Was ist ein Computer-Virus?

Status
Für weitere Antworten geschlossen.

Maestro2k5

Projektleiter
Teammitglied
Beiträge
13.709
Ort
Erfurt
Smartphone
OnePlus 8T
Computervirus

aus Wikipedia, der freien Enzyklopädie

In der Fachsprache ist ein Computervirus eine nichtselbständige Programmroutine, die sich selbst reproduziert, indem sie sich an andere Computerprogramme oder Bereiche des Betriebssystems anhängt und, einmal gestartet, vom Anwender nicht kontrollierbare Manipulationen an selbigen vornimmt.

Umgangssprachlich hat der Begriff Computervirus eine breitere Bedeutung: Er wird sowohl für Computerviren in der fachsprachlichen Bedeutung als auch für Computerwürmer und Trojanische Pferde benutzt.

Die Idee zu Computerviren leitete sich von dem biologischen Vorbild der Viren ab und gab ihnen ihren Namen. Durch Computerviren kommt es auf einem Computer häufig zur Veränderung oder Verlust von Daten und Programmen sowie zu Störungen des regulären Betriebs.

Inhaltsverzeichnis // [AnzeigenVerbergen] 1 Klassifikation

2 Aufbau

2.1 Erklärung 1
2.2 Erklärung 2



3 Verwandte Typen

4 Geschichte

5 Prävention

6 Weblinks

[Bearbeiten]


Klassifikation

Computerviren können nach unterschiedlichen Kriterien klassifiziert werden:


  • Nach den Dateitypen bzw. Bereichen auf dem Datenträger, die sie infizieren (Viren, die hier unter mehr als nur eine Kategorie fallen, nennt man auch Hybridviren):
    • Bootviren nutzen die Option von Computern aus, von Datenträgern aus beim Einschalten automatisch Programme zu starten, wie es für das Laden von Betriebssystemen notwendig ist. Sie verbleiben im Arbeitsspeicher und kopieren sich bei Zugriffen auf einen Datenträger in dessen Bootsektor, bei Festplatten meist in den Master Boot Record.
    • Linkviren schleusen sich in Programmdateien ein, so dass dessen Code beim Ausführen jener mit ausgeführt wird. Sie verbleiben meist ebenfalls im Speicher und infizieren Programme, wenn sie gestartet werden. Dadurch können Programmdateien unbrauchbar gemacht werden.
    • Companion-Viren infizieren nicht die ausführbaren Dateien selbst sondern benennen die ursprüngliche Datei um und erstellen eine Datei mit dem ursprünglichen Namen, die nur das Virus enthält, oder sie erstellen eine Datei mit ähnlichem Namen, die vor der usprünglichen Datei ausgeführt wird. Unter DOS gibt es beispielsweise Companion-Viren, die zu einer ausführbaren EXE-Datei eine versteckte Datei gleichen Namens mit der Endung ".com" erstellen, die dann nur das Virus enthält. Wenn unter DOS beim Aufruf eines Programms die Endung nicht angegeben wird, werden ".com"-Dateien ".exe"-Dateien vorgezogen. Das Virus führt, nachdem es sich meist im Arbeitsspeicher festgesetzt hat, das ursprüngliche Programm aus, so dass der Benutzer meist nichts von der Infektion bemerkt.
    • Makroviren sind in Dateien wie Textdokumenten versteckt, dessen Programme über eine so genannte Makrosprache verfügen. Diese Programmiersprache kann Prozesse innerhalb des Programms automatisieren, allerdings auch dazu ausgenutzt werden, ein Makroprogramm in jedes weitere geöffnete Dokument zu kopieren.
  • Nach dem Verbleib im Arbeitsspeicher:
    • Einige einfache Viren infizieren direkt, wenn ein infiziertes Programm ausgeführt wird, andere Dateien. Solche Viren verbreiten sich meist nicht sehr erfolgreich, weil oft nur Dateien im aktuellen Verzeichnis infiziert werden. Wenn das nicht der Fall ist, kann das Durchsuchen ganzer Laufwerke auffällig sein, außerdem werden dabei kaum Dateien auf Wechseldatenträgern infiziert.
    • Speicherresidente Viren hingegen verbleiben auch nach Beendigung des Wirtprogramms im Speicher und fangen Aufrufe von Systemfunktionen wie z. B. das Ausführen einer Datei ab, um diese Datei dann zu infizieren.
  • Man bezeichnet Viren als
    • Stealthviren, wenn sie besondere Maßnahmen ergreifen, um ihre Existenz zu verschleiern, so werden Systemaufrufe abgefangen, so dass z. B. bei der Abfrage der Größe einer infizierten Datei die Größe vor der Infektion angegeben wird (manche Viren verändern die ursprüngliche Größe auch gar nicht, weil sie sich in unbenutzte Bereiche der Datei kopieren) oder auch beim Lesen der Datei die Daten der ursprünglichen Datei zurückgeben.
    • verschlüsselte Viren, wenn sie einen Teil ihres Codes verschlüsseln. Der Schlüssel kann dabei von Infektion zu Infektion variieren. Das soll Antivirenprogramme daran hindern, einfach nach einer bestimmten Zeichenfolge in Dateien suchen zu können.
    • polymorphe Viren, wenn sie ihre Gestalt von Generation zu Generation vollkommen ändern. Das geschieht oft in Kombination mit Verschlüsselung, es wird eine variabler Verschlüsselung benutzt. Ein Teil des Viruscodes muss jedoch in unverschlüsselter Form vorliegen, um bei der Ausführung den Rest zu entschlüsseln. Um auch diesen Teil variabel zu machen, wird der Entschlüsselungscode bei jeder Infektion neu erstellt. Der Programmcode, der dabei den Entschlüsselungscode immer neu erstellt, befindet sich dabei selbst im verschlüsselten Teil des Virus und kann z. B. voneinander unabhängige Befehle austauschen und Operationen mit verschiedenen Befehlssequenzen kodieren, so dass verschiedene Varianten entstehen.
    • metamorphe Viren, wenn sie ihren gesamten Code bei jeder Infektion umformulieren. Dies geschieht meist durch Übersetzung des Maschinencodes in symbolischen Code und variabler Rückübersetzung. Der größte Teil des Viruscodes dient dabei meist dieser Aufgabe.
[Bearbeiten]


