Tabea
26.08.2004, 20:15
Was ist ein Computervirus?
Prof. Dr. Fred Cohen, der eigentliche "Erfinder" des Computervirus (s. "Geschichte der Computerviren"), definierte ihn einmal so:
Ein Computervirus ist ein Programm, das andere infizieren und verändern kann, um möglicherweise veränderte Versionen von sich selbst hinzuzufügen.
Die heute übliche Definition lautet:
Ein Computer-Virus ist eine nicht selbständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt.
Ein Computervirus ist also - genau genommen - noch nicht einmal ein eigenständiges Programm, sondern eine Abfolge von aneinandergereihten Zeichen, die für sich genommen nicht ausführbar sein müssen. Im Gegensatz zu Würmern und Trojanern (siehe Kapitel "Würmer" und "Trojaner"), die "echte" Programme (z.B. .exe-Dateien) sind, können Sie einen Virus im Dateimanager nicht aufspüren.
Der Quellcode eines Virus kann nur eine Zeile lang sein (siehe den "Eicar- Testvirus") oder er kann viele Seiten füllen. Es liegt ganz in der Fantasie und im Können des Virenprogrammierers, welche Schadroutinen er dem Quellcode des Virus hinzufügt.
Damit ein Virenangriff aber überhaupt stattfinden kann, benötigt das angreifende Programm zunächst einmal in irgendeiner Art Zugang zu Ihrem PC - entweder über eine Netzwerk- oder Telefonverbindung oder über Datenträger, wie Disketten oder CD-ROMs.
Zur Verbreitung bedient sich der Virus in aller Regel eines Wirtsprogramms oder einer Wirtsdatei. Dazu setzt er eine winzige Sprunganweisung (einen "Zeiger") an den Beginn des Wirts (4 Byte reichen dazu) und platziert sich dann am Ende des Wirtsprogramms. Die vom Originalprogramm abgetrennten Bytes werden hinter den Virencode geschrieben und die internen Adressen angepasst, so dass das Programm komplett bleibt und weiterhin ausgeführt werden kann. Gleichzeitig wird innerhalb des Zeigers ein Hinweis platziert, der das Programm als infiziert markiert.
Einfacher gestrickte Viren überschreiben auch schon mal Teile des Wirtsprogramms. Bei moderneren Viren sollte das nicht mehr vorkommen, denn die Gefahr der vorzeitigen Entdeckung wäre dabei zu hoch.
Sobald das infizierte Programm gestartet wird, sorgt der Zeiger dafür, dass zunächst der Virus und dann erst das Programm aktiv wird. Nun durchsucht der Virus die Festplatte nach Programmen oder Dateien, die noch nicht befallen sind (an deren Beginn also die entsprechende Markierung fehlt), und platziert dann Reproduktionen von sich selbst in ihnen - einschließlich der eigentlichen Schadroutine (dem sog."Payload"). Er "vermehrt" sich wie ein Grippevirus (daher die Analogie).
Computerviren entstehen aber nicht spontan, oder sind sonstwie biologischen Ursprunges, sie werden programmiert und verfolgen oftmals auch noch einen bestimmten Zweck - aus Sicht der Programmierer zumindest.
Welche Virenformen gibt es eigentlich?
Computer-Viren lassen sich nach der Art ihrer Verbreitung schon einmal grob in drei Hauptkategorien unterteilen:
Boot-Viren: setzen sich in dem Bereich einer Festplatte oder Diskette fest, der beim Starten eines Computers in den Arbeitsspeicher gelesen wird. Wenn der Prozessor ein Betriebssystem von der Festplatte lädt, egal ob Warm-Start oder Kalt-Start, lädt er deshalb automatisch den Virus. Der erlangt so die Kontrolle über den Rechner.
Datei-Viren: infizieren
Programmdateien, wie beispielsweise Betriebssysteme oder Spiele. Wenn der Anwender die befallene Datei startet, infiziert der Virus weitere Dateien und pflanzt sich so fort.
