Heavy Security » Gefahren » Computer » Viren
Heavy Security Sicherheitsdienste - Logo klein

MENU

Heavy Security

Sicherheitsdienste

Gefahren

Sicherheit

Galerien/Bilder

Jobs/Arbeit

Kontakt

Links

Bilder

Wiesn, Oktoberfest München Wellenreiter Fotos: Wiesn, Oktoberfest, Bierzelte, Leute, Konzerte, Discos...

Häufigste Seiten

Virus, Viren (Gefahren Computer, Daten/Dateien)

Viren, sich selbst reproduzierende Programme, die jedem Benutzer eines Systems sämtliche Zugriffsrechte gewähren, sind seit Mitte der 1980er bekannt. Obwohl Viren durch den Verlust von Daten grosse, nicht nur finanzielle Schäden verursachen, werden die Auswirkungen landläufig übertrieben, gemeint ist hierbei nicht die Gefährlichkeit sondern die tatsächlichen Konsequenzen - Viren können potentiell verheerende Zerstörungen produzieren.

Virus-Infizierung, Verbreitung von Viren

Computer-Viren vermehren sich ähnlich ihren biologischen Verwandten und übertragen sich ebenfalls durch Infizierung auf neue Wirte. Im allgemeinen holt man sich ein Virus durch den ungeschützten Besuch einer Website im Internet mittels JavaScript, ActiveX, Flash, Dialer und ähnlichen Kombinationen, durch den Aufruf eines verseuchten Programms, das man über das Internet, eine CD oder eine Diskette erhalten hat, oder mittlerweile seltener durch verseuchte Bootroutinen, das heisst, bootbare DVDs/CDROMS oder Disketten bei Bootsektorviren, manchmal werden Programm auch als Word- Excel- oder Grafik-Dateien getarnt. Wenn bei .exe-Dateien viele User eher skeptisch werden, besteht gerade bei unbekannte Dateiendungen durch unüberlegtes Handeln grosse Gefahr - praktische Makros für Office-Applikationen können gefährliche Makroviren beherbergen. Ein solcher Virenbefall macht sich durch ein verändertes Programmverhalten auffällig, oder der ganze Rechner wird ungewöhnlich zäh.

Virus Tarnmechanismus, Stealth-Viren

Ein Tarnmechanismus mancher Viren, die sie vor Entdeckung schützen soll, verhindert etwa das Auffliegen des vom Virus belegten Speicherplatzes auf der Festplatte - das Virus markiert den Speicherbereich in dem es sich eingenistet hat als defekt. Andere Programme wie etwa Antivirensoftware, lesen von diesem Bereich folglich nicht mehr und verbuchen ihn einfach als fehlerhaft. Spezielle Virenscanner erkennen durch das für jedes Programm charakteristische Bitmuster auch die in solchen defekten Bereichen versteckten Viren. Damit Viren erkennen ob sie selbst eine Datei bereits infiziert haben, schreiben sie nämlich ihre Kennung in die Datei, ist diese Kennung einem Virenscanner bekannt, fliegt das Virus bei einer Kontrolle auf, es sei denn es gehört zu den sich selbst verschlüsselnden Viren, dann wird es haarig. Bislang war die Rede von Festplatten als Speicherbereich für Viren.

Anatomie eines Virus

Ein Virus besteht aus seiner eigenen Kennung zur identifikation bereits durch ihm infizierter Dateien, die nach einer nicht infizierten, ausführbaren Datei suchende Infektionsroutine, die noch nicht infizierte Dateien ansteckt und bei Bedarf eine Datei so verändert, dass das Virus bei Aufrufen des Programms aktiv werden kann und für eine eventuelle Tarnung sorgt. Ein weiterer Teil unterscheidet harmlose Viren von den bösartigen Viren, harmlos wenn es sich nur um einen Scherz handelt in Form von einem Affen auf dem Klo der am Freitag den 13ten auf dem Bildschirm erscheint, oder ob am gleichen Tag die Festplatte ins Nirvana verjubelt wird.

Infektions-Strategie von Viren

Die meisten Viren hängen ihren eigenen Programmcode an das Ende einer ausführbaren Datei und setzen am Anfang einen Zeiger auf diesen Code. Wird das Programm gestartet, springt es vor der Ausführung seiner eigentlichen Aufgaben zuerst auf den Virenteil. Ist dieses ausgeführt, springt es wieder an die Stelle zurück, an der der Ablauf ursprünglich unterbrochen wurde mit einer fast unmerklichen Verzögerung. Wenn das Programm künftig aufgerufen wird, startet zuerst das Virus und sucht nach noch nicht infizierten Dateien. Eine Infektion durch Anhängen eines Virus an eine Datei schadet sie als solches nicht und lässt die Wirtsdatei vergleichsweise leicht wieder herstellen. Andere Viren gehen andere Wege und überschreiben so viel von der Datei, wie sie für ihren Code brauchen. Ist die Wirtsdatei gleich oder grösser als das Virus, fällt das kaum auf. Ist das Virus größer als die Wirtsdatei, überschreibt es die Datei und nimmt sich soviel Speicherplatz wie es sonst noch braucht.

