Virentypen
Beschreibung einiger Viren-Arten (Formen). Hierbei sei jedoch erwähnt, viele Viren können NICHT nur einer der genannten Kategorien zugeordnet werden. - Diese Viren könnte man somit als eine Mischform verschiedene Virentypen bezeichnen. Ausserdem tagen manche Viren auch verschiedene Bezeichnungen. Sehen wir die Auflistung also eher als eine Begrifferkärung an.
Java-Viren
Strange-Brew ist der Name des ersten und bisher einzig bekannten Java-Virus. Von Stange-Brew geht derzeit keine Bedrohung aus - der Virus ist so unkompatibel, daß er mit fast keiner Java-Implentierung läuft. Aufgrund der unpfangreichen und schwer zu lernenden Struktur von Java ist vorerst nicht mit dem Auftauchen "ernsthafter" Javen-Viren zu rechnen.
Script-Viren
Winscript.Rabbit ist der erste, Ende Oktober 1998 entdeckte VB-Script-Virus. Er verwendet Microsofts Script-Sprache VB-Script. Neuere Virusversionen infizieren nicht nur VB-Scripts, sondern auch die Netscape-kompatiblen JavaScripts. Hat man sich den Virus einmal eingefangen, infiziert er alle Script-Dateien im Browser-Cache und kopiert sich auf den Desktop, wo Sie als
lustige Icons den verblüfften Anwender erfreuen. Script-Viren funktionieren nur unter Windows 98 oder auf Rechnern, die den Windows Scripting Host verwenden
HTML-Viren
Seit Oktober 1998 gibt es die ersten Viren, die sich in HTML-Dateien verstecken und andere HTML-Dateien infizieren. Dahinter versteckt sich das selbe Prinzip wie hinter den beschriebenden ScriptViren - nur daß sich diese Viren als VB-Script in einer HTML-Datei verstecken und sich selbst in alle anderen HTML-Dateien kopieren. Die bisher bekannten Viren HTML-Viren funktionieren ebenfalls nur, wenn der Windows Scripting Host installiert ist, sind aber weit gefährlicher: Eine Variante infiziert beispielsweise HTM Dateien, HTT-Directories (Win98/Active Desctop), HTA-Dateien (IE5), VBS- und DOC-Dateien - sie ist also zugleich ein Makrovirus für Microsof Word.
Retroviren
Retroviren sind Computerviren, die darauf aus sind Anti-Viren-Programme zu überlisten/zerstören oder
(eher selten) völlig ausser Gefecht zu setzen. Viele dieser Retroviren sind lediglich auf (gegen)eine bestimmte Anti-Viren-Software ausgelegt. - Jedoch sind einige dieser Viren auch in der Lage, zunächst herauszufinden, mit welcher Anti-Viren-Software er es zu tun hat. Erst danach wird der Virus dementsprechend aktiv. Hierbei sei jedoch noch erwähnt, dass viele Viren lediglich AUCH diese Funktion einesRetrovirus hat und dann "ungestoert" sich verbreiten, Daten zerstoeren kann. Der Programmierer eines solchen Virus nimmt zuvor die/den "Gegner" (in diesem Fall die Anti-Viren-Software) genau unter die Lupe. Hier wird die Anti-Viren-Software nicht nur angeschaut und getestet, nein der gesamte Code des Programmes wird mit Debuggern und Disassemblern genaustens untersucht. Programmier, die davon etwas verstehen sind nun in der Lage, sogenannte Programmfehler und/oder Sicherheitslücken/Schwachstellen des Programmes zu erkennen. - Genau hier setzt dann der zukünftige Retrovirus an. Der eigentliche Sinn eines Viruses ist, von den Virenscanner möglichst nicht erkannt zu werden (zumindest wenn der Virus wirklich in die freie Wildbahn entlassen werden soll). Hier ein kleines Beispiel, wozu ein Retrovirus in der Lage sein kann: Die Anti-Viren-Software kann dahingehend verändert werden, dass dem Anwender vorgekaukelt wird, der Scanner verrichtet sein Arbeit. Jedoch wird dem User nur einen "Virenscann" vorgespielt und in Wirklichkeit passiert im innern der Anti-Viren-Software gar nichts. Noch ein Beispiel, einige Anti-Viren-Programme legen sogeannten Prüfsummen (Checksummen) in verschiedene (oder sogar alle) Ordner eines Systems an. - Ein darauf ausgelegte Virus kann diese Summen (Dateien) finden, löschen oder zu seinen Gunsten verändern. Es gibt noch viele weiteren Kriterien, nach dem ein Retrovirus arbeiten kann/könnte.