Aufbau

Es gibt mehrere Varianten, ein Virus zu strukturieren:

[Bearbeiten]


Erklärung 1


  • Vermehrungsteil: Mit diesem Programmteil wird die Vermehrung des Virus durchgeführt.
  • Erkennungsteil: Im Erkennungsteil wird geprüft, ob bereits die Infektion eines Programms oder Systembereichs erfolgte. Jedes Wirtsprogramm wird nur einmal infiziert.
  • Schadensteil: In einigen Viren ist absichtlich eine Schadensfunktion programmiert, meist das Überschreiben oder Verändern von Programmen oder Daten oder aber auch nur die Ausgabe von Meldungen und Tönen auf dem Rechner. Dieser Programmteil kann fehlen, aber auf jeden Fall entsteht Schaden durch Inanspruchnahme von Speicherplatz im Hauptspeicher und auf Datenträgern. Durch Programmierfehler, Veränderungen des Betriebssystems oder ähnliches können weitere Schäden als Nebeneffekte auch dann auftreten, wenn sie nicht absichtlich programmiert sind.
  • Bedingungsteil: Sowohl die Verbreitung als auch die Schadensfunktion können von Bedingungen abhängig programmiert sein, z. B. tritt bei einigen Viren der Schaden an einem bestimmten Datum oder bei einer bestimmten Anzahl von Aufrufen ein. Auch dieser Teil kann fehlen.
  • Tarnungsteil: Hierunter fallen Programmroutinen, die die Entdeckung des Virus im infizierten System erschweren sollen. Dieser Teil ist meist nur bei neueren Viren zu finden.
[Bearbeiten]


Erklärung 2

Ein Computervirus besteht aus drei Teilen:


  • Replikationseinheit
  • Trigger (Auslöser)
  • Payload (Schadroutine)
Die Replikationseinheit dient der (meist unbemerkten) Vervielfältigung des Virus, z. B. indem es sich an ein bestimmtes Programm anhängt, welches sich auf der Festplatte befindet. Jedesmal, wenn das infizierte Programm gestartet wird, kopiert sich das Virus. Damit kann sich das Virus erst einmal verbreiten, ohne zunächst einen Schaden anzurichten.

Andere Verbreitungsmethoden sind die Infektion von Disketten oder anderen bootfähigen Datenträgern (Bootviren) oder Textdokumenten (falls das Textverarbeitungsprogramm eine genügend mächtige Makro-Sprache besitzt und die Makros zusammen mit dem normalen Text in einer Datei gespeichert werden).

