Viren Testbericht

Jeder der heutzutage ins Internet geht, sollte Sicherheitsvorkehrungen treffen. Man muß den Computervirus mit einem biologischen Virus vergleichen. Jeder läßt sich impfen. Keiner würde je auf die Idee kommen im Winter mit dünner Kleidung aus dem Haus zu gehen. Jeder ist sich der Gefahr einer Erkältung bewusst. Warum herrscht dann im Bereich Computer zu ein geringes Sicherheitsbewußtsein ?

Bei mir war es auch so, bis er kam der VIRUS:
Genau aus diesem Grund habe ich mich mit diesem Thema beschäftigt.
Mein Computer war von einem sogenannten Bootsektor-Virus (später nähere Erklärung) befallen. Heute würde ich keinen Surfer mehr empfehlen, ohne Schutz ins Internet zu gehen.

Es stellt sich die Frage, was hinter all diesen Begriffen: Viren, Würmer, Trojaner steckt und vor allem wie sie ihre Arbeit verrichten. Ich habe folgende Erkenntnisse gewonnen:


Die Anfänge:
Die Namen „I Love You“, „Back Office 2000“ oder auch „Melissa“ sind die bekanntesten Vertreter. Sie gingen durch die Presse. Wenn diese in Vergessenheit geraten, erscheinen immer neue in der Presse.

Zur Geschichte:
Wir alle nennen es „Virus“. Was steckt dahinter? „Virus“ ist der Oberbegriff für Software-Programme, die in Fachkreisen Malicious Software (englisch: bösartige Software) oder Malware genannt wird. Dazu gehören die eigentlichen Viren sowie alle ihre Unterarten:
- Internet-Würmer
- Trojaner
- logische Bomben
- Hoaxes

Sie unterscheiden sich in ihrer Funktionweise und in der Art, wie sie weiterverbreitet werden. „Malicious“ in Malware weist auf Schäden hin, die ein Computervirus verursachen kann.
- zerstörte Hard- und Software
- Datenverlust
- Überlastung von Systemressourcen wie CPU-Leistung und Bandbreite.

Das Konzept eines Virus wurde bereits Ende der 40er Jahre im Zusammenhang mit der Informationstechnik erstmals erwähnt. Ein Ungar namens John von Neumann hatte eine Theorie zu sogenannten selbstreproduzierenden Automaten entwickelt. Anfang der 70er Jahre wurde ein Computerspiel entwickelt, das der Funktionsweise eines Virus bereits sehr nahe kam. Es hieß Krieg der Kerne. In diesem Spiel ging es darum, Computerprogramme in den Ring zu schicken. Diese modifizierten oder beschädigten sich gegenseitig. Das Ziel war es kostbare Rechenzeit zu erbeuten. Der wahrscheinlich erste Virus wurde Mitte der 80er Jahre entwickelt. Fred Cohen entwickelte ihn im Rahmen seiner Doktorarbeit. Dieser Virus infizierte UNIX-Programme und sorgt dafür, dass ein infiziertes Programm aufgerufen wurde. Geschah dieses bekam das Programm die Systemrechte des Anwenders zugewiesen. Kurze Zeit später tauchte der als „Pakistani“ oder „Brain-Virus“ bekannt gewordenen erste Virus für MS-Dos auf. Dieser verbreitete sich weltweit. Nun kamen die medienwirksamen Vertreter wie der „Jerusalem-Virus“ der „Marihuana-Virus“ oder der AIDS-Virus. Man spricht von ca. 250 neuen Viren monatlich. Früher wurde der Virus durch das Tauschen der Disketten verbreitet. Heute übernimmt dies das Internet. Häufig durch Downloads aus dem WWW, via FTP oder durch den Versand von E-Mails.
Heute gibt es Virenprogramme, die einen normalerweise schützen. Früher war einen wie so oft die Viren einen Schritt voraus. Erst 1987 wurde der erste Viren-Scanner von Mc Afee entwickelt. Dieser konnte zuerst 19 verschiedene Viren erkennen. Die Anzahl heute liegt bei vielen Tausenden. Früher mußte man ein Spezialist sein, um ein Virus zu entwickeln. Voraussetzung war ein Fachwissen über die Funktionsweise und die Schnittstellen der zu infizierenden Programme sowie Betriebssysteme. Dies ist auch der Grund, weshalb viele Viren „nur“ veränderte, mutierte Versionen ihrer Vorgänger waren. Eine heute beliebte Virusart sind die Makro - bzw. Script-Viren, die in sehr leicht erlernbaren und mächtigen Programiersprachen implementiert werden. Jeder Normalverbraucher mit geringen Fachwissen kann diese entwickeln. Mit wenigen Code-Zeilen ist es dadurch möglich, auch komplexe Funktionen wie das Versenden von E-Mails zu ermöglichen.

