Differenzierungsbereiche

Typen von Computerviren

Ihr Benutzername: Besucher
Wer ist gerade online? - 1 aktive User.

Erstellt/bearbeitet: 27-Sep-2005/09-Jan-06
Systemzeit: Donnerstag, 24.07.2008, 15:19:10.

Kefk Network : Security : Malware : Viren : Differenzierungsbereiche

Ãœbersicht

Folgende Arten von Computerviren können grundsätzlich unterschieden werden:

• Boot-Sector-Viren: das Virus verlagert den richtigen Boot-Sektor des Systems an eine andere Stelle auf der Festplatte und schreibt sich selbst statt dessen in den Bootsektor zusammen mit einem Programmsprung zum nun verlegten Boot-Sektor. Wird das System gestartet, lädt sich das Virus so selbst ins Memory. Von da an überwacht das Virus jeden Schreib/Lesevorgang des Systems. Greift das System auf einen anderen Datenträger zu, überprüft das Virus, ob der Bootsektor dieses Datenträgers schon ein Virus enthält. Wenn nicht, verlegt es den dortigen Boot-Sektor und kopiert sich selbst hinein.
• File-infecting Viren: solche Viren infizieren Programme (nicht in erster Linie das Betriebssystem). Solche Viren können entweder nur laufende Programme infizieren oder aber auch solche Programme, die geöffnet werden, während das Virus im Memory sitzt.
• Makro Viren: Makros zu Textbearbeitungs- und Stylesheet-Programmen (wie MS Word, Excel), die wirksam werden, wenn der ahnungslose Benutzer das betreffende Dokument öffnet
• Polymorphe Viren: solche Viren verschlüsseln sich selbst bei jeder Infektion und ändern so jedesmal ihr Aussehen, um so Antiviren-Programmen zu entgehen
• Stealth Viren: Viren, die verschiedenste Techniken verwenden, um sich zu verbergen: sie speichern bei der Infektion die nötigen Informationen, um dem Betriebssystem vorzutäuschen, dass alles in Ordnung ist. Solche Viren können bestenfalls entdeckt werden, wenn sie aktiv im Memory sind
• Multipart Viren: verwenden Methoden der Stealth Viren und der Multipart Viren. Deswegen sind sie sehr schwer zu entdecken.

Bootviren

Bootviren sind die ältesten Computerviren überhaupt. Diese Viren waren bis 1995 die meistverbreitete Form von Viren. Ein Bootsektorvirus infiziert den Bootsektor von Disketten und Festplatten sowie den Master Boot Record (MBR) einer Festplatte. Der Bootsektor ist der erste physische Teil einer Diskette und einen Sektor (512 Byte) groß. Der Bootsektor wird von Startdisketten verwendet, um von der Diskette booten zu können, jedoch hat jede Diskette und Festplatte einen Bootsektor oder einen MBR. Bootsektorviren nutzen die Tatsache aus, dass der Bootsektor immer als erstes geladen wird. Will ein Benutzer von einer infizieren Startdiskette booten oder vergisst er eine infizierte Diskette im Diskettenlaufwerk beim Start des Computers, greift das BIOS bei entsprechender BIOS-Boot-Einstellung auf diesen Sektor zu und führt ihn aus. Der Virus versucht danach, den MBR der Festplatte zu infizieren, um bei jedem Start des Computers ausgeführt zu werden. Wenn ein infizierter Computer startet, wird der MBR geladen, der normalerweise für das Erkennen der verschiedenen Partitionen der Festplatte zuständig ist. Der Virus, der nun geladen wird, bleibt im Speicher und überwacht die Zugriffe auf andere Disketten. Wenn eine Diskette in einen mit einem Bootsektorvirus infizieren Computer gelegt wird, wird der Virus im Speicher aktiv und infiziert den Bootsektor der Diskette. Seit 2005 gibt es auch Bootsektorviren für CD-ROMs. Diese infizieren bootfähige Imagedateien (ISO-Images). Es ist technisch möglich, einen Bootsektorvirus für einen USB-Stick oder für ein LAN-Netzwerk zu erstellen, dies ist aber bis 2005 noch nicht geschehen. Heutzutage gibt es beinahe keine Bootsektorviren mehr, da BIOS und Betriebssysteme meistens einen gut funktionierenden Schutz haben. Zwar gibt es Bootsektorviren, die diesen Schutz umgehen können, doch ist ihre Verbreitung zu langsam, um ein Problem darstellen zu können.

Dateiviren

Linkviren oder Dateiviren infizieren ausführbare Dateien auf einem Betriebssystem. Die Namenserweiterung und der Aufbau der Datei hängt vom Betriebssystem ab. Die befallenen Dateien wurden nach dem Programmieren kompiliert, das heißt, die Datei beinhaltet nur mehr vom Prozessor in Verbindung mit dem Betriebssystem lesbaren Binärcode. Die meisten dieser Viren sind in Assembler oder C programmiert, da diese die schnellsten Programme liefern und direkte Kontrolle über die Hardware haben.

