Die Viren-Arten
Bootviren
Boot-Viren sind die ältesten bekannten Computer-Viren. Sie
nisten sich im Boot-Sektor oder Master-Boot-Record (MBR) einer Festplatte oder
Diskette ein und speichern unter Umständen den ursprünglichen Code des Boot-Sektors
in einem anderen Sektor. Der Virus wird aktiv und in den Speicher geladen,
wenn der Rechner von der Festplatte gebootet wird. Danach lädt er den Original-Boot-Sektor, so dass eine
Veränderung nicht festzustellen ist und infiziert beim Herunterfahren des
Rechners den Boot-Sektor aufs Neue.
Bei diesen Bootviren ist besonders unangenehm, das vom Bios aus, alle im Rechner
vorhanden Festplatten, Disketten oder Zip-Laufwerke und später
eingefügten Laufwerke infiziert werden. So kann es sein, dass nach
erfolgreicher Virenbeseitigung durch das Einlegen einer Diskette, die nicht
"gereinigt" wurde, der Virus sich erneut einnistet.
Natürlich können im Code des Virus auch Schadroutinen sein, die bei bestimmten
Anlässen Aktionen ausführen, die dem Anwender schaden.
Eine Entfernung ist mit Antiviren-Programmen nur möglich, wenn von einem schreibgeschützten noch nicht
infiziertem Datenträger gebootet wird, oder wenn eine Virenbeseitigung über das
Internet erfolgt.
Dateiviren
Dateiviren hängen sich an ausführbare Dateien (*.exe,*.com u.a.) an, die sich
auf der Festplatte oder anderen Datenträgern befinden. Dies Programme werden so
durch den Virus erweitert. Es kann aber auch sein, dass die Datei ganz oder
teilweise überschieben wird. Je nach dem ob sich der Virus am Ende oder in der
Datei befindet, ist die Virus Entfernung schwieriger bis unmöglich ohne die
Datei zu löschen.
Der Virus wird aktiv, wenn die infizierte Datei gestartet
wird .
Schadensroutinen, der verschiedenstes Art, wie das Senden von Mitteilungen,
Löschen von bestimmten Dateien oder das Formatieren von Festplatten werden ausgeführt.
Wie bei Bootviren kann auch über den Speicher einer Infizierung weiterer
Dateien erfolgen.
Datei-Viren sind sehr weit verbreitet. Eine Beseitigung ist mit Anti-Viren-Programmen möglich. Nach der Säuberung sollte der Rechner neu
gestartet werden. Sehr weit fortgeschrittene Viren infizieren jedoch als
ersten die Anti-Viren-Programme oder setzen diese außer Betrieb. Bei
Ihnen sollte die Beseitigung wie bei Bootviren erfolgen.
Makro-Viren
Eine Voraussetzung für die Aktivitäten der Makro-Viren sind Makrofähige
Daten-Dateien.. Die Virenhersteller habe sich natürlich auf die am
stärksten verbreiteten Office-Programme Word und Excel zuerst gestürzt.
Für die Erstellung kann man WordBasic verwendet, was es für Jeden leicht
macht Viren zu erstellen. Dies hat zu der starke Verbreitung der Makro-Viren beigetragen.
Makro Viren können die unterschiedlichten Aktionen ausführen.
Autostart-Makros werden zum Beispiel beim Öffnen des Dokumentes ausgeführt
andere werden bei verschiedenen Funktionen oder Anwender Aktivitäten aktiv. Bei
Word werden Makro-Viren vorzugsweise in der normal.dot gespeichert und ist so bei
allen geöffnete Word Dateien aktiv. Die Verwendung nicht Makrofähiger Formate
wie RTF für die Versendung kann das Problem vermeiden.
Vergleichsweise wenige Makro-Viren sind aggressiv. Der größte Schaden
entsteht durch den Reinigungsaufwand für groß Dateisammlungen.
Bei Word ist eine schnelle Beseitigung durch Löschen der normal.dot möglich, wodurch natürlich auch die
"guten" Makros verloren gehen. Eine Wiederherstellung aus einer - noch
nicht verseuchten- Sicherung ist daher vorzuziehen.