Den Teil, der den eigentlichen Schaden verursacht, bezeichnet man als Schadroutine oder Payload (dt.: Nutzlast). Hier tritt das Virus zum ersten Mal in Erscheinung und signalisiert manchmal, dass es da ist. Hierbei richtet es einen mehr oder weniger großen Schaden an. Eine Schadroutine ist optional (ein Virus ist auch ohne sie ein Virus) und in den meisten Viren gar nicht vorhanden. Mitunter richtet die Verbreitung aber einen Schaden an.

Einige Viren sind so programmiert, dass sie erst dann in Erscheinung treten und den Schaden verursachen, wenn ein bestimmtes Ereignis eingetreten oder eine bestimmte Zeit verstrichen ist. Andere schalten gewisse Funktionen zu einem bestimmten Zeitpunkt wieder ab. Hierfür ist der sog. Trigger (dt.: Auslöser) zuständig.

So kann es z.B. sein, dass ein Virus erst nach dem 100. Start des Rechners aktiv wird, oder dass es sich jeden Dienstag oder am 10. eines jeden Monats in Erscheinung tritt und dann z.B. bestimmte Dateien löscht.

[Bearbeiten]


Verwandte Typen


  • Computerwurm
  • Trojaner
[Bearbeiten]


Geschichte


  • 1980 - Jürgen Kraus verfasst eine Diplomarbeit mit dem Titel "Selbstreproduktion bei Programmen", in welcher der Vergleich angestellt wird, dass sich bestimmte Programme ähnlich wie biologische Viren verhalten können.
  • 1981 - Professor Leonard M. Adleman verwendet im Gespräch mit Fred Cohen zum ersten Mal den Begriff Computervirus.
  • 1984 - Fred Cohen liefert seine Doktorarbeit "Computer Viruses - Theory and Experiments" ab. Darin wurde ein funktionierendes Virus für das Betriebssystem UNIX vorgestellt.
  • 1985 - Über Mailboxen wird das Trojanische Pferd Gotcha über ein Programm verteilt, das die Grafik verbessern soll. Nach dem Start werden die Daten auf der Festplatte gelöscht und es erscheint auf dem Bildschirm der Schriftzug Arf, arf, Gotcha.
  • 1986 - Zwei Software-Händler aus Pakistan verbreiten das erste Virus für das Betriebssystem MS-DOS. Das Programm war relativ harmlos, da es nur das Inhaltsverzeichnis der befallenen Disketten in Brain umbenannte.
  • 1987 - Im Data-Becker Verlag erscheint das erste Buch zum Thema Computerviren "Das große Computervirenbuch" von Ralf Burger.
  • 1987 - Das so genannte Cascade-Virus lässt zum ersten Mal in Deutschland die Buchstaben einer Seite nach unten rutschen, wo sie sich zu einem kleinen Häufchen sammeln. Er vernichtete Dateien.
  • 1988 - Der erste Baukasten für Viren (Virus Construction Kit) wird veröffentlicht. Damit ist es auch Anfängern möglich, Viren nach Maß zu erstellen. Das Programm läuft auf dem Computer Atari ST.
  • 1989 - Mit V2Px erscheint das erste polymorphe Virus, das sich selbst wieder neu verschlüsseln kann und deshalb durch Antivirenprogramme nur schwer zu entdecken ist.
  • 1990 - Der Verband deutscher Virenliebhaber verbreitet das erste Virus Construction Kit für DOS.
  • 1993 - Erste Computerviren für Windows tauchen auf.
  • 1995 - Es erscheinen die ersten Makroviren.
  • 1997 - Das erste Virus für das Betriebssystem Linux tritt in Erscheinung.
  • 1998 - Strange Brew, das erste Virus für Java, erscheint.
  • 2000 - Loveletter infiziert mehr PCs als jeder bisherige Virus.
[Bearbeiten]


Prävention

Anwender sollten niemals unbekannte Programme oder Programme aus unsicherer Quelle ausführen bzw. generell beim Öffnen von Dateien oder z.B. E-Mails Vorsicht walten lassen. Durch Sicherheitslücken in den mit Dateien verknüpften Programmen können Schadprogramme auf verschiedene Weise aktiv werden. Durch die Autostartfunktion für CD-ROMs und DVD-ROMs können Programme bereits beim Einlegen eines solchen Datenträgers ausgeführt, und damit ein System infiziert werden.

