programms findet. Auch ein On-Access-Scanner kann deshalb bei einem zusĂ€tzlich gestarteten On-Demand-Scanvorgang eines anderen Virensuchprogramms im Konkurrenzprodukt also fĂ€lschlich eine oder mehrere Viren finden.

GrundsĂ€tzlich sollte gelegentlich, aber regelmĂ€ĂŸig der gesamte PC auf Viren untersucht werden, da – mit Hilfe neuer Virensignaturen â€“ alte, frĂŒher nicht erkannte Virendateien entdeckt werden können und darĂŒber hinaus auch die „WĂ€chtermodule“ ein und desselben Herstellers manchmal anders suchen und erkennen als der zugehörige On-Demand-Scanner.

Schutz durch Live-Systeme

Live-Systeme wie Knoppix, die unabhĂ€ngig vom installierten Betriebssystem von einer CD gestartet werden, bieten nahezu vollstĂ€ndigen Schutz, wenn keine Schreibgenehmigung fĂŒr die Festplatten erteilt wird. Weil keine VerĂ€nderungen an Festplatten vorgenommen werden können, kann sich kein schĂ€dliches Programm auf der Festplatte einnisten. Speicherresidente Malware kann aber auch bei solchen Live-Systemen Schaden anrichten, indem diese Systeme als Zwischenwirt oder Infektionsherd fĂŒr andere Computer dienen können. Malware, die direkt im Hauptspeicher residiert, wird erst bei einem Reboot unschĂ€dlich gemacht.

Computervirentypen

Bootviren

Bootviren zÀhlen zu den Àltesten Computerviren. Diese Viren waren bis 1995 eine sehr verbreitete Form von Viren. Ein Bootsektorvirus infiziert den Bootsektor von Disketten und Festplattenpartitionen oder den Master Boot Record (MBR) einer Festplatte.

Der Bootsektor ist der erste physische Teil einer Diskette oder einer Festplattenpartition. Festplatten haben außerdem einen so genannten Master Boot Record. Dieser liegt wie der Bootsektor von Disketten ganz am Anfang des DatentrĂ€gers. Bootsektoren und MBR enthalten mit den Bootloadern die Software, die von einem Rechner direkt nach dessen Start ausgefĂŒhrt wird, sobald die Firmware bzw. das BIOS den Rechner in einen definierten Startzustand gebracht hat. Üblicherweise laden Boot-Loader das installierte Betriebssystem und ĂŒbergeben diesem die Kontrolle ĂŒber den Computer.

Wie beschrieben sind Boot-Loader-Programme, die vor dem Betriebssystem ausgefĂŒhrt werden und deshalb fĂŒr Viren sehr interessant: Bootviren können in das Betriebssystem, das nach ihnen geladen wird, eingreifen und dieses manipulieren oder dieses komplett umgehen. Dadurch können sie sich beispielsweise auf Bootsektoren eingelegter Disketten verbreiten.

LÀdt ein Rechner nicht den MBR der Festplatte sondern den infizierten Bootsektor einer Diskette, versucht das enthaltene Bootvirus meist, sich in den MBR der Festplatte zu verbreiten, um bei jedem Start des Computers ohne Diskette aktiv werden zu können.

Bootviren haben jedoch mit den technischen Limitierungen, die mit dem Speicherort „Bootsektor“ oder vor allem „MBR“ einhergehen, zu kĂ€mpfen: Sie können maximal 444 Bytes groß sein, sofern sie nicht noch weitere Teile auf anderen Teilen der Festplatte verstecken. Der MBR ist nach Industrienorm ein Sektor, also 512 Byte groß, aber einige Bytes werden fĂŒr die Hardware- und BIOS-KompatibilitĂ€t verbraucht. Außerdem mĂŒssen sie die Aufgaben des Boot-Loaders ĂŒbernehmen, damit das System funktionsfĂ€hig bleibt, was von dem ohnehin schon sehr geringen Platz fĂŒr die Virenlogik noch weiteren Platz wegnimmt. Da sie vor einem Betriebssystem aktiv werden, können sie außerdem nicht auf von einem Betriebssystem bereitgestellte Funktionen wie das Finden und Öffnen einer Datei zurĂŒckgreifen.

Seit 2005 gibt es auch Bootsektorviren fĂŒr CD-ROMs. Diese infizieren bootfĂ€hige CD-ROM-Abbilddateien. Es ist technisch möglich, einen Bootsektorvirus fĂŒr ein bootfĂ€higes lokales Netzwerk oder fĂŒr einen USB-Stick zu erstellen, dies ist aber bis jetzt noch nicht geschehen.

Heutzutage gibt es beinahe keine Bootsektorviren mehr, da BIOS und Betriebssysteme meistens einen gut funktionierenden Schutz vor ihnen haben. Zwar gibt es Bootsektorviren, die diesen Schutz umgehen können, doch ist ihre Verbreitung im Allgemeinen sehr langsam. Durch die technischen Probleme, die mit diesem Virentyp einhergehen, fordern sie vom Virenautor außerdem deutlich mehr Wissen und Programmierfertigkeiten, wĂ€hrend sie zugleich seine Möglichkeiten stark einschrĂ€nken.

Dateiviren und Linkviren

Teil der Infektionsroutine eines Windows-Dateivirus, das PE-Dateien infiziert; Assemblersprache.

Linkviren oder Dateiviren sind der am hĂ€ufigsten anzutreffende Virentyp. Sie infizieren ausfĂŒhrbare Dateien oder Programmbibliotheken auf einem Betriebssystem.

Um eine ausfĂŒhrbare Datei zu infizieren, muss das Virus sich in diese Wirtsdatei einfĂŒgen (oft direkt am Ende, da dies am einfachsten ist). Außerdem modifiziert das Virus die Wirtsdatei so, dass das Virus beim Programmstart aufgerufen wird. Eine spezielle Form von Linkviren wĂ€hlt eine andere Strategie und fĂŒgt sich in eine bestehende Programmfunktion ein.

Zu den verschiedenen Arten von Linkviren siehe Infektionsarten.

Makroviren

Makroviren benötigen Anwendungen, die Dokumente mit eingebetteten Makros verarbeiten. Sie befallen Makros in nicht-infizierten Dokumenten oder fĂŒgen entsprechende Makros ein, falls diese noch nicht vorhanden sind.

Makros werden von den meisten Office-Dokument-Typen verwendet, wie zum Beispiel in allen Microsoft-Office- sowie OpenOffice.org-Dokumenten. Aber auch andere Dokumentdateien können Makros enthalten. Sie dienen normalerweise dazu, in den Dokumenten wiederkehrende Aufgaben zu automatisieren oder zu vereinfachen.

HĂ€ufig unterstĂŒtzen Anwendungen mit solchen Dokumenten ein spezielles Makro, das automatisch nach dem Laden des Dokuments ausgefĂŒhrt wird. Dies ist ein von Makroviren bevorzugter Ort fĂŒr die Infektion, da er die höchste Aufrufwahrscheinlichkeit hat. Wie Linkviren versuchen auch Makroviren, noch nicht infizierte Dateien zu befallen.

