|
Sie sind Hier:
Startseite
Service
Viren und Sicherheit
Viren
Was sind Viren
Inhalt:
-
Was
sind Computerviren?
-
Verbreitungswege
von Computerviren
-
Klassifikation
von Computerviren
-
Probleme
und Schäden durch Computerviren
-
Wie
können Computerviren erkannt werden?
-
Wie
lassen sich Computerviren entfernen?
-
Wie
kann man sich vor Computerviren schützen?
-
Zusätzliche
Informationen (Links)
Was sind
Computerviren?
Was ist
eigentlich ein Computervirus? Wie funktioniert
er? Als Antwort versuchen wir zuerst einen kleinen
Vergleich mit der Biologie. Man stelle
sich einen biologischen Virus vor, etwa einen,
der uns im Winter eine böse Virusgrippe beschert.
Im menschlichen Körper dringen die winzigen
Viren in Wirtszellen ein und verfälschen deren
Informationen so, dass diese Zellen von nun
auch den Virus produzieren, ihn also vervielfältigen.
So ganz nebenbei verursachen sie auch noch heftigen
Schaden: Man wird krank, bekommt die Grippe
und steckt seine Mitmenschen fleißig weiter
an. Werden erkrankte Personen nicht frühzeitig
behandelt oder gar geimpft, ist eine Epidemie
unvermeidlich.
Bei Computerviren
passiert Ähnliches. Es handelt sich um kleine,
absichtlich (!) erzeugte Programme, die von
ihrem Programmierer irgendwann einmal in ein
beliebiges Wirtsprogramm eingesetzt wurden.
Beim Aufruf dieses Wirts, z.B. einer Textverarbeitung,
wird der Virus aktiv und sucht sich mindestens
ein weiteres Programm, das er noch nicht befallen
hat und infiziert auch dieses. Viren sind selbstreproduzierend.
Ein Computervirus ist also ein Programm, das
speziell entwickelt und geschrieben wurde, um
Ihren Computer ohne Ihr Wissen oder Ihre Erlaubnis
zu beeinflussen und zu manipulieren und sich
dabei noch selber zu vervielfältigen. Etwas
technischer ausgedrückt ist ein Computervirus
ein Programm, das sich selbst reproduziert,
indem es sich an andere Programme anhängt oder
diese sogar überschreibt (und damit zerstört).
Er vervielfältigt sich dadurch nicht nur auf
Ihrem System, sondern auch in Netzwerken oder
über Disketten, also generell über Datenträger.
Wird ein infiziertes Programm aktiviert oder
- bei Bootviren - der Computer neu gestartet,
wird der eigentliche Virus mit aktiviert und
kann sich weiterverbreiten. Oft wartet ein Virus
einfach nur im Speicher des Computers auf den
Start eines Programms oder auf einen Festplattenzugriff,
in den er sich dann einhängt und so seine Aktionen
versteckt. Computerviren entstehen also nicht
zufällig durch irgendeinen Fehler im System
(zumindest ist die Wahrscheinlichkeit, dass
solches passiert vernachlässigbar gering), sondern
sie müssen absichtlich von jemandem mit einem
bestimmten Ziel erzeugt (entwickelt und geschrieben)
werden.
Doch das
ist nicht alles. Die Verbreitung allein wäre
ja an sich nichts Schlimmes, sieht man einmal
von den verbratenen Rechnerressourcen wie Prozessorzeit
und Speicherplatz ab. Leider haben fast alle
Viren neben dem Vervielfältigungsteil noch einen
anderen Programmteil, die sog. Schadensroutine
(engl.: Payload). Dies ist der Programmteil
des Virus, der dem Anwender oft den größten
Schaden zufügt. Meistens wird diese Schadensroutine
mit dem Eintreten eines bestimmten Ereignisses,
des so genannten Triggers (engl.: Abzug, Auslöser),
ausgelöst. Das kann eine bestimmte Uhrzeit oder
ein Datum, eine bestimmte Tastenkombination,
der Start eines bestimmten Programms oder etwas
anderes sein. Die Schadensroutine kann dabei
alle per Programm möglichen Aktionen ausführen.
Die Spanne reicht hier von einfachen Bildschirmausgaben
über Computerabstürze und schleichende oder
sofortige Datenzerstörung bis hin zur Zerstörung
des sog. Flash-BIOS neuerer Computersysteme.
Durch diese Schadensroutinen werden Viren zu
Zeitbomben: Ist der Auslösezeitpunkt erreicht,
kommt der Moment, an dem der Anwender die Infektion
in der Regel erst bemerkt, denn der Virus beginnt
mit seinen sichtbaren Aktionen.
Man kann
Viren nach der Art ihrer Schadensroutine in
"gutartige" und "bösartige" Viren einteilen.
Gutartige Viren wurden eigentlich nur zu dem
Zweck entwickelt, Sie ein bisschen zu ärgern
und nicht, um Ihren Computer zu beschädigen.
Meistens verbreiten sie sich nur und geben unter
Umständen nervende Meldungen oder Bildchen auf
dem Bildschirm aus.
Bösartige Viren hingegen
fügen dem Wirtsrechner Schaden zu, der aber
nicht unbedingt bewusst angerichtet wird. Eine
große Anzahl dieser Viren verursacht nur durch
interne Programmierfehler irgendwelche Schäden.
