Klassifikation von Computerviren
BOOTVIREN
Diese Art von Computerviren befällt die
Systembereiche von Disketten oder Festplatten. Bei diesen Systembereichen
handelt es sich um den sogenannten Bootsektor bzw. Master-Bootsektor
(Partitionstabelle). Dieser enthält Programmteile, die schon beim Start des
Computers (Booten) ausgeführt werden. Infiziert ein Computervirus einen solchen
Bereich, wird der Virus aktiviert, sobald der Computer eingeschaltet wird.
Boot-Viren sind die ältesten Vertreter ihrer Zunft. Sie nisten sich im
Boot-Sektor oder Master-Boot-Record (MBR) einer Festplatte oder Diskette ein und
speichern außerdem den ursprünglichen Code des Boot-Sektors in einem anderen
Sektor. Der Virus wird aktiviert, sobald der Code im Boot-Sektor ausgeführt
wird, also immer, wenn der Rechner von der Festplatte gebootet wird. Durch
Ausführen dieses destruktiven Codes gelangt der Virus dann in den
Arbeitsspeicher des Rechners und setz sich dort fest. Danach lädt er den
Original-Boot-Sektor, um nicht weiter aufzufallen.
DATEIVIREN
Dies sind Viren die sich an bestehende Programmdateien auf Diskette bzw.
Festplatte anhängen, wobei das bestehende Programm (der Wirt) um den Virus
erweitert oder der Wirt ganz oder teilweise überschrieben wird. Datei-Viren
infizieren ausführbare Programme wie z.B. EXE-Dateien, indem sie sich selbst im
simpelsten Fall am Ende der Datei anhängen. Startet der Anwender solch ein
infiziertes Programm, so wird vor der Ausführung des eigentlichen Programmes der
Virus aktiviert der seinerseits dann den Wirt aktiviert Beim Starten (Ausführen)
der Datei wird das Virus aktiv, nistet sich im Hauptspeicher ein und infiziert
von dort aus weitere Dateien. Datei-Viren sind sehr weit verbreitet.
MAKRO-VIREN
Makro-Viren wiederum findet man innerhalb
Makro-fähiger Dokumente, allerdings bisher ausschließlich bei Microsoft
Office-Dokumenten. Makro-Viren infizieren - im Gegensatz zu Boot- und File-Viren
- nicht Boot-Sektoren oder Dateien, die Programme enthalten, sondern in Word
geschriebene Dokumente und Templates ebenso wie Excel-Dateien. Der Viren-Code
wird als Makro in diese Dateien eingefügt. Als Programmiersprache steht das von
Microsoft entwickelte WordBasic zur Verfügung. Dies ist zugleich auch die
Erklärung dafür, dass es von einigen Makro-Viren eine Vielzahl von Varianten
gibt. Destruktive PC-Anwender können im Gegensatz zu Boot- und File-Viren mit
geringen PC-Grundwissen zumindest Varianten von Makro-Viren herstellen.
Durch Aktivierung des entsprechenden Makros wird das Virus aktiv. Dies
kann durch explizites Starten des Makros durch den Anwender geschehen oder
mittels eines Auto-Makro-Vorgangs. Enthält ein Dokument so genannte
Autostart-Makros, werden diese automatisch beim Öffnen des Dokuments ausgeführt.
Bei Word-Dokumenten können Makros bekanntlich entweder im Dokument selbst oder
in einer der mit dem Dokument verbundenen Dokument-Vorlage gespeichert werden.
Makro-Viren nisten sich daher vorzugsweise in der Normal.dot ein, da die
Dokument-Vorlage (DOT), per Default mit jedem neuen Dokument verknüpft ist und
daher bei jedem Start von Microsoft Word geöffnet wird. Makro-Viren bleiben
immer so lange aktiv wie das betreffende Programm, in diesem Falle Word, läuft.
Die Verbreitung von MS-Office Makro-Viren ist extrem hoch.