Vor allem Microsoft Outlook Express ist als sehr unsicherer Mail-Client aufgefallen, da es ohne Zutun des Benutzers fremde Software in E-Mails gestartet hat. Man sollte deshalb ein sichereres Programm benutzen.

Antivirenprogramme schützen nur vor bekannten Viren. Daher ist es bei der Benutzung eines solches Programms wichtig, regelmäßig neue Virensignaturen einzuspielen. Diese werden meist vom Hersteller der Software bereitgestellt. Unbekannte Viren können jedoch von manchen dieser Programme auch anhand ihres Verhaltens entdeckt werden. Diese Funktionen arbeiten jedoch extrem unzuverlässig. Aus diesen Gründen sollte man diese Programme nur als Unterstützung ansehen und sich nicht allein auf ihr Urteil verlassen.

Personal Firewalls können theoretisch vor bösartigen Programmen, die sich über Schwachstellen in Serverdiensten weiterverbreitet, schützen. In der Praxis ist es jedoch besser, die kritschen Dienste zu beenden, da jedes Programm mit Internetzugriff, auch eine Personal Firewall, ein potentielles Angriffsziel darstellt. Des Weiteren sind Personal Firewalls gegen Computerviren fast immer unwirksam, da diese sich im Allgemeinen durch die Weitergabe infizierter Dateien durch die Benutzer verbreiten.

Folgende Tipps helfen, die Bedrohung durch Viren einzuschränken:

  1. Dateien aus dem Internet (ob nun heruntergeladen oder per E-Mail erhalten) sollten nur angenommen werden, wenn man sicher ist, dass sie aus seriöser Quelle stammen (E-Mail-Absender können gefälscht sein) und nur geöffnet werden, nachdem man mit einem Antivirenprogramm die Virenfreiheit festgestellt hat.
  2. Das automatische Öffnen von Dateien aus dem Internet sowie das automatische Anzeigen von Dateianhängen sollte deaktiviert werden.
  3. Regelmäßig Betriebssystem und Software aktualisieren.
  4. Einen sicheren Browser und ein sicheres E-Mail-Programm verwenden.
  5. Schutzfunktionen des Betriebssystems nutzen. Dazu zählt insbesondere, nicht als Administrator mit allen Rechten, sondern als Nutzer mit eingeschränkten Rechten zu arbeiten, der keine Software installieren darf.
eventuell auch:

  1. Statt des weit verbreiteten Microsoft Windows je nach Erfordernissen seltener gebräuchliche Betriebssysteme verwenden, wie Mac OS X, Linux, BSD, BeOS oder OS/2. Diese Systeme sind zwar nicht unangreifbar, aber es gibt weniger Personen, die maliziöse Software für diese herstellen und verbreiten. Auch ist es auf einigen dieser Systeme einfacher, konsequent den Benutzer vom Systemverwalter zu trennen. Des Weiteren sind andere Architekturen wie PowerPC- und Alpha-CPUs nicht anfällig für den üblicherweise für x86-Prozessoren bestimmten Maschinencode.
  2. Verwendung aktueller Antivirenprogramme mit Virendefinitionen, die mindestens wöchentlich aktualisiert werden.
  3. Einsatz einer Personal Firewall, um Angriffe abzublocken, die Sicherheitslücken im System ausnutzen.
Siehe auch: Malware, Hoax, Computersicherheit, Backdoor, Dropper, Monokultur

[Bearbeiten]


Weblinks


  • [DLMURL="http://www.bsi.de/av/virbro/index.htm"]Informationen zu Computer-Viren[/DLMURL] ([DLMURL]http://www.bsi.de/av/virbro/index.htm[/DLMURL]) vom Bundesamt für Sicherheit in der Informationstechnik
  • [DLMURL="http://www.heise.de/tp/deutsch/special/med/16056/1.html"]Telepolis-Artikel[/DLMURL] (Bundesamt für Sicherheit in der Informationstechnik) zum 20-jährigen Bestehen von Computerviren
  • [DLMURL="http://www.heise.de/security/dienste/antivirus/links.shtml"]Links zu Antivirenherstellern und Informationsseiten[/DLMURL] ([DLMURL]http://www.heise.de/security/dienste/antivirus/links.shtml[/DLMURL])
  • Virenlexikon und Whitepaper rund um Computerviren (Virenlexikon und Whitepaper rund um Computerviren)
  • [DLMURL="http://www.vhm.haitec.de/konferenz/makro.htm"]Makro-Viren (Microsoft Word und Excel)[/DLMURL]
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
Oben