Polymorphe Viren
Früher reichte es, wenn die Hersteller von Anti-Viren-Software den Code eines Virus analysierten und anhand der Bytefolge in diesem Code ein Virus erkannt werden konnte. Die Anti-Viren-Programme untersuchten also lediglich die Bytefolge der abgelegten Dateien auf einem Rechner. - Die Bytefolgen eines Viruscodes wurden in einer Datenbank des Scanners abgelegt und während des Scannvorganges
somit als Vergleich herangezogen. Diese Datenbanken eines Anti-Viren-Scanners wurden sorgfältig aktualisiert und die Entdeckungsrate war recht hoch. Aber auch die Programmierer von Computerviren haben die Zeit nicht verschlafen und nach anderen Wegen gesucht, damit Ihre Viren durch Anti-Viren-Scanner nicht oder nur sehr schwer erkannt werden. - Polymorphe Viren benutzen einer Codeveränderung oder Codeverschlüsselung um nicht erkannt zu werden. Die Viren verschlüsseln dabei den Hauptteil ihres Codes mit einem veränderlichen Schlüssel und lassen nur die Entschlüsselungsroutine unverschlüsselt im Viruscode. Um diese Entschlüsselungsroutine vor der Entdeckung durch den Scanner zu schützen, wird die Entschlüsselungsroutine mit jeder Kopie (Inferktion) soweit verändert, dass zwar ihre Funktion gleich bleibt, der Code aber über eine feste Bytefolge nicht mehr erkannt werden kann. Um einen Virus also demnach zu verschlüsseln, gibt es sogenannte Codegeneratoren, die diesen Teil der "Programmierarbeit" übernehmen. - Es gibt zahlreiche Codegeneratoren von sehr leistungsfähig bis fast unbrauchbar. - Vor allem aus den Osteuropäischen Ländern, sowie Ostasien (häufig Taiwan) kommen diese Codegeneratoren.
Slack-Viren
Als Slackbereich bezeichnet man den Platz direkt nach einer Datei, die ihren letzten belegten Cluster nicht komplett füllt. Ist auf der Festplatte also ein Cluster 8192 Bytes groß und eine Datei nur 7000 Bytes lang, hat diese Datei 1192 Bytes Slack, der bei jedem Programm start mitgeladen wird, aber keine Daten enthält. Slack-Viren nutzen diesen Umstand und verlängern Programme nicht, sondern verändern nur den Programmanfang. Infizierte Programme fallen nicht so schnell auf, weil die Dateilänge selbst bei deaktiviertem Virus immer noch gleich geblieben ist. Es gibt nur wenige Slack-Viren wie etwa oder , die jedoch kaum verbreitet sind. Benutzt der Anwender DEFRAG oder andere Tools dieser Art, wird der Slackbereich überschrieben und infizierte Programme zerstört.
Residente Viren
Im Gegensatz zu den Direct Action-Viren belegen diese Viren Speicher und hängen sich in den Interrupt 21h und/oder 13h. über INT 21h werden sämtliche internen DOS-Funktionen wie Programme starten, öffnen, kopieren, löschen usw. abgewickelt. Der Virus kriegt sozusagen Programmnamen zum Infizieren frei Haus geliefert. INT 13h ist für den Festplatten- bzw. Diskettenzugriff zuständig und wird von Sektor- und Multipartite-Viren belegt. Dateiviren belegen Speicher i.d.R. durch Verkürzen des letzten MCBs, es findet sich also oft ein verdächtiger Speicherbereich direkt unterhalb der 640K-Grenze bei ca. 9F??:0. Bei Sektorviren ist es üblich, Speicher durch die Reduzierung des TOM-Wertes zu belegen; es sind oft nur noch 639K oder 638K DOS-Speicher vorhanden. Eine weitere Methode ist das Belegen von Speicher in von DOS ungenutzten Bereichen, oft unterhalb von IO.SYS im Speicher. Da dort nur sehr wenig Speicher zur Verfügung steht, können diese Methode auch nur sehr kleine Viren benutzen, die dann oft abstürzen. Neuere Viren sind auch in der Lage, gezielt UMB zu belegen oder sogar sich in der HMA einzunisten. Die Möglichkeiten eines Virus in der HMA sind allerdings stark begrenzt, deswegen ist diese Methode nicht sehr stark verbreitet. XMS wird nie und EMS von nur ein oder zwei Viren insgesamt benutzt.
Partitionsviren
Partitionsviren verändern die Partition entweder direkt oder die Angabe des ersten logischen Sektors und werden sofort beim Starten des Rechners aktiv. Meist reicht ein Aufruf von "FDISK /MBR" von einer Bootdiskette aus, um den Virus zu entfernen.
TSR-Dateiviren
Die zweithäufigste Art von Viren ist der TSR-Dateivirus. Wie der Name schon sagt, werden von Viren dieser Art Dateien befallen. Dabei handelt es sich in der Regel um COM- und EXE-Dateien; es gibt aber auch ein paar Gerätetreiberviren, und einige Viren infizieren Überlagerungsdateien, außerdem müssen ausführbare Programme nicht unbedingt die Namenserweiterung COM oder EXE haben, obwohl dies in 99 % der Fälle zutrifft.