Internet und
die verstärkte Nutzung von E-Mail trägt zusätzlich zur schnellen internationalen
Verbreitung von Makro-Viren bei. Die ersten Makro-Viren tauchten im Spätsommer
1995 auf. Nach einem relativ langsamen Start wuchs die Zahl der Makro-Viren
schnell an. Ein Beispiel: Im Juli 1997 wurde die Zahl von 1.000 und im Februar
1998 bereits von 2.000 Makro-Viren überschritten. Dies ist eine Verdopplung im
Laufe eines halben Jahres!
Bemerkenswert ist auch, dass viele
Makro-Viren zum Beispiel auf Macintosh PCs funktionsfähig sind, falls Word oder
Excel eingesetzt wird.Vergleichsweise wenige Makro-Viren sind aggressiv. Die
größten wirtschaftlichen Schäden ergeben sich aus dem für das Säubern
umfangreicher Bibliotheken von Dokumenten entstehenden Arbeitsaufwand. Die
wirtschaftlichen Schäden sind heute verglichen mit Boot- und File-Viren
wesentlich höher.
SCRIPT-VIREN
Die weitaus größte
Viren-Gefahr droht aber zweifelsohne aus dem Internet. Eine weitere Spezies auf
Microsoft- Eigenheiten spezialisierter Viren sind sogenannte Script-Viren. Zwar
finden sich Script-Sprachen auch bei anderen Plattformen, und JavaScript ist
ohnehin eine plattformunabhängige Sprache, aber die bekanntesten unter den
Script-Viren sind zweifelsohne solche, die auf Visual Basic Script der
Microsoft-Plattformen spezialisiert sind. VB-Scripte sind sehr weit verbreitet
auch wenn dies nicht immer offensichtlich ist. So können VBS-Dateien u.a. sogar
im HTML-Code verborgen sein. Ruft der Anwender eine auf VBS basierte HTML-Seite
auf, wird das im Quell-Code der Seite integrierte Script automatisch ausgeführt.
Entdeckt ein VBS-Virus weitere HTML-Dateien,auf dem Rechner des Anwenders, kann
es sich an den Code auch dieser Dateien hängen, und sobald eine derart neu
infizierte Seite durch einen Web-Server geladen wird, kann sich der Virus weiter
verbreiten. Die Verbreitung von VBS-Viren ist zur Zeit noch relativ gering.
WAP-VIREN
Die neuesten Schreckensmeldungen aus den
Fiesheiten-Labors des Dr.Fu Man Chu sind so genannte Handy-Viren. Zumindest hört
und liest man allerorten davon. Mit der aktuellsten derzeit verfügbaren
Übertragungstechnik GPRS (General Packet Radio Services) moderner WAP-Handys
kommt in Bälde auch die Version 1.2 der Wireless Markup Language (WML) zum
Einsatz. Da die WAP/ WML-Technik künftig auch die Übertragung von
Computerprogrammen erlauben wird, können dabei theoretisch auch Viren übertragen
werden. Die derzeitig im Einsatz befindlichen WAP-Handys mit WML 1.1 ermöglichen
allerdings nur die Darstellung von Informationen, jedoch keine
Programmausführung.
POLYMORPHE VIREN
Außer den bisher
erörterten klassischen Viren-Technologien sind außerdem auch solche im Umlauf,
die über besondere Fähigkeiten verfügen, ihre Anwesenheit zu verbergen und damit
die Suche nach ihnen zu erschweren. Hierzu zählt man sämtliche Typen von
Polymorphen Viren, die in bestimmten Abständen, zum Beispiel bei jeder
Neuinfektion ihr Aussehen oder auch ihr Auftreten/ ihre Erscheinungsform
verändern Diese Art von Viren 'mutiert' dadurch, daß Sie ihren eigenen
Programmcode manipulieren und so bei jeder Infektion ihr 'Aussehen' verändern.
Hierbei werden z.B. bestimmte Befehle auf unterschiedliche Art und Weise
codiert. Polymorphe Viren sind meistens auch noch verschlüsselt. Ein polymorpher
Virus kann u.U. mehrere Milliarden verschiedene Mutationen erzeugen und so die
Erkennung mit mit herkömmlichen Suchmethoden (Suchstring) unmöglich machen.