Makro-Viren: können sich auch unabhängig vom eingesetzten Betriebssystem fortpflanzen und sind relativ einfach zu programmieren. Makro-Viren haben sich in den letzten Jahren durch den zunehmenden Datenaustausch per E-Mail und die Nutzung des Internets schlagartig vermehrt.
Wie kommt der Virus zum Wirtstier?
Die überwiegende Anzahl der Viren kommen per E-Mail zu Ihrem PC.
Immer weniger Viren gelangen über Diskette oder CD-ROM auf den Computer. Dabei sind auch kommerzielle CD-ROMs nicht grundsätzlich virenfrei - auch auf ihnen können sich infizierte Dateien befinden.
Die meisten Infektionen entstehen durch E-Mail-Würmer. Große Verbreitung finden auch Makro-Viren - vorzugsweise in Office-Dokumenten. Nur wenige werden durch Boot- oder Datei-Viren verursacht. Je höher also die Anzahl der PCs und je mehr davon vernetzt sind, desto schneller können sich Computer-Viren ausbreiten. Da viele Dokumente als Anhang mit einer E-Mail verschickt werden, ist die großflächige Streuung der Viren zunehmend einfacher und deshalb tendenziell steigend.
Das Internet ist für Viren auch deshalb attraktiv, weil es weltumspannend ist. Es bietet viele potentielle Infektionsopfer. Außerdem ist das Internet weitgehend unkontrolliert. Programme, die Viren enthalten, können leicht verbreitet werden. Die Viren-Autoren bleiben darüber hinaus noch weitgehend anonym, so dass es schwer ist, diese zu bestrafen.
Dem nicht genug: Seit 1991 existieren Baukästen für die Programmierung von Viren, so genannte Virus Construction Kits. Damit kann jeder - auch ohne Fach - oder Programmierkenntnisse - Computer-Viren basteln und in Umlauf bringen.
Wie infiziert sich ein PC? Es gibt drei Infektionsarten:
* über das Booten
* beim Ausführen eines Programmes (*.exe, *.com, usw.)
* über infizierte Dokumente
Die Infektionsarten unterscheiden sich in der Art, wie ein Virus sich in einem Programm festsetzt. Beispielsweise hängen viele Viren ihren eigenen Programmcode an das Ende einer ausführbaren Datei und setzen am Anfang einen Zeiger auf diesen Code. Wird das Programm gestartet, springt es vor der Ausführung seiner eigentlichen Aufgaben zuerst auf das Virusprogramm. Ist dieses ausgeführt, springt es wieder an die Stelle zurück, an der der Ablauf ursprünglich unterbrochen wurde. Sie merken dann nicht einmal, dass sich das Aufrufen des Programms minimal verzögert hat. Rufen Sie das Programm jetzt auf, startet zuerst der Virus. Er sucht von diesem Moment an nach nicht infizierten, ausführbaren Dateien, um diese auch noch zu befallen.
Wie sind Computerviren aufgebaut?
Ein Virus besteht in der Regel aus drei Programmteilen:
* Mit dem Erkennungsteil stellt der Virus fest, ob die Datei bereits befallen ist. Hierdurch werden unnötige Mehrfachinfektionen vermieden. Der Virus erhöht so seine eigene Ausbreitungsgeschwindigkeit und wird nicht so schnell erkannt.
* Der Infektionsteil wählt ein Programm aus und fügt den Programmcode des Virus ein. Das ausgewählte Programm ist nun infiziert und kann von da an selbst bei einem Aufruf weitere Programme infizieren.
* Der Funktionsteil legt fest, was im System manipuliert werden soll. Um möglichst nicht gleich entdeckt zu werden, sind in vielen Viren sogenannte "Trigger" eingebaut: Der Virus wird erst aktiv, wenn ein bestimmtes Ereignis eintritt, zum Beispiel an einem bestimmten Datum oder nach dem x-ten Start eines Programms. Vom einfachen Nichtstun (lediglich Verbreitung) bis zum Löschen der Festplatte ist dabei alles möglich.
