Blank Header
computer-schutz.info Logo
coputer-virus

Viren-Arten und ihre Eigenschaften
Was sind eigentlich Viren?

Viren haben zwei "Funktionen": Sie verbreiten sich, und sie richten unter bestimmten Umständen große Schäden an.

Diese Programme werden von meist neurotischen Genies programmiert. Kranke Hirne nehmen in Kauf, dass Rechner beispielsweise in der Notaufnahme der Krankenhäuser und in den Steuerzentralen der Atomkraftwerke ausfallen. Viele Viren warten beispielsweise auf ein bestimmtes symbolträchtiges Datum. Das kann der dreizehnte eines Monats sein oder ein bestimmter Wochentag. Bei der Schadensroutine ist der Phantasie des Virenprogrammierers keine Grenze gesetzt: Dateien löschen, Dokumente manipulieren, PC-BIOS teilweise überschreiben, Dateien per E-Mail versenden oder in einer News-Group publizieren und vieles mehr.

Zur Zeit haben Makroviren und Trojaner die grösste Verbreitung, gefolgt von den Boot- und Dateiviren und Würmern. Computerviren und ähnliches (gilt auch für Trojanische Pferde), haben zwei wesentliche Eigenschaften:
  • Schadenwirkung und
  • Vermehrung
Wie Krankheitserreger können sich die Computerviren einen Wirt suchen. Die nachfolgenden Beschreibungen sind nur ein kleiner Auszug zu diesem Thema. Sie erklären, wie sich diese "Krankheitserreger" verbreiten und vermehren.


Bootviren
Bootviren gehen einen anderen Weg. Beim Start eines PC fährt das eingebaute BIOS (Basic Input Output System) ein kleines Startprogramm von der Festplatte aus. Es ist im sogenannten Master Boot Record (MBR) gespeichert. Dieses Start-Programm ruft Windows oder ein anderes Betriebssystem auf. Auch Disketten haben einen Bootsektor, den der Virus für seine Zwecke nutzen kann. Bootviren ersetzen den Startcode im MBR und/oder im Bootsektor der Partition oder Diskette. So wird der Bootvirus aktiv, bevor irgendein anderes Programm ihn daran hindern kann. Dann kann ein Bootvirus im Hintergrund arbeiten und beispielsweise jede eingelegte Diskette infizieren.

Der Infektionsweg für einen Bootvirus ist klar: Beim Einschalten des PC liegt eine Diskette im Laufwerk, und der PC versucht davon zu booten. Weil ein Bootvirus keine Datei zur Verbreitung benötigt, kann auch eine scheinbar leere Diskette einen Bootvirus enthalten. Da diese Viren auf diese Weise auf Disketten lange unbemerkt bleiben, gehören Sie zu den hartnäckigsten Virenvertretern. Eine Infektion über Disketten ist heutzutage fast ausgeschlossen, da die Hersteller moderner PC-Systeme standardmäßig keine Diskettenlaufwerke mehr vertreiben.

ABER! Auch wenn Sie keine Disketten verwenden, sind Sie aber nicht vor einem Bootvirus gefeit. Ein beliebiges Programm - ein sogenannter Dropper - kann beim Start einen Bootvirus auf die Festplatte kopieren (Beispielsweise über CD-ROMs/DVD-ROMs, USB-Sticks oder andere externe Medien). Es gibt sogar einige Makroviren, die so vorgehen. Darüber hinaus gibt es sogenannte Multipartie-Viren, die die Eigenschaften von Boot- und Dateiviren vereinen.


Datei-Viren
Mit Dateiviren hat alles angefangen: Wenn der Virus aktiv ist, manipuliert er eine normale Programmdatei (Erweiterung com oder exe): Er kopiert seinen eigenen Viruscode in den Programmcode hinein. Starten Sie das manipulierte Programm, wird zunächst der Virus aktiv. Er kann jetzt weitere Programme infizieren oder seine Schadensfunktion ausüben. Dann aktiviert er das Originalprogramm, so dass Sie nichts vom Virus bemerken.


Hoaxes
Seit ein paar Jahren erhalten die User im Internet und in anderen Netzen Warnungen vor Viren, die sich angeblich per Email verbreiten sollen. Diese Warnungen werden über Email mit der Aufforderung verbreitet, sie an möglichst viele Kollegen und andere Benutzer weiter zu senden, um alle vor der "Gefahr" zu warnen. Angeblich soll schon alleine das Öffnen dieser 'Email-Viren' per Doppelklick dabei zu einer Infektion des Rechners führen. Leider glauben viele Anwender diese Meldungen und versuchen durch Weitergabe dieser Emails ihre Bekannten, Freunde und Kollegen vor der 'drohenden Gefahr' zu warnen.

Solche Warnungen werden Hoaxes genannt (engl. hoax - Scherz, Schabernack, Ulk), da sie alle keinen realen Hintergrund haben und nur auf der allgemeinen Angst vor Computerviren beruhen. Generell kann man sagen, dass sich zur Zeit keine Viren durch reine Emails verbreiten können - einmal abgesehen von der Möglichkeit, durch einen Bug in vielen Email-Clients möglicherweise ein Programm auszuführen. Sehr wohl können aber Viren im Anhang (engl. Attachment oder auch appendix) von Emails enthalten sein. Beim Doppelklick auf das Attachment einer Email unbekannter Herkunft sollte man also sehr vorsichtig sein. Speziell dann, wenn das Email-Programm die zugehörige Anwendung sofort startet.