Infektions-Routine von Bootsektor-Viren

Bootsektor-Viren verschieben den Original-Bootsektor, schreiben das eigene Ladeprogramm in den Bootstrap, eine Routine die das BIOS auffordert, das Betriebssystem zu laden. Danach verstecken sich Bootsektor-Viren selbst woanders auf der Festplatte. Bootet jetzt die Maschine neu, lädt der Virus-Loader nach einem Zugriff auf den Bootsektor zuerst das Virus und gibt dann erst weiter an das verschobene Original-Bootstrap. Bootsektor-Viren können sich durch diese Vorgehensweise auch auf andere Datenträger verbreiten die keine ausführbaren Dateien aber einen noch so kleinen Bootsektor enthalten.

Infektionsmethode: Überschreiben der Verzeichnistabelle FAT

Das überschreiben die in der Verzeichnistabelle FAT enthaltenen Informationen ist eine andere Infektionsmethode. Bei allen Programmzugriffen wird die Adresse des Virus aufgerufen, welches mittlerweile die ursprüngliche Verzeichnistabelle kontrolliert. Das heisst, jeder Programmaufruf landet zuerst beim Virus welches dann die Aufrufe an die jeweiligen Programme weitergibt, oder auch nicht... Soviel zur Theori der Viren, in der Praxis wird gemischt und gezüchtet was das Zeug hält - unendlich viele Arten von Hybridviren sind durch Kombination von Infektionsmethoden und Speichermethoden - Dateien anhängen, Dateien überschreiben, Bootsektor überschreiben, FAT umleiten, Verschlüsselung und vieles mehr.

Dropper sind eigentlich keine Viren

Programme die selbst weder ein Virus, noch von einem Virus befallen sind, sondern bei ihrer Ausführung lediglich Viren in flüchtige oder feste Speicher installieren, oder auch Dateien mit ihnen infizieren, werden Dropper genannt. Man könnte Dropper auch als Schlepper oder Kuppler verstehen.

Virustyp Bootsektorviren

Sie infizieren die Bootsektoren von Disketten und die MBR der Festplatten. Sie verbreiten sich eigentlich über den Menschen, Beine zum gehen und Hände zum sich selbst in ein Laufwerk einzustecken haben sie nicht. Das heisst, Bootsektor-Viren werden auf infizierten Datenträgern von Hand zu Hand weitergegeben. Vergessen Sie einen solchen Datenträger im Laufwerk und Ihre Maschine versucht das nächste mal von ihm zu booten, ist sie beim Versuch bereits infiziert. Starten Sie nun von der Festplatte, wird statt der erwarteten MBR das Virus aufgerufen, welches das Interrupt für Schreib-Lesevorgänge abfängt und danach erst den MBR lädt. Die Maschine läuft scheinbar normal hoch, das Virus hat sich praktisch zwischen BIOS und MBR eingeklinkt. Im Betrieb beschreibt es allerdings den Bootsektor von jedem Datenträger der eingelegt wird, - und irgendwann weitergegeben wird... Über das Netzwerk oder Internet wird man nicht infiziert, dafür ist jede Maschine unabhängig vom Betriebssystem betroffen.

Virustyp Companionviren

DOS führt immer eine .com-Datei vor einer .exe-Datei aus, wenn sie den gleichen Namen haben. Companionviren erstellen gleichnamige Dateien wie vorhandene legitime .exe-Dateien, allerdings mit der .com-Endung und gefüllt mit Virencode. Beim Aufruf des Namen der legitimen Datei, wird zuerst die .com-Datei ausgeführt, und somit das Companionvirus. Nachdem es sich reproduziert hat startet es die ursprünglich aufgerufene .exe-Datei, der Vorgang kaum merkbar. Companionviren-Dateien werden meistens mit den Dateieigenschaften versteckt und system versehen, und dadurch vom Explorer normalerweise nicht angezeigt.

Virustyp Killerviren

Nach einer gewissen Anzahl von Reproduktionen führen Killerviren eine destruktive Routine aus. Sie zählen die Infektionen mit - ist ein programmierter Wert erreicht, beziehungsweise heruntergezählt wird Festplatte formatiert, FAT verschlüsselt oder ähnliches, wodurch die Daten genauso brauchbar werden...

Virustyp Logische Bomben

Wie der Name schon sagt, sind diese Viren an Bedingungen gekuppelt. Zeit, Datum, Vorfälle oder bestimmte Zeichenketten können eine logische Bombe auslösen. Logische Bomben unterliegen in der Regel auch anderen Bedingungen wie Betriebssysteme, Protokolle oder ähnliches.

Virustyp Makroviren

Dies Viren sind ein Microsoft-Problem, die nicht ausführbare MS-Word .doc und .dot-Dateien, oder MS-Excel-Dateien befallen. Sie sind hauptsächlich an die Möglichkeiten der MS-Office Makrosprachen gebunden.