Prof. Dr. Fred Cohen, der eigentliche "Erfinder" des Computervirus (s. "Geschichte der Computerviren"), definierte ihn einmal so:
Ein Computervirus ist ein Programm, das andere infizieren und verändern kann, um möglicherweise veränderte Versionen von sich selbst hinzuzufügen.
Die heute übliche Definition lautet:
Ein Computer-Virus ist eine nicht selbständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt.
Ein Computervirus ist also - genau genommen - noch nicht einmal ein eigenständiges Programm, sondern eine Abfolge von aneinandergereihten Zeichen, die für sich genommen nicht ausführbar sein müssen. Im Gegensatz zu Würmern und Trojanern (siehe Kapitel "Würmer" und "Trojaner"), die "echte" Programme (z.B. .exe-Dateien) sind, können Sie einen Virus im Dateimanager nicht aufspüren.
Der Quellcode eines Virus kann nur eine Zeile lang sein (siehe den "Eicar- Testvirus") oder er kann viele Seiten füllen. Es liegt ganz in der Fantasie und im Können des Virenprogrammierers, welche Schadroutinen er dem Quellcode des Virus hinzufügt.
Damit ein Virenangriff aber überhaupt stattfinden kann, benötigt das angreifende Programm zunächst einmal in irgendeiner Art Zugang zu Ihrem PC - entweder über eine Netzwerk- oder Telefonverbindung oder über Datenträger, wie Disketten oder CD-ROMs.
Zur Verbreitung bedient sich der Virus in aller Regel eines Wirtsprogramms oder einer Wirtsdatei. Dazu setzt er eine winzige Sprunganweisung (einen "Zeiger") an den Beginn des Wirts (4 Byte reichen dazu) und platziert sich dann am Ende des Wirtsprogramms. Die vom Originalprogramm abgetrennten Bytes werden hinter den Virencode geschrieben und die internen Adressen angepasst, so dass das Programm komplett bleibt und weiterhin ausgeführt werden kann. Gleichzeitig wird innerhalb des Zeigers ein Hinweis platziert, der das Programm als infiziert markiert.
Einfacher gestrickte Viren überschreiben auch schon mal Teile des Wirtsprogramms. Bei moderneren Viren sollte das nicht mehr vorkommen, denn die Gefahr der vorzeitigen Entdeckung wäre dabei zu hoch.
Sobald das infizierte Programm gestartet wird, sorgt der Zeiger dafür, dass zunächst der Virus und dann erst das Programm aktiv wird. Nun durchsucht der Virus die Festplatte nach Programmen oder Dateien, die noch nicht befallen sind (an deren Beginn also die entsprechende Markierung fehlt), und platziert dann Reproduktionen von sich selbst in ihnen - einschließlich der eigentlichen Schadroutine (dem sog."Payload"). Er "vermehrt" sich wie ein Grippevirus (daher die Analogie).
Computerviren entstehen aber nicht spontan, oder sind sonstwie biologischen Ursprunges, sie werden programmiert und verfolgen oftmals auch noch einen bestimmten Zweck - aus Sicht der Programmierer zumindest.
Welche Virenformen gibt es eigentlich?
Computer-Viren lassen sich nach der Art ihrer Verbreitung schon einmal grob in drei Hauptkategorien unterteilen:
Boot-Viren: setzen sich in dem Bereich einer Festplatte oder Diskette fest, der beim Starten eines Computers in den Arbeitsspeicher gelesen wird. Wenn der Prozessor ein Betriebssystem von der Festplatte lädt, egal ob Warm-Start oder Kalt-Start, lädt er deshalb automatisch den Virus. Der erlangt so die Kontrolle über den Rechner.
Datei-Viren: infizieren
Programmdateien, wie beispielsweise Betriebssysteme oder Spiele. Wenn der Anwender die befallene Datei startet, infiziert der Virus weitere Dateien und pflanzt sich so fort.