Ein Hoax ist also nichts anderes als eine Verballhornung der Anwender. Er besitzt selber keinen internen Verbreitungsmechanismus, stattdessen wird der Mensch selber für die Verbreitung ausgenutzt. Ein Hauptproblem dieser Warnungen liegt darin, dass sich diese Meldungen per Email häufig schneller als echte Viren verbreiten. Hinzu kommt, dass die Verwendung eines Hoax wesentlich einfacher und effektiver ist als die Programmierung eines echten Virus ist, da der Hoax meistens von Virensuchprogrammen nicht erkannt wird. Auch werden zur Herstellung keine besonderen Systemkenntnisse, sondern nur ein technisches Kauderwelsch benötigt. Der Anzahl möglicher Personen, die einen Hoax erzeugen können, ist damit wesentlich größer als die Anzahl potentieller Virenprogrammierer.

Wird der Hoax, also die Virenwarnung nun per Email weitergeleitet, beginnt eine Kettenreaktion. Diese bringt häufig weitere Probleme mit sich: Andere Benutzer fügen manchmal gutgemeint eigene Warnungen hinzu, andere nicht so gutmeinende Nutzer erweitern die beschriebene Gefahr eventuell noch durch selbst erdachte 'Grausamkeiten'. Somit unterliegen die Meldungen, die einen Hoax charakterisieren, unter Umständen vielen Änderungen. Ein Hoax kann deshalb in vielen verschiedenen Variationen existieren und so mehr als einmal im Internet oder in anderen Netzen auftreten.

Es ist dabei derzeit wirklich so, dass alle diese Warnungen keinen ernstzunehmenden Hintergrund haben. Es gibt die Emails bzw. Viren, vor denen gewarnt wird, meistens nicht. Der einzige 'Virus' in diesem System ist hierbei der Anwender selber, der durch das Weitersenden des Hoax für seine Verbreitung nach dem Schneeballprinzip sorgt. Leider richten diese Meldungen erheblichen Schaden an, indem sie Anwender verunsichern sowie Arbeitszeit und Ressourcen binden. Außerdem belasten sie durch ihre nicht geringe Zahl das Internet und die hauseigenen Email-Systeme durch nutzlosen Datenverkehr. Dies hat teilweise schon dazu geführt, dass ganze Email-Server durch Überlastung zusammengebrochen sind.


Macro-Viren (Script-Viren)
Das Office-Paket von Microsoft verfügt über eine ausgefeilte Makrosprache mit mächtigen Befehlen: VBA, Visual Basic für Applikationen. Mit diesen Befehlen kann ein Makro zum Beispiel Dateien und andere Office-Dokumente manipulieren oder Windows-Programme fernsteuern.

Der Knackpunkt bei MS-Office: Die Makros sind direkt im Dokument gespeichert. Wenn Sie ein WinWord-, Excel- oder PowerPoint-Dokument weitergeben, sind eventuelle Makros mit dabei. Und es gibt eine Autostart-Funktion. Sobald Sie ein Dokument mit einem entsprechend deklarierten Makro öffnen, wird das Makro aktiv. Dann verändern die meisten Makroviren die Standard-Dokumentvorlage normal.dot so, dass der Virus bei jedem Start eines Office-Programms aktiv wird. Bei anderen Office-Programmen ist die Vorgehensweise im Detail etwas anders.

Besondere Brisanz haben Makroviren, die sich selbstständig über E-Mail weiterverbreiten. Das bekannteste Beispiel dafür ist Melissa: Der Virus sucht sich aus der Outlook-Datenbank 50 Empfänger und schickt ihnen eine E-Mail mit dem Virus als Anhang. Wenn die Empfänger den Anhang per Doppelklick aktivieren, nistet sich Melissa im System ein. Weil die E-Mail von einem bekannten Absender stammt, vergrössert sich die Chance auf einen unbedachten Doppelklick. Mittlerweile gibt es etliche Nachahmer.

Der Schaden, den Makroviren anrichten können, ist beträchtlich. Denken Sie beispielsweise an eine grosse Excel-Tabelle mit einer statistischen Auswertung. Ein Virus könnte hier zufällig einige Werte ändern. Oder in einem längeren Text in Word tauchen plötzlich Tippfehler auf, oder es fehlen einzelne Wörter. Der Aufwand, die Originaldaten wiederherzustellen, kann enorm sein.


Stealth-Viren
Diese Viren versuchen ihre Anwesenheit im System zu verschleiern. Dazu überwachen sie z.B. Zugriffe auf Programmdateien und das Inhaltsverzeichnis.