Da die meisten Anwender sich nicht bewusst sind, dass beispielsweise ein Textdokument ausfĂŒhrbare Inhalte und damit ein Virus enthalten kann, gehen sie meist relativ sorglos mit solchen Dokumenten um. Sie werden sehr oft an andere Anwender verschickt oder auf öffentlichen Servern zum Herunterladen angeboten. Dadurch können sich Makroviren recht gut verbreiten. Um das Jahr 2000 herum stellten sie die grĂ¶ĂŸte Bedrohung dar, bis sie darin von den ComputerwĂŒrmern abgelöst wurden.

Ein Schutz gegen Makroviren besteht darin, dafĂŒr zu sorgen, dass nur zertifizierte Makros von der Anwendung ausgefĂŒhrt werden. Dies ist insbesondere fĂŒr (grĂ¶ĂŸere) Unternehmen und Behörden von Interesse, wo eine zentrale Zertifizierungsstelle Makros zum allgemeinen Gebrauch vor deren Freigabe ĂŒberprĂŒft und akzeptierte Makros zertifiziert.

Es empfiehlt sich weiterhin, das automatische AusfĂŒhren von Makros in der entsprechenden Anwendung auszuschalten.

Skriptviren

Teil des Source-Codes von Html.Lame, einem Skriptvirus, das HTML-Dateien infiziert.

Ein Skript ist ein Programm, welches nicht durch einen Kompilierer in Maschinensprache ĂŒbersetzt wird, sondern durch einen Interpreter Schritt fĂŒr Schritt ausgefĂŒhrt wird. Ein Skript wird hĂ€ufig auf Webservern verwendet (zum Beispiel in Form der Skriptsprache Perl oder PHP) bzw. durch in Webseiten eingebettete Skriptsprachen (zum Beispiel JavaScript).

Ein Skript wird gerne in Webseiten zusĂ€tzlich zu normalem HTML oder XML eingesetzt, um Funktionen zu realisieren, die sonst nur unter Zuhilfenahme ausfĂŒhrbarer Programme auf dem Server (CGI-Programme) realisierbar wĂ€ren. Solche Funktionen sind zum Beispiel GĂ€stebĂŒcher, Foren, dynamisch geladene Seiten oder Webmailer. Skriptsprachen sind meist vom Betriebssystem unabhĂ€ngig. Um ein Skript auszufĂŒhren, wird ein passender Interpreter – ein Programm, das das Skript von einer fĂŒr den Menschen lesbaren Programmiersprache in eine interne ReprĂ€sentation umsetzt und dann ausfĂŒhrt â€“ benötigt. Wie alle anderen Viren auch sucht das Skriptvirus eine geeignete Wirtsdatei, die es infizieren kann.

Im Falle von HTML-Dateien fĂŒgt sich das Skriptvirus in einen speziellen Bereich, den Skriptbereich, einer HTML-Datei ein (oder erzeugt diesen). Die meisten Browser laden diesen Skriptbereich des HTML-Dokuments um ihn schließlich auszufĂŒhren. Diese speziellen Skriptviren verhalten sich also fast genauso wie die oben beschriebenen Makroviren.

Unix-, Mac-OS-X- und Linux-Systeme benutzen fĂŒr die Automatisierung vieler Aufgaben Skripte, welche zum Beispiel fĂŒr eine Unix-Shell wie bash, in Perl oder in Python geschrieben wurden. Die Kommandozeileninterpreter aus MS-DOS und Windows können ebenfalls spezielle Skripte ausfĂŒhren. Auch fĂŒr diese Skriptsprachen gibt es Viren, die allerdings nur Laborcharakter haben und in der „freien Wildbahn“ so gut wie nicht anzutreffen sind. Sie können außerdem nicht, wie in HTML eingebettete Skriptviren, versehentlich eingefangen werden, sondern man muss – wie bei einem Linkvirus â€“ erst ein verseuchtes Skript auf sein System kopieren und ausfĂŒhren.

Mischformen

Nicht alle Computerviren fallen eindeutig in eine spezielle Kategorie. Es gibt auch Mischformen wie zum Beispiel Viren, die sowohl Dateien als auch Bootsektoren infizieren (Beispiel: Kernelviren) oder Makroviren, die auch Programmdateien infizieren können. Bei der Zusammensetzung ist beinahe jede Variation möglich.

EICAR-Testdatei

Meldung der EICAR-Testdatei nach der AusfĂŒhrung

Die EICAR-Testdatei ist eine Datei, die benutzt wird, um Virenscanner zu testen. Sie ist kein Virus und enthĂ€lt auch keinen „viralen“ Inhalt, sondern ist nur per Definition als Virus zu erkennen. Jeder Virenscanner sollte diese Datei erkennen. Sie kann deswegen benutzt werden, um auf einem System – das von keinem Virus infiziert wurde â€“ zu testen, ob der Virenscanner korrekt arbeitet.

Infektionsarten

Companion-Viren

Companion-Viren infizieren nicht die ausfĂŒhrbaren Dateien selbst, sondern benennen die ursprĂŒngliche Datei um und erstellen eine Datei mit dem ursprĂŒnglichen Namen, die nur das Virus enthĂ€lt, oder sie erstellen eine Datei mit Ă€hnlichem Namen, die vor der ursprĂŒnglichen Datei ausgefĂŒhrt wird. Es handelt sich also nicht um ein Virus im eigentlichen Sinne, da kein Wirtsprogramm manipuliert wird.

Unter MS-DOS gibt es beispielsweise Companion-Viren, die zu einer ausfĂŒhrbaren EXE-Datei eine versteckte Datei gleichen Namens mit der Endung „.com“ erstellen, die dann nur das Virus enthĂ€lt. Wird in der Kommandozeile von MS-DOS ein Programmname ohne Endung eingegeben, sucht das Betriebssystem zuerst nach Programmen mit der Endung „.com“ und danach erst nach Programmen mit der Endung „.exe“, so dass der SchĂ€dling vor dem eigentlichen Programm in der Suchreihenfolge erscheint und aufgerufen wird. Der SchĂ€dling fĂŒhrt, nachdem er sich meist im Arbeitsspeicher festgesetzt hat, das ursprĂŒngliche Programm aus, so dass der Benutzer oft nichts von der Infektion bemerkt.

Überschreibende

Überschreibende Computerviren sind die einfachste Form von Viren, wegen ihrer stark zerstörenden Wirkung aber am leichtesten zu entdecken. Wenn ein infiziertes Programm ausgefĂŒhrt wird, sucht das Virus nach neuen infizierbaren Dateien und ĂŒberschreibt entweder die ganze Datei oder nur einen Teil derselben (meist den Anfang) mit einer benötigten LĂ€nge. Die Wirtsdatei wird dabei irreparabel beschĂ€digt und funktioniert nicht mehr oder nicht mehr korrekt, wodurch eine Infektion praktisch sofort auffĂ€llt.