Virenscanner, die nach Erkennungsmustern arbeiten, können die Viren somit nicht
oder nur schwer erkennen
MALWARE
Nicht mehr in den
Bereich klassischer Viren fallen Spionageprogramme, Backdoors oder trojanische
Pferde, nichtsdestotrotz sind diese nicht weniger gefährlich. Allerdings
replizieren Malwareprogramme sich im Gegensatz zu klassischen Viren nicht
selbstständig.
TROJANISCHE PFERDE
Als Trojaner bezeichnet
man Programme, die vorgeben eine bestimmte Funktion zu haben, nach ihrem Start
aber ihr wahres Gesicht zeigen und irgendeine andere Funktion ausführen, die
zumeist zerstörerisch ist. So könnte ein Trojaner beispielsweise dafür
geschaffen sein, Passwörter oder andere Daten auszuspionieren und an den
Initiator des Trojaners per E-Mail zu übermitteln.
Trojanische Pferde
können sich nicht selber vermehren, was Sie von Viren und Würmern unterscheidet.
Die meisten Trojaner haben einen interessanten Namen (STARTME.EXE oder SEX.EXE),
der den Anwender zur Ausführung des Trojaners verleiten soll. Unmittelbar nach
der Ausführung werden diese dann aktiv und formatieren z.B. die Festplatte. Eine
spezielle Art eines Trojaners ist ein Dropper, der Viren 'droppt', d.h. in das
Computersystem einpflanzt. Ein durch viele E-Mail-Warnungen bekanntes Beispiel
ist PKZ300, der scheinbar eine neue Version des Programms PKZIP/PKUNZIP ist,
aber bei einem Aufruf des Programms die Festplatte formatiert. Erwähnenswert ist
noch der Sonderfall, dass ein Trojaner auch in der Lage ist, den Code eines
Virus zu enthalten, den er zum Beispiel in eine ausführbare Datei einfügt und
damit zur Verbreitung eines Virus beiträgt.
BACKDOORS
Unmittelbar verwandt mit Trojanern sind Backdoors (Hintertüren), die es
dem Angreifer ermöglichen, direkten Zugriff auf den Rechner des Opfers zu
erlangen, indem die Backdoor selbstständig bekannte Schwachstellen und
Sicherheitslöcher des Systems unbemerkt für Angreifer öffnet. Die Backdoors
selbst richten also noch keinen direkten Schaden an. Über die von der Backdoor
geöffnete Hintertür kann der Angreifer dann aber erst recht seiner destruktiven
Absicht frönen. Auch Backdoors sind in der Praxis nur mittelmäßig stark
verbreitet.
LOGISCHE BOMBEN
oder kurz Bombe. Dieser
Schädlingstyp ist eine Abart der Trojanischen Pferde. Es handelt sich hierbei um
Programmteile, die in nützliche Programme eingebettet sind und aus einem
Auslöser (Trigger) und einer Schadensroutine (Payload) bestehen. Die
Schadensroutine wird dabei im Normalfall nicht aufgerufen.
Erst bei
Erreichen der Trigger-Bedingung 'explodiert' die Bombe und verrichtet ihre
Zerstörerische Arbeit, d.h. die Schadensroutine wird aufgerufen.
FALSCHMELDUNGEN (HOAXES)
Eine weitere besondere Form von
Maleware sind sog. Hoaxes (Falschmeldungen), auch Enten genannt, die ebenfalls
per E-Mail verschickt werden, allerdings meist in bester Absicht durch die
Benutzer an Freunde und Bekannte um vor einer vermeintlichen Viren- Gefahr zu
warnen. Das einzige Ziel von Hoaxes besteht darin, die Mail-Server der Provider
durch die Masse der versandten E-Mails zum Erliegen zu bringen.