Diese Art von Viren ist aber oft auch für absichtliche
Datenzerstörung verantwortlich, sei es, wenn
einzelne Dateien gelöscht oder zerstört werden,
oder gleich der ganze Computer nicht mehr lauffähig
ist.
Viren und das Betriebssystem:
Viren und
Würmer können im Prinzip alle Betriebssysteme
(engl.: Operating System, OS) befallen. Je besser
das OS jedoch Daten und seine eigenen Ressourcen
schützt, desto geringer sind die Möglichkeiten
für einen Virus oder Wurm, sich häuslich einzunisten.
Die "dankbarsten" Opfer sind also die Single-User-Betriebssysteme
wie MS-DOS, Windows 3.x, 9x und NT, der Apple
MacIntosh, OS/2, der Amiga usw., für die es
bereits Tausende von Viren gibt. Auf Mehrbenutzerbetriebssystemen
wie UNIX, Novell NetWare, VMS, MVS etc. sind
Viren beinahe unbekannt. Hier treten fast ausschließlich
Würmer und ggf. Makroviren auf. Hier sollte
allerdings noch kurz zwischen den Betriebssystemen
im Server- und Workstationeinsatz unterschieden
werden. Wird nämlich eine UNIX-Maschine als
Server für MS-DOS, Windows oder ein anderes
Betriebssystem verwendet, können die auf diesem
Server abgelegten Dateien sehr wohl infiziert
sein, das System selber jedoch nicht.
Verbreitungswege von Computerviren:
Computerviren
können sich über vielfältige Arten verbreiten
und vermehren:
-
Disketten und Wechselplatten: Auf Disketten
gelangen fast alle Virentypen einfach von
einem Opfer zum nächsten. Die auf einer
Diskette oder Wechselplatte befindlichen
Programme oder Dokumente sowie der entsprechende
Bootsektor sind bevorzugtes Ziel eines jeden
Virus, da dieser Datenträger sehr häufig
mit anderen Benutzern ausgetauscht wird.
-
Netzwerke: Der Datenaustausch erfolgt
immer mehr über lokale (LAN) und globale
(WAN) Netzwerke. Vielen der modernen Viren
bereitet es keine Probleme, sich beim Daten-
und Programmaustausch selber weiter auszubreiten.
Hierbei sind die Programme und Dokumente
die bevorzugten Träger der Viren.
-
Email: Im Text einer normalen Email
kann sich (noch) kein Virus verstecken,
sehr wohl aber im Anhang (Attachment). Dieser
Anhang kann - je nach Typ - alle möglichen
Arten von Viren enthalten.
-
Internet-Downloads: Hier gilt das gleiche
wie bei den Netzwerken. In jeder weitergegebenen
oder geladenen Datei unbekannter Herkunft
kann sich ein Virus verbergen.
-
Internet: In jüngster Zeit tauchen vermehrt
Schädlinge direkt in den HTML-Seiten des
World-Wide-Web auf. VB-Script, Java und
vor allem Active-X sind hierbei die Angriffsziele
der Virenschreiber. Speziell der MS-Internet-Explorer
ist durch seine Ausbaufähigkeit mit VB-Script
und Active-X anfällig gegen solche Virentypen.
Diverse Programmfehler und Sicherheitslücken
fördern dies noch weiter.
Klassifikation
von Computerviren:
Generell
sollte zwischen reinrassigen Viren und Störprogrammen
unterschieden werden:
Logische
Bomben:
oder kurz
Bombe. Dieser Schädlingstyp ist eine Abart der
Trojanischen Pferde. Es handelt sich hierbei
um Programmteile, die in nützliche Programme
eingebettet sind und aus einem Auslöser (Trigger)
und einer Schadensroutine (Payload) bestehen.
Die Schadensroutine wird dabei im Normalfall
nicht aufgerufen. Erst bei Erreichen der Trigger-Bedingung
"explodiert" die Bombe und verrichtet ihr zerstörerisches
Werk, d.h. die Schadensroutine wird aufgerufen.
Trojanische
Pferde:
werden
auch kurz Trojaner genannt und sind in letzter
Zeit recht häufig anzutreffen. Als Trojaner
bezeichnet man Programme, die vorgeben, eine
bestimmte Funktion zu haben, nach ihrem Start
aber ihr wahres Gesicht zeigen und irgendeine
andere Funktion ausführen, die zumeist zerstörerisch
ist. Trojanische Pferde können sich nicht selber
vermehren, was sie von Viren und Würmern unterscheidet.
Die meisten Trojaner haben einen interessanten
Namen (STARTME.EXE oder SEX.EXE), der den Anwender
zur Ausführung des Trojaners verleiten soll.
Unmittelbar nach der Ausführung werden diese
dann aktiv und formatieren z.B. die Festplatte.
Eine spezielle Art eines Trojaners ist ein Dropper,
der Viren "droppt", d.h. in das Computersystem
einpflanzt.
Viren:
Ein Computervirus
ist ein Programm, welches die Fähigkeit besitzt,
sich nach seinem Aufruf selbsttätig an andere
Programme auf irgendeine Weise anzuhängen und
dadurch zu infizieren. Viren vervielfältigen
sich also im Gegensatz zu logischen Bomben und
Trojanern selber. Im Gegensatz zu einem Wurm
benötigt ein Virus immer ein fremdes Programm
als Wirt, dessen Programmablauf durch die Infektion
über den Virus umgelenkt wird. Im Normalfall
wird aber der eigentliche Programmablauf des
Wirts selber nicht geändert.
