Navigationshilfe

 

Hauptnavigation

Seiteninhalt

Was sind Viren?

Viren sind Programme, die dem Benutzer eines Computers auf verschiedenste Art Schaden zufügen wollen, in dem sie Daten löschen, verändern, ausspionieren oder das Ausführen anderer Software negativ beeinflussen. Der Unterschied zwischen einem Computervirus und anderen Programmen ist, dass Viren so gestaltet sind, dass sie sich selbst replizieren. Diese Selbstreplikation findet normalerweise ohne das Wissen der Benutzer statt. Viren enthalten oft so genannte Payloads. Payloads sind Vorgänge, die der Virus selbständig und getrennt von der Selbstreplikation ausführt. Diese Payloads können variieren, von nervend - z.B. bringt der WM97/Class-D-Virus Nachrichten auf den Bildschirm, wie "I think 'username' is a big stupid jerk!" - bis zu katastrophal wie der CIH-Virus. Er versucht das Flash-BIOS zu überschreiben, was irreparable Schäden auf einigen Rechnern verursachen kann.

Grafik wm97_virus.gif
Beispiel Verhalten eines Payloads des WM97/Class-D-Virus

Viren können in Programmen auf Disketten oder CDs, in E-Mail-Anhängen oder in Dateien aus dem Internet versteckt sein. Hat der Virus kein offensichtliches Payload, bemerkt der Benutzer unter Umständen überhaupt nicht, dass sein Computer infiziert ist. Ein Computer, auf dem sich eine aktive Kopie eines Virus befindet, wird als infiziert betrachtet. Die Art und Weise, in der ein Virus aktiv wird, hängt davon ab, um welche Schadensroutinen der Virus in sich trägt. Nach den Schadensroutinen kann eine Klassifizierung der Viren vorgenommen werden. Man unterscheidet im Wesentlichen zwischen Makroviren, Bootsektorviren und Programmviren. Eine gefährliche Variante der Programmviren sind Trojanische Pferde. Neben den Viren gibt es auch falsche Virenwarnungen (Hoaxes), die den ungeschulten Benutzer verleiten sollen, sich durch angebliche Schutzmaßnahmen mit einem Virus zu infizieren und Würmer, die Möglichkeiten zur Selbstverteilung besitzen.

Makroviren

Ein Makro ist eine Anweisung, die Programmbefehle automatisch ausführt. Viele der üblichen Anwendungen, wie Textverarbeitung, Tabellenkalkulation und Diapräsentationen, nutzen Makros. Makroviren sind Makros, die sich selbst replizieren. Greift ein Benutzer auf ein Dokument zu, das ein Virenmakro enthält, und unbeabsichtigt diesen Virus startet, kann er sich selbst in die Startdateien der Anwendung kopieren. Der Computer ist nun infiziert - eine Kopie des Makrovirus befindet sich auf dem Computer.
Jedes Dokument, das auf diesem Rechner mit derselben Anwendung benutzt wird, wird so infiziert. Befindet sich der Computer innerhalb eines Netzwerks, kann die Infektion leicht auf andere Computer des Netzwerks übertragen werden. Auch wenn eine Kopie der infizierten Datei an andere Personen weitergegeben wird (z.B. über E-Mail oder Diskette), kann sich der Virus auf dem Computer des Empfängers ausbreiten. Die weitere Infizierung kann nur gestoppt werden, wenn der Virus erkannt wird und die Makros gelöscht werden. Makroviren sind der häufigste Virentyp, denn viele übliche Anwendungen lassen Makros zu. Makroviren können schon mit sehr wenig Expertenwissen geschrieben werden, und sie verbreiten sich auf jeder Plattform, auf der die entsprechende Anwendung läuft. Jedoch ist der Hauptgrund für ihren "Erfolg", dass Dokumente viel häufiger ausgetauscht werden als Programmdateien - eine direkte Folge der hohen Popularität von E-Mail und Internet.

