Computerviren

    Aus WISSEN-digital.de

    Bezeichnung für eine Gruppe von Programmen, die sich meist in Programme und verwandte Dateien kopieren und sich ausgehend vom Wirtsprogramm vervielfältigen und verbreiten. Der Vorgang ähnelt einer Infektion, daher wurde der Name aus der Medizin entlehnt.

    Als Computerviren bezeichnete Programme bestehen aus den sie erhaltenden Routinen, die zur Vervielfältigung und zur Verbreitung dienen, und den Programmteilen, die eine bestimmte Wirkung auslösen sollen. Die Spanne reicht dabei von Meldungen, die den Computernutzer erschrecken sollen bis zur Veränderung von Daten und Dateien bzw. deren selektiver oder vollständiger Löschung oder der Formatierung von Datenträgern (Festplattenformatierung). Einige Viren werden erst aktiv, wenn die für sie definierten Bedingungen eintreten, z.B. ein bestimmtes Datum. Das Ziel der Computerviren in Bezug auf die Ausbreitung besteht darin, möglichst viele Computer und Systeme in kurzer Zeit zu infizieren, ohne entdeckt zu werden.

    Die Motive der Programmierer der Computerviren können beispielsweise Spielerei, der Wunsch sich zu beweisen oder spezielle mit Schadenverursachung und -behebung zusammenhängende Gewinnabsichten sein. In diesem Zusammenhang wird auch die Gefahr von terroristischen Anschlägen (z.B. auf für die Energieversorgung wichtige Software) mithilfe von Computerviren diskutiert.

    Es gibt mittlerweile mehrere tausend verschiedene Computerviren, hinzu kommen zahlreiche Variationen. Die meisten verbreiten sich unter Windows und DOS, aber auch andere Betriebssysteme sind betroffen.

    Computerviren werden unter verschiedenen Gesichtspunkten in Gruppen eingeteilt. Bekannte derartige Gruppen sind:

