Computerviren. Funktionsweise und Schutzmöglichkeiten

Inhaltsverzeichnis:

1. Was ist ein Computervirus Seite
1.1 Definition eines Computervirus
1.2 Die geschichtliche Entwicklung der Viren
1.3 Warum Computerviren
1.4 Mögliche Schäden durch Computerviren
1.5 Die Vor- und Nachteile von Computerviren
1.6 Infektionswege

2. Wie funktionieren Computerviren Seite
2.1 Erscheinungsformen von Computerviren
2.2 Der Aufbau eines Computervirus
2.3 Ein theoretisches Virenbeispiel von Fred Cohen

3. Virenschutz Seite
3.1 Allgemeiner Virenschutz
3.2 Die Möglichkeiten einen Virus aufzuspüren
3.3 Entfernung von erkannten Viren
3.4 Isolierung

4. Rechtslage Seite

5. Glossar Seite

1. Was ist ein Computervirus

1.1 Definition eines Computervirus

Der Versuch einen Computervirus zu definieren ist nicht gerade einfach, da Computerviren in vielen Formen und Varianten auftreten. So werden z.B. „Trojanische Pferde“ (Programme die vorgeben etwas nützliches zu sein, jedoch in Wirklichkeit bei der Ausführung ein ganz anderes Ziel verfolgen, wie z.B. Passwörter oder Informationen des Rechners über das Internet zu verschicken) als Computerviren bezeichnet, obwohl sie rein technisch gar nichts mit Computerviren zu tun haben.

Streng genommen ist ein Computervirus also ein Programm, dass durch Kopien seines eigenen Programms andere Dateien (meistens ausführbare Dateien) infiziert, von denen aus er dann weitere Programme befällt.

1.2 Die geschichtliche Entwicklung der Viren

Wann die erste Idee aufkam einen Computervirus bzw. ein sich selbstreproduzierendes Programm zu schreiben ist schwer auf einen genauen Zeitpunkt festzulegen. Modelle über solche Programme gibt es schon seit den fünfziger Jahren. Veröffentlichungen wie 1974 die Arbeit „ACM Use of Virus Functions to provide a Virtual APL Interpreter under User Control“ blieben fast ungelesen. Erst als der „Spiegel“ 1984 den Artikel „Verborgener Befehl“ über „autoreproduzierende Software“ herausgebracht hatte wurde mehr und mehr über Computerviren gesprochen.

Die bekannteste Studie über Computerviren „Computerviruses, Theory and Experiments“ erschien 1983/84 an der University of Southern California von Fred Cohen, worauf auch der Artikel des „Spiegels“ basiert.

1.3 Warum Computerviren

Mitte der 80 Jahre fingen Privatleute gezielt an Computerviren zu schreiben, häufig mit der Absicht einem Unternehmen zu schaden. Die modernen Viren sind nicht mehr gegen Spezielle Personen oder Firmen gerichtet, sondern haben im Allgemeinen das Ziel sich weit zu verbreiten und möglichst viel Schaden anzurichten.

Bekannt sind im Moment ca. 16000 Viren. Jeden Tag werden etwa 4-5 weitere Computerviren programmiert und gerade in den letzten Jahren nahm die Zahl an Viren durch die Möglichkeit des Internets enorm zu.

Allgemeine Vorteile von Viren gegenüber anderen Attacken:

- Die Herkunft eines Virus ist nur in den seltensten Fällen feststellbar.
- Viren können sich schnell und unbemerkt verbreiten.
- Durch geschicktes Programmieren ist es möglich an Daten oder Passwörter zu gelangen.

Allgemeine Nachteile von Viren gegenüber anderen Attacken:

- Ein einmal verbreiteter Virus kann nicht ohne weiteres gestoppt bzw. sein Ziel verändert werden.
- Da man einen Virus nur allgemeine Anweisungen geben kann, ist es schwer ihn gezielt einzusetzen.

1.4 Mögliche Schäden durch Computerviren

- Löschen oder Überschreiben von Daten oder gar Formatierung eines ganzen Datenträgers

- Manipulation von Daten z.B. durch Verfälschung der Tastatureingabe

- Reduzierung von Systemleistung z.B. durch das Laden irgendwelcher Daten in den Arbeitspeicher

- Hardwareschäden verursachen - selten, da der Virus sehr groß seien müsste

1) Übertaktung von Prozessoren, z.B. des Grafikprozessors
2) Bei manchen Diskettenlaufwerken verklemmt sich der Lese-/Schreibkopf beim Versuch die innerste Spur zu lesen
3) Löschen des BIOS
4) Erhöhung der Bildschirmfrequenz durch die Grafikkarte was ein Verschmoren der Leuchtschicht an der Bildschirminnenseite zur Folge hätte

1.5 Infektionswege

- Diskette, CD-Rom
- Lokales Netzwerk
- Internet (z.B. E-Mail)

Seitdem das Internet zum Volksmedium geworden ist, ist es auch zu dem am häufigsten genutzten Infektionsweg geworden, da sich Viren durch das globale Computernetzwerk leicht verbreiten können.