Was ist die Motivation dieser Virenprogrammierer?
Für die einen ist es Spielerei und Programmierübungen. Für die anderen politischer und gesellschaftlicher Mitteilungsdrang. Aber auch der pure Vandalismus kommt vor.


Was ist ein Virus ?
Code-Fragmente, die sich an verschiedenen Stellen eines Betriebssystems oder in Dateien unterschiedlicher Typen „einnisten“ können. Sie können sich auch nur anhängen oder sie auch komplett ersetzten. Viren werden mit einer ganz bestimmten Absicht programmiert. Das Virus hat daher zwei Aufgaben:
Es muß sich selbst replizieren und fortpflanzen können, um die Ausbreitung zu sichern. Er erzeugt entweder exakte oder modifizierte Kopien und infiziert weitere Systemkomponenten.
Er enthält eine spezifische Funktion - die Schadensroutine.

Ein Computervirus verhält sich genauso wie sein biologisches Vorbild. Wird eine infizierte Komponente aktiv, wird der Virus ebenso aktiv. Er erhält die Chance seine Umgebung zu erforschen, seine Aufgabe zu erfüllen und sich um seine Fortpflanzung zu kümmern. Der Virus benötigt dafür immer einen Wirt. Wie auch bei biologischen Viren gibt es böse und gute. Gutartig sind diese, die nur Schabernack betreiben. Ihre Aktivierung geschieht meist zu einem bestimmten Datum. Aber dennoch verbrauchen sie Ressourcen. Bösartige Viren verursachen Schäden, indem sie Daten ändern oder sogar löschen, Hardware beschädigen oder sogar ganze Netze lahmlegen.
Eine Unterart der Viren bezeichnet man als logische Bomben. Deren Vertreter findet man in größeren Software-Paketen, die sich erst nach längerer Zeit oder durch Eintreten bestimmter Begleitumstände aktivieren. Ein Beispiel hierfür ist der in Microsoft Excel versteckt Flugsimulator. Die ist eine positive Variante mancher Entwickler. Im weiteren Sinn kann man auch das 2000-Problem als logische Bombe bezeichnet werden, welches aber unabsichtlich entstanden ist. Eine absolut harmlose Variante eines Virus ist ein Hoax (engl. Scherz). Meist eine per E-Mail versandte Warnung vor nicht existierenden Viren. Damit sollen viele Anwender verunsichert werden. Sie sollen diese Mitteilung an möglichst viele Kollegen und Freunde weiterleiten und damit die Bandbreite des Netzwerkes belegen. Harmlos aber nervend.

Würmer und Trojaner
Es handelt sich hierbei um eigenständige Programme, die zur Weiterverbreitung nicht auf andere Programme oder Systemkomponenten angewiesen sind. Sie können sich selbst replizieren. Sie verbreiten sich von einem Computersystem zu einem anderen, indem sie die E.Mail- Attachments als Transportmedium benutzen. Wie auch die Viren können sich Würmer nicht selbst aktivieren. Reine Würmer infizieren keine Dateien. Der erste Wurm war der „Internet-Wurm“. Dieser legte in nur wenigen Stunden ganze Bereiche im Internet lahm. Der letzte Wurm, der Schlagzeilen machte, war der bekannte „Loveletter“. Ein Wurm nimmt verschiedene Änderungen am System vor. Neben den Datenverlust hat der Wurm einen unangenehmen Nebeneffekt. Vor allem in größeren Firmennetzen werden in kurzer Zeit so viele Emails verschickt, das der Mailserver überlastet ist und die Netze verstopfen. Viren und Würmer werden meist in harmlose und nützlich erscheinende Programme integriert. Denn wie wir wissen können sie nur aktiv werden, wenn sie die Hilfe des Anwenders bekommen.
Solch ein harmlos erscheinendes Programm nennt man Trojaner. Starte der Anwender dieses Programm, entlädt es seine schädliche Fracht und aktiviert diese. Deshalb werden Trojaner auch Dropper genannt. Die Entwicklung dieser Programme ist einfach, da sie sich nicht tarnen müssen. Auch die Selbstreplikation entfällt - diese wird vom Anwender durch das Download oder den Versand von Emails übernommen.



