|
Was sind Computerviren ?
ausführbare Computerprogramme
wie biologische Viren suchen sie nach einem Host und hängen sich an diesen an, z.B. an den Bootsektor im Startbereich eines Computers oder an eine ausführbare Datei.
nach der Infektion breitet es sich auf benachbarte Elemente aus
Wenn dieses Element häufig von vielen Benutzern verwendet oder weitergegeben wird, kann sich der Virus sehr weit verbreiten.
ein Virus kann infizieren
Programmdateien
Bereiche, in denen keine Daten gespeichert sind, da sie zum Starten des Computers verwendet werden – Bootsektoren
Makrofähige Datendateien
Datenträger für den Austausch von Programmen
der Computer beim Herunterladen von Dateien aus Online-Diensten
eine Datei, bevor sie an eine E-Mail angehängt wird.
ein Virus kann die folgenden Elemente nicht infizieren….
Geräte
Grafikdateien, Dateien ohne Makrofähigkeit
Software-Elemente, die keine Programmdateien sind
schreibgeschützte Datenträger
der Computer, wenn Online-Texte nur gelesen werden.
textbasierte eMails
Trojanische Pferde werden oft mit Viren verwechselt.
sie vermehren sich nicht, weshalb sie keine Viren sind.
ein Trojanisches Pferd (Im Computerbereich ist ein Trojanisches Pferd oder Trojaner ein bösartiges Computerprogramm, das verwendet wird, um sich in einen Computer zu hacken, indem es die Benutzer über seine wahre Absicht täuscht) ist ein Programm, da
s nützlich und interessant zu sein scheint.
Ermutigt den Benutzer, es zu starten
es hat einen geheimen Zweck, z.B. Dateien zu zerstören, den Computer auszuspionieren oder einen Virus zu infiltrieren.
Infektion
Computerviren werden aktiviert, wenn ein infiziertes Programm ausgeführt oder von einem infizierten Bootsektor gestartet wird.
Nach der Aktivierung verbreiten sich Computerviren auf zwei Arten, abhängig von ihrem Zweck, der direkten Infektion.
speicherresidente Infektion
direkte Infektion
Virus wird aktiviert, sobald die infizierte Datei ausgeführt wird.
übernimmt die Kontrolle über das System und sucht nach “sauberen” Dateien, die noch nicht infiziert sind.
Wenn das infizierte Programm geschlossen wird, kann der Virus auch keine weiteren Infektionen mehr durchführen.
speicherresidente Infektion
Virus verhält sich ähnlich wie ein speicherresidentes Programm
übernimmt die Kontrolle, sobald sie aktiviert wird.
bleibt im System, bis der Speicher durch Ausschalten oder Neustart gelöscht wird.
auch wenn das infizierte Programm geschlossen ist.
Trigger TriggerAuslöser
einige Viren sind mit einer beliebigen Inkubationszeit verbunden
nachdem der Virus aktiviert wurde, wartet er auf einen Auslöser, um ihn zu aktivieren.
z.B. ein bestimmtes Datum, den Ablauf von 60 Minuten nach dem Start des infizierten Programms oder die siebte Programmdatei, auf die der Virus trifft.
einige Viren verwenden auch einen zufälligen Auslöser
Ladung
Einige Viren setzen eine Ladung frei, wenn der entsprechende Auslöser aktiviert wurde.
Einige Viren leeren jedoch ihre Ladung, sobald sie aktiviert werden.
Laden kann destruktiv sein, z.B. Festplatten formatieren oder Dateien zerstören.
andere sind relativ gutartig und zeigen nur einige Meldungen auf dem Bildschirm an.
nicht alle Viren geben notwendigerweise ihre Aktivität an, auch wenn sie ihre zerstörerische Arbeit bereits begonnen haben.
z.B. “Ripper” macht willkürliche Änderungen an den Dateien auf einer Platte so langsam, dass dies normalerweise nicht bemerkt wird.