2. Wie funktionieren Computerviren

2.1 Erscheinungsformen von Computerviren

Um das riesige Potential von Computerviren in der Art und Weise hinsichtlich der Infektion und der Möglichkeit unentdeckt zu bleiben darzulegen, werden hier die häufigsten Technologien von Computerviren beschrieben

Grundsätzlich gibt es zwei sich in der Infektion unterscheidende Verfahren, einmal Viren, die sich in den Bootsektor kopieren und Viren, die Dateien befallen.

a) Programmviren

Beim Programmvirus wird zwischen zwei verschiedenen Arten unterschieden:

1) Nichtüberschreibende Viren

Nichtüberschreibende Programmviren setzten sich bei der Infektion entweder an den Anfang, wobei der Inhalt der Datei verschoben wird oder hängen sich an das Ende einer ausführbaren Datei und werden beim Ausführen dieser dann gestartet. Vorteil: Die Programme sind trotz des Befalls noch lauffähig.

Nachteile: Die Größe der befallenen Datei ändert sich und der Virus ist so leichter zu erkennen.

2) Überschreibende Viren

Überschreibende Programmviren überschreiben den Anfang der Datei im Gegensatz zu „Nichtüberschreibenden Viren“. Somit ist das Wirtsprogramm nicht mehr lauffähig.

Vorteil: Solche Viren sind zum einem sehr leicht zu schreiben zu anderen verändern sie die Größe der Datei nicht.

Nachteil: Durch das nicht lauffähige Programm könnte der Benutzer den Virus sehr schnell bemerken, bevor dieser sich ausreichend verbreitet hat.

b) Call Viren

Call Viren setzten in die zu infizierende Datei eine Verknüpfung hinein, welche dann zum eigentlichen Virus führt. Der eigentliche Virus liegt als versteckte Datei irgendwo auf dem Datenträger vor.

Vorteil: Der Virus ist relativ unauffällig, da er es häufig schafft die Größe der Datei beizubehalten.

Nachteil: Der Virus ist leicht zu entfernen, indem der eigentliche Virus entfernt wird.

c) Source-Code Viren

Dies ist eine besondere und nicht gerade sehr verbreitete Art von Viren. Der eigentliche Virus liegt noch nicht als ausführbarer Programmcode vor, sondern als Sourcecode (Quellcode). Beim Starten eines solchen Virus sucht es sich ein in der selben Programmiersprache (z.B. C, Pascal, usw.) geschriebenes noch im Source-Code vorhandenes Programm und kopiert seinen Sourcecode in den des Programms. Kompilier t man dieses nun, wird der Virus mit kompiliert. Jedoch muss der Quellcode des Virus immer noch in der Datei vorhanden bleiben, da ein weiteres infizieren eines Quellcode s sonst nicht möglich wäre.

Vorteil: Der Virus ist von Antivirenprogrammen fast nicht zu erkennen (siehe. Heuristische Scanner).

Nachteil: Zu nennen wäre da zum einen, dass außer Softwarefirmen fast kein Mensch mehr selber Programme schreibt. Diese müssten dann auch noch in einer vom Virus unterstützten Programmiersprache vorliegen und dürften nicht zu klein sein, da der Virus bei kleinen Programmen sofort auffallen würde.

d) Begleitviren/Campanion Viren

Der Begleitvirus bildet die Ausnahme von der Regel, die besagt, dass ein Virus stets eine Datei infiziert. Der Begleitvirus erstellt statt dessen eine neue Datei und nutzt das Verhalten von DOS aus, dass nämlich beim ausführen von Dateien mit dem selben Namen eine klare Hierarchie hat. Begleitviren erstellen eine .COM -Datei mit dem Namen einer vorhandenen .EXE -Datei mit dem Ziel, dass die .COM -Datei bevorzugt und somit zuerst gestartet wird. Vorteil: Solche Viren verändern dass eigentlich zu befallende Programm nicht und erfordern kein programmiererisches Geschick.