Applikations-
oder Makroviren:
Makroviren
gehören zu einer neueren Generation von Computerviren,
den Dokumentviren. Sie sind in der Makrosprache
einer Applikation (z.B. WinWord, Excel, Access,
AmiPro, WordPerfect, StarOffice) geschrieben
und können sich (mit Ausnahmen) auch nur dann
verbreiten, wenn die entsprechende Applikation
aktiv ist. Die Verbreitung erfolgt im Normalfall
über die Dokumente der Applikation. Diese Viren
können unter Umständen auch plattformübergreifend
"arbeiten", nämlich dann, wenn der entsprechende
Dokumenttyp im gleichen Format auf anderen Plattformen
verwendet wird. Als Beispiel seien hier MS Word
Makroviren genannt, die sich sowohl auf Windows-PC's
wie auch auf dem Apple MacIntosh verbreiten
können.
Würmer:
Als Wurm
wird ein Programm bezeichnet, das sich selber
vervielfältigt, jedoch keinen Wirt infiziert.
Würmer können also nicht Bestandteil anderer
Programmabläufe werden. Würmer bieten auf Systemen
mit restriktiveren Sicherheitsvorkehrungen oft
die einzige Möglichkeit, irgendwelche Schadensprogramme
einzuschleusen.
Witzprogramme:
Diese Programme
werden geschrieben, um jemanden zu erschrecken
oder zu ärgern. Sie sind im Normalfall nicht
schädlich und vermehren sich auch nicht (es
sein denn durch Weitergabe amüsierter Zeitgenossen).
Oft beginnt der Computer nach dem Start eines
Witzprogramms eine Melodie zu spielen, etwas
auf dem Bildschirm darzustellen oder ein kleines
Programm zu simulieren. Der Anwender bekommt
häufig einen Schreck oder richtet in Panik eventuell
selber Schaden an.
Computerviren
lassen sich auch nach den Techniken klassifizieren,
die sie benutzen:
-
Speicherresidente Viren: Einige Viren
nisten sich resident im Hauptspeicher ein,
um jederzeit das System kontrollieren zu
können. Unter anderem werden Festplattenzugriffe,
Tastatureingaben, Druckerausgaben etc. vom
Virus überwacht und ggf. manipuliert. Residente
Viren bleiben also nach der Ausführung aktiv
und können eine Schadensroutine zu späteren
Zeitpunkten ausführen. Der Benutzer wird
zwischen der Ausführung des infizierten
Programms und einem Schaden, der nach Beendigung
des infizierten Programms auftritt, keinen
Zusammenhang erkennen. Ein residenter Virus
kann vom Zeitpunkt seiner Aktivierung an
zu jeder Zeit neue Programmdateien infizieren.
Schon das DOS-Kommando DIR führt bei einigen
residenten Viren zu einer Infektion. Da
es unter Windows (9x und NT) keine eigentlichen
residenten Programme (TSR's) mehr gibt,
verwenden die Viren sog. Dienste oder VxD's,
um eine permanente Kontrolle über das System
zu erlangen. Dienste oder VxD's sind Programme,
die wie TSR's resident im Speicher verankert
sind und ihre Arbeit im Hintergrund verrichten.
Residenz ist die Voraussetzung für einige
weitere Techniken (siehe Stealth-Viren).
Residente Viren können (im Normalfall) im
Speicher des Computers mit einem normalen
Suchstring erkannt werden.
-
Stealth-Viren sind immer auch speicherresident
und versuchen, über spezielle Tricks ihre
Anwesenheit im System zu verschleiern. Dazu
überwachen und manipulieren sie z.B. Zugriffe
auf Programmdateien und das Inhaltsverzeichnis,
um so einem Antivirenprogramm oder dem Anwender
ein sauberes System vorzugaukeln. Versucht
das Betriebssystem, z.B. beim Befehl DIR,
die Größe einer infizierten Programmdatei
zu ermitteln, subtrahiert der Stealth-Virus
von der tatsächlichen Dateilänge die Länge
des Viruscodes und täuscht so eine korrekte
Programmlänge vor. Wird eine Programmdatei
nicht ausgeführt, sondern nur gelesen, z.B.
von einem Virenscanner, entfernt der Virus
aus der zu lesenden Datei den Viruscode,
so dass der Virenscanner den Virus nicht
in der Programmdatei finden kann.
-
Verschlüsselte Viren: Mit dieser Technik
versuchen einige Viren, sich vor Antivirenprogrammen
zu verstecken, indem Sie ihren eigenen Programmcode
transformieren. Der Virus konvertiert sich
dabei selber in verschlüsselte, unleserliche
Zeichen, die vom Antivirenprogramm nicht
erkannt werden. Um sich allerdings weiter
verbreiten zu können und ausgeführt zu werden,
muss sich der Virus wieder decodieren und
kann dann entdeckt werden.
