Computervirus

In der Fachsprache ist ein Computervirus eine nichtselbständige Programmroutine, die sich selbst reproduziert, indem sie sich an andere Computerprogramme oder Bereiche des Betriebssystems anhängt und, einmal gestartet, vom Anwender nicht kontrollierbare Manipulationen an selbigen vornimmt.

Umgangssprachlich hat der Begriff Computervirus eine breitere Bedeutung: Er wird sowohl für Computerviren in der fachsprachlichen Bedeutung als auch für Computerwürmer und Trojanische Pferde benutzt.

Die Idee zu Computerviren leitete sich von dem biologischen Vorbild der Viren ab und gab ihnen ihren Namen.

Durch Computerviren kommt es auf einem Computer häufig zur Veränderung oder Verlust von Daten und Programmen sowie zu Störungen des regulären Betriebs.

Arten

Es gibt unter anderen sogenannte Bootviren, Linkviren und Makroviren.

Bootviren nutzen die Option von Computern aus, von Datenträgern aus beim Einschalten automatisch Programme zu starten, wie es für das Laden von Betriebssystemen notwendig ist. Sie verbleiben im Arbeitsspeicher und kopieren sich bei Zugriffen auf einen Datenträger in dessen Bootsektor.

Linkviren schleusen sich in Programmdateien ein, sodass dessen Code beim Ausführen jener mit ausgeführt wird. Sie verbleiben ebenfalls im Speicher und infizieren Programme, wenn sie gestartet werden. Dadurch können die Programmdateien unbrauchbar gemacht werden.

Makroviren sind in Dateien wie Textdokumenten versteckt, dessen Programme über eine so genannte Makrosprache verfügen. Diese Programmiersprache kann Prozesse innerhalb des Programms automatisieren, allerdings auch dazu ausgenutzt werden, ein Makroprogramm in jedes weitere geöffnete Dokument zu kopieren.

Aufbau

Es gibt mehrere Versuche, ein Virus zu strukturieren:

Erklärung 1

• Vermehrungsteil: Mit diesem Programmteil wird die Vermehrung des Virus durchgeführt.
• Erkennungsteil: Im Erkennungsteil wird geprüft, ob bereits die Infektion eines Programms oder Systembereichs erfolgte. Jedes Wirtsprogramm wird nur einmal infiziert.
• Schadensteil: In einigen Viren ist absichtlich eine Schadensfunktion programmiert, meist das Überschreiben oder Verändern von Programmen oder Daten oder aber auch nur die Ausgabe von Meldungen und Geräuschen auf dem Rechner. Dieser Programmteil kann fehlen, aber auf jeden Fall entsteht Schaden durch Inanspruchnahme von Speicherplatz im Hauptspeicher und auf Datenträgern. Durch Programmierfehler, Veränderungen des Betriebssystems oder ähnliches können weitere Schäden als Nebeneffekte auch dann auftreten, wenn sie nicht absichtlich programmiert sind.
• Bedingungsteil: Sowohl die Verbreitung als auch die Schadensfunktion können von Bedingungen abhängig programmiert sein, z. B. tritt bei einigen Viren der Schaden an einem bestimmten Datum oder bei einer bestimmten Anzahl von Aufrufen ein. Auch dieser Teil kann fehlen.
• Tarnungsteil: Hierunter fallen Programmroutinen, die die Entdeckung des Virus im infizierten System erschweren sollen. Dieser Teil ist meist nur bei neueren Viren zu finden.

Erklärung 2

Ein Computervirus besteht aus drei Teilen:

• Replikationseinheit
• Trigger (Auslöser)
• Payload (Schadroutine)

Die Replikationseinheit dient der (meist unbemerkten) Vervielfältigung des Virus, z.B. indem es sich an ein bestimmtes Programm anhängt, welches sich auf der Festplatte befindet. Jedesmal, wenn das infizierte Programm gestartet wird, kopiert sich das Virus. Damit kann sich das Virus sich erst einmal verbreiten, ohne zunächst einen Schaden anzurichten.

Andere Verbreitungsmethoden sind die Infektion von Disketten oder anderen bootfähigen Datenträgern (Bootviren) oder Textdokumenten (falls das Textverarbeitungsprogramm eine genügend mächtige Makro-Sprache besitzt und die Makros zusammen mit dem normalen Text in einer Datei gespeichert werden).

Den Teil, der den eigentlichen Schaden verursacht, bezeichnet man als Schadroutine oder Payload (dt.: Nutzlast). Hier tritt das Virus zum ersten Mal in Erscheinung und signalisiert manchmal, dass es da ist. Hierbei richtet es einen mehr oder weniger großen Schaden an. Eine Schadroutine ist optional (ein Virus ist auch ohne ihn ein Virus) und in den meisten Viren gar nicht vorhanden. Mitunter richtet die Verbreitung aber einen Schaden an.

Einige Viren sind so programmiert, dass sie erst dann in Erscheinung treten und den Schaden verursachen, wenn ein bestimmtes Ereignis eingetreten oder eine bestimmte Zeit verstrichen ist. Andere schalten gewisse Funktionen zu einem bestimmten Zeitpunkt wieder ab. Hierfür ist der sog. Trigger zuständig.

So kann es z. B. sein, dass das Virus erst nach dem 100sten Start des Rechners aktiv wird, oder dass es sich jeden Dienstag oder am 10ten eines jeden Monats meldet und dann z.B. bestimmte Dateien löscht.

Verwandte Typen

• Computerwurm
• Trojaner

Geschichte

• 1981 - Professor Leonard M. Adleman verwendet im Gespräch mit Fred Cohen zum ersten Mal den Begriff Computervirus
• 1984 - Fred Cohen liefert seine Doktorarbeit "Computer Viruses - Theory and Experiments" ab. Darin wurde ein funktionierendes