Makroviren

Makroviren verbreiten sich über infizierte Dokumente. Makros sind in ein Programm eingebaute Sonderfunktionen, die vom Benutzer selbst erstellt werden können, um Flexibilität zu garantieren. Makros gibt es in allen Microsoft-Office-Programmen, aber auch in anderen Schreib-, Tabellenkalkulations-, Zeichen- und Datenbankprogrammen, die nicht von Microsoft stammen. Die meisten Programme, die Makros enthalten, haben ein globales Makro, das sämtliche benutzerdefinierte Funktionen und Einstellungen speichert. Dieses globale Makro wird bei jedem Start des Programmes ausgeführt. Ein Makrovirus sucht nach Makros in verschiedenen Dokumenten, um diese zu infizieren. Auch wird das globale Makro infiziert, um bei jedem Start ausgeführt zu werden. Wenn ein infiziertes Dokument geöffnet wird, nistet sich der Virus im Speicher ein und erstellt in jedem gespeicherten, geöffneten oder geschlossenen Dokument ein Makro mit dem Viruscode. Damit ist auch dieses Dokument infiziert. Makroviren verbreiten sich viel schneller als normale Dateiviren, da viel mehr Dokumente ausgetauscht werden als ausführbare Programme.

Scriptviren

Scripts sind Codes, die meist in Webseiten eingebettet werden. Sie ermöglichen spezielle Funktionen, die mit normalem HTML oder XML nicht realisierbar sind. Solche Funktionen sind zum Beispiel Gästebücher, Foren, dynamisch geladene Seiten oder E-Mail-Accounts. Scriptsprachen sind meist vom Betriebssystem unabhängig. Um ein Script auszuführen, wird ein passender Interpreter – ein Programm, das das Script von einer lesbaren Sprache in Maschinencode (Binärformat) umsetzt und dann ausführt – benötigt. Ein Scriptvirus sucht sich am Rechner meist HTML-Dateien und schreibt seinen Code in ein eigenes script-tag. Ein script-tag ist ein HTML-Teil, der den Script-Code innerhalb des Tags an den Interpreter zur Ausführung übergibt. Wenn nun eine mit einem Scriptvirus infizierte HTML-Seite geladen wird, wird das Script ausgeführt, das wieder nach anderen Webseiten zum Infizieren sucht. Diese Viren werden oft in VBScript geschrieben, da man durch Microsofts Windows Scripting Host weitreichenden Zugriff auf das Windows-Betriebssystem hat. Meist schreibt ein solches Skript einen anderen Virus, Wurm oder Trojaner in das System. Windows Scripting Host wird nur von Microsofts Internet Explorer unterstützt. Aus diesem Grund sollte Windows Scripting Host im Internet Explorer immer ausgeschalten sein, denn somit werden diese Skripte nicht ausgeführt. Um Windows Scripting Host zu deaktivieren, muss nur ein Eintrag in der Registry hinzugefügt werden. Unter Hkey_Local_Machine\Software\Microsoft\Windows Script Host\Settings den Schlüssel "Enable" mit dem Wert "0" anlegen.

 

Abbildung: Teil des Source-Codes von HTML.Lame, einem Scriptvirus, der Homepage-Dateien infiziert.

Mischformen

Nicht alle Computerviren fallen eindeutig in eine spezielle Kategorie. Es gibt auch Mischformen, wie zum Beispiel Viren, die Dateien und Bootsektoren infizieren (Beispiel: Kernelviren). Bei der Zusammensetzung ist beinahe jede Variation möglich. Das heißt, dass es zum Beispiel Makroviren gibt, die auch Dateien infizieren.

Testviren

Das Eicar test file richtet keinerlei Schaden an und wird freiwillig und offen von Benutzern verbreitet, um damit ihre Virenscanner zu testen. Technisch gesehen handelt es sich dabei allerdings nicht wirklich um einen Computervirus, da ihm der Code zur Vervielfältigung fehlt.

 

Abbildung: Meldung des Eicar test files nach der Ausführung.

Siehe auch

• Aufbau von Computerviren,
• Funktionsweise von Computerviren,
• Geschichte und Entwicklung der Computerviren,
• Infektionsarten von Computerviren,
• Prävention vor Computerviren.

Literatur

Zur Quellenlage: Die meisten Bücher zum Thema sind inzwischen veraltet und/oder nicht mehr erhältlich.

Das große Computer-Viren-Buch, Ralf Burger, 1989, ISBN 3890112005

Computer-Viren-Report, Prof. Dr. Klaus Brunnstein, 1989, ISBN 3809205303

Virus: Detection and Elimination, Rune Skardhamar, 1995, ISBN 012647690X

The Giant Book of Computer Viruses, Mark A. Ludwig, 1998, ISBN 0929408233

The Art Of Computer Virus Research And Defense, Peter Szor, 2005, ISBN 0321304543

Quelle und Lizenz

Textquellennachweise:
	Ein Teil dieses Textes basiert auf einem Artikel aus Wikipedia, der freien Enzyklopädie.
	Artikel | Bearbeiten | Diskutieren | Drucken | Versionen | Autoren | Backlinks.
	Stand: 14:50, 30. Sep 2005 (Permalink).
	Lizenz: GNU Free Documentation License.
Bildquellennachweise:
	• Promotionmaterial © Amazon.de.

Anmerkungen

Forum: Hardware für Linux (Anmerkungen in diesem Forum: 16)

Neue Anmerkung verfassen

Darstellungsmodus : Alle | Voransicht | Nur Titel | Aktualisieren

Blättern: << Anfang | < Zurück | Weiter > | Ende >>

Dafer Dafer Sep 26, 16:31

Ler Ler Sep 26, 16:31

Dafer Dafer Sep 26, 16:30

Dafer Dafer Sep 26, 16:30

Fitral Fitral Sep 26, 16:12

Fitral Fitral Sep 26, 16:11

Fitral Fitral Sep 26, 16:11

Fitral Fitral Sep 26, 16:11

Ler Ler Sep 26, 16:11

Dafer Dafer Sep 26, 16:11

Besuchen Sie 2eNetWorX und Open Source & Free Software für weitere freie Software-Projekte unter Win32.

[ Zurück ] [ Weiter ]