Virustyp Netzwerkviren

Würmer sind klassischen Netzwerkviren. Sie verbreiten sich nicht als Anhängsel eines Programms in Systemen, sondern können ihren eigenen Code selbstständig reproduzieren und sich als eigenständiges Programm ausführen lassen. Ihrer Natur nach können sich Würmer nur in einem bestimmten Umfeld verbreiten und sind bislang konzeptbedingt von den jeweiligen Schwächen verschiedener Systeme abhängig. MAC-User haben kaum etwas von Windows-Viren zu befürchten und so weiter. Müllers XP-Laptop holt sich mit einem Email-Attachment ein Virus aus dem Internet und lädt es sich unwissentlich in den Speicher wodurch es speicherresident wird, und führt weitere Programme von Festplatte aus die genauso infiziert werden. Müller führt auch noch ein paar Programme im Netzwerk aus, die werden infiziert - der Unix-Server emuliert ihm ein Windows-Netzwerk wo das Virus weitere Programme beim Ausführen infiziert, das Virus ist weiterhin in seiner gewohnten Umgebung. Schmidt führt mit seiner NT-Maschine ein infiziertes Programm im Windows-Netzwerk aus und hat das Virus umgehend speicherresident. Beim weiter arbeiten werden alle ausgeführte Programme infiziert. Als Braun im Netzwerk arbeitet holt er sich auch das Virus, und so weiter... Netzwerk-Würmer können sich aber auch über Email verbreiten, sie verschicken eine Kopie von sich selbst an alle Emailadressen die sie im Adressbuch des Emailklienten vorfinden. Hier haben alle Pech, die Emailanhänge gedankenlos ausführen, und im Adressbuch von Müller stehen, wenn Müller einen infizierten Emailanhang ausführt. Und jeder trägt mit neuen Adressen aus seinem eigenen Adressbuch bei... Der I-Love-You-Wurm ist hier ein typische Beispiel.

Virustyp Polymorphe Viren

Viren-Scanner suchen nach ihnen bekannten Viren-Signaturen. Um Viren-Scanner zu täuschen reproduzieren sich Polymorphe Viren in einer Weise, dass die Kopien sich niemals ähneln, das heisst, bei jeder Infektion oder Reproduktion wird eine neue Viren-Signatur generiert. Viren-Scanner können so nicht anhand der Signatur die Viren identifizieren sondern müssen wesentlich umständlichere Methoden benutzen.

Virustyp Stealthviren

Da die überwiegende Anzahl der Viren speicherresident sind, können sie auch Schreib-Leseanforderungen abfangen und durchgeben, was ihnen die Möglichkeit gibt dazwischen ihre eigenen Süppchen zu kochen. Nach aussen hin, für andere Programme, fällt eigentlich nichts ungewöhnliches auf. Das Brain-Virus war das erste Virus, das mit solche Tarnroutinen ausgestattet war, das Dateivirus Frodo ein anderes Stealth-Virus.

Virustyp TSR-Viren

In der Regel befallen TSR-Dateiviren .com und .exe-Dateien, wobei ausführbare Dateien nicht immer diese Endungen haben, Gerätetreiber und .ovl-Überlagerungsdateien werden aber auch nicht verschont. Bei schnell infizierende Viren können sogar bei einem Backup alle Dateien auf einem System infiziert werden, da sie bloss geöffnet werden müssen um von einem Virus wie etwa Dark Avenger infiziert zu werden. Das TSR-Virus Green Caterpillar konnte sogar durch den DIR-Befehl ausgelöst werden.

Virustyp Update-Viren

In manchen Witzen wird das Betriebssystem W*ndows ein Update-Virus geschimpft. Diese Viren, nicht Windows ist gemeint, besitzen Versionsnummern und Update-Routinen, bereits infizierte Dateien werden bei bedarf mit eine neuere Version gepatcht.

Virustyp Würmer, eigentlich auch keine Viren

Bei Computerwürmer die sich selbstständig in einem Netzwerk verbreiten handelt es sich nicht um Viren im klassischen Sinne, sondern um eigenständige Programme, die keine Wirtsprogramme für die Verbreitung benötigen. Würmer können sich selbstständig reproduzieren und sich mit Hilfe von Netzwerkfunktionen auf andere Rechner kopieren

Gemeinsame Auslöser, Zeitzünder und ähnliches, sind keine eigenständige Viren, sondern speziell programmierte Mechanismen integriert in die Viren die auf vorgegebene Bedingungen reagieren. Dabei können neben tägliche Zeit, Datum, Wochentage, also vorbestimmte Zeitpunkte, auch relative Bedingungen ähnlich den logischen Bomben wie nach Ablauf einer gewissen Zeitspanne nach einer bestimmten Aktion das Virus auslösen. Bekannte Massenauslösungen sind auf dieser Weise realisiert worden

Lachnummer

Harald schon etwas angeheitert zum Flughafen, am Schalter vom Billigflieger: »Ich möchte diesen Koffer nach München, diesen nach Sao Paolo und diesen hier nach Berlin schicken.« Das Fräulein am Schalter: »Tut mir leid, das können wir nicht machen.« - »Schwachsinn! Das haben Sie das letzte mal auch gemacht als ich mit Ihnen flog!«

Anzeigen

iQLoN SEO - Webdesign
Suchmaschinenoptimierung