Bootsektorviren

Der Bootsektor ist die erste Software, die auf Ihrem Computer geladen wird. Dieses Programm befindet sich auf einem Datenträger, in der Regel auf der Festplatte. Wird ein Computer angeschaltet, lokalisiert und startet die Hardware automatisch das Bootsektorprogramm. Dieses Programm lädt den Rest des Betriebssystems in den Speicher. Ohne einen Bootsektor kann ein Computer keine Software starten. Ein Bootsektorvirus infiziert den Computer, indem er den Inhalt des Bootsektorprogramms verändert. Er ersetzt den richtigen Inhalt mit seiner eigenen infizierten Version. Ein Bootsektorvirus kann einen Rechner nur dann infizieren, wenn der Virus zum Hochfahren benutzt wird. So findet eine Infektion meist nur durch eine infizierte Diskette statt, die beim Start des Computers im Laufwerk vergessen wurde. Durch Veränderung der Boot-Optionen im BIOS ist leicht eine Infektion zu verhindern, neuere Computer überwachen zudem den Bootsektor, deshalb sind Bootsektorviren heute nicht mehr so verbreitet. Sie sind dennoch gefährlich, da bei einer Infektion der Reparaturaufwand enorm sein kann, da unter Umständen das Betriebssystem beschädigt/verändert wird und der Computer somit unbrauchbar gemacht werden kann. Anderen Varianten, wie der Parity-Boot-Virus täuschen dem Benutzer Speicherfehler vor.

Programmviren

Programmviren fügen sich selbst an Programme also an ausführbare Dateien an. Wenn ein Benutzer ein Programm startet, das einen Programmvirus enthält, wird der Virus heimlich zuerst gestartet. Um dem Benutzer seine Existenz zu verbergen, lässt der Virus das Originalprogramm starten. Der Programmvirus hat die gleichen Rechte wie das Programm, an das er angefügt ist, da das Betriebssystem ihn als Teil dieses Programms versteht. Diese Rechte erlauben es dem Virus, sich zu replizieren, sich im Speicher zu installieren oder sein Payload zu starten. Wenn keine Antivirensoftware vorhanden ist, ist es nur das Payload, das den Verdacht auf einen Virus wecken kann. Ein bekannter Programmvirus namens Jerusalem hat ein Payload, das die Geschwindigkeit des Systems drosselt und möglicherweise jedes Programm löscht, das der Benutzer starten will.

Trojanische Pferde

Trojanische Pferde sind Programme, die neben scheinbar nützlichen auch nicht dokumentierte, schädliche Funktionen enthalten und diese unabhängig vom Computer-Anwender und ohne dessen Wissen ausführen. Im Gegensatz zu Computer-Viren können sich Trojanische Pferde jedoch nicht selbständig verbreiten. Mit der zunehmenden Zahl von Internet Service Providern, die ihren Kunden ihre Dienstleistungen ebenfalls in Rechnung stellen, verbreiteten sich Trojanische Pferde auch auf dem Personal Computer.
Dabei geht es in der letzten Zeit nicht mehr allein um die Erfassung der Zugangsdaten des Opfers zum Internet. Vielmehr wird mittels Trojanischer Pferde versucht, andere vertrauliche Daten zu erfassen wie Administratorkennwörter oder Online-Banking-Daten. Außerhalb des privaten Bereiches gibt es darüber hinaus folgende Gefahren durch Trojanische Pferde:
  • Der Schutz vertraulicher Daten auf vernetzten Computern (z. B. Personendaten, Konstruktionsunterlagen, Kalkulationsdaten usw.) ist bei Befall mit Trojanischen Pferden oder Computer-Viren nicht mehr gesichert. Diese Daten können verändert, gelöscht oder ausspioniert und über das Netz an den Angreifer verschickt werden. Dieser "Datendiebstahl" kann unbemerkt bleiben, weil im Gegensatz zum Diebstahl materieller Dinge nichts fehlt.
  • Computer erbringen Dienstleistungen wie z. B. Fahrplanauskünfte. Die korrekte Arbeitsweise dieser Computer kann durch entsprechende Manipulationen beeinträchtigt werden.
  • Bei der Nutzung von Computern durch Unbefugte können hohe Kosten an anderer Stelle (z. B. Telefongebühren) entstehen.
In der einfachsten Form sind Trojanische Pferde Programme, die dem Angreifer die reinen Nutzdaten (beispielsweise Anmeldenamen, Passwort) über eine Netzverbindung übermitteln. Es gibt aber noch weitaus komplexere Tools wie Subseven oder Back Orifice, die die Steuerinformationen des verseuchten Rechners übermitteln. Dem Angreifer wird somit ermöglicht, den kompletten Rechner "fern zubedienen", als säße er selbst an der Konsole des angegriffenen Rechners.