Nachteil: Diese Art von Viren ist sehr leicht zu erkennen, zu entfernen und nur in der normalen DOS -Eingabeaufforderung möglich, da diese Hierarchie bei Windows nicht funktioniert.

e) Bootsektorviren

Der Bootsektor ist der vom BIOS aus beim Systemstart als erstes gelesene Sektor, der dem Rechner mitteilt, welche Dateien und Programme gebraucht werden um das Betriebssystem zu starten. Bei der Infektion erstellt der Virus eine Kopie des Bootsektors und überschreibt den Bootsektor dann mit einem Verweis auf den echten Bootsektor mit dem Virus.

Vorteil: Sie sind gleich beim Systemstart aktiv und für Antivirenprogramme schwer zu erkennen und zu beseitigen.

Nachteil: Bei Bekanntheit des Antivirenprogramms sind sie leicht zu entfernen.

f) Partition Table Virus

Der Virus nistet sich im "Partition Tabel" der Festplatte ein und infiziert von dort aus den Bootsektor. Daher bleibt selbst nach löschen des Bootsektor s oder formatieren der Festplatte der Virus erhalten. (weiteres siehe e))

g) Makro Viren

Ein Makro ist eine automatisierte Abfolge von Befehlen/Aktionen, z.B. zum Einfügen einer Tabelle einer bestimmten Größe, welche man häufig benötigt. Makros gibt es in Anwendungsprogrammen wie MS Word oder MS Excel. Makro Viren sind die neuste Generation von Viren, da es Makros in der vorm noch nicht sehr lange gibt. Ein Makrovirus ist ein Computervirus, der in einem Makro innerhalb eines Dokuments, einer Vorlage oder eines Add-Ins gespeichert ist. Wenn man ein solches Dokument öffnet oder eine Handlung vornimmt, die den Makrovirus aufruft, wird er aktiviert, auf den Computer übertragen und in der Vorlage gespeichert. Danach kann jedes Dokument beim Öffnen automatisch mit dem Makrovirus infiziert werden. Und auch bei weitergaben einer harmlos erscheinenden Textdatei kann sich so ein Virus verbreiten.

Vorteil: Es wird eine andere Art von Dateien befallen, was vielen Benutzern gar nicht bewusst ist bzw. häufig unterschätzt wird.

Nachteil: Makro Viren sind im Allgemeinen sehr leicht zu entfernen.

Spezialformen von Viren

a) Speicherresistente Viren

Speicherresidente Viren nennt man Viren die beim Start eines infizierten Programms, sich in den Arbeitsspeicher laden. So kann der Virus, auch wenn das eigentliche Programm beendet wird, aktiv bleiben.

Solche Computerviren überwachen bestimmte DOS - oder BIOS - Interrupt s in der InterruptVektor-Tabelle. Benötigt ein Programm nun eine Systemfunktion (z.B. eine Tastatureingabe) so fordert sie diese über einen Interrupt an. Was bei dem Ausführen eines Interrupt s geschieht, steht in der Interrupt-Vektor-Tabelle. Da diese Tabelle im Arbeitsspeicher liegt, kann der Virus hier verändernd eingreifen und der angeforderte Interrupt führt, anstatt der ursprünglichen Interruptfunktion, die Virusfortpflanzungsroutine aus. Das aktive Programm wird infiziert.

b) Polymorphe Viren

Die meisten einfachen Viren fügen den Dateien, die sie infizieren, Kopien ihrer selbst hinzu. Ein Antivirenprogramm kann die Virenkennung des Virus ermitteln, da dieser immer der gleiche ist und so den Virus schnell aufspüren. Um diese Vorgehensweise zu verhindern, funktionieren polymorphe Viren etwas anders. Im Gegensatz zu einfachen Viren vermischt ein polymorpher Virus bei der Infizierung eines Programms seine Viruskennung mit dem Programmcode. Infolge dieser Vermengung sieht jede infizierte Datei anders aus, wodurch die Erkennung und somit auch die Entfernung solcher Viren erschwert wird.

c) Hybridviren

Hybridviren sind Viren, die sowohl Programmdateien als auch Boot-Sektoren infizieren. Wenn man beispielsweise ein mit dem Tequila-Virus infiziertes Textverarbeitungsprogramm startet, wird der Virus aktiviert und infiziert den Boot-Sektor der Festplatte. Beim nächsten Systemstart wird der Tequila-Virus erneut aktiviert und beginnt damit, jedes Programm zu infizieren unabhängig davon, ob es sich auf der Festplatte oder auf einer Diskette befindet.

2.2 Der Aufbau eines Computervirus

Computerviren ähneln in ihrer Funktion und ihrem Aufbau sehr Biologischen Viren, von welchen sie wohl auch ihren Namen haben.