Prepender

Diese Art von Computerviren fĂŒgt sich am Anfang der Wirtsdatei ein. Beim AusfĂŒhren der Wirtsdatei wird zuerst das Virus aktiv, das sich weiterverbreitet oder seine Schadwirkung entfaltet. Danach stellt das Virus im Arbeitsspeicher den Originalzustand des Wirtsprogramms her und fĂŒhrt dieses aus. Außer einem kleinen Zeitverlust merkt der Benutzer nicht, dass ein Virus gerade aktiv wurde, da die Wirtsdatei vollkommen arbeitsfĂ€hig ist.

Appender

Ein Appender-Virus fĂŒgt sich an das Ende einer zu infizierenden Wirtsdatei an und manipuliert die Wirtsdatei derart, dass es vor dem Wirtsprogramm zur AusfĂŒhrung kommt. Nachdem das Virus aktiv geworden ist, fĂŒhrt es das Wirtsprogramm aus, indem es an den ursprĂŒnglichen Programmeinstiegspunkt springt. Diese Virusform ist leichter zu schreiben als ein Prepender, da das Wirtsprogramm nur minimal verĂ€ndert wird und es deshalb im Arbeitsspeicher nicht wieder hergestellt werden muss. Da Appender einfach zu implementieren sind, treten sie relativ hĂ€ufig auf.

Entry Point Obscuring

Der Fachbegriff „Entry Point Obscuring“ (kurz: EPO) heißt ĂŒbersetzt „Verschleierung des Einsprungspunktes“. Viren, die diese Technik benutzen, suchen sich zur Infektion einen bestimmten Punkt in der Wirtsdatei, der nicht am Anfang oder am Ende liegt. Da dieser Punkt von Wirt zu Wirt variiert, sind Viren dieses Typs relativ schwierig zu entwickeln, da unter anderem eine Routine zum Suchen eines geeigneten Infektionspunktes benötigt wird. Der Vorteil fĂŒr diesen Virentyp besteht darin, dass Virenscanner die gesamte Datei untersuchen mĂŒssten, um EPO-Viren zu finden – im Gegensatz zum Erkennen von Prepender- und Appender-Viren, bei denen der Virenscanner nur gezielt Dateianfang und -ende untersuchen muss. Sucht ein Virenscanner also auch nach EPO-Viren, benötigt er mehr Zeit – wird der Virenscanner so eingestellt, dass er Zeit spart, bleiben EPO-Viren meist unentdeckt.

FĂŒr das Entry Point Obscuring sucht sich das Virus einen speziellen Ort, wie etwa eine Programmfunktion, irgendwo in der Datei, um diese zu infizieren. Besonders lohnend ist zum Beispiel die Funktion zum Beenden des Programms, da sie meist ein leicht zu identifizierendes Erkennungsmuster hat und genau einmal aufgerufen wird. WĂŒrde das Virus eine zeitkritische Funktion oder eine sehr hĂ€ufig aufgerufene Funktion infizieren, fiele es leichter auf. Das Risiko fĂŒr EPO-Viren besteht darin, dass sie sich unter UmstĂ€nden einen Punkt in einem Wirt aussuchen können, der nie oder nicht bei jeder AusfĂŒhrung des Wirtes aufgerufen wird.

Techniken

Arbeitsspeicher

Speicherresidente Viren verbleiben auch nach Beendigung des Wirtprogramms im Speicher. Unter MS-DOS wurde eine Technik namens TSR (Terminate and Stay Resident) verwendet, in Betriebssystemen wie Windows, Unix oder Unix-Àhnlichen Systemen (Linux, Mac OS X) erzeugt das Virus einen neuen Prozess. Das Virus versucht dem Prozess in diesem Fall einen unverdÀchtig wirkenden Prozessnamen zu geben oder seinen Prozess komplett zu verstecken. Gelegentlich versuchen diese Viren auch Funktionen des Betriebssystems zu manipulieren oder auf sich umzuleiten, sofern das Betriebssystem dieses ermöglicht bzw. nicht verhindert.

Selbstschutz der Viren

Stealth-Viren

Computerviren dieser Art ergreifen besondere Maßnahmen, um ihre Existenz zu verschleiern. So werden Systemaufrufe abgefangen, so dass zum Beispiel bei der Abfrage der GrĂ¶ĂŸe einer infizierten Datei die GrĂ¶ĂŸe vor der Infektion angegeben wird (manche Viren verĂ€ndern die ursprĂŒngliche GrĂ¶ĂŸe auch gar nicht, weil sie sich in unbenutzte Bereiche der Datei kopieren) oder auch beim Lesen der Datei die Daten der ursprĂŒnglichen Datei zurĂŒckgeben.

Teil eines polymorph verschlĂŒsselten JavaScript-Virus.

VerschlĂŒsselte Viren

Dieser Typ von Viren verschlĂŒsselt sich selbst. Der SchlĂŒssel kann dabei von Infektion zu Infektion variieren. Das soll Antivirenprogramme daran hindern, einfach nach einer bestimmten Zeichenfolge in Dateien suchen zu können. Die Routine zum EntschlĂŒsseln muss aber naturgemĂ€ĂŸ in normaler Form vorliegen und kann von Antivirenprogrammen erkannt werden.

Polymorphe Viren

Diese Art von Viren Ă€ndern ihre Gestalt von Generation zu Generation, teilweise vollkommen. Das geschieht oft in Kombination mit VerschlĂŒsselung – hierbei wird eine variable VerschlĂŒsselung benutzt. Ein Teil des Virus muss jedoch in unverschlĂŒsselter Form vorliegen, um bei der AusfĂŒhrung den Rest zu entschlĂŒsseln. Um auch diesen Teil variabel zu gestalten, wird die EntschlĂŒsselungsroutine bei jeder Infektion neu erstellt. Die Routine, die die EntschlĂŒsselungsroutine immer neu erstellt, befindet sich dabei selbst im verschlĂŒsselten Teil des Virus und kann zum Beispiel voneinander unabhĂ€ngige Befehle austauschen und Operationen mit verschiedenen Befehlssequenzen kodieren, so dass verschiedene Varianten entstehen.

Metamorphe Viren

Im Gegensatz zu polymorphen Viren, die nur die Gestalt des Codes (durch variable VerschlĂŒsselung oder Permutation) Ă€ndern, wird bei Metamorphismus der Virus temporĂ€r in eine Metasprache umgeschrieben (daher der Name). Die Metasprache wird unter Anwendung von einem Obfuscator wieder kompiliert. Die formale Grammatik des Virus bleibt immer dieselbe.[5]

Diese Technik ist möglich, da die Assemblersprache fĂŒr einen Befehl verschiedene Möglichkeiten bietet, diesen auszufĂŒhren. Zum Beispiel kann der Befehl mov eax, 0x0 in xor eax, eax oder sub eax, eax umgewandelt werden. Da eine Mutation eine VerĂ€nderung der Befehlsfolge des Virus ist (und nicht nur eine andere Darstellung der gleichen Befehlsfolge), sind metamorphe Viren schwerer zu erkennen als polymorphe.[6]

Beispiele sind Win32.ZMist, Win32.MetaPHOR oder Win32.SK. Obwohl diese Viren hochkomplex sind und vielen Antiviren-Herstellern Probleme bereitet haben,[7] sind sie vom theoretischen Standpunkt aus gesehen noch trivial.[8]

Retroviren

Retroviren zielen darauf ab, Virenschutzprogramme und Personal Firewalls zu deaktivieren. Da sie sich dadurch nicht nur selbst vor Entdeckung schĂŒtzen, sondern auch anderen Schadprogrammen TĂŒr und Tor öffnen, gelten sie als sehr gefĂ€hrlich.