Virenziele
Viren werden nach ihren Zielen kategorisiert: Programmviren, Bootviren, Makroviren
Programm-Viren
Programmdateien infizieren, die üblicherweise folgende Erweiterungen haben: COM, EXE, SYS, DLL (Dynamic-Link-Library ist Microsofts Implementierung des Shared-Library-Konzepts in den Betriebssystemen Microsoft Windows und OS/2), OVL (Overlaying bedeutet im allgemeinen EDV-Sinn “das Übertragen eines Programmcodeblocks oder anderer Daten in den internen Speicher, das Ersetzen dessen, was bereits gespeichert ist”), SCR
Am häufigsten sind Standard-DOS-Programme (COM und EXE) Ziel von Viren.
Programmdateien sind attraktive Ziele für Programmierer
werden von vielen genutzt und haben relativ einfache Formate, an die sich Viren leicht anhängen können.
Wie andere Programme müssen auch Programmviren für ein bestimmtes Betriebssystem geschrieben werden.
die Mehrheit wurde für DOS geschrieben, aber es gibt auch einige für Win 3.x, Win 95 und sogar für UNIX (Unix ist eine Familie von Multitasking, Multiuser-Betriebssystemen, die vom ursprünglichen AT&T Unix abstammen, entwickelt in den 70er Jahren im Bell Labs Forschungszentrum von Ken Thompson, Dennis Ritchie und anderen).
alle Windows-Versionen sind DOS-kompatibel und können daher auch DOS-Viren enthalten.
Wie verhalten sich DOS-Viren in den einzelnen Windows-Versionen?
Windows-Version: Virus-Verhalten
Windows 3.x – die meisten DOS-Viren können sich in dieser Umgebung gut verbreiten.
Win 3.x verwendet DOS für alle seine grundlegenden Datei-Funktionen
Windows 95 – Win 95 (Windows 95 ist ein von Microsoft entwickeltes verbraucherorientiertes Betriebssystem) ist mit fast jedem älteren Programm kompatibel.
also auch bei Programmviren
Wenn ein speicherresidenter Virus, der Bootsektoren infiziert, aktiv ist, kann Win 95 beim Start Warnmeldungen anzeigen und die Systemleistung kann sich verschlechtern.
Windows NT – Win NT ist am wenigsten DOS-kompatibel, bietet aber trotzdem eine gute Umgebung.
für Programmviren
speicherresidente Viren können nur in DOS-Sitzungen Infektionen verursachen und verbreiten.
am Ende der DOS-Sitzung wird der Virus deaktiviert, bis eine weitere
infiziertes Programm wird in einer DOS-Sitzung gestartet
Boot-Viren Boot-Viren
die Systembereiche von Festplatten und Disketten, die keine Dateien enthalten, zu infizieren.
sind erfolgreicher als Programmviren in Bezug auf Proliferation und Infektion ihrer Zielmoleküle.
alle Festplatten und Disketten haben Bootsektoren
eine Diskette muss keine Systemdiskette sein (Eine Diskette, auch Diskette, Diskette oder einfach Diskette genannt, ist eine Art Plattenspeicher, der aus einer Platte aus dünnem und flexiblem magnetischen Speichermedium besteht, die in einem rechteckigen Kunststoffgehäuse versiegelt ist, das mit einem Gewebe ausgekleidet ist, das Staubpartikel entfernt).
Im Gegensatz zu Programmviren können fast alle Bootviren DOS, Windows 3.x (Windows 3.1x ist eine Reihe von 16-Bit-Betriebsumgebungen, die von Microsoft für den Einsatz auf PCs entwickelt wurden), 95, NT und sogar Novell (Novell, Inc) ausführen.