Damit sich ein TSR-Virus verbreiten kann, muß jemand ein infiziertes Programm ausführen. Der Virus wird speicherresident, und prüft in der Regel jedes nach ihm ausgeführte Programm, um es ebenfalls zu infizieren, falls es noch nicht infiziert ist. Einige Viren werden als "schnell infizierende Viren" bezeichnet. Solche Viren infizieren eine Datei bereits, wenn Sie diese nur öffnen (zum Beispiel wird bei einer Datensicherung unter Umständen jede auf einem Laufwerk enthaltene Datei geöffnet). Der erste schnell infizierende Virus war Dark Avenger. Die Infektionsroutine des Green Caterpillar dagegen wird durch jeden Vorgang ausgelöst, mit dem bestimmt wird, welche Dateien vorhanden sind (z. B. durch den DIR-Befehl). Es wuden auch noch andere Infektionsauslöser verwendet, aber in den meisten Fällen wird ein Programm infiziert, sobald es ausgeführt wird.
Update-Viren
Update-Viren sind eine besonders ausgeklügelte Virenart. Sie sind nach Familien gegliedert und werden meist von einem einzigen Programmierer oder einer Gruppe entwickelt. Neben ihrem Hex-Pattern enthalten diese Viren nicht nur eine Versionsnummer, sondern auch eine Update-Routine, die überprüft, ob der Virus bereits in einer Version vertreten ist. Aber damit nicht genug: Die Routine untersucht ausserdem, ob die Dateien bereits eine ältere Version des Virus enthalten. Ist das der Fall, wird diese ersetzt. Ist eine neuere Version installiert, wird diese nicht noch einmal infiziert.
Slow Infector-Viren
Slow Infector-Viren infizieren nur dann, wenn durch den Benutzer selber Daten verändert werden. So kann ein Virus z.B. beim Erstellen oder Schreiben von Programmen diese infizieren. Diese Technik wird benutzt, um Prüfsummenprogramme und residente Wächterprogramme zu überlisten: da eine neue Datei erstellt wird, ist noch keine entsprechende Prüfsumme vorhanden bzw. DOS selber verändert das Programm und die Infektion bleibt völlig unbemerkt. Viren dieser Art verbreiten sich nur langsam, aber bleiben dafür oft viel länger unbemerkt. Es gibt nur relativ wenige Slow Infector-Viren, dafür aber eine sehr große Anzahl von Fast Infector-Viren.
Fast Infector
Als Fast Infector gelten alle Viren, die schon beim Datei öffnen bzw. schließen diese infizieren. Scannen der Festplatte mit aktivem Fast Infector-Virus hat zur Folge, daß fast jedes Programm danach infiziert ist. Fast Infectors sorgen also für richtige Viren-Epidemien, allerdings werden solche Viren durch das Abbremsen des Systems auch recht schnell vom Anwender bemerkt.
Stealthviren / Tarnkappenviren
Stealthviren verbergen die Tatsache, daß infizierte Dateien oder Sektoren verlängert bzw. verändert wurden, und können damit so gut wie alle Virensuchprogramme und Prüfsummenchecker täuschen. Man unterscheidet zwischen Semi- und Vollstealth-Viren, wobei Semi-Stealth-Viren nur die Dateiverlängerung verbergen, nicht aber die eigentliche Dateiveränderung. Stealthviren zu entfernen, erfordert das Starten des Rechners von einer sauberen Bootdiskette aus, da sonst der Virus noch aktiv im Speicher ist und damit eine Reinigung unmöglich macht bzw. das gereinigte Programm sofort wieder reinfiziert. Datei-Stealthviren fallen oft durch Fehlermeldungen bei CHKDSK auf, die durch den Unterschied zwischen FAT und Verzeichniseintrag entstehen.
Stealthviren lassen sich möglicherweise austricksen und recht einfach entfernen! Da ein Stealthvirus allen Programmen vorgaukelt, daß infizierte Programme "sauber" sind, kann man einfach mit Archivierern wie PKZIP oder ARJ alle Programme der Festplatte komprimieren. Nachdem von einer sauberen Bootdisk gestartet wurde, sollte man mit einer sauberen Version von PKZIP und ARJ einfach wieder über die infizierten Programme auf der Festplatte entpacken. Da der Virus ja Stealth ist, sind alle Programme im Archiv sauber. Dieser Trick klappt allerdings nur bei Full-Stealthviren und nicht bei Semi-Stealthviren, die nur die alte Dateilänge vortäuschen. In einigen Dokumenten wird der Begriff "Stealth" übrigens generell für alle möglichen Viren-Tricks benutzt, wie etwa Verschlüsselung.