WITZPROGRAMME
Diese Programme werden geschrieben um
jemanden zu erschrecken oder zu ärgern. Sie sind im Normalfall nicht schädlich
und vermehren sich auch nicht (es sein denn durch Weitergabe amüsierter
Zeitgenossen). Oft fängt der Computer nach dem Start eines Witzprogrammes an
eine Melodie zu spielen, irgend etwas auf dem Bildschirm darzustellen oder etwas
zu simulieren. Der Anwender bekommt häufig einen Schreck oder richtet in Panik
eventuell selber sogar richtigen Schaden an.
WÜRMER
Würmer wiederum haben bis heute schon eine ebenso hohe Verbreitung
erlangt, wie klassische Viren. Ein Wurm ist ein selbstständiges Programm, das
sich primär über jede Form von Computer-Netzen verbreitet. Der bekannte Love
Letter, der im Juli 2000 die Anwender in Panik versetzte, war ebenfalls ein
Wurm. Meist wird ein Wurm als E-Mail-Attachement versendet. Öffnet man diesen
Anhang, wird das Programm aktiv. Würmer manipulieren das System im Anschluß an
ihre erste Aktivierung je nach Einsatzzweck und versuchen sich anschließend über
das Netzwerk weiter auf anderen Hosts auszubreiten.
Dies geschieht meist
dadurch, dass sie das Outlook-Adressbuch benutzen, um sich selbst an sämtliche
Einträge des Adressbuches als Mail mit einem harmlosen Text und dem Wurm-Code im
Attachement zu versenden, wodurch eine Kettenreaktion der Verbreitung ausgelöst
wird.
SPEICHERRESIDENTE VIREN
Einige Viren nisten sich
resident im Hauptspeicher ein, um jederzeit das System kontrollieren zu können.
Unter anderem werden Festplattenzugriffe, Tastatureingaben, Druckerausgaben etc.
vom Virus überwacht und ggf. manipuliert. Residente Viren bleiben also nach der
Ausführung aktiv und können eine Schadensroutine zu späteren Zeitpunkten
ausführen. Der Benutzer wird zwischen der Ausführung des infizierten Programms
und einem Schaden, der nach Beendigung des infizierten Programms auftritt,
keinen Zusammenhang erkennen. Ein residenter Virus kann vom Zeitpunkt seiner
Aktivierung an zu jeder Zeit neue Programmdateien infizieren. Schon das
DOS-Kommando DIR führt bei einigen residenten Viren zu einer Infektion. Da es
unter Windows (9x und NT) keine eigentlichen residenten Programme (TSR's) mehr
gibt, verwenden die Viren sog. Dienste oder VxD's um eine permanente Kontrolle
über das System zu erlangen. Dienste oder VxD'S sind Programme die wie TSR's
resident im Speicher verankert sind und Ihre Arbeit im Hintergrund verrichten.
Residenz ist die Voraussetzung für einige weitere Techniken. (siehe
Stealth-Viren) Residente Viren können (im Normalfall) im Speicher des Computers
mit einnem normalen Suchstring erkannt werden.
NICHT RESIDENTE
VIREN
werden nur bei der Ausführung des infizierten Programmes aktiv
und infizieren dann weitere Programme. Sobald das Programm beendet wird, wird
der Virus ebenfalls deaktiviert.
STEALTH-VIREN
sind immer
auch Speicher-resident und versuchen über spezielle Tricks ihre Anwesenheit im
System zu verschleiern. Dazu überwachen und manipulieren sie z.B. Zugriffe auf
Programmdateien und das Inhaltsverzeichnis um so einem Antivirenprogramm oder
dem Anwender ein sauberes System vorzugaukeln. Versucht das Betriebssystem, z.B.
beim Befehl DIR, die Größe einer infizierten Programmdatei zu ermitteln,
subtrahiert der Stealth-Virus von der tatsächlichen Dateilänge die Länge des
Viruscodes und täuscht so eine korrekte Programmlänge vor. Wird eine
Programmdatei nicht ausgeführt, sondern nur gelesen, z.B. von einem
Virenscanner, entfernt der Virus aus der zu lesenden Datei den Viruscode, so daß
der Virenscanner den Virus nicht in der Programmdatei finden kann.