-
Polymorphe Viren: Diese Art von Viren
"mutiert" dadurch, dass Sie ihren eigenen
Programmcode manipulieren und so bei jeder
Infektion ihr "Aussehen" verändern. Hierbei
werden z.B. bestimmte Befehle auf unterschiedliche
Art und Weise codiert. Polymorphe Viren
sind meistens auch noch verschlüsselt. Ein
polymorpher Virus kann u.U. mehrere Milliarden
verschiedene Mutationen erzeugen und so
die Erkennung mit herkömmlichen Suchmethoden
(Suchstring) unmöglich machen.
-
Direct-Action-Viren infizieren bei der
Ausführung des infizierten Programms sofort
weitere Programmdateien und führen eine
eventuell vorhandene Schadensroutine sofort
aus (u.U. nur bei Eintreten bestimmter Bedingungen
wie Zeit/Datum, Zähler etc.). Nach der Ausführung
übergibt der Virus die Kontrolle an das
ursprüngliche Programm und entfernt sich
damit aus dem Hauptspeicher. Der Virus führt
seine Aktionen direkt nach dem Programmstart
aus.
-
Slow Viren führen ihre Schadensroutine
nicht sofort aus, sondern verändern Daten
minimal. Sie versuchen dadurch, möglichst
lange Zeit unentdeckt zu bleiben. Werden
Datenmanipulationen über einen längeren
Zeitraum nicht entdeckt oder nicht auf einen
Virus zurückgeführt, wird ein Benutzer Datensicherungen
durchführen. Diese Datensicherungen enthalten
aber schon die manipulierten bzw. verfälschten
Daten und sind somit im Falle einer Datenrestaurierung
wertlos. Solche langsamen, zerstörerischen
Viren können erheblichen Schaden anrichten.
-
Dateiviren: Dies sind Viren, die sich
an bestehende Programmdateien auf Diskette
bzw. Festplatte anhängen, wobei das bestehende
Programm (der Wirt) um den Virus erweitert
oder der Wirt ganz oder teilweise überschrieben
wird. Startet der Anwender solch ein infiziertes
Programm, so wird vor der Ausführung des
eigentlichen Programms der Virus aktiviert,
der seinerseits dann den Wirt aktiviert.
Programmviren kommen also (meistens) erst
beim Starten von Programmdateien zur Ausführung.
-
Bootviren: Diese Art von Computerviren
befällt die Systembereiche von Disketten
oder Festplatten. Bei diesen Systembereichen
handelt es sich um den sogenannten Bootsektor
bzw. Master-Bootsektor (Partitionstabelle).
Dieser enthält Programmteile, die schon
beim Start des Computers (Booten) ausgeführt
werden. Infiziert ein Computervirus einen
solchen Bereich, wird der Virus aktiviert,
sobald der Computer eingeschaltet wird.
-
Companion-Viren: sind Viren, die anstatt
sich an eine bestehende Datei anzuhängen
ein neues Programm erzeugen, von dem der
Benutzer allerdings nichts weiß. Dieses
neue Programm (der Virus) wird nun anstelle
des gewünschten Programms aufgerufen und
so der Virus aktiviert. Beim Verlassen dieses
Programms wird dann das Original gestartet,
so dass der Benutzer nicht merkt, dass er
gerade den Virus aktiviert hat. Bei PC's
wird dabei normalerweise ein .COM Programm
mit dem selben Namen wie die entsprechende
.EXE-Datei erzeugt. Durch Eingabe des Namens
auf der Kommandozeile wird nun aber (per
Systemdefinition) zuerst nach einer .COM-Datei
gesucht und diese ggf. gestartet. Nur wenn
keine .COM-Datei vorhanden ist, sucht das
Betriebssystem anschließend nach der .EXE-Datei
und startet sie. Prüfsummenprogramme bemerken
solche Viren häufig nicht, da im Originalprogramm
keinerlei Veränderung feststellbar ist.
-
Tunnelnde Viren: Sind Viren, die nach
den originalen Interrupt-Handlern für DOS
und das BIOS suchen und diese dann direkt
aufrufen. Hierdurch werden eventuelle Wächterprogramme
unter DOS umgangen, die sich gerade in diese
Interrupts eingeklinkt haben, um Virenaktivitäten
erkennen zu können.
-
Dropper: Ein Dropper ist ein Programm,
das einen richtigen Virus im Zielsystem
installiert. Der Virencode ist dabei normalerweise
in einer Art und Weise im Dropper enthalten,
die es Antivirenprogrammen unmöglich macht,
den Virus als solchen im Dropper zu erkennen.
-
Active-X-Viren: Bei Active-X handelt
es sich um eine Microsoft-spezifische Art,
reinen Programmcode von einem (Internet-)Server
auf den Arbeitsplatzrechner zu übertragen
und dort auszuführen. Viren können dies
ausnutzen und sich problemlos weiter verbreiten.
Unseres Wissens existiert aber bis auf sog.
Malware, also reine Trojaner, heute noch
kein funktionierender Virus dieses Typs.
Diese Viren sind (derzeit) nur auf dem Betriebssystem
MS Windows und dem dort eingesetzten MS
Internet-Explorer funktionsfähig.
-
VB-Script-Viren: Auch Visual Basic (VB)
- Script kann dazu verwendet werden, Programmcode
von einem Web-Server auf den Arbeitsplatzrechner
zu übertragen und auszuführen. Viren dieses
Typs sind im Umlauf. Das reine Ansehen einer
Homepage im Internet genügt, um den eigenen
Rechner zu infizieren. Allerdings ist wieder
nur der MS Internet-Explorer bei abgeschalteten
Sicherheitsvorkehrungen betroffen.