Infizieren von Netware (NetWare ist ein von Novell, Inc. entwickeltes Computer-Netzwerk-Betriebssystem.
sie nutzen nicht das Betriebssystem, sondern grundlegende Funktionen des Computers, um sich zu verbreiten.
und zum Aktivieren
ein interessanter Aspekt von Windows NT (Windows NT ist eine Familie von Betriebssystemen von Microsoft, deren erste Version im Juli 1993 veröffentlicht wurde) ist, dass es alle Bootviren starten kann (falls es noch starten kann).
erwerbsunfähig
Der Virus kann während der Windows-Sitzung nicht aktiv werden.
Gefahr! Bei jedem Systemstart wird der Virus aktiviert und kann über seine Last verfügen.
z.B. Stoned.Michelangelo, der am 6. März zufällig Bytes auf jeden Zylinder der Festplatte schreibt.
Erstens werden die Hauptsystembereiche, die der Computer zum Starten verwendet, in Bruchteilen einer Sekunde zerstört.
jetzt ist es einfach unmöglich, den Virus davon abzuhalten, alle Daten auf der Festplatte zu zerstören.
Makroviren
Datendateien makrofähig zu infizieren und stellen die neueste Gefahr dar.
Dokument- und Vorlagendateien aus z.B. MS Word können zu Opfern werden.
Verbreitung durch den Austausch infizierter Dokumente oder das Herunterladen solcher Dokumente.
Dokumente aus dem Internet in kürzester Zeit
Ältere Anwendungen enthalten Makrosysteme, mit denen Sie eine Folge von Aktionen aufzeichnen können.
heute gibt es viel komplexere Makrosysteme, mit denen man komplette Makroprogramme schreiben kann.
Makroprogramme laufen dann in einer Textverarbeitungs- oder Tabellenkalkulations-Umgebung (Eine Tabellenkalkulation ist eine interaktive Computeranwendung zur Organisation, Analyse und Speicherung von Daten in tabellarischer Form).
Makros werden an die Datendatei angehängt.
diese sehr leistungsfähige Funktion erlaubt leider auch die Erzeugung von Makroviren
infiziertes Dokument wird geladen – durch die Möglichkeit der sofortigen, automatischen Ausführung des
integrierte Makros, der Virus übernimmt die Kontrolle über das Makrosystem
es wartet auf das Öffnen oder Anlegen eines neuen Dokuments
Er hängt seine Virenmakros an diese Dokumente an und lässt die Anwendung das Dokument dann wie gewohnt verwenden.
auswendig lernen
damit sich der Virus unauffällig in eine neue Datei ausbreitet.
die Anwendung dient dem Virus als “Betriebssystem (Ein Betriebssystem ist eine Systemsoftware, die Computerhardware und -software verwaltet und gemeinsame Dienste für Computerprogramme bereitstellt)” – ein einzelner Virus unter MS Word (Microsoft Word ist eine von Microsoft entwickelte Textverarbeitung) kann somit unter Win 3.x laufen,
Einsatz von Win 95, Win NT und dem Macintosh (Der Macintosh ist eine Reihe von PCs, die von Apple Inc. entworfen, entwickelt und vermarktet werden).
Virentechnologien
Programm- und Bootviren werden ebenfalls nach den Technologien kategorisiert, mit denen sie sich verbreiten und ihre Erkennung verhindern.
Stealth oder Stealth-Viren
Versuchen Sie, Analysen oder Entfernungen zu vermeiden.
z.B. werden Festplattenlesungen umgeleitet, um eine nicht infizierte Kopie des Originalobjekts zu präsentieren.
oder Ordnerdaten für die infizierten Programmdateien geändert werden – Größen-Tarnung
z.B. ist das Wal-Virus ein Virus mit Größen-Tarnung.
es versucht, die Ordnereinträge von infizierten EXE-Dateien zu manipulieren
Es fügt 9216 Bytes zu einer infizierten Datei hinzu.
da Änderungen in der Dateigröße einen Virus anzeigen, subtrahiert er dann die gleiche Anzahl von Bytes von den
im Ordnereintrag angegebene Dateigröße
Dies erweckt den Eindruck, dass die Datei nicht verändert wurde.