Script-Viren
Script-Viren finden sich in allen Datei die Scripte enthalten
können, so zum Beispiel Java-Scripte in Html-Dateien.
Visual Basic Script können sich ebenfalls in Html-Dateien verstecken.
Alle Script-Dateien verbreiten sich dadurch dass sie weitre Html-Dateien suchen
und finden und diese ebenfalls infizieren.
Werden diese Dateien geladen verbreitet sich der Virus auf andere Rechner in gleicher Weise.
Es werden unterschiedlich Schadensoperationen dann sofort oder zu bestimmten Terminen
ausgeführt. Die Verbreitung ist noch gering. Anti-Viren-Programme erkennen und
beseitigen Sript-Viren.
WAP-Viren
sind erst in Zukunft möglich, wenn WML (Wireless Markup Language)
weit verbreitet ist und nicht nur ein Empfange sonder auch eine Programmausführung.
möglich wird. Die schon heute darüber geführte Diskussion lässt erkenne, dass diese Viren
kommen werden.
Polymorphe Viren
Polymorphen Viren verändern, in bestimmten Abständen, zum Beispiel bei jeder Neuinfektion, ihr Aussehen
und auch oft die Aktivitäten durch Manipulation ihres Programmcodes. Da diese
Viren schwierig zu programmieren sind, sind sie seltener. Die Herstelle von
Anti-Viren-Programmen versuchen auch diesen Viren Herr zu werden.
Würmer
Ein Wurm wird - insbesondere in den Medien - oftmals mit einem Virus verwechselt.
Einer der bekanntesten Vertreter dieser Gattung in letzter Zeit war der Wurm
"CODE.RED". Ein Wurm verfügt über keinerlei Schadenroutine für den
Wirtrechner auf dem er sich einnistet. Der Sinn eines Wurms ist z.B. – wie bei
CODE.RED - der gezielte Angriff auf einen Internet-Server durch millionenfache
gleichzeitige Anfragen.
Diesen Angriff nennt man "Denial Of Service" oder kurz "DOS"-Attacke. Ein Wurm nistet sich also in Phase 1 in
Millionen Rechnern weltweit ein und schlummert vor sich hin, ohne Böses zu tun.
Dabei läuft in jedem einzelnen befallenen Rechner ein Count Down. Zur Stunde "X"
werden alle befallenen Rechner, die online sind aktiv und rufen einen bestimmten
Server (z.B. www.microsoft.com...) auf. Durch diese
konzertierte Aktion mehrere hunderttausend Rechner oder mehr geht der Server
gnadenlos in die Knie und ist für geraume Zeit nicht mehr erreichbar.
Der
Wurm hat - anders als ein Virus - eine überaus effektive Methode der
Verbreitung. Er versendet sich selbst an alle Mailadressen aus einem gefundenen
Adressbuch oder auch an die Adressen aller unbeantworteten E-Mails. Auf diese Weise dauert es nur einige, wenige Stunden, bis sich ein
Wurm weltweit millionenfach verbreitet! ( Tunarus *)
In zunehmende Maße habe jedoch die "Würmer" und "Viren" zu
gemeinsamen Aktionen gefunden, das heißt Würmer enthalten nun alle Arten von
Schadensroutinen der Virenarten und verbreiten sich durch durch immer
raffiniertere Methoden der E-Mail Gewinnung, dem Ausschalten von
Anti-Viren-Programmen und bessere Tarnung durch Absender-Adressen immer
schneller und richten zunehmend Schäden an. In der letzen Zeit bekannt
gewordene Vortreter diese neuen Generation sind: Bugbear. A, B und C. Fizzer-A
und Klez-H .