-
Java Viren: Im Gegensatz zu Java-Applets,
die häufig in Browsern zur Animation oder
Steuerung bestimmter Dinge verwendet werden,
können reine Java-Programme auch sicherheitskritische
Operationen ausführen, z.B. auf Festplatte
schreiben, usw. Die ersten Viren dieser
Machart sind bereits aufgetaucht, mit weiteren
ist zu rechnen.
Probleme
und Schäden durch Computerviren:
Computerviren
sind durch Ihre Existenz ein generelles Problem.
Sie benötigen Speicherplatz, verlangsamen das
Rechnersystem und verursachen eine Instabilität
von Betriebssystem und Anwendungssoftware. Das
eigentliche Problem sind aber zum einen die
Schäden, die durch Computerviren entstehen und
zum anderen der hohe Aufwand für die Entfernung
der Viren.
Die meisten
Viren besitzen eine sog. Schadensroutine oder
Payload, die - neben den fehlerhaft programmierten
Viren - die größten Schäden an Rechnersystemen
verursacht. Das Ausmaß der durch die Schadensroutine
eines Computervirus verursachten Probleme reicht
von gezielten Störungen des Arbeitsablaufs bis
zur Zerstörung aller Daten eines Systems. Hierfür
einige Beispiele:
-
Störungen
beim Bildaufbau und Veränderung der Bildschirmausgaben.
-
Eigene
Bildschirmausgaben, die nur durch bestimmte
Aktionen wieder rückgängig gemacht werden
können.
-
Veränderung
von Tastatureingaben.
-
Komplette
Systemabstürze.
-
Löschen
von einzelnen Daten und Programmen.
-
Formatieren
von Festplatten und Disketten und damit
sofortige Vernichtung aller Daten eines
Systems.
-
Schleichende
Datenzerstörung bzw. sehr langsame Veränderung
der Daten auf dem System.
-
Löschen
von Systeminformationen (CMOS-Setup).
-
Überschreiben
bzw. Verändern des BIOS in Flash-ROMS.
Die Zerstörung
von Daten durch Computerviren kann fatale Folgen
haben. Werden z.B. in einem Unternehmen sämtliche
Kundendaten gelöscht, kann die Arbeitsfähigkeit
stark eingeschränkt sein, falls keine aktuelle
Datensicherung vorhanden ist. Die neueste Generation
von Viren ist sogar in der Lage, das Urlade-Programm
eines Computers, das sog. BIOS, zu zerstören.
Ist der entsprechende Chip nicht gesockelt und/oder
keine Kopie des BIOS mehr vorhanden, ist die
Hauptplatine des Computers u.U. nicht mehr verwendbar,
sie ist zerstört.
Auch für die Vorbeugung
bzw. Bekämpfung ist großer Aufwand erforderlich,
die Kosten für Antivirensoftware sind hierbei
noch das kleinste Problem. Um eine netzwerkweite
Infektion in einem großen Unternehmen zu bekämpfen,
sind unter Umständen einige Wochen zu veranschlagen,
ganz abgesehen von den Ausfallzeiten der einzelnen
Rechnersysteme. Leider ist es aber oft so, dass,
wie bei einer Versicherung, viele Anwender oder
IT-Verantwortliche nicht einsehen, für eine
potentiell mögliche Bedrohung durch Viren vorzusorgen.
Aber wie bei einer Hausrat- oder Feuerversicherung
zeigt sich der eigentliche Nutzen erst beim
Eintritt eines richtigen Schadens: man ist froh,
wenn man sich versichert hatte.
Wie können
Computerviren erkannt werden?
Computerviren
lassen sich durch verschiedene Methoden entdecken.
Eine sichere Methode, alle Computerviren aufzuspüren,
existiert nicht. Normalerweise wird eine Mischung
aus verschiedenen Technologien eingesetzt:
Um nach
einem bestimmten (normalen) Virus schnell und
einfach suchen zu können, verwendet ein Antivirenprogramm
einen sog. Suchstring. Das ist nichts anderes
als eine eindeutige Zeichenfolge innerhalb des
Virus, ca. zwischen 25 und 100 Bytes lang. Man
könnte dies mit einem Fingerabdruck beim Menschen
vergleichen. Wird dieser Suchstring in einer
Datei erkannt, ist auch der Virus vorhanden.
Leider kann es ab und zu bei der riesigen Menge
an Daten und Programmen vorkommen, dass der
gleiche Suchstring auch in sauberen Codes oder
Daten gefunden wird. Dies wird dann eine Fehlmeldung
oder engl. "False Positive" genannt. Bei ca.
60.000 bekannten Viren erklärt dies auch den
relativ großen Speicherbedarf von Antivirenprogrammen,
da alle diese Suchstrings zusammen mit dem Programmcode
und weiteren Daten im Speicher gehalten werden
müssen. Um nach so vielen Zeichenketten gleichzeitig
schnell und zuverlässig suchen zu können, werden
sog. Hashverfahren verwendet, die bei entsprechender
Implementation eine hohe Suchgeschwindigkeit
ermöglichen.