Hoaxes (elektronische "Enten")

Mittels E-Mail werden seit ca. 5 Jahren häufig "Virus-Meldungen" verschickt, die vor einem "ganz neuen, gefährlichen" Virus warnen, der schon beim bloßen Lesen einer E-Mail aktiviert wird und sofort Daten löscht oder die Festplatte formatiert. Diese Meldungen stimmen jedoch nicht, sie sollen nur ungeschulte Computernutzer bei ihrer Hilfsbereitschaft und Gutmütigkeit ansprechen und zu schädlichen Aktionen veranlassen.
Eine solche Meldung wird deshalb als Hoax (englisch für Zeitungsente) bezeichnet. Jeden Monat werden ca. 300 neue Viren und ähnliche schädliche Software bekannt. Würden sämtliche Hersteller nach Entdeckung eines neuen Virus Warnungen per E-Mail verschicken würden Sie wahrscheinlich mehrere hundert Warnhinweise pro Tag erhalten.
Der Anwender kann Hoaxes an vier charakteristischen Merkmalen erkennen:
  • Der E-Mail-Empfänger wird überwiegend dazu aufgefordert, die Meldung an möglichst viele andere Nutzer zu verteilen.
  • Es wird meistens von einem neuen noch unbekannten Virus gesprochen, den Anti-Viren-Programme nicht finden würden. Oft wird auch der ungeschulte Nutzer verängstigt das dieser Virus schon beim Lesen der E-Mail Daten löscht.
  • Die Information wird oft im Namen einer Autorität, einer Institution oder eines Unternehmens ausgegeben, beispielsweise von der Polizei, von Microsoft, von AOL, etc. Wichtig ist es zu wissen, dass diese Autoritäten, Institutionen oder Unternehmen Endbenutzer niemals per E-Mail über Virenwarnungen informieren.
  • Die originale E-Mail-Adresse des ursprünglichen Absenders oder eine konkrete WWW-Adresse ist nicht vorhanden.
Beim Erhalt einer solchen E-Mail ist dringend zu empfehlen diese zu löschen, Weiterleitungen belasten unnötig die weltweiten E-Mail-Systeme.

Würmer

Neben Viren ist der Begriff der Würmer in den letzten Jahren in aller Munde. Im Gegensatz zu den oben erwähnten Viren, benötigen sie keinen "Wirt" (Makro, Bootsektor oder Programmdatei) für ihre Verbreitung. Sie kopieren sich selbst und nutzen Kommunikationskanäle zwischen Computern, um sich zu verteilen. Viele neuere Viren, wie z. B. Kakworm (VBS/Kakworm) oder der Loveletter-Virus (VBS/Lovelett-A) weisen neben Ihren Schadensroutinen ein Wurmverhalten auf, da sie sich selbst per E-Mail an andere Anwender verteilen.

 

geändert am 26. Oktober 2004  E-Mail: Webmasterpresse@uni-frankfurt.de

|

| Zur Navigationshilfe
empty

Seitenabschlussleiste


Druckversion: 26. Oktober 2004, 09:21
http://www.uni-frankfurt.de/org/hrz/services/soft/antivirus/vireninfo.html