Ein Überblick der bekannten Malware und dessen Auswirkungen.



Kategorie: Betriebssystem-Viren

1. Partitions- /Bootsektor- Virus (den hatte ich)
Diese Viren-Art befällt interne Strukturen des Betriebssystem

2. Slack-Virus
Beim Speichern von Dateien auf der Festplatte werden immer komplette Cluster zugeordnet. Die Differenz zwischen Cluster-Größe und tatsächlicher Größe nennt man Slack-Bereich. Slack- Viren nisten sich in diesem Bereich ein. Sie werden bei jedem Ladevorgang durch das Betriebssystem mitgeladen. Sie integrieren ihre eigene Startroutine in den Anfang des Programms. Sie fallen nicht auf, da sie die Programmlänge nicht verändern.

3. CMOS -Virus
Im CMOS werden wichtige Informationen zur Rechnerkonfiguration gespeichert. CMOS-Viren können sich nicht in diesem Bereich einnnisten, diesen aber manipulieren oder löschen, was dann zu einem unbrauchbaren System führt.

4. Kernel-Virus
Sie befallen unter MSDOS z.B. die Programme IO.SYS und MSDOS.SYS, also den Kern des Systems. Sie sind selten und meist kombiniert mit Eigenschaften von Bootsektor-Viren.



Kategorie: Companion-Viren
Diese Viren-Art nutzt die Eigenschaft von MSDOS: So werden Programme mit der Endung .com vor solchen mit der Endung .exe ausgeführt. Ein Virus wird einfach wie die Exe-Datei genannt und mit der Endung .com versehen. Eine andere Möglichkeit, wie sich der Virus verstecken kann, ist die Manipulation der Umgebungsvariable PATH oder das Erzeugen einer .bat-Datei, in welcher der Virus aufgerufen wird, bevor das eigentliche Programm aktiviert wird.

1. Overwrite-Virus
Ein einfacher Virus-Typ. Dateien werden nicht infiziert sondern überschrieben und somit zerstört. Wenn der Virus entfernt wurde, sind die Dateien nicht mehr lauffähig.

2. Append-Virus
Append-Virus hängen ihren Code an eine zu infizierende Datei an und modifizieren den Programmanfang so, dass ihr Code zuerst ausgeführt wird, bevor das eigentliche Programm gestartet wird. Die Viren fallen oft dadurch auf, dass die befallenen Dateien länger sind als vor der Infektion. Es gibt intelligente Varianten, welche den Betriebssysteme die ursprüngliche Dateilänge vorgaukeln und nur durch aufwendige Prüfsummenverfahren entdeckt werden können.

3. Fast-Infector-Virus
Als Fast-Infector-Viren werden Viren bezeichnet, die eine Datei bereits infizieren, wenn diese lediglich zum Lesen geöffnet oder geschlossen wird, ohne dass sie ausgeführt wird. Ein bloßes Scannen der Festplatte kann bei einem aktiven FI-Virus zu Folge haben, dass danach jedes Programm auf der Platte infiziert ist.

4. Slow-Infector-Virus
Diese Viren-Art infiziert Dateien nur dann, wenn sie durch den Benutzer zum ersten Mal erstellt oder verändert werden. Damit umgehen sie Viren-Schutzprogramme, die auf Basis der Prüfsummen arbeiten, da diese zum Zeitpunkt der Infektion noch keine Prüfsumme gebildet haben. Diese Viren verbreiten sich nur sehr langsam, bleiben aber lange unbemerkt.

5. Direct-Action-Virus
Sie führen immer ihre Schadensroutine aus, wenn sie aktiv werden, und beenden sich danach wieder.

6. TSR-Datei-Virus
Im Gegensatz zu Direct-Action-Viren bleiben TSR-Viren nach ihrer ersten Aktivierung resident im Speicher und infiziert daraufhin alle nach ihnen ausgeführten Programme. Je nach Art des Festplattenmechnismus reicht bereits das Öffnen einer Datei, um diese zu infizieren. Diese Viren-Art ist sehr häufig anzutreffen.

7. HHL-Virus
Zu dieser Art werden Viren gezählt, die in sogenannten Hochsprachen programmiert wurden. Sie sind aufgrund der aufwendigen Programmierungen eher selten. Es werden die Unterarten HLLD, HLLP, HHLC und HLLT (Trojaner) unterschieden.