Für sog.
polymorphe Viren kann dieses Verfahren allerdings
nicht verwendet werden, da diese ihren "Fingerabdruck"
ständig ändern. Eine Erkennung dieser Viren
ist nur über einen algorithmischen Ansatz oder
über eine sog. Generic Decryption Engine (GDE)
möglich. Der algorithmische Ansatz versucht
dabei, für diesen Virus typische Aktionen im
Programmcode einer Datei zu finden. Durch einige
Anti-Antivirenprogramm - Tricks der Virenprogrammierer
ist dieser Ansatz aber sehr oft mit enorm hohem
Aufwand verbunden: die Suchgeschwindigkeit verringert
sich erheblich. Eine GDE verfolgt einen ganz
anderen Ansatz. Hierbei spielt das Antivirenprogramm
selber "Computer" und simuliert (!) die Ausführung
des Virus. Dieser wird nun solange simuliert
ausgeführt, bis er sich selber wieder in seine
Urform gebracht hat. Nun kann er mit einem herkömmlichen
Suchstring gefunden werden. Man demaskiert den
Virus (oder besser: man lässt ihn die Maske
sich selber abnehmen), um ihn zu enttarnen.
Leider benötigt auch dieses Verfahren leistungsstarke
Rechner, da die Simulation eines Prozessors
(CPU) sehr aufwendig ist.
Makroviren
werden wiederum mit einer anderem Methode gesucht.
Hierbei ist es zuerst notwendig, die internen
OLE-Streams (unter Windows) eines Dokuments
auszulesen, um an die Makros zu kommen. Diese
werden dann anhand ihrer Befehlskennungen (Tokens)
verrechnet und mit einer Signatur verglichen.
Leider sind aufgrund polymorpher Makroviren
auch hier inzwischen erweiterte Verfahren notwendig
geworden. Ein weiteres Problem für die Hersteller
von Antivirensoftware besteht darin, dass die
internen Dateiformate der Dokumente oft nicht
bekannt sind oder vom Hersteller nicht veröffentlicht
werden. Diese internen Strukturen müssen vom
Entwickler der Antivirensoftware sehr aufwändig
analysiert werden, falls das überhaupt möglich
ist.
Unbekannte
Viren wiederum können mit Hilfe heuristischer
Methoden oder mit Hilfe der künstlichen Intelligenz
zumindest zum Teil entdeckt werden. Heuristik
bedeutet, dass das Antivirenprogramm versucht,
mit algorithmischen Methoden im Programm- oder
Makrocode einer Anwendung virentypische Merkmale
herauszufiltern. Man könnte das mit einem potenziellen
Einbrecher vergleichen: Er verhält sich möglicherweise
verdächtig, beobachtet das Haus, hat spezielle
Werkzeuge bei sich etc. Man versucht also, im
Programmcode zu analysieren, was dieser bei
der Ausführung der Tat anstellen wird. Die Methoden
der künstlichen Intelligenz werden dagegen noch
sehr selten eingesetzt. Ein sog. neuronales
Netzwerk, eine Art selbstlernender, dem menschlichen
Gehirn ähnlicher Programmteil versucht auch
hierbei, den Programmcode einer Datei zu analysieren
und verdächtige Aktionen zu finden. Durch die
"Trainierbarkeit" kann das System seine eigene
Trefferquote mit der Zeit immer weiter erhöhen
- zumindest theoretisch. Leider haben alle Ansätze,
neue, unbekannte Viren zu finden, ein paar generelle
Probleme: Diese Verfahren sind sehr aufwändig
und verlangsamen die Suchgeschwindigkeit und
- da sie immer nur aus bestimmten Verhaltensmustern
Rückschlüsse auf das Vorhandensein ein Virus
ziehen können - sind Fehlmeldungen (engl. False
Positives) leider an der Tagesordnung.
Antivirensoftware
kann nie alle Viren erkennen, schon gar nicht
die neuen und unbekannten. Durch heuristische
Methoden können zwar mögliche Viren gemeldet
werden, leider schlüpfen aber auch allzu oft
neue Viren durch die Maschen der Überwachung,
oder die Software verursacht Fehlmeldungen.
Der Anwender selber kann aber mit einiger Aufmerksamkeit
durchaus die Anwesenheit eines Virus erkennen
oder vermuten, indem er auf bestimmte Symptome
achtet. Zu den häufigsten Symptomen gehören:
-
Programme
benötigen plötzlich deutlich länger, bis
sie vollständig geladen sind.
-
Die
Dateigröße eines Programms verändert sich.
-
Der
freie Platz auf der Festplatte wird schnell
sehr klein.
-
CHKDSK.EXE
zeigt unter DOS keine freien 655360 Bytes
mehr an.
-
Die
Dateien haben seltsame oder unrealistische
Datums-/Zeitangaben.
-
Windows
gibt 32-Bit Zugriffsfehler aus.
-
Die
Festplatte zeigt ohne Ihr Zutun häufige
Aktivitäten.
-
Nach
dem Booten von Diskette kann auf die Festplatte
nicht mehr zugegriffen werden.
-
Es
erscheinen neue, unbekannte Dateien auf
der Festplatte.
-
Dateien
haben merkwürdige, unbekannte Namen.
-
Aus
dem Lautsprecher kommt bei jedem Tastendruck
ein seltsames Geräusch (Klick).
-
Die
Bildschirmausgaben verändern sich ohne Ihr
Zutun.