VERSCHLÜSSELTE VIREN
Mit dieser Technik versuchen einige
Viren sich vor Antivirenprogrammen zu verstecken, indem Sie ihren eigenen
Programmcode transformieren. Der Virus konvertiert sich dabei selber in
verschlüsselte, unleserliche Zeichen, die von Antivirenprogramm nicht erkannt
werden. Um allerdings sich weiter verbreiten zu können und ausgeführt zu werden
muß sich der Virus wieder dekodieren und kann dann entdeckt werden.
DIRECT-ACTION-VIREN
infizieren bei der Ausführung des
infizierten Programmes sofort weitere Programmdateien und führen eine eventuell
vorhandene Schadensroutine sofort aus (u.U. nur bei Eintreten bestimmter
Bedingungen, wie Zeit/Datum, Zähler etc.). Nach der Ausführung übergibt der
Virus die Kontrolle an das ursprüngliche Programm und entfernt sich damit aus
dem Hauptspeicher. Der Virus führt seine Aktion(en) direkt nach dem
Programmstart aus.
SLOW VIREN
führen ihre Schadensroutine
nicht sofort aus, sondern verändern Daten minimal. Sie versuchen dadurch
möglichst lange Zeit unentdeckt zu bleiben. Werden Datenmanipulationen über
einen längeren Zeitraum nicht entdeckt oder nicht auf einen Virus zurückgeführt,
wird ein Benutzer Datensicherungen durchführen. Diese Datensicherungen enthalten
aber schon die manipulierten bzw. verfälschten Daten und sind somit im Falle
einer Datenrestaurierung wertlos. Solche langsamen zerstörerischen Viren können
erheblichen Schaden anrichten.
COMPANION-VIREN
sind
Viren, die anstatt sich an eine bestehende Datei anzuhängen ein neues Programm
erzeugen, von dem der Benutzer allerdings nichts weiß. Dieses neue Programm (der
Virus) wird nun anstelle des gewünschten Programmes aufgerufen und der Virus so
aktiviert. Beim Verlassen dieses Programmes wird dann das Original gestartet, so
daß der Benutzer nicht merkt, daß er gerade den Virus aktiviert hat. Bei PC's
wird dabei normalerweise ein .COM Programm mit dem selben Namen wie die
entsprechende .EXE-Datei erzeugt. Durch Eingabe des Namens auf der Kommandozeile
wird nun aber (per Systemdefinition) zuerst nach einer .COM-Datei gesucht und
diese ggf. gestartet. Nur wenn keine .COM-Datei vorhanden ist, sucht das
Betriebssystem anschließend nach der .EXE-Datei und startet diese.
Prüfsummenprogramme bemerken solche Viren häufig nicht, da ja im
Originalprogramm keinerlei Veränderung festzustellen ist.
TUNNELNDE
VIREN
Sind Viren die nach den originalen Interrupt-Handlern für DOS
und das BIOS suchen und diese dann direkt aufrufen. Hierdurch werden eventuelle
Wächterprogramme unter DOS umgangen, die sich gerade in diese Interrupts
eingeklinkt haben, um Virenaktivitäten erkennen zu können.
DROPPER
Ein Dropper ist ein Programm, das einen richtigen
Virus im Zielsystem installiert. Der Virencode ist dabei normalerweise in einer
Art und Weise im Dropper enthalten, die es Antivirenprogrammen unmöglich macht,
den Virus als solchen im Dropper zu erkennen.
ACTIVE-X-VIREN
Bei Active-X handelt es sich um eine Microsoft-spezifische Art, reinen
Programmcode von einem (Internet-) Server auf den Arbeitsplatzrechner zu
übertragen und dort auszuführen. Viren können dies ausnützen und sich so
problemlos weiter verbreiten. Nach unserem Wissen existiert aber bis auf sog
Malware, also reine Trojaner, heute noch kein funktionierender Virus dieses
Typs. Diese Viren sind (derzeit) nur auf dem Betriebssystemm MS-Windows und dem
dort eingesetzten MS Internet-Explorer funktionsfähig.