    • Boot-, Bootsektor- oder Systemviren: Dieser Virustyp existiert schon lange. Diese Computerviren kopieren sich in den Bootsektor oder auch in die Partitionstabelle und werden bei jedem Start geladen (vor dem Laden des Betriebssystems). Der Code des Virus wird in den Bootsektor, manchmal auch in den dem Bootsektor vorgeschalteten Master-Boot-Sektor, des Datenträgers eingefügt. Ein Systemstart wird dadurch verhindert. Der Originalcode des Bootsektors wird dabei in einen ungenutzten Sektor des Datenträgers kopiert und durch den Code des Virus ersetzt. Bootsektorviren befallen sämtliche nicht schreibgeschützte Datenträger, können jedoch in der Regel mit einem Virenscanner entfernt werden. Gelingt dies nicht, bietet beispielsweise MS-DOS bzw. die MS-DOS-Eingabeaufforderung von Windows 95/98 eine effektive Alternative: An der Eingabeaufforderung ist der Befehl fdisk /mbr (für Master Boot Record) einzugeben, um einfach einen neuen Bootsektor zu erstellen und den infizierten Bootsektor zu löschen. Bootsektorviren können sich auf jedem nicht schreibgeschützten Datenträger (auch auf Disketten!) einnisten, ohne dass dies an den Daten zu bemerken ist (unveränderter Umfang). *CIH-Virus: ein seit 1998 (mit geringer Verbreitung) existierender Virus, der die im CMOS-RAM gespeicherten Konfigurationsdaten eines Computers verändern kann. Der Virus kann unter Windows 95/98 geöffnete Programmdateien infizieren und versteckt sich dabei in unbenutzten Programmbereichen. Eine Zerstörung von Daten auf Festplatten und ein Angriff auf den BIOS kann die Folge sein. Ein Booten ist danach nicht mehr möglich. Der BIOS-Chip muss ausgetauscht werden. *Cruising-Viren (deutsch: Kontaktsuch-Viren): Viren mit dem Auftrag ganz bestimmte Daten zu verändern oder zu löschen, z.B. im Finanz- und Buchungsbereich Rechnungen oder Zahlungsanweisungen zu manipulieren.*Dateiviren: Dies sind "klassische" Viren, die sich in Programme kopieren (meist an deren Anfang) und die sich bei jedem Aufruf weiter verbreiten können. Die "infizierten" Programme werden in der Regel umfangreicher, weil der Code des Computervirus hinzukommt. Diese Virenart befällt nicht die Bootprogramme.*direkte Viren: Viren, die nicht in den Arbeitsspeicher geladen werden und nur aktiv sind, so lange das Wirtsprogramm geöffnet ist.*Hybridviren: Viren, die sich wie Dateiviren in Programme kopieren und auch wie Bootviren den Bootsektor befallen. *indirekte Viren: Viren, die in den Arbeitsspeicher geladen werden und während der gesamten Arbeitssitzung aktiv bleiben, auch wenn das Wirtsprogramm bereits geschlossen wurde. *Linkviren: Viren, die sich an Programme anhängen. *Makroviren: Ein seit etwa 1996 existierender, mittlerweile weit verbreiteter Virustyp. Im Unterschied zu allen anderen Computerviren verbreiten sie sich nicht über ausführbare Dateien, sondern über Dokumente. Sie benutzen die Makro-Sprache von Anwendungsprogrammen wie Word oder Excel. Da Makros (kurze Befehlssequenzen einer Anwendungsprogrammiersprache) beim Start des Programms automatisch ausgeführt werden können und Befehle des Betriebssystems benutzen, sind ähnliche Wirkungen wie bei anderen Computerviren möglich. *mutierende bzw. polymorphe Viren (deutsch: verschiedengestaltige oder vielgestaltige Viren): Viren, die fortwährend ihre Gestalt ändern, d.h. die ihren Code modifizieren, was die Suche nach ihnen erschwert. Es lassen sich keine typischen Codesequenzen feststellen.*residente Viren: siehe indirekte Viren.*Script-Viren: neuerer Typ, der v.a. Visual Basic Script (VBS) benutzt. Sie können sich im HTML-Code verstecken und über das Internet verbreitet werden. Derartige Viren lassen sich auch in E-Mails verstecken, wenn diese das HTML-Format benutzen - und zwar nicht bloß im Anhang, sondern auch in der E-Mail selbst.*Tarnkappenviren (englisch: Stealth-Viren): Sie entziehen sich der Bekämpfung, indem sie Antivirenprogramme erkennen und während deren Aktivität einen nicht infizierten Zustand herstellen (Tarnkappe). Für Virenscanner erscheinen infizierte Dateien als scheinbar von Viren befreit.*Trojanische Pferde: In Anlehnung an die griechische Sage bezeichnet man als trojanisches Pferd einen Computercode, der in einem Anwenderprogramm versteckt wurde oder das Aussehen eines solchen Programms hat. Ein derartiges Programm täuscht eine bestimmte, nützliche Funktionalität vor. Ruft man dieses Programm auf, kann es jedoch erheblichen Schaden anrichten, z.B. durch Ausspionieren von Daten, Erkunden von Zugangsberechtigungen und Passwörtern. Das seit 1999 existierende Spionageprogramm Back Orifice ist eine erweiterte Form eines Trojanischen Pferdes. Es überträgt über Netzwerkleitungen die anvisierten Daten des befallenen Systems an den Absender.*überschreibende Viren (enlisch: Overwrite viruses): Viren, die Programmcodes oder Teile davon überschreiben. *Würmer (englisch: Worm oder WORM): Programme (die als Anhang von E-Mails in den Umlauf kommen), die sich vor allem in Netzwerken schnell verbreiten und dort Abläufe verlangsamen oder Speicherkapazität verbrauchen - eventuell bis das System wegen Speichermangel zusammenbricht. Einzige Aufgabe dieses Computerprogramms ist es, sich selbst zu reproduzieren, Kontakt zu suchen und sich auf diesem Weg zu verbreiten. Im Gegensatz zu anderen Viren ist der Wurm also auf die Verbreitung in Netzwerken und Systemen ausgerichtet.*Der erste Internet-Wurm trat 1988 auf und richtete in über 6 000 Computern mehr oder weniger großen Schaden an, da diese nur noch mit der Verbreitung des Wurms beschäftigt waren.Es gibt außerdem zahlreiche Mischformen aller Arten von Computerviren.

    Zur Bekämpfung von echten Computerviren wird Anti-Viren-Software eingesetzt (möglichst Programme von unterschiedlichen Herstellern), die z.T. sehr leistungsfähig ist und regelmäßig aktualisiert werden muss.