Mögliche SchÀden bzw. Payload

Computerviren sind vor allem gefĂŒrchtet, weil sie den Ruf haben, sĂ€mtliche Daten zu zerstören. Das ist aber nur in sehr wenigen FĂ€llen richtig. Die meisten Computerviren versuchen hauptsĂ€chlich sich selbst möglichst weit zu verbreiten und deswegen nicht aufzufallen.

Harmlose Auswirkungen

Eine Eigenschaft, die jedes Virus hat, ist das Stehlen von Rechnerzeit und -speicher. Da ein Virus sich selbst verbreitet, benutzt es die Leistung des Prozessors und der Festplatten. Viren sind aber im Normalfall so geschrieben, dass sie fĂŒr das System keine spĂŒrbare BeeintrĂ€chtigung darstellen, so dass sie der Benutzer nicht erkennt. Bei der GrĂ¶ĂŸe aktueller Festplatten fĂ€llt auch der zusĂ€tzlich benötigte Festplattenplatz nicht mehr auf.

Ungewollte SchĂ€den – Programmierfehler

Viele Computerviren enthalten Fehler, welche unter gewissen UmstĂ€nden zu fatalen Folgen fĂŒhren können. Diese Fehler sind zwar meistens unbeabsichtigt, können trotzdem Dateien durch eine falsche Infektion zerstören oder gar in EinzelfĂ€llen ganze DatenbestĂ€nde vernichten.

Ein HTML-Virus gibt sich dem Opfer zu erkennen.
„Existenzbericht“ – Meldungen an den Benutzer

Manche Viren geben dem Benutzer ihre Existenz bekannt. Beispiele fĂŒr Meldungen von Viren können zum Beispiel sein:

  • Piepsen bzw. Musik
  • Meldungsboxen oder plötzlich auftauchende Texte auf dem Bildschirm mit oft (fĂŒr den Virusautor) amĂŒsanten Nachrichten oder gar politischem Inhalt
  • Manipulation des Bildschirminhaltes wie herunterfallende Buchstaben, Verzerrungen oder ĂŒber den Bildschirm wandernde Objekte.

Die meisten dieser Existenzmeldungen sind harmlos und erfolgen oft nur zu bestimmten Uhrzeiten oder nur an bestimmten Tagen, um nicht zu schnell aufzufallen und so eine höhere Verbreitung zu erlangen. Es gibt auch „Viren“, die keine eigentliche Schadroutine enthalten, sondern lediglich derartige Meldungen. Dabei handelt es sich um sogenannte Joke-Programme. Beispiele hierfĂŒr sind etwa Eatscreen oder FakeBlueScreen.

Datenzerstörung

Durch das Infizieren von Dateien werden die darin enthaltenen Daten manipuliert und möglicherweise zerstört. Da jedoch die meisten Viren vor Entdeckung geschĂŒtzt werden sollen, ist eine Rekonstruktion der Daten in vielen FĂ€llen möglich.

Einige wenige Viren wurden speziell zur Zerstörung von Daten geschrieben. Das kann vom Löschen von einzelnen Dateien bis hin zum Formatieren ganzer Festplatten fĂŒhren. Diese Art von Payload wird von den meisten Menschen unmittelbar in Verbindung mit allen Viren gebracht. Da der Speicher der „Lebensraum“ von Viren ist, zerstören sie sich mit diesen Aktionen oft selbst.

Hardwarezerstörung

Direkte Hardwarezerstörung durch Software und somit durch Computerviren ist nur in EinzelfĂ€llen möglich. Dazu mĂŒsste dem Virenautor bekannt sein, wie eine bestimmte Hardware so extrem oder fehlerhaft angesteuert werden kann, dass es zu einer Zerstörung kommt. Einige (z. T. eher theoretische) Beispiele fĂŒr solche Möglichkeiten sind:

  • Das Senden extremer Bildsignale an Bildschirme. Heute nicht mehr gebrĂ€uchliche Festfrequenzmonitore waren dafĂŒr anfĂ€llig, es gab Viren, die diese Angriffe auf solche Monitore tatsĂ€chlich durchgefĂŒhrt haben. Heute ist eine BeschĂ€digung durch fehlerhafte bzw. extreme Bildsignale so gut wie ausgeschlossen.
  • Übertakten von Grafikkarten, die es erlauben, die Taktfrequenz der Bausteine per Software einzustellen. Bei einer zu hohen Übertaktung und nicht ausreichenden KĂŒhlung können Bausteine ĂŒberhitzen und beschĂ€digt oder zerstört werden.
  • Übertakten von Bausteinen auf der Hauptplatine, die dadurch selbst ĂŒberhitzen oder andere Bauteile ĂŒberlasten können (WiderstĂ€nde, Integrierte Bausteine).
  • Unbenutzbarkeit von Festplatten durch bestimmte inoffizielle ATA-Kommandos.

Da im heutigen PC-Bereich die Hardwarekomponentenauswahl sehr heterogen ist, gilt bisher die Meinung, dass es sich fĂŒr Virenautoren nicht lohnt, solche Angriffe durchzufĂŒhren.

Ein als Hardwareschaden missinterpretierter Schaden ist das Überschreiben des BIOS, das heute meist in Flash-Speichern gespeichert ist. Wird dieser Flash-Speicher böswillig ĂŒberschrieben, kann der Rechner nicht mehr starten. Da der Rechner nicht mehr startet, wird oft fĂ€lschlicherweise ein Hardwareschaden angenommen. Der Flash-Speicher muss in diesem Fall ausgebaut und mit einem korrekten BIOS neu bespielt werden. Ist der Flash-Speicher fest eingelötet, ist das Ausbauen wirtschaftlich nicht rentabel und die gesamte Hauptplatine muss ausgetauscht werden.[9]

Wirtschaftliche SchÀden

Der wirtschaftliche Schaden durch Computerviren ist geringer als der Schaden durch ComputerwĂŒrmer. Grund dafĂŒr ist, dass sich Viren nur sehr langsam verbreiten können und dadurch oft nur lokal verbreitet sind.

Ein weiterer Grund, warum der wirtschaftliche Schaden bei Computerviren nicht so hoch ist, ist die Tatsache, dass sie den angegriffenen Computer oder die angegriffene Datei im Allgemeinen fĂŒr einen lĂ€ngeren Zeitraum brauchen, um sich effektiv verbreiten zu können. Computerviren, die Daten sofort zerstören, sind sehr ineffektiv, da sie mit dieser Aktion auch ihren eigenen Lebensraum zerstören.