8. Polymorpher-Virus
Um sich vor der Entdeckung durch die Viren-Scanner zu schützen, verschlüsseln polymorphe Viren ihren Code mit einem Schlüssel, der sich bei jeder Infektion ändert. Damit sind sie für Virenscanner nicht mehr zu erkennen.

9. Retro-Virus
Retro-Viren sind spezialisiert gezielt Viren-Scanner-Software zu manipulieren und außer Gefecht zu setzen., bevor sie ihrer eigentlichen Aufgabe nachgehen. Diese Eigenschaft macht sie im Unterschied zu anderen Abarten besonders gefährlich.

10. Stealth-Virus
Stealth-Viren versuchen vor Betriebssystem-Routinen die Tatsache zu verbergen, dass infizierte Dateien verlängert bzw. verändert wurden, um Viren-Scanner in die Irre zu leiten. Man unterscheidet zwischen Semi- und Voll-Stealth-Viren. Semi-Stealth-Viren verbergen lediglich die Dateiverlängerung, nicht jedoch die Veränderung der infizierten Dateien.

11. Update-Virus
Diese Virus-Art enthält einen Code, der feststellen kann, ob eine Datei bereits infiziert wurde und wenn ja, mit welcher Version des Virus. Ältere Versionen werden durch neue ersetzt.



Kategorie: Script- und Makro-Viren
1. Script-Virus
Script-Viren sind meist in VB-Script oder JavaScript programmiert und infizieren Script-Dateien auf dem Rechner des Benutzers. Sie funktionieren nur unter Windows 98 und auf Rechnern, die den Windows Scripting Host aktiviert haben. Sie sind sehr leicht zu programmieren und vor allem gibt es in der Script-Sprache sehr mächtige Befehle. Daher ist dieser Virus einer der gefährlichsten und inzwischen sehr weit verbreitet.

2. Makro-Virus
Inzwischen bietet jedes der populären Office-Pakete die Möglichkeit, Makros innerhalb eines Dokuments anzulegen, die zum Beispiel beim Laden des Dokuments ausgeführt werden. Genau diese Script-Viren sind sehr einfach zu programmieren und verbreiten sich zudem sehr schnell. Vor allem via Email.

3. HTML-Virus
Viren dieser Art infizieren HTML-Dateien in Form von VB-Scripts und funktionieren wie Script-Viren. Sie können nur unter Windows 98 oder bei aktiven Windows Scripting Host Schäden anrichten. Varianten dieser Art infizieren sowohl HTML-Dateien als auch HTT-Verzeichnisse des Activ Desctop sowie VBS- und DOC- Dateien; es handelt sich aufgrund dieser Eigenschaften gleichzeitig um einen Makro-Virus für Microsoft Word.



Kategorie: Sonstiges und Exoten
1. Hoax
Hoaxe sind Falschmeldungen über angeblich aktive Viren, die immer wieder per E-Mail auftauchen. Von ihnen geht keine Gefahr aus. Sie verunsichern nur die Benutzer.

2. Labor-Viren
Normalerweise gelangen diese Viren nicht an die Öffentlichkeit. Sie werden zu Forschungszwecken im Labor gehalten. Sie werden vor der Veröffentlichung an Entwickler von Viren-Scanner weitergeleitet.



Wie schon erwähnt kommen jeden Tag ca. 250 Viren dazu. Sie beruhen aber immer auf Code-Fragmente. Schützen kann man sich nur durch ein Virenscannprogramm.

Unter http://www.nai.de, http://www.drsolomon.de, http://www.symantec.com und http://www.cai.com/products/inoculateit.htm findet man die zur Zeit verbreitetsten und umfangreichsten Anti-Viren-Software-Pakete. Die Anbieter TrenMicro (http://www.trendmicro.de) und Integralis (http://www.articon.de) bieten Lösungen für den Virenschutz direkt im Internet an.


Also überlegt nicht lange und vor allem nehmt dieses nicht auf die leichte Schulter. Sie sind überall - und euer Computer wird es euch danken. Und wenn es zu spät ist - kann es gut gehen, aber meist ist es zu spät. Dieser Bericht soll keine Panik verbreiten - aber er soll zum Nachdenken anregen. Also macht euch Gedanken über das sichere Surfen im Netz !


Vielen Dank fürs Lesen.