Rechner Angriffe:
Trojanische Pferde
Wie der Name schon sagt, bewirkt das Programm (auch) etwas anderes als es vermeintlich bewirken soll, ein
trojanisches Pferd eben (ich brauche Ihnen die alte griechische Sage um den Fall
Trojas vermutlich nicht vermitteln). Ein bekannter Vertreter, der von Trojanern
gern in Ihren Rechner eingeschleust wird, ist z.B. der so genannte
"BackDoorOrific". Durch dieses Programm wird einem Angreifer ein Online-Port
geöffnet, über den sich Ihr Rechner "fernwarten" lässt. Damit kann ein Fremder
über eine Internet-Verbindung auf Ihrem Rechner jedes gewünschte Programm
ausführen. Das merken Sie erst dann, wenn es zu spät ist... ( Tunarus *)
Backdoors
Wie die Trojaner sollen Backdoors Systemschwachstellen (Hintertüren)
öffnen, damit der Angreifer direkten Zugriff auf den Rechner des Opfers hat..
Schaden entsteht durch diese Dateien nicht. Ihr Zweck ist alleine dem Hacker
Zugang zu verschaffen.
Backdoors sind nicht stark verbreitet, weil in der Regel ein Hacker einen Backdoor an einen
oder mehrere bestimmte Rechner sendet. Ein Schutz gegen diesen Angriff ist mit einem
Firewall möglich.
Logische Bomben
Die "Bombe" ist ein Programmteil, der in ein nützliches Programm
eingebettet ist. Diese Programmteil enthält einen Auslöser und einer
Schadensroutine, die vom Auslöser bei einer bestimmten Aktion oder Datum
ausgelöst wird. Diese "Bomben" verbreiten sich langsam und
meist nicht sehr weit. Sie ereichen aber, vor allen durch die Ausführung an
einem bestimmten Datum eine große Aufmerksamkeit. Sie werden von
Anti-Viren-Programmen erkannt und beseitigt.
Synthesen oder Kombinationen:
Immer wenn verschiedene Typen dieser "MalWare" (so nennt man Software, die das Ziel hat, Schaden anzurichten...) zusammenkommen und sog. "Synthesen" bilden, wird es kritisch. Ein aktuelles Beispiel haben wir mit der Synthese "NimDa32". Dabei handelt es sich in erster Linie um einen Wurm, der mit seinem Hang zur raschen Verbreitung an sich schon schädlich genug wäre. Dummerweise bringt dieser Wurm auch noch ein Virus mit, das u.a. verschiedene Dateien löscht und versucht die Festplatte zu formatieren.
Abwehrmaßnahmen:
Die meisten Vireninfektionen können mühelos
mit einer gesunden Portion guten Menschenverstandes auch ohne Top – Virenscanner
und Hochsicherheitstrakt – PC verhindert werden.
Beispiel
„I-love-you.doc.vbs”:
Bei diesem Gesellen handelte es sich um eine
Synthese zwischen einem Wurm (-> effektive Verbreitung über das Adressbuch
von Outlook Express) und einem Visual Basic Script (-> Endung VBS). Dieses
Script löschte u.a. Dateien mit einer bestimmten Endung (z.B. JPG - Bilder).
Jetzt aber zum Thema "gesunder Menschenverstand": Wenn Ihnen ein
Geschäftsfreund, mit dem Sie vielleicht noch nicht einmal beim „Du“ angekommen
sind, eine Email mit dem Anhang „I-love-you“ schreibt, dann sollten Sie ihn vor dem Öffnen des Anhangs besser anrufen und fragen, ob er noch alle
Tassen im Schrank hat. :)
Zusammenfassend kann man folgende Regeln aufstellen:
1.) Nicht alles aufrufen
("doppelklicken") das man nicht vorher einwandfrei identifiziert hat und
dessen vertauenswürdige Quelle zweifelsfrei feststeht.
2.) Selbstdisziplin
geht vor Neugier. Dateien, die Ihnen verdächtig
erscheinen, sollten Sie im Zweifelsfall gnadenlos löschen ohne sie
aufzurufen.
3.) Systemsicherheit. Dazu gehört ein aktueller Virenscanner
(unter >>aktuell<< versteht man im Allgemeinen höchstens wenige Tage
alt, nach dem letzten Update!). ( Tunarus *)
Falschmeldungen
Hoaxes
Ein Hoax ist eine sehr eindringliche Warnung vor einem vermeintlich sehr gefährlichen
Virus, der anscheinend aus einer vertrauenswürdigen Quelle, wie z.B. support@aol.com oder
webmaster@t-online.de oder ähnlichem stammt. Der HOAX hat keinerlei Schadenroutine und ist gänzlich ungefährlich.