Im Zeitalter der DOS-Viren gab es trotzdem einige Viren, die erheblichen Schaden angerichtet haben. Ein Beispiel ist das Virus DataCrime, das gesamte DatenbestÀnde vernichtet hat. Viele Regierungen reagierten auf dieses Virus und verabschiedeten Gesetze, die das Verbreiten von Computerviren zu einer Straftat machen.

Auch unter Windows gab es vereinzelt FĂ€lle von Computer-Viren, die gravierende finanzielle SchĂ€den fĂŒr einzelne Unternehmen bedeuteten. So wurde Anfang 1998 der XM/Compat-Virus entdeckt, ein Makro-Virus, der Microsoft-Excel-Dateien mit einer Ă€ußerst bösartigen Schadfunktion befĂ€llt: Immer, wenn Excel beendet wird, durchforstet der SchĂ€dling ein zufĂ€lliges Dokument aus der Bearbeitungs-History nach ungeschĂŒtzten Zellen mit numerischen Werten. In diesen Zellen Ă€ndert er die Werte mit einer einprozentigen Wahrscheinlichkeit zufĂ€llig in einem Rahmen von +5 bis −5 % ab. Aufgrund der zunĂ€chst nur unwesentlichen VerĂ€nderungen fallen die so manipulierten Daten möglicherweise erst nach Wochen oder gar Monaten auf. Wird der Schaden entdeckt, lĂ€sst er sich nur durch die Einspielung eines Backups wieder beheben – dazu muss natĂŒrlich bekannt sein, wann der Erstbefall genau stattgefunden hat. Zwar hat der SchĂ€dling keine sonderlich hohe Verbreitung gefunden, aber es gab FĂ€lle von Unternehmen, deren GeschĂ€ftsbilanzen und Umsatzberichte durch einen XM/Compat-Befall völlig unbrauchbar geworden sind.

Ein Virus mit hohem wirtschaftlichen Schaden war auch Win32.CIH, auch „Tschernobyl-Virus“ genannt (nach dem Atomunfall von Tschernobyl vom 26. April 1986), das sich großflĂ€chig verbreitete und am 26. April 2000 den Dateninhalt von mehr als 2000 BIOS-Chips in SĂŒdkorea zerstörte. Laut dem Antivirenhersteller Kaspersky sollen im Jahr davor sogar 3000 PCs betroffen gewesen sein.

Ein weiterer wirtschaftlicher Faktor war frĂŒher vor allem der Image-Schaden der betroffenen Unternehmen, heute ist dieser immaterielle Schaden nicht mehr so hoch, da ein Computervirus schon eher als normale und ĂŒbliche Gefahr akzeptiert wird.

Aufbau

Computerviren haben viele unterschiedliche Formen, daher ist es nur schwer möglich, zu beschreiben, wie ein Virus grundsÀtzlich aufgebaut ist. Der einzige nötige Bestandteil, der aus einem Computerprogramm per Definition einen Computervirus macht, ist die Vermehrungsroutine.

Die folgende ErklĂ€rung ist keineswegs ein Standard fĂŒr alle Viren. Manche Viren können mehr Funktionen haben, andere wiederum weniger.

  • EntschlĂŒsselungsroutine: Dieser Teil sorgt bei verschlĂŒsselten Viren dafĂŒr, dass die verschlĂŒsselten Daten wieder zur AusfĂŒhrung gebracht werden können. Nicht alle Viren besitzen diesen Teil, da nicht alle verschlĂŒsselt sind. Oft wird die EntschlĂŒsslungsroutine der Viren von Antiviren-Herstellern dazu benutzt, das Virus zu identifizieren, da dieser Teil oft klarer erkennbar ist als der Rest des Virus.
  • Vermehrungsteil: Dieser Programmteil sorgt fĂŒr die Vermehrung des Virus. Es ist der einzige Teil, den jedes Virus hat (Definition).
  • Erkennungsteil: Im Erkennungsteil wird geprĂŒft, ob die Infektion eines Programms oder Systembereichs bereits erfolgt ist. Jedes Wirtsprogramm wird nur einmal infiziert. Dieser Teil ist in fast allen nicht-ĂŒberschreibenden Computerviren vorhanden.
  • Schadensteil: Im VerhĂ€ltnis zur Zahl der Computerviren haben nur sehr wenige einen Schadensteil (Payload). Der Schadensteil ist der Grund fĂŒr die Angst vieler Menschen vor Computerviren.
  • Bedingungsteil: Der Bedingungsteil ist dafĂŒr verantwortlich, dass der Schadensteil ausgefĂŒhrt wird. Er ist in den meisten Computerviren mit einem Schadensteil enthalten. Viren ohne Bedingungsteil fĂŒhren den Schadensteil entweder bei jeder Aktivierung oder – in ganz seltenen FĂ€llen â€“ niemals aus. Der Bedingungsteil (Trigger) kann zum Beispiel das Payload an einem bestimmten Datum ausfĂŒhren oder bei bestimmten Systemvoraussetzungen (Anzahl der Dateien, GrĂ¶ĂŸe des freien Speicherplatzes, etc.) oder einfach zufĂ€llig.
  • Tarnungsteil: Ein Tarnungsteil ist nur in wenigen, komplexen Viren vorhanden. Er kann das Virus zum Beispiel verschlĂŒsseln oder ihm eine andere Form geben (Polymorphismus, Metamorphismus). Dieser Teil dient zum Schutz des Virus vor der Erkennung durch Anti-Viren-Software. Es gibt aber nur eine sehr geringe Anzahl von Viren, die nicht vollstĂ€ndig erkannt werden können (zum Beispiel: Win32.ZMist, ACG, Win32.MetaPHOR oder OneHalf).

Achillesferse eines Virus

Damit ein klassischer reaktiver Virenscanner ein Virus identifizieren kann, benötigt er dessen Signatur. Ein Virus versucht ein System zu infizieren und dies geschieht zum Beispiel bei einem Linkvirus durch das AnhĂ€ngen an ein bestehendes Programm. Dabei muss es (abgesehen von ĂŒberschreibenden Viren) zuerst prĂŒfen, ob es dieses Programm bereits infiziert hat – sprich, es muss in der Lage sein, sich selbst zu erkennen. WĂŒrde es dies nicht machen, könnte es ein Programm theoretisch beliebig oft infizieren, was aufgrund der DateigrĂ¶ĂŸe und der CPU-Belastung sehr schnell auffallen wĂŒrde. Dieses Erkennungsmuster – die Signatur â€“ kann unter gewissen UmstĂ€nden auch von Virenscannern genutzt werden, um das Virus zu erkennen. Polymorphe Viren sind in der Lage, mit verschiedenen Signaturen zu arbeiten, die sich verĂ€ndern können, jedoch stets einer Regel gehorchen. Daher ist es den Herstellern von Anti-Viren-Software relativ einfach und schnell möglich, ein neues Virus nach dessen Bekanntwerden zu identifizieren.