Ein Vergleich von biologischen Viren und Datei Viren:

Abbildung in dieser Leseprobe nicht enthalten

Ein normaler Computervirus ist fast ohne Ausnahmen in zwei Bereiche gegliedert:

a) Der Fortpflanzungsmechanismus

Der Fortpflanzungsmechanismus funktioniert normalerweise nach dem folgenden Schema:

1) Suche nicht infiziertes Programm/ Bootsektor
2) Infiziere gefundenes Programm/ Bootsektor

Je nach Art des Virus werden Dateien, Makros, Bootsektoren, Arbeitspeicher infiziert. Um zu vermeiden, dass Dateien doppelt infiziert werden, durchsucht der Virus vor Befall die Datei nach einer vom Virus abhängigen, vorher mit hineingeschriebene, Viruskennung. Manch Viren ändern auch das Erstellungsdatum/zeit der infizierten Datei um ein Befall zu erkennen.

b) Der Auftrag

Der Auftrag eines Virus ist Unterschiedlich und gestaltet sich nach dem Ziel des Programmierers. Vom einfachen Nichtstun bis zum löschen des BIOS ist alles möglich (siehe 1.3) .

Um der Gefahr der Entdeckung möglichst lange auszuweichen sind in vielen Viren sogenannte „Trigger“ eingebaut, das heißt das der Virus erst nach eintreten eines bestimmten Ereignisses, z.B. an einem bestimmten Datum oder nach dem x. Start eines Programms, aktiv wird.

2.3 Ein theoretisches Virenbeispiel von Fred Cohen

Abbildung in dieser Leseprobe nicht enthalten

Erläuterung:

Zeile: 2 Viruskennung => 12345678 (siehe 2.2 a))

Zeile: 4-7 Die erste Subroutine des Programms sucht nach einer ausführbaren Datei und überprüft gleich anhand der vorhandenen Viruskennung, ob die Datei schon infiziert ist.

Zeile: 9-10 Die Subroutine soll nun eine beliebig zu definierende Manipulationsaufgabe

ausführen.

Zeile: 12-13 Diese Subroutine soll nun überprüfen ob die Bedingung des Triggers erfüllt ist (siehe 2.2 b) ).

Zeile: 15-18 Dies soll nun das Hauptprogramm darstellen, von dem aus die Subroutinen hintereinander aufgerufen werden => infizieren, Trigger überprüfen => gegebenenfalls etwas Manipulieren.

3. Virenschutz

3.1 Allgemeiner Virenschutz

Antivirenprogramme sind die beliebteste und bequemste Methode sich vor Viren zu schützen. Aber auch sie können keinen vollständigen Schutz bieten. Die einzige Möglichkeit, um eine Infektion auszuschließen, ist die totale Abriegelung des Computers von fremden Daten. Doch da dieser Schutz den Gebrauch von Disketten, CD-ROMs und des Internets verhindern würde, ist er praktisch kaum durchzusetzen.

Für den bestmöglichen Schutz eines Antivirenprogramms müssen seine Virusdefinitionen (Informationen, um Viren während einer Prüfung zu erkennen) auf dem neusten Stand sein. Nur die Viren, die in den Virusdefinitionen des Antivirenprogramms enthalten sind, können auch sicher erkannt werden. Die Virussignaturen neuer Viren werden den Definitionen ständig hinzugefügt. Es ist also empfehlenswert seine Virusdefinitionen mindestens einmal monatlich zu aktualisieren .

3.2 Die Möglichkeiten einen Virus aufzuspüren

a) Hintergrundscanner

Sie warten im Hintergrund auf virentypische Aktivitäten (wie z.B.: Veränderung von ausführbaren Dateien, Verbiegen von Interrupt Vektoren oder Formatieren von Sektoren). Dabei überprüfen sie:

- das Ausführen, Erstellen, Kopieren und Umbenennen einer Datei
- den Zugriff auf eine Diskette
- das Empfangen einer E-Mail, die eine Anhang enthält
- den Download einer Datei aus dem Internet
- den Besuch einer Website, die Java - oder Active X - Komponenten enthält

Leider können die meisten Monitore von manchen Viren problemlos übergangen werden.

Um unbekannte einen Computer vor unbekannten Viren zu Schützen, werden häufig heuristische Methoden angewendet.

b) Manuelle Scanner

Programme dieser Art durchsuchen die Dateien nur nach virenspezifischen Zeichenketten oder nach sog. Jokerzeichen, die auf mehrere Virenvarianten passen und somit den Scanner flexibler machen. Leider muss, um mit diesen Programmen einen Virus finden zu können, dieser schon bekannt und analysiert worden sein. Außerdem sind sie gegen polymorphe Viren so gut wie hilflos, da in diesem Fall jede Virengeneration oder Variation ihren eigenen Scan-String bräuchte. Moderne Scanner verwenden Ansätze von künstlicher Intelligenz und heuristische Methoden, um gegen unbekannte Viren besser gewappnet zu sein.