-
Der
Computer verliert seine Einstellungen im
CMOS-RAM, obwohl Akku oder Batterie o.k.
sind.
-
Unter
Windows 95 ist der Kompatibilitätsmodus
aktiviert.
-
Dokumente
zeigen häufig Rechtschreibfehler bzw. werden
verändert.
Die beste
Methode, einen Virus zu entdecken, bietet aber
immer noch ein gutes und - ganz wichtig - aktuelles
Antivirenprogramm. Übrigens: Zwei Augen sehen
mehr als eins, d.h. mit mehreren Antivirenprogrammen
nacheinander zu suchen, erhöht die Sicherheit
beträchtlich. Zur Erkennung von Computerviren
können auch Prüf-/ Checksummenprogramme
eingesetzt werden, die oft in die Antivirenprogramme
integriert sind. Diese Programme errechnen für
jede Programmdatei eine Prüfsumme und speichern
sie in einer Datei. Infiziert ein Computervirus
eine Programmdatei, ändert sich (fast immer)
die Prüfsumme der Programmdatei, was durch erneutes
Prüfen herausgefunden werden kann.
Wie lassen
sich Computerviren entfernen?
Computerviren
in Programmdateien lassen sich nur durch Löschen
der infizierten Programmdatei sicher entfernen.
Viele Benutzer scheuen aber eine Neuinstallation
gelöschter Programmdateien und versuchen, den
Virus mit Antivirenprogrammen (z.B. AntiVir
aus unserem Hause) zu entfernen. Wichtig ist
dabei, dass im Normalfall nur bekannte Viren
entfernt werden können. Beim Entfernen eines
Virus aus einer infizierten Programmdatei versucht
das Antivirenprogramm die ursprüngliche Programmdatei
wiederherzustellen, was durchaus möglich ist,
solange der Virus seinen Wirt nicht bereits
bei der Infektion zerstört hat.
Wie kann
man sich vor Computerviren schützen?
Computerviren
verbreiten sich über Datenträger. Wird auf einem
Computer niemals eine "fremde" Diskette eingelegt
und wird stets nur Originalsoftware installiert,
haben Viren wenig Chancen. Wird dagegen ab und
zu neue Software von "guten Bekannten" ausprobiert,
steigt die Wahrscheinlichkeit einer Infektion.
Viele Viren
verbreiten sich über den Bootsektor von Disketten
oder anderen Wechselmedien (auch Datendisketten
haben einen Bootsektor). Bei neueren Systemplatinen
hängt es hierbei von der Startreihenfolge (engl.
Boot Sequence) im sog. BIOS-Setup ab, ob versucht
wird, von Diskette oder CD-ROM zu starten, oder
gleich von der Festplatte. Ist bei entsprechender
Startreihenfolge eine Diskette im Laufwerk A:,
wird der Bootsektor dieser Diskette geladen
und ausgeführt. Ein Bootsektor-Virus auf einer
Diskette wird dabei sofort aktiviert. Aus diesem
Grund sollten Sie die Startreihenfolge Ihres
PC's, wenn möglich, von "A, C" nach "C, A" umstellen.
Auf jeden Fall also so, dass immer zuerst versucht
wird, von der Festplatte zu starten.
Die meisten
Viren verbreiten sich beim Starten von infizierten
Programmen. Vor dem Starten neuer Programme
sollten diese Programme mit einem aktuellen
Virenscanner auf Viren untersucht werden. Falls
Sie einen residenten Virenwächter wie z.B. AVGuard
installiert haben, ist dies allerdings nicht
mehr erforderlich. Achten Sie nur darauf, dass
der Wächter aktiv ist und die entsprechenden
Dateien auch überprüft werden. Weiter sollten
Sie darauf achten, dass der Wächter aktuell
ist. Nichts ist älter als ein Monate altes Antivirenprogramm!
Um ganz sicher zu gehen, sollten Sie auch ab
und zu Ihre kompletten Festplatten vollständig
durchsuchen. Starten Sie aber vorher - falls
möglich - von einer schreibgeschützten, garantiert
virenfreien Systemdiskette.
Beim Schutz
vor Dokumentviren gilt das gleiche: Verwenden
Sie eine gute und aktuelle Antivirensoftware.
Weiter sollten Sie - sofern vorhanden - die
Schutzmechanismen der eingesetzten Applikation
aktivieren. Melden diese Schutzfunktionen Makros,
wo keine vorhanden sein sollten, ist höchste
Vorsicht angebracht.
In Computernetzwerken
sollten die Zugriffsrechte für alle Benutzer
auf das minimal notwendige Maß reduziert werden.
Für Programmdateien sollte nur "Leserecht" existieren.
Bei einer eventuellen Infektion kann sich der
Virus hierdurch nicht allzu einfach verbreiten.
Verwenden Sie Administrator- oder Supervisor-Rechte
beim Zugriff auf den Server nur, wenn Sie sie
unbedingt benötigen. Erteilen Sie den Benutzern
im Login-Verzeichnis keine Schreibrechte, damit
die dort liegenden Programme nicht infiziert
werden können. Installieren Sie - wenn möglich
- eine gute Antivirensoftware (z.B. AntiVir)
auf Ihrem Server.