Viele Viren benutzen anstelle von polymorphen Signaturen sehr kleine Kennzeichnungen wie zum Beispiel ein ungenutztes Byte im Portable-Executable-Format. Ein Virenscanner kann dieses eine Byte nicht als Erkennungsmuster nutzen, da es zu viele falsch positive Treffer geben wĂŒrde. FĂŒr ein Virus ist es jedoch kein Problem, wenn es unter ungĂŒnstigen VerhĂ€ltnissen einige Dateien nicht infiziert.

Geschichte

Theoretische AnfÀnge: bis 1985

John von Neumann veröffentlichte im Jahr 1949 seine Arbeit Theory and Organization of Complicated Automata. Darin stellt er die These auf, dass ein Computerprogramm sich selbst wiederherstellen kann. Das war die erste ErwĂ€hnung von computervirenĂ€hnlicher Software. Im folgenden Jahr 1950 wurde die Theorie von Victor Vyssotsky, Robert Morris Sr. und Doug McIlroy, Forscher der Bell Labs, erfolgreich in ein Computerspiel mit dem Namen Darwin umgesetzt. Zwei Spieler ließen Software-Organismen um die Kontrolle ĂŒber das System kĂ€mpfen. Die Programme versuchten dabei, einander zu ĂŒberschreiben. SpĂ€tere Versionen des Spiels wurden als Core Wars bekannt. Breite Bekanntheit erfuhr das Konzept Core Wars durch einen Artikel von Alexander K. Dewdney in der Kolumne Computer Recreations der Zeitschrift Scientific American.

1972 veröffentlichte Veith Risak den Artikel Selbstreproduzierende Automaten mit minimaler InformationsĂŒbertragung. Darin wird ĂŒber einen zu Forschungszwecken geschriebenen Virus berichtet. Dieser enthielt alle wesentlichen Komponenten. Er wurde im Maschinencode des Rechners SIEMENS 4004/35 programmiert und lief einwandfrei.

1975 veröffentlichte der englische Autor John Brunner den Roman Der Schockwellenreiter, in dem er die Gefahr von Internetviren vorausahnt. Sein Kollege Thomas J. Ryan schilderte 1979 in The Adolescence of P-1, wie sich eine KĂŒnstliche Intelligenz virenĂ€hnlich ĂŒber das nationale Computernetz ausbreitet.

Im Jahr 1980 verfasste JĂŒrgen Kraus an der UniversitĂ€t Dortmund eine Diplomarbeit mit dem Titel Selbstreproduktion bei Programmen., in welcher der Vergleich angestellt wurde, dass sich bestimmte Programme Ă€hnlich wie biologische Viren verhalten können.

1982 wurde von dem 15-jĂ€hrigen amerikanischen SchĂŒler Rich Skrenta ein Computerprogramm geschrieben, das sich selbst ĂŒber Disketten auf Apple-II-Systemen verbreitete. Das Programm hieß Elk Cloner und kann als das erste Bootsektorvirus bezeichnet werden.[10]

Die Grenze von Theorie und Praxis bei Computerviren verschwimmt jedoch, und selbst Experten streiten sich, was tatsÀchlich das erste war.

Professor Leonard M. Adleman verwendete 1984 im GesprĂ€ch mit Fred Cohen zum ersten Mal den Begriff „Computervirus“.

Praktische AnfĂ€nge: 1985–1990

Fred Cohen lieferte 1984 seine Doktorarbeit Computer Viruses – Theory and Experiments ab.[11] Darin wurde ein funktionierendes Virus fĂŒr das Betriebssystem Unix vorgestellt. Dieses gilt heute als das erste Computervirus.

Im Januar 1986 wurde die erste Vireninfektion auf einem Großrechner an der FU Berlin entdeckt.

Zwei Software-HĂ€ndler aus Pakistan verbreiteten im Jahr 1986 das erste Virus fĂŒr das Betriebssystem MS-DOS, das Pakistani-, Ashar- oder auch Brain-Virus genannt wird. Diese HĂ€ndler verkauften billige Raubkopien von Originalsoftware. Dies war möglich, da dort das Kopieren von Software nicht strafbar war. Jeder Softwarekopie legten sie das Virus bei, das den Zweck haben sollte, die Kunden an den HĂ€ndler zu binden. Überraschenderweise verbreitete sich dieses Virus sogar bis in die USA. Das Programm war relativ harmlos, da es nur das Inhaltsverzeichnis der befallenen Disketten in Brain umbenannte.

Schließlich wurde 1987 das erste Virus fĂŒr Macintosh-Rechner entdeckt. Apple lieferte daraufhin sein System gleich komplett mit einem Virensuchprogramm aus. Allerdings konnte es nur diese eine Virenfamilie finden und war fĂŒr andere Virustypen sozusagen blind. Somit war das Programm also nur bedingt brauchbar.

Kurz darauf wurde in Deutschland zum ersten Mal das Cascade-Virus gefunden. Es war das erste Virus, das speicherresident wurde und in Dateien auch verschlĂŒsselt auftrat. Aufgrund dieser Eigenschaften wird es zur zweiten Generation der Viren gerechnet.

Zu einem der ersten Viren gehört auch das Jerusalem- oder PLO-Virus. Es wurde auch unter dem Namen Freitag-der-13.-Virus bekannt, da es an einem solchen Tag alle COM- und EXE-Dateien löscht. An allen anderen Tagen verlangsamt es nach etwa 30 Minuten die Rechnergeschwindigkeit.

Nicht nur MS-DOS wurde von Viren angegriffen, sondern auch andere Systeme wie Apple Macintosh, Amiga, Atari und Unix.

Im selben Jahr, 1987, erschien im Data-Becker-Verlag das erste Buch zum Thema Computerviren, Das große Computervirenbuch von Ralf Burger. Da Burger den Quellcode einiger Viren im Buch veröffentlichte, erschienen in den folgenden Monaten Dutzende Varianten der von ihm geschriebenen Viren in der Öffentlichkeit.

1988 erschien der erste Baukasten fĂŒr Viren (Virus Construction Set). Damit war es auch AnfĂ€ngern möglich, Viren nach Maß zu erstellen. Das Programm wurde fĂŒr den Computer Atari ST geschrieben.

In diesen Jahren wurden die ersten Antivirenprogramme herausgebracht, vor allem, um große Unternehmen zu schĂŒtzen. Im Jahr 1989 erschien mit V2Px dann das erste polymorphe Virus, das sich selbst immer wieder neu verschlĂŒsseln konnte und nur sehr schwer zu entdecken war.

Die Ära der DOS-Viren: 1990–1995

In diesen Jahren wurden Viren immer komplexer, um sich weiter verbreiten zu können und um sich besser gegen die Entdeckung durch Antivirenprogramme zu schĂŒtzen. Am Anfang des Jahres 1991 verbreitet sich der erste polymorphe Virus, der Tequilavirus. Wenig spĂ€ter, 1992, veröffentlichte ein Virenschreiber namens Dark Avenger den ersten polymorphen Programmgenerator, MTE. Damit konnten sich auch einfachste Viren leicht vor einer Erkennung schĂŒtzen. Einige der damaligen Hersteller von Antiviren-Software konnten dieses Problem nicht lösen und stoppten die Entwicklung ihres Programms.