Um ein System wirkungsvoll zu schützen sollte man alle 2 Wochen mindestens 2 verschiedene Scanner benützen.

Spezielle Formen der Virenerkennung

a) Impfung

Nach Sicherstellung, dass keine Viren auf dem Computer vorhanden sind, kann das Antivirenprogramm Datenabschnitte wie Bootsektoren, Dateigrößen, Programme, Sourcecode s, usw. impfen, indem deren wichtigste Daten aufgezeichnet und in einer speziellen Datei gespeichert werden. Bei späteren Prüfungen wird die zuletzt gespeicherte Datei mit dem aktuellen Zustand verglichen. Bei Änderung wird auf die Möglichkeit eines Virusbefalles hingewiesen.

b) Heuristische Scanner

Ein Virus, für den es noch keine Virusdefinition gibt, ist nur schwer zu entdecken. Mit der heuristischen Technologie hat man die geringe Chance so einen Virus aufzuspüren. Durch diese Technologie werden die unterschiedlichen logischen Bereiche einer Datei isoliert und ermittelt. Anschließend wird die Programmlogik auf virusähnliches Verhalten hin untersucht. Verdächtige Funktionen sind:

- Schreiben in ausführbare Dateien
- Modifizieren von Dateiattributen
- Undokumentierte Interrupt zugriffe (siehe Speicherresistente Viren)
- Suchen nach beliebigen ausführbaren Dateien

3.3 Entfernung von erkannten Viren

Die meisten Antivirenprogramme enthalten auch eine Virenentfernungsfunktion. Dabei ist das Ziel, die infizierte Datei wieder in den Zustand vor ihrem Befall zu versetzen. Die Wiederherstellung kann aber nur erfolgreich sein, wenn eine exakte Beschreibung des Virus vorliegt und dieser richtig erkannt wurde. Da aber oft sehr viele Variationen eines Virus im Umlauf sind, wird die wiederherzustellende Datei meistens durch einen unpassenden Entfernungsvorgang beschädigt und somit unbrauchbar. Es ist also immer empfehlenswert ein Backup aller wichtigen Daten auf der Festplatte zu erstellen.

3.4 Isolierung

Wird ein Virus entdeckt, der von dem Antivirenprogramm nicht entfernt werden kann, dann kann die betroffene Datei in einem besonders gesicherten Bereich isoliert werden. Sodass sich der Virus nicht weiter verbreiten kann.

4. Rechtslage

Die Rechtslage in Deutschland und Österreich ist bezüglich Computerviren sehr ungenau definiert. Das Programmieren von Computerviren ist demnach nicht ausdrücklich verboten, sehr wohl aber deren - auch nur versuchte - Anwendung und vor allem die daraus resultierende Veränderung von Daten. Strafbar ist die Anwendung jedes Virus, auch wenn er keinen Schaden anrichtet, da in jedem Fall durch das Kopieren des Virusprogramms eine Veränderung von Datenbeständen erfolgt. Es gibt aber keine wirklich genauen Verbote für die indirekte Verbreitung von Viren, etwa für das Einschleusen in Netzwerke anstatt durch direkte Infektion des zu manipulierenden Computers. In der Schweiz hingegen sind alle Schritte, vom Programmieren bis zur Verbreitung, sowie der Anstiftung dazu, mit einer Freiheitsstrafe von bis zu 5 Jahren belegt. Sowohl in der Schweiz als auch in Österreich und Deutschland ist allerdings mit weitreichenden Schadenersatzforderungen sowie einer Bestrafung für andere, durch den Vireneinsatz begangene Delikte, etwa Betrug durch einen Virus, der Bankguthaben verschiebt, zu rechnen.

Immer wieder wird der Einsatz von Viren als Schutz vor Raubkopien diskutiert. Würde das Programm also illegal benutzt, so würde es einen Virus freisetzten. Dies ist allerdings rechtlich nur so weit gedeckt, als nur das betroffene Programm und kein Byte mehr in Mitleidenschaft gezogen werden darf.

5. Glossar

Abbildung in dieser Leseprobe nicht enthalten

Quellen:

„Das große Computer-Viren Buch“ von Ralf Burger, erschienen 1988 Hilfsprogramm von Norten-Anti-Virus 2000

Hilfsprogramm von McAfee 99

Microsoft Encarter 99 Stichwort - Computerviren -