Polymorphe Viren
Die meisten einfachen Viren hängen identische Kopien von sich selbst an die zu infizierenden Dateien an.
Antivirenprogramm kann den Code des Virus erkennen, da er immer derselbe ist, und schnell erkennen.
polymorphe Viren verschlüsseln ihren Virencode, wenn sie ein Programm infizieren.
keine zwei Infektionen durch den gleichen Virus identisch sind und die Erkennung erschwert wird
Proxy-Viren
sind die Ausnahme von der Regel, dass sich ein Virus immer an eine Datei anhängt.
der Proxy-Virus erstellt stattdessen eine neue Datei und vertraut der DOS-Eigenschaft, diese Datei
statt der Programmdatei, die normalerweise ausgeführt wird.
einige erstellen eine COM-Datei mit dem gleichen Namen wie eine bestehende EXE
z.B. erzeugt ein Virus eine Datei namens CHKDSK.COM im gleichen Verzeichnis wie eine Datei namens
CHKDSK (CHKDSK ist ein Systemwerkzeug unter DOS, OS/2 und Windows) .EXE
wenn DOS wählen muss, führt es die COM-Datei aus (eine COM-Datei ist eine Art einfache ausführbare Datei).
Hybrid-Viren >
sind sowohl Programm- als auch Bootviren
z.B. das Tequila-Virus
Starten eines infizierten Textverarbeitungsprogramms (Ein Textverarbeitungsprogramm ist ein elektronisches Gerät oder eine Computersoftware, das die Aufgabe hat, Dokumente zu erstellen, zu bearbeiten, zu formatieren und zu drucken) aktiviert den Virus und infiziert den Master-Boot-Sektor.
auf der Festplatte
Beim nächsten Start des Computers wird der Virus reaktiviert und infiziert jedes gestartete Programm.
Einleitung einiger Viren
Peter – verschlüsselt die Festplatte am 27. Februar und es werden Fragen zur Musik gestellt.
Wenn sie richtig beantwortet werden, wird der Virus inaktiv.
Smiley – lächelnde Gesichter erscheinen auf dem Bildschirm
Stoned.Michelangelo (Michelangelo di Lodovico Buonarroti Simoni war ein italienischer Bildhauer, Maler, Architekt und Dichter der Hochrenaissance, der einen beispiellosen Einfluss auf die Entwicklung der westlichen Kunst ausübte) – beim Start am 6. März überschreibt er die Festplatte mit dem Inhalt des Arbeitsspeichers.
Swiss Boot – enthält eine Nachricht über die Auflösung der Schweizer Armee
Ugly Jo – veranlasst den Computer am 27. Juli neu zu starten und macht ihn unbrauchbar.
andere Viren formatieren zusätzliche Spuren auf Disketten, um sich dort festzuhalten.
Musik abspielen, harmlose Nachrichten erscheinen lassen, den Bildschirm umdrehen, etc.
Was tun gegen Viren?
hochwertige Antivirenprogramme
Norton AntiVirus (Norton AntiVirus ist eine Anti-Malware-Software, die von der Symantec Corporation seit 1991 als Teil ihrer Norton-Familie von Computersicherheitsprodukten entwickelt und vertrieben wird), McAffee
Erkennen von Viren anhand ihrer charakteristischen Eigenschaften oder Virensignaturen
Diese speicherresidenten Programme melden auch Aktivitäten, die auf Viren hinweisen.
z.B. schreibt in den Bootsektor (Ein Bootsektor ist ein Bereich einer Festplatte, Diskette, optischen Diskette oder eines anderen Datenspeichers, der Maschinencode enthält, der von der eingebauten Firmware eines Computersystems in den Arbeitsspeicher geladen wird) oder Änderungen an Programmdateien.
so dass auch unbekannte Viren erkannt werden können.
Virenschutz muss auf dem neuesten Stand gehalten werden – durch kostenlose Updates, z.B. aus dem Internet .