Un-Viren:
Was sind
Un-Viren? Ganz einfach: Un-Viren sind Viren,
die es einfach unseres Wissens derzeit nicht
in "freier Wildbahn" gibt, die aber theoretisch
denkbar wären.
Netzwerkviren:
Ist vielleicht
das Kapitel, das als erstes umgeschrieben werden
muss. Wenn heute gesagt wird, dass es keine
Netzwerkviren gibt, dann heißt das, dass uns
bis heute kein Virus bekannt ist, der die Schutzmechanismen
der meistinstallierten Netzwerke umgehen kann.
Viren in Textdateien:
Nur im
Labor vorhanden, nicht öffentlich aufgetreten.
Hier sollte man aber zwischen den als Textdateien
getarnten Programmen, den von Viren überschriebenen
Textdateien und den ANSI-Sequenzen in Textdateien
unterscheiden.
Als Textdateien
getarnte Programme sind keine Textdateien, sondern
Programme. Ein normales Auto kann man auch als
"Kleinlaster" in das Schaufenster stellen, es
ändert sich aber nichts an der Tatsache, dass
es ein Auto ist.
Ein jeder
hatte vermutlich zu DOS-Zeiten (oder auch heute
noch unter Windows 9x) den ANSI-Treiber durch
seine CONFIG.SYS geladen. Mittels bestimmter
ANSI-Sequenzen ist es jedoch möglich, beliebige
Tasten neu zu definieren. Ein Beispiel hierfür
wäre, eine Sequenz zum Löschen bestimmter Dateien
auf die <ENTER>-Taste zu legen. Abgesehen von
der Notwendigkeit, diese Sequenz erst einmal
ungefiltert an das Betriebssystem senden zu
müssen, haben diese Sequenzen keine längere
Überlebenschance.
Wenn Textdateien
durch Viren überschrieben wurden, kann das Betriebssystem
diese Dateien zwar ausführen, jedoch nicht mehr
als Textdatei. Erst nach Umbenennung
ist dies wieder möglich. Es gibt Viren, die
nicht nur die ausführbaren Programme befallen:
Sie infizieren Dateien immer dann, wenn diese
infolge von Dateinamenserweiterungen eine bestimmte
Quersumme von ASCII-Zeichen aufweisen. Dem sollte
man keinesfalls dadurch zu begegnen versuchen,
dass man Textdateien auf COM oder EXE umbenennt
und anschließend diese „Textdatei“ auch noch
aufruft.
Viren im CMOS:
Gibt es
nicht. Viren können zwar die im CMOS-Ram abgelegten
Daten ändern, doch nicht darin überleben. Es
wäre demnach wenig sinnvoll, z.B. die Uhr abzuklemmen
oder auszulöten.
Viren im BIOS-ROM:
Jetzt wird's
interessant! Vor Jahren galt das BIOS-ROM eines
Rechners als unveränderlich, wenn man nicht
gerade einen neuen EPROM-Chip in den Sockel
steckte. Heute werden allerdings die meisten
Rechner mit einem Flash-BIOS ausgeliefert. Dies
ist eine Art Speicher, der beim Abschalten des
Stroms seinen Inhalt behält, jedoch durch "Neubrennen"
direkt per Programm geändert werden kann. Es
ist so z.B. möglich, das BIOS seines Rechners
durch Laden und Starten einer einfachen Software
upzudaten. Bei diesem Vorgang wird ein neuer
Programmcode von einem externen Datenträger
in das ROM geschrieben. Theoretisch wären hier
also Viren durchaus überlebensfähig! Im Sommer
1998 gab es dann tatsächlich den ersten Virus
(W95/CIH), der sich diese Beschreibbarkeit des
Flash-ROMs zunutze machte. Er verwendete dies
aber nicht zur Weiterverbreitung, sondern nur
für seine Schadensroutine: Bei Erreichen seiner
Triggerbedingung überschrieb er das BIOS seines
Wirtsrechners mit Datenmüll. Hier könnte man
sich natürlich auch einen Virus vorstellen,
der nicht irgendwelchen Datenmüll, sondern seinen
eigenen Programmcode in das Flash-ROM schreibt
und sich so seine Aktivierung sofort beim Einschalten
des Rechners Start sichert.
Viren im Drucker:
Märchen?
Mehr Ja als Nein. Heutzutage besitzen Drucker
fast alle einen Prozessor, Hauptspeicher sowie
EEProms zur dynamischen Neukonfiguration und
zur Aufbereitung der Druckseiten. Diese Speicherbereiche
werden bis auf den Inhalt des EEPROMS nicht
ausgeführt, ein Virus kann deshalb keinen Programmcode
installieren. Anders sieht es mit den Seitenbeschreibungssprachen
der Drucker aus. Besonders PostScript, eine
Seitenbeschreibungssprache, die interpretativ
arbeitet, hat Kommandos, mit deren Hilfe Passwörter
oder wichtige Systemparameter im Drucker auch
dauerhaft geändert werden können. Aber dann
wäre ja der Virus kein Virus im Drucker, sondern
die Veränderung ist nur der Ausdruck seiner
Anwesenheit.
Viren im Unterträger von Modems:
Gehören
ins Reich der Fabel verbannt, oder haben Sie
schon mal gehört, dass beim Fernsehen "Big Macs"
und Coca-Cola mit auf der Leitung übertragen
werden?
Zusätzliche
Informationen erhalten Sie bei:
|