Makro-Viren: können sich auch unabhängig vom eingesetzten Betriebssystem fortpflanzen und sind relativ einfach zu programmieren. Makro-Viren haben sich in den letzten Jahren durch den zunehmenden Datenaustausch per E-Mail und die Nutzung des Internets schlagartig vermehrt.
Wie kommt der Virus zum Wirtstier?
Die überwiegende Anzahl der Viren kommen per E-Mail zu Ihrem PC.
Immer weniger Viren gelangen über Diskette oder CD-ROM auf den Computer. Dabei sind auch kommerzielle CD-ROMs nicht grundsätzlich virenfrei - auch auf ihnen können sich infizierte Dateien befinden.
Die meisten Infektionen entstehen durch E-Mail-Würmer. Große Verbreitung finden auch Makro-Viren - vorzugsweise in Office-Dokumenten. Nur wenige werden durch Boot- oder Datei-Viren verursacht. Je höher also die Anzahl der PCs und je mehr davon vernetzt sind, desto schneller können sich Computer-Viren ausbreiten. Da viele Dokumente als Anhang mit einer E-Mail verschickt werden, ist die großflächige Streuung der Viren zunehmend einfacher und deshalb tendenziell steigend.
Das Internet ist für Viren auch deshalb attraktiv, weil es weltumspannend ist. Es bietet viele potentielle Infektionsopfer. Außerdem ist das Internet weitgehend unkontrolliert. Programme, die Viren enthalten, können leicht verbreitet werden. Die Viren-Autoren bleiben darüber hinaus noch weitgehend anonym, so dass es schwer ist, diese zu bestrafen.
Dem nicht genug: Seit 1991 existieren Baukästen für die Programmierung von Viren, so genannte Virus Construction Kits. Damit kann jeder - auch ohne Fach - oder Programmierkenntnisse - Computer-Viren basteln und in Umlauf bringen.
Wie infiziert sich ein PC? Es gibt drei Infektionsarten:
* über das Booten
* beim Ausführen eines Programmes (*.exe, *.com, usw.)
* über infizierte Dokumente
Die Infektionsarten unterscheiden sich in der Art, wie ein Virus sich in einem Programm festsetzt. Beispielsweise hängen viele Viren ihren eigenen Programmcode an das Ende einer ausführbaren Datei und setzen am Anfang einen Zeiger auf diesen Code. Wird das Programm gestartet, springt es vor der Ausführung seiner eigentlichen Aufgaben zuerst auf das Virusprogramm. Ist dieses ausgeführt, springt es wieder an die Stelle zurück, an der der Ablauf ursprünglich unterbrochen wurde. Sie merken dann nicht einmal, dass sich das Aufrufen des Programms minimal verzögert hat. Rufen Sie das Programm jetzt auf, startet zuerst der Virus. Er sucht von diesem Moment an nach nicht infizierten, ausführbaren Dateien, um diese auch noch zu befallen.
Wie sind Computerviren aufgebaut?
Ein Virus besteht in der Regel aus drei Programmteilen:
* Mit dem Erkennungsteil stellt der Virus fest, ob die Datei bereits befallen ist. Hierdurch werden unnötige Mehrfachinfektionen vermieden. Der Virus erhöht so seine eigene Ausbreitungsgeschwindigkeit und wird nicht so schnell erkannt.
* Der Infektionsteil wählt ein Programm aus und fügt den Programmcode des Virus ein. Das ausgewählte Programm ist nun infiziert und kann von da an selbst bei einem Aufruf weitere Programme infizieren.
* Der Funktionsteil legt fest, was im System manipuliert werden soll. Um möglichst nicht gleich entdeckt zu werden, sind in vielen Viren sogenannte "Trigger" eingebaut: Der Virus wird erst aktiv, wenn ein bestimmtes Ereignis eintritt, zum Beispiel an einem bestimmten Datum oder nach dem x-ten Start eines Programms. Vom einfachen Nichtstun (lediglich Verbreitung) bis zum Löschen der Festplatte ist dabei alles möglich.