1992 löste auch das Michelangelo-Virus eine enorme Medienhysterie aus. Mit ihm wurde die Existenz der Viren in der breiten Öffentlichkeit bekannt.

In diesen Jahren wurden immer wieder neue Techniken in Viren entdeckt, wie zum Beispiel die gleichzeitige Infektion von Dateien und Bootsektor, OBJ-Dateien oder Quellcode-Dateien. 1992 wurde mit Win16.Vir_1_4 das erste Computervirus fĂŒr das Betriebssystem Microsoft Windows 3.11 registriert. Dieses Proof-of-Concept-Virus wurde nie in „freier Wildbahn“ entdeckt.

Viren wie ACG und OneHalf markieren das Ende der MS-DOS-Viren. Bis heute zĂ€hlen sie zu den komplexesten Viren ĂŒberhaupt. Sie sind stark polymorph und enthalten auch Techniken wie Metamorphismus.

Die Ära der Viren fĂŒr 32-Bit-Windows-Betriebssysteme: 1995–2002

Ab 1995, mit dem Erscheinen von Microsoft Windows 95 und dem stĂ€ndigen Zuwachs an Benutzern, wurden auch Viren fĂŒr dieses Betriebssystem (und dessen obligate Programme wie Microsoft Office) geschrieben. 1995 erschien das erste Makrovirus fĂŒr Microsoft Word. Da Dokumente öfter als Programme getauscht wurden, wurden Makroviren ein sehr großes Problem fĂŒr die Anwender. In den Jahren darauf erschienen die ersten Makroviren fĂŒr Excel (1997), Powerpoint und Access (beide 1998) und Visio (2000). 1996 wurde das erste Virus Constructor Kit fĂŒr Makroviren geschrieben, das es auch Personen ohne Programmierkenntnissen ermöglichte, Viren zu erstellen.

1996 erschien dann mit Boza das erste Virus fĂŒr Microsoft Windows 95. Damit wurde gezeigt, dass das neueste Microsoft-Betriebssystem fĂŒr Viren doch nicht, wie vorher behauptet, unantastbar war.

Als der Kampf zwischen Antivirenherstellern und Virenautoren zugunsten der Antivirenhersteller gewonnen schien, wurden 1998 mit W32.HPS und W32.Marburg die ersten polymorphen Windows-32-Bit-Viren geschrieben. Kurze Zeit spĂ€ter entstand mit Regswap das erste metamorphe Virus fĂŒr diese Betriebssysteme.

1998 und 1999 erschienen die ersten VBS- und JavaScript-Viren und als logische Konsequenz auch die ersten HTML-Viren. Diese Viren arbeiteten mit dem umstrittenen Zusatzprogramm „Windows Scripting Host“. Nun konnten auch Webseiten von Viren infiziert werden.

In dieser Zeit wurden einige andere, fĂŒr den Benutzer ungefĂ€hrliche Viren geschrieben, die dennoch interessant sind. Beispiele sind das OS2.AEP-Virus, das als erstes ausfĂŒhrbare Dateien des Betriebssystems OS/2 infizieren konnte, oder die ersten Viren fĂŒr HLP-Dateien, fĂŒr PHP-Dateien, fĂŒr Java, fĂŒr AutoCAD, fĂŒr Bash, fĂŒr Palm OS und fĂŒr Flash.

Am Ende dieser Ära tauchten wieder (wie in der DOS-Ära) die komplexesten Viren auf, die es bis zu dieser Zeit gab. Beispiele sind Win32.MetaPHOR oder Win32.ZMist, die sehr stark metamorph sind und nicht von allen Antivirenprogrammherstellern vollstĂ€ndig entdeckt werden können. Diese Viren wurden von Mitgliedern der Virenschreibergruppe 29A geschrieben, die die Techniken Polymorphismus und Metamorphismus in den vorangegangenen Jahren signifikant weiterentwickelt haben.

Neue Nischen: ab 2002

UngefĂ€hr ab 2002 traten Viren mehr und mehr in den Hintergrund und wurden durch WĂŒrmer ersetzt. Die Entwicklung von Viren geht trotzdem weiter und bezieht sich vor allem auf neue Nischen.

Im Jahr 2002 wurde das erste Virus geschrieben, das sowohl Win32-Anwendungen als auch ELF-Dateien (zum Beispiel Linux-Anwendungen) infizieren konnte. Dieses Virus kann als das EinlÀuten eines neuen Zeitalters der Viren gesehen werden.

Im Jahr 2004 brach dann endgĂŒltig eine neue Ära fĂŒr Viren an. Das erste Virus fĂŒr PocketPCs (mit dem Betriebssystem Windows CE) tauchte auf und zeigte, dass auch diese viel verwendeten KommunikationsgerĂ€te nicht verschont werden.

Einige Monate spÀter wurde der Virus Win64.Rugrad entdeckt. Dieses Virus konnte die Anwendungen des neu erschienenen Microsoft Windows XP 64-bit Edition infizieren und hat eine Vorreiterrolle in der Entwicklung neuer Viren.

Wieder einige Monate spĂ€ter, im Jahr 2005, wurde das erste Virus fĂŒr Handys (mit dem Betriebssystem Symbian OS) geschrieben. Es kann, nachdem vorher schon WĂŒrmer fĂŒr dieses Betriebssystem erschienen sind, auch Dateien infizieren.

Mitte 2005, kurz nach der Veröffentlichung der ersten Beta-Version des XP-Nachfolgers Microsoft Windows Vista, wurde das erste Virus fĂŒr die Microsoft Command Shell (Codename Monad) veröffentlicht. ZunĂ€chst wurde propagiert, dass es ein erstes Virus fĂŒr das neue Windows gĂ€be. Jedoch ließ Microsoft nach Bekanntwerden der Viren verlautbaren, dass Monad doch nicht wie geplant in Vista enthalten sein werde. Somit wĂ€re dies ein Virus fĂŒr eine Betaversion mit extrem geringen Chancen auf Verbreitung.

Das erste wirkliche Computervirus fĂŒr MS Windows Vista trat einige Monate spĂ€ter, im Oktober 2005 auf. MSIL.Idoneus nutzt .NET Framework 2.0, um sich zu verbreiten.