Das
Funktions-Prinzip eines solchen Hoax ist eigentlich relativ simpel. Aus lauter
Angst vor einem gefährlich Virus mailen sich die Anwender - wie aufgefordert -
eine Warnung zu. Im Schneeballprinzip wird dabei u.U. eine Netzlast erzeugt, die
selbst sehr leistungsfähige, breitbandige Backbones von großen Providern wie AOL
und T-Online ins Schwitzen bringt!
Wenn alle User 1 - 2 Dutzend Mails oder
mehr schreiben (durchschnittlicher Umfang eines Adressbuches), dann kann der
Server bei einigen Providern einpacken.
Wie erkennst man einen solchen
HOAX?
-Ein Hoax kommt meist aus einer vermeintlich sehr
seriösen Quelle.
-Ein Hoax enthält immer die eindringliche
(...unbedingt...) Aufforderung allen Freunden eine
Warnung zu mailen.
-Ein Hoax berichtet immer über unglaubliche
Zerstörungswut des vermeintlichen Virus
Was macht man mit einer
HOAX-Mail?
-Ganz leicht die drei "L" ... löschen, lachen, Liedchen pfeifen
;-))
Vielleicht schreiben Sie dem vermeintlich gutmeinenden Freund, der Ihnen
gehorsam diese Warnung zugesendet hat, einen Hinweis auf die Harmlosigkeit
dieser Mail. ( Tunarus *)
Böse Scherze
Allgemeines.
Diese Programme, die nicht schädlich sind, aber trotzdem Benutzer zur
Verzweiflung bringen können, werden überwiegend von Freunden oder Kollegen
verbreitet, eine Virenartige Verbreitung ist denkbar, jedoch noch nicht bekannt
geworden. Zu den "Scherzen" gehören: Herabfallende Buchstabe,
Größen Veränderung der Schrift, wackelnde Bildschirme oder Bildschirmteile,
auftauchende Textzeilen, Bilder, Pop-Up-Fenster sowie die Erzeugung
"komischer" Töne oder Geräusche. Natürlich auch in Kombination.
Diese Programme gibt es auf CD-ROM zu kaufen und im Internet zu laden. Da
sie alle zu den "bösen Scherzen" gehören, verrate ich die Adressen
nicht. Für die Beseitigung müssen im allgemeine alle automatisch
startenden Programme deaktiviert werden und durch einzeln wieder
einschalten, der Störenfried ermittelt werden. Anti-Viren-Programme
beschäftigen sich mit diesen Programmen , da sie nicht schaden meist nicht.
Witzprogramme
Diese Programme werden geschrieben um jemanden zu erschrecken zu ärgern oder auch zu erfreuen.. Sie sind nicht schädlich und
vermehren sich auch nicht . Nach dem Start eines derartigen Programms fängt der Computer
an eine Melodie zu spielen, irgend etwas auf dem Bildschirm darzustellen oder etwas
zu simulieren. Dabei sind herunter fallende Buchstaben oder durch die Gegend rasende Mauspfeile die ärgerlichen Varianten.
die auch mal Benutzer zur Verzweiflung bringen können. Etwas Überlegung, was
habe ich gerade erhalten oder installiert befreit meist von dem Witzprogramm.
Werbeprogramme
Diese sind eine Abart der Witzprogramme. Sie sind auch nicht schädlich und
vermehren sich nicht. Meist werden Sie durch Tauschprogramme für Musik
und Videos verbreitet und senden eine Werbebotschaft an den überraschten
Benutzer.
Danksagung:
Die Anregung zur Erstellung der Viren Seiten erfolgte von Mario Linke http://webhouse-ml.de
die von Ihm damals übergeben Text bildeten das Grundgerüst der Seiten, die
jedoch inzwischen überwiegend erneuert wurden.
* Tunarus hat verschiedene Beiträge für diese Seite zur Verfügung gestellt: http://www.stoeberbox.de
© 2002,2003,2004 Walter Scheffel