Überschreibende Viren (Overwriting)
Der einfachste aller Virentypen. Es gibt Overwriting-Viren mit nur 23 Bytes Länge! Wie der Name allerdings schon sagt, infizieren diese Viren Programme nicht, sondern zerstören sie. Eine Reinigung ist nicht möglich und infizierte Programme funktionieren i.d.R. auch nicht mehr. Überschreibende Viren sind nicht resident und suchen i.d.R. nur im aktuellen Verzeichnis nach Opfern.
Dateiviren
Diese Viren befallen ausführbare Dateien. Dabei kopiert der Virus sich selbst oder eine Sprunganweisung auf sich selbst an den Anfang der Datei und wird immer dann ausgeführt, wenn die Datei aufgerufen wird. Die Dateien werden dadurch verlängert, was sich u.U. im Verzeichniseintrag bemerkbar macht. Manche Viren manipulieren allerdings diese Einträge.
Makro-Viren
Diese Spezies ist relativ jung. Sie trat als erstes bei dem Textverarbeitungsprogramm Word auf, das eine an BASIC angelehnte Makrosprache hat. Mittlerweile gibt es sie auch bei anderen Dokumenten, die in der Lage sind Informationen in Makros abzulegen. In der Vorgehensweise unterscheiden sich Makroviren kaum von Dateiviren. Der Viruscode wird am Anfang beim Laden des Makros ausgeführt und es kopiert sich dann auf andere Dokumente und erfüllt u.U. noch eine einprogrammierte Aufgabe. Diese Viren sind besonders gefährlich, da sie sich schnell verbreiten, wenn infizierte Dokumente mit electronic mail verschickt werden. So schaffte es der erste Word-Makrovirus ,,Concept" schon sechs Monate nach seiner Entdeckung der häufigste Virus überhaupt zu sein. Makroviren sind anders als andere Viren leicht zu verstehen und zu programmieren. So besteht der auch hier RUS schon aufgetretene Makrovirus ,,NOP:DE" aus fünf Zeilen Word-Makro-BASIC und kann von jedem halbwegs qualfizierten Programmierer beliebig verändert werden.
Laborviren / Research-Viren
Als Research-Viren werden alle diejenigen Viren bezeichnet, die direkt Virenforschern zugespielt wurden und nicht in freier "Wildbahn" gefunden wurden. Fast alle der bekannten Virenvarianten sind solche Laborviren und sind nur in den Virensammlungen der Forscher zu finden.
Kernel-Viren
Kernel-Viren infizieren zuerst bestimmte Programme des Betriebssytems, bei DOS also IO.SYS oder MSDOS.SYS. Von dieser Virensorte existiert nur ein bekannter Virus, <3APA3A> (Russ. Slang, Zaraza). Dieser ist eigentlich eine Mischung aus einem DIR- und Bootsektorvirus, da auf Festplatten IO.SYS durch direkte Veränderung des Verzeichniseintrages und auf Disketten der Bootsektor infiziert wird.
HLL-Viren
Unter diesem Begriff fallen alle mit Hochsprachen erzeugten Viren. Man unterscheidet weiter in HLLT (Trojan), HLLP (Parasitic), HLLC (Companion) und HLLO (Overwriting) -Viren, wobei letztere am Häufigsten auftritt, weil es so einfach zu programmieren ist. HLLP sind sehr selten, da die notwendigen Strukturen in Hochsprache nur sehr schwierig zu programmieren sind.
Header-Viren
Header-Viren infizieren Programme, allerdings nicht, wie sonst üblich, über den INT 21h, sondern durch eine direkte Sektormanipulation mittels INT 13h. Sie infizieren nur EXE-Programme, die einen leeren Programmkopf haben. Da dieser Typ heutzutage äußerst selten auftritt, finden Header-Viren kaum Opfer zum Infizieren. Desweiteren infizieren Header-Viren oft nur EXE-Programm, die kleiner als 64K sind, was die Zahl der möglichen Opfer noch weiter einschränkt. Header-Viren sind außerdem oft Fast Infectors und können Programme auf DBLSPACE, RAMDRIVES und anderen logischen Laufwerken nicht infizieren.
Im Prinzip zählen Header-Viren zu den Stack-Viren, das einzig Neue ist das Infizieren über INT 13h, was durch Wächterprogramme leider kaum abzufangen ist. Erkennbar sind Header-Viren daran, daß infizierte EXE-Programme keine "MZ"-Erkennung mehr am Dateianfang haben.
In the wild (ITW) - Viren in freier Wildbahn
Diese Viren sind extrem verbreitet und machen fast 95% aller Infektionen aus. Dabei sind diese Viren keinesfalls besonders neu oder trickreich, wie etwa der sehr stark verbreitete
|