In dieser Zeit wurden die ersten Viren fĂŒr Ruby, MenuetOS, F#, CHM, IDA und Microsoft Office Infopath entdeckt, die aber weder jetzt noch in Zukunft eine Gefahr fĂŒr Anwender sein werden, da diese Plattformen kaum verbreitet sind und sich die Viren daher kaum vermehren können.[12]

Ein weiteres Anzeichen dafĂŒr, dass Computerviren vor allem auf neuen Nischen die Vorreiterrolle spielen, sind TiOS.Divo und TiOS.Tigraa, die im Jahr 2007 entdeckt wurden. Es handelt sich dabei um einen Virus fĂŒr die Taschenrechner TI-89, TI-92 und Voyage 200 vom Unternehmen Texas Instruments.[13]

Literatur

  • Eric Amberg: KnowWare 183. Sicherheit im Internet. IPV, Hamburg 2004, ISBN 87-91364-38-8.
  • Klaus Brunnstein: Computer-Viren-Report. WRS Verl. Wirtschaft Recht und Steuern, MĂŒnchen 1989, ISBN 3-8092-0530-3.
  • Ralf Burger: Das große Computer-Viren-Buch. Data Becker, DĂŒsseldorf 1989, ISBN 3-89011-200-5.
  • Andreas Janssen: KnowWare 170. Viren, Hacker, Firewalls. KnowWare, OsnabrĂŒck 2005, ISBN 87-90785-83-5.
  • Eugene Kaspersky: Malware: Von Viren, WĂŒrmern, Hackern und Trojanern und wie man sich vor ihnen schĂŒtzt Hanser-Verlag, MĂŒnchen 2008, ISBN 978-3-446-41500-3.
  • Mark A. Ludwig: The Giant Book of Computer Viruses. American Eagle Publications, Show Low, Ariz. 1998, ISBN 0-929408-23-3.
  • Rune Skardhamar: Virus. Detection and Elimination. AP Professional, Boston 1995, ISBN 0-12-647690-X.
  • Peter Szor: The Art Of Computer Virus Research And Defense. Addison-Wesley, Upper Saddle River NJ 2005, ISBN 0-321-30454-3.

Weblinks

 Commons: Computerviren â€“ Sammlung von Bildern, Videos und Audiodateien

Einzelnachweise

  1. ↑ Sophos Security Report 06 (PDF)
  2. ↑ Microsoft wartet mit Bereitstellung eines Patches fast ein Jahr. Auf: golem.de
  3. ↑ Webanalyse – Betriebssysteme und GerĂ€te auf webmasterpro.de
  4. ↑ ROOTKITS: Virenfiltern droht der Knockout. In: Spiegel Online – Netzwelt
  5. ↑ Peter Ferrie, Peter Szor: Hunting for Metamorphic, Virus Bulletin Conference, September 2001.
  6. ↑ Peter Ferrie, Frederic Perriot: Detecting Complex Viruses
  7. ↑ Peter Ferrie: Zmist Opportunities. (PDF) 2001
  8. ↑ Eric Filiol: Metamorphism, Formal Grammars and Undecidable Code Mutation. In: International Journal of Computer Science 2, 2007, 1, ISSN 1306-4428, S. 70–75.
  9. ↑ Infos zu den das CMOS und das BIOS schĂ€digenden Viren
  10. ↑ Konrad Lischka: 25 JAHRE COMPUTERVIREN – Der Apfel-Fresser. In: Spiegel Online – Netzwelt, 13. Juli 2007 („Das Programm pflanzte sich ĂŒber Disketten fort, zeigte ein Gedicht, ließ ansonsten aber die befallenen Apple-Rechner unversehrt.“)
  11. ↑ Fred Cohen: Computer Viruses – Theory and Experiments.
  12. ↑ E-Zine Releases New Virus Technologies auf Trend Micro
  13. ↑ TIOS.Divo – Symantec.com
    Peter Ferrie: Virus Analysis: Lions and Tigraas (PDF)
Dies ist ein als exzellent ausgezeichneter Artikel.
Dieser Artikel wurde am 18. Oktober 2005 in dieser Version in die Liste der exzellenten Artikel aufgenommen.

Wikimedia Foundation.

Synonyme:

Schlagen Sie auch in anderen WörterbĂŒchern nach:

  • Computervirus — Virus * * * Com|pu|ter|vi|rus 〈[ pju:tə(r)vi ] m. od. n.; , vi|ren; EDVâŒȘ Programm, das sich selbst kopieren kann u. diese Kopien in andere Programme einschleust, die dann geschĂ€digt werden können * * * Com|pu|ter|vi|rus, der, auch: das (EDV):… 
   Universal-Lexikon

  • Computervirus — der Computervirus, viren (Aufbaustufe) ein sich selbst verbreitendes Computerprogramm, welches das Funktionieren anderer Programme beeintrĂ€chtigt oder zerstört Beispiel: Die Firewall schĂŒtzt den Rechner vor verschiedenen Computerviren 
   Extremes Deutsch

  • computervirus — computer virus n. A computer program that is designed to replicate itself by copying itself into the other programs stored in a computer. It may be benign or have a negative effect, such as causing a program to operate incorrectly or corrupting a 
   Universalium

  • Computervirus — Com·puÌČ·ter·vi·rus der; meist Pl, EDV; ein illegal manipuliertes Computerprogramm, das, wenn es angewandt wird, andere Programme unbrauchbar macht 
   Langenscheidt Großwörterbuch Deutsch als Fremdsprache

  • Computervirus — Com|pu|ter|vi|rus 〈[ pju:tə(r)vi ] m. od. n.; Gen.: , Pl.: vi|renâŒȘ (in zerstörerischer Absicht) in ein Computersystem unbemerkt eingeschaltetes Programm, welches das System verĂ€ndern u. schĂ€digen kann 
   Lexikalische Deutsches Wörterbuch

  • Computervirus — Com|pu|ter|vi|rus [...v...] das, auch der; , ...viren: unbemerkt in einen Rechner eingeschleustes Computerprogramm, das die vorhandene Software manipuliert od. zerstört 
   Das große Fremdwörterbuch

  • Computervirus — Com|pu|ter|vi|rus, der, auch das; , ...ren 
   Die deutsche Rechtschreibung

  • Bliss (Computervirus) — Bliss (englisch fĂŒr „GlĂŒckseligkeit“) ist ein Computervirus, der GNU/Linux Betriebssysteme befallen kann. Am 5. Februar 1997 veröffentlichte sein Autor den Quelltext. Wenn Bliss ausgefĂŒhrt wird, hĂ€ngt er sich selbst an ausfĂŒhrbare Dateien… 
   Deutsch Wikipedia

  • Tequila (Computervirus) — Vom Tequila Virus angezeigte Textmeldung samt Grafik die eine einfache Mandelbrot Menge darstellt. Der Tequilavirus war ein Computervirus der sich am Anfang des Jahres 1991 weit verbreitet hat. Trotz verbesserten Schutzmaßnahmen wurden einige… 
   Deutsch Wikipedia

  • Michelangelo (Computervirus) — Das Michelangelo Virus ist ein Computervirus, der erstmals im April 1991 in Neuseeland[1] entdeckt wurde. Das Virus sollte DOS Systeme infizieren (es griff das Betriebssystem jedoch nicht an oder fĂŒhrte interne Befehle aus; Michelangelo agierte… 
   Deutsch Wikipedia


Share the article and excerpts

Direct link

 Do a right-click on the link above
and select “Copy Link”

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.