VB-SCRIPT-VIREN
Auch Visual Basic (VB) - Script kann dazu
verwendet werden, Programmcode von einem Web-Server auf den Arbeitsplatzrechner
zu übertragen und auszuführen. Die ersten Viren dieses Typs sind allerdings
schon im Umlauf. Das reine Ansehen einer Home-Page im Internet genügt um den
eigenen Rechner zu infizieren. Allerdings ist wieder nur der MS
Internet-Explorer bei abgeschalteten Sicherheitsvorkehrungen betroffen.
JAVA VIREN
Im Gegensatz zu Java-Applets, die häufig in
Browsern zur Animation oder Steuerung bestimmter Dinge verwendet werden, können
reine Java-Programme auch sicherheits-kritische Operationen ausführen, z.B. auf
Festplatte schreiben, usw. Die ersten Viren Probleme und Schäden durch
Computerviren
Computerviren sind meistens allein durch Ihre Existenz ein
generelles Problem. Sie benötigen Speicherplatz, verlangsamen das Rechnersystem
und verursachen meistens eine generelle Instabilität von Betriebssystem und
Anwendungs-software. Das eigentliche Problem sind aber zum einen die Schäden die
durch Computerviren entstehen und zum anderen der hohe Aufwand für die
Entfernung der Viren.
Die meisten Viren besitzen eine sog.
Schadensroutine oder Payload, die - neben den fehlerhaft programmierten Viren -
die größten Schäden an Rechnersystem verursacht. Das Ausmaß der durch die
Schadensroutine eines Computerviren verursachten Probleme reicht von gezielten
Störungen des Arbeitsablaufes, bis zur Zerstörung aller Daten eines Systems.
|
Einige
Beispiele
Störungen beim Bildaufbau und Veränderung der Bildschirmausgaben.
Eigene Bildschirmausgaben, die nur durch bestimmte Aktionen wiederrückgängig
gemacht werden können.
Veränderung von Tastatureingaben.
Komplette Systemabstürze.
Löschen von einzelnen Daten und Programmen.
Formatieren von Festplatten und Disketten und damit sofortige Vernichtung
aller Daten eines Systems.
Schleichende Datenzerstörung bzw. sehr langsame Veränderung der Daten auf
dem System.
Löschen von Systeminformationen (CMOS-Setup).
Überschrieben bzw. Verändern des BIOS in Flash-ROMS.
Die Zerstörung
von Daten durch Computerviren kann fatale Folgen haben. Werden z.B. in einem
Unternehmen sämtliche Kundendaten gelöscht, ist ein weiteres Arbeiten des
Betriebes nicht möglich, falls keine aktuelle Datensicherung vorhanden ist. Die
neueste Generation von Viren ist sogar in der Lage, das Urlade-Programm eines
Computers, das sog. BIOS zu zerstören. Ist der entsprechende Chip nicht
gesockelt und/oder keine Kopie des BIOS mehr vorhanden, ist die Hauptplatine des
Computers u.U. nicht mehr verwendbar, sie ist zerstört. Auch für die Vorbeugung
bzw. Bekämpfung ist ein großer Aufwand erforderlich, die Kosten für
Antivirensoftware sind hierbei noch das kleinste Problem. Um eine netzwerkweite
Infektion in einem großen Unternehmen zu bekämfen sind unter Umständen einige
Mann-Monate zu veranschlagen, ganz abgesehen von den Ausfallzeiten der einzelnen
Rechnersysteme.
Leider ist es aber oft so, daß wie bei einer
Versicherung viele Anwender oder IT-Verantwortliche es nicht einsehen, für eine
potentiell mögliche Bedrohung durch Viren vorzusorgen. Aber wie bei einere
Hausrat- oder Feuerversicherung zeigt sich der eigentliche Nutzen erst beim
einem richtigen Schaden: man ist froh, daß man Sie hat.
|
|