Kefk Network :  Security |  About  |  Wiki Changelog | Index | Inhalt | Site Map | Suchen.
安
å…¨		   Angriffe | Computersicherheit | Forensik | Grundlagen | Labor | Malware | Netzwerksicherheit | Physikalische Sicherheit | Praxis | Prozesse | Ressourcen | Sicherheitskonzept | Sicherheitsrichtlinien | Tools | Verschlüsselung | Zertifizierungen | Ziele.

 

Funktionsweise von Computerviren

Ihr Benutzername: Besucher
Wer ist gerade online? - 1 aktive User.

Erstellt/bearbeitet: 30-Sep-2005/09-Jan-06
Systemzeit: Donnerstag, 16.10.2008, 02:03:32.

Kefk Network : Security : Malware : Viren : Funktionsweise

Ãœbersicht

Die Idee zu Computerviren leitete sich von dem biologischen Vorbild der Viren ab und gab ihnen ihren Namen. Wie sein biologisches Vorbild benutzt ein Computervirus die Ressourcen seines Wirtes und nimmt dabei keine all zu große Rücksicht auf dessen Wohlergehen. Auch er vermehrt sich unkontrolliert und exponentiell. Dadurch, und durch explizit vom Virenautor eingebaute Schadfunktionen, kommt es bei Infektion eines Computers häufig zur Veränderung oder Verlust von Daten und Programmen und zu Störungen des regulären Betriebs.

Ein Computervirus infiziert einen Rechner über eine Netzverbindung oder ein Wechselmedium. Die weitere Verbreitung auf andere Rechner geschieht immer passiv, da sich der Computervirus an zahlreiche Dateien anhängt, die wiederum durch Wechselmedien oder Netzwerke auf andere Rechner übertragen werden können.

In der Umgangssprache werden auch Computerwürmer wie „I Love You“ zu Viren gezählt. Der Unterschied besteht jedoch darin, dass ein Wurm eine selbstständige Datei und ein Virus eine nichtselbstständige Programmfunktion ist. Der selbständige Wurm verfolgt aktive Strategien, um sich auf andere Rechner zu verbreiten, der Virus hingegen hängt sich nur an Dateien an und verbreitet sich über diese auf passive Art und Weise.

Heutzutage sind Computerviren fast ausschließlich von Würmern verdrängt worden. Sie sind nur mehr in neuen Nischen von Bedeutung. In der Vergangenheit hatten Computerviren oft Vorreiterrollen, und schnell verbreitende Würmer kamen erst später.

Arbeitsspeicher

  • Speicherresidente Viren verbleiben auch nach Beendigung des Wirtprogramms im Speicher und fangen Aufrufe von Systemfunktionen wie das Ausführen einer Datei ab, um diese Datei dann zu infizieren.

Selbstschutz der Viren

  • Stealthviren ergreifen besondere Maßnahmen, um ihre Existenz zu verschleiern. So werden Systemaufrufe abgefangen, so dass zum Beispiel bei der Abfrage der Größe einer infizierten Datei die Größe vor der Infektion angegeben wird (manche Viren verändern die ursprüngliche Größe auch gar nicht, weil sie sich in unbenutzte Bereiche der Datei kopieren) oder auch beim Lesen der Datei die Daten der ursprünglichen Datei zurückgeben.
  • Verschlüsselte Viren verschlüsseln einen Teil ihres Codes. Der Schlüssel kann dabei von Infektion zu Infektion variieren. Das soll Antivirenprogramme daran hindern, einfach nach einer bestimmten Zeichenfolge in Dateien suchen zu können.
  • Polymorphe Viren ändern ihre Gestalt von Generation zu Generation vollkommen. Das geschieht oft in Kombination mit Verschlüsselung, hierbei wird eine variable Verschlüsselung benutzt. Ein Teil des Viruscodes muss jedoch in unverschlüsselter Form vorliegen, um bei der Ausführung den Rest zu entschlüsseln. Um auch diesen Teil variabel zu machen, wird der Entschlüsselungscode bei jeder Infektion neu erstellt. Der Programmcode, der den Entschlüsselungscode immer neu erstellt, befindet sich dabei selbst im verschlüsselten Teil des Virus und kann zum Beispiel voneinander unabhängige Befehle austauschen und Operationen mit verschiedenen Befehlssequenzen kodieren, so dass verschiedene Varianten entstehen.
  • Metamorphe Viren formulieren ihren gesamten Code bei jeder Infektion um. Dies geschieht meist durch Ãœbersetzung des Maschinencodes in symbolischen Code und variable Rückübersetzung. Der größte Teil des Viruscodes dient dabei meist dieser Aufgabe.