Versucht das Betriebssystem, z.B. beim Befehl DIR, die Grösse einer infizierten Programmdatei zu ermitteln, subtrahiert der Stealth-Virus von der tatsächlichen Dateilänge die Länge des Viruscodes und täuscht so eine korrekte Programmlänge vor. Wird eine Programmdatei nicht ausgeführt, sondern nur gelesen, z.B. von einem Virenscanner, entfernt der Virus aus der zu lesenden Datei den Viruscode, so dass der Virenscanner den Virus nicht in der Programmdatei finden kann.

Alle Stealth-Viren nutzen die Technik der Residenz um die Zugriffe des Betriebssystems zu kontrollieren.

Viele Viren verschlüsseln inzwischen bei einer Infektion den gesamten Virus oder Teile davon (z.B. lesbare Zeichenketten). Dabei verwenden einige Viren bei jeder neuen Infektion neue Schlüssel zum Ver-/Entschlüsseln. Solche polymorphen Viren verhindern, dass Virenscanner nach einer speziellen, für den Virus typischen Bytefolge suchen können. Ein Beispiel hierfür sind Viren, die die sogenannte Mutation-Engine enthalten, ein Modul, welches polymorphe Viren erzeugt.

Um Monitorprogramme zu umgehen, versuchen einige Viren sich zwischen BIOS und Monitorprogramm einzuklinken. Dazu unterwandern sie die Monitorprogramme mit einer Technik, die als Tunneling bezeichnet wird. Da solche Viren vor dem Monitorprogramm aktiv werden, kann ein Monitorprogramm ihre Aktivitäten nicht feststellen.


Trojaner & Co.
Während sich Viren nach Möglichkeit verstecken und unbemerkt bleiben wollen, treten Trojanische Pferde offen auf. Das Programm gibt sich als Bildschirmschoner, Passwortverwaltung oder ein anderes nützliches Tool aus. Und diese Funktion führt es gelegentlich sogar mehr oder weniger gut aus. Meistens geht es aber nur darum, den Empfänger dazu zu verlocken, das Programm zu starten. Dann führt ein Trojaner seine Schadensfunktion sofort aus: Er löscht die Festplatte oder installiert einen Bootvirus oder ein Remote-Administrations-Tool.

Ein interessantes Beispiel: Anfang 1998 entschlüsselten die zwei 16-jährigen Kölner Realschüler Aron Spohr und Marcel Henning die Verschlüsselung des T-Online-Passworts. Anschliessend programmierten Sie die T-Online Power Tools, ein Hilfsprogramm für den T-Online-Decorder. Das Tool fand rasch Verbreitung. Sobald jemand die Online-Registrierung benutzte, schickte der Trojaner über das Internet auch die Zugangsdaten zum jeweiligen T-Online-Anschluss mit. Die Verschlüsselung des T-Online-Decorders war nur mangelhaft. So kamen in kurzer Zeit 600 Passwörter zusammen. Zum Glück für die Ausgespähten ging es den Schülern nur darum, die Machbarkeit nachzuweisen. Sie veröffentlichen ihre Erkenntnisse in der Presse.

Künftig dürfte die Gefahr, die von Trojanern ausgeht, noch erheblich zunehmen. Schliesslich sind die Effekte, die sich damit erreichen lassen, für Personen mit krimineller Energie sehr verlockend. Besonders Passwort-Trojaner für AOL gibt es dutzendweise.


Würmer
Ein Wurm ist ein Trojanischen Pferd, das sich selbst an neue Empfänger verschickt. Damit der Wurm aktiv werden kann, muss der Empfänger das Programm selbst starten.

Unter dem Namen ExplorerZip beziehungsweise ZippedFiles verbreitete sich Anfang Juni ´99 ein solcher Wurm für Windows-95/98-Systeme. Das Opfer bekommt eine - englische - E-Mail mit persönlicher Anrede, an die eine exe-Datei mit dem Namen ZippedFiles angehängt ist. Das wirkt wie ein normales Zip-Archiv, das sich per Doppelklick öffnen lässt. Statt dessen aktiviert ein Doppelklick den Wurm. Der gibt eine Fehlermeldung aus, die ein korruptes Zip-Archiv bemängelt. Im Hintergrund kopiert er eine Datei namens explore.exe ins Systemverzeichnis von Windows und ändert die win.ini. Damit wird der Wurm bei jedem PC-Start aktiv.

Dann wartet er auf den Start von Outlook. Er durchsucht den Posteingang und schickt an alle Absender eine Antwort. Dabei benutzt er den Vornamen als Anrede und verspricht eine baldige Antwort auf die ursprüngliche E-Mail. In der Zwischenzeit soll der Empfänger einen Blick auf das angehängte Zip-Archiv werfen - schon ist ein neuer PC infiziert.

Der Schaden, den ExploreZip anrichten kann, ist enorm. Es durchsucht gezielt alle verfügbaren Laufwerke, auch Netzlaufwerke, nach Dateien folgenden Typs: asm, c, cpp, doc, h, xls, ppt. Es handelt sich um diverse Quelldateien von Programmiersprachen sowie um Dokumente von Word, Excel und PowerPoint. Dann setzt es die Länge dieser Dateien auf Null. Das erschwert im Gegensatz zum einfachen löschen das Wiederherstellen der Dateien erheblich.