 

Abbildung: Teil eines polymorph verschlüsselten JavaScript-Viruses.

Möglicher Schaden: Payload

Computerviren sind vor allem gefürchtet, weil sie den Ruf haben, sämtliche Daten zu zerstören. Das ist aber nur in sehr wenigen Fällen richtig. Die meisten Computerviren sind fast ungefährlich bis harmlos.

Harmlose Auswirkungen: Eine Eigenschaft, die jeder Virus hat, ist das stehlen von Rechnerzeit und -speicher. Da ein Virus seinen eigenen Code verbreitet, benutzt er die Leistung des Prozessors und der Festplatten. Viren sind aber im Normalfall so geschrieben, dass sie für das System keine Beeinträchtigung darstellen, sodass sie der Benutzer nicht erkennt.

Ungewollter Schaden - Programmierfehler: Viele Computerviren enthalten Fehler im Code, welche unter gewissen Umständen zu fatalen Folgen führen können. Diese Fehler sind zwar meistens unbeabsichtigt, können trotzdem Dateien durch eine falsche Infektion zerstören oder gar ganze Datenbestände vernichten.

"Existenzbericht" - Meldungen an den Benutzer:

 

Abbildung: Meldung an einen infizierten Benutzer durch einen HTML-Virus.

Manche Viren geben dem Benutzer ihre Existenz bekannt. Das kann zum Beispiel durch Piepsen, Meldungsboxen oder plötzliche Texte in Dateien sein. Diese Auswirkungen sind aber in der Regel völlig ungefährlich.

Datenzerstörung: Einige wenige Viren wurden zur Zerstörung von Daten geschrieben. Das kann vom Löschen von einzelnen Dateien bis hin zum Formatieren ganzer Festplatten führen. Diese Art von Payload wird von den meisten Menschen unmittelbar in Verbindung mit allen Viren gebracht. Da der Speicher jedoch der Lebensraum von Viren ist, zerstören sie sich mit diesen Aktionen oft selbst.

Hardwarezerstörung: Theoretisch ist es unmöglich, Hardware zerstörende Viren zu schreiben. Die Praxis zeigt aber etwas anderes: In den Zeiten von MS-DOS existierten einige wenige Viren, die zum Beispiel den Drucker oder das Diskettenlaufwerk zerstörten. Durch Fehler in der Treibersoftware gelang es, den Druckkopf immer wieder gegen die Wand des Druckers fahren zu lassen, bis er irgendwann nicht mehr funktionierte. Bei Disketten war es ähnlich: Die schwachen Diskettenmotoren wurden durch einen mutwilligen Dauerbetrieb so stark belastet, dass sie ausfielen. Diese Schäden wurden allerdings nie verbreitet festgestellt.

Ein anderer "Hardware zerstörender" Virus wurde allerdings sehr stark verbreitet und verursachte gewaltige Schäden. Der W95/CIH Virus ist in der Lage, einen Teil des Flash-BIOS Chips so zu überschrieben, dass er betriebsuntauglich ist. Wenn durch ein BIOS-Flash (Zurückschreiben der originalen Daten) der Chip nicht wieder funktionsfähig wird, muss er ausgetauscht werden. Ist der Chip mit dem Motherboard verlötet, muss das Motherboard komplett ausgewechselt werden.

Literatur

Zur Quellenlage: Die meisten Bücher zum Thema sind inzwischen veraltet und/oder nicht mehr erhältlich.

Das große Computer-Viren-Buch, Ralf Burger, 1989, ISBN 3890112005

Computer-Viren-Report, Prof. Dr. Klaus Brunnstein, 1989, ISBN 3809205303

Virus: Detection and Elimination, Rune Skardhamar, 1995, ISBN 012647690X

The Giant Book of Computer Viruses, Mark A. Ludwig, 1998, ISBN 0929408233

The Art Of Computer Virus Research And Defense, Peter Szor, 2005, ISBN 0321304543

Quelle und Lizenz

Textquellennachweise:
Ein Teil dieses Textes basiert auf einem Artikel aus Wikipedia, der freien Enzyklopädie.
Artikel | Bearbeiten | Diskutieren | Drucken | Versionen | Autoren | Backlinks.
Stand: 14:50, 30. Sep 2005 (Permalink).
Lizenz: GNU Free Documentation License.
Bildquellennachweise:
  • Promotionmaterial © Amazon.de.

Anmerkungen

Forum: Hardware für Linux (Anmerkungen in diesem Forum: 16)

Neue Anmerkung verfassen
Darstellungsmodus : Alle | Voransicht | Nur Titel | Aktualisieren
Blättern: << Anfang | < Zurück | Weiter > | Ende >>
DaferDaferSep 26, 16:31
LerLerSep 26, 16:31
DaferDaferSep 26, 16:30
DaferDaferSep 26, 16:30
FitralFitralSep 26, 16:12
FitralFitralSep 26, 16:11
FitralFitralSep 26, 16:11
FitralFitralSep 26, 16:11
LerLerSep 26, 16:11
DaferDaferSep 26, 16:11
Besuchen Sie 2eNetWorX und Open Source & Free Software für weitere freie Software-Projekte unter Win32.
Funktionsweise
Nach oben
Wer ist online?:
Ihr Name: Besucher (nicht angemeldet).
Online: 1 aktive User.
Anmelden | Abmelden
Monitoring:
Benachrichtigen bei Änderungen:


blind_150.gif (150x5 -- 825 bytes)
mi.gif (12x15 -- 70 bytes)Amazon.de:
blind_150.gif (1x1 -- 825 bytes)
Praxisbuch Sicherheit für Linux-Server und -Netze.
von Barbara Oberhaitzinger, Helmar Gerloni u.a.

amazon_small.gif (55x15 -- 576 bytes)EUR 34,90
(versandkostenfrei)
Das Firewall Buch.
Grundlagen, Aufbau und Betrieb sicherer Netzwerke mit Linux.
von Wolfgang Barth

EUR 44,90
(versandkostenfrei)
Firewalls und Sicherheit im Internet.
von William R. Cheswick, Steven M. Bellovin u.a.

amazon_small.gif (55x15 -- 576 bytes)EUR 49,95
(versandkostenfrei)
Security. Das Grundlagenbuch.
von Mathias Hein, Michael Reisner u.a.

amazon_small.gif (55x15 -- 576 bytes)EUR 49,95
(versandkostenfrei)
Microsoft Windows Sicherheit.
Das Praxisbuch.
von Tobias Weltner und Kai Wilke

amazon_small.gif (55x15 -- 576 bytes)EUR 49,90
(versandkostenfrei)
Suchen in:
Suchen nach:
Antivirus-Infos:

blind_150.gif (150x5 -- 825 bytes)
mi.gif (12x15 -- 70 bytes)Kefk Network:
blind_150.gif (1x1 -- 825 bytes)
Thematisch verwandte Subsites: BSD, GNU/Linux, Hardware, Internet, Networking, Safety, Webworking, Windows.

Kefk Network Home
blind_150.gif (150x5 -- 825 bytes)
Hacker Emblem glider.png (55x55 -- 724 bytes)

 

Zurück ] Weiter ]

URL: http://www.kefk.net/Security/Malware/Viren/Funktionsweise/index.asp.
Translate this page with Google to 
Website | Changelog | Index | Inhalt | Site Map | Suchen | Wer ist online?.
Ergänzungen, Fragen und Kommentare: Kontakt | Foren | Wiki.
E-Mail: echo "asb at keNOSPAMfk.net"| sed -e "s/ at /@/" -e "s/NOSPAM//".
Alle Inhalte dieser Subsite sind, sofern nicht anders gekennzeichnet, © 2003-2005 Agon S. Buchholz.
Copyright | Credits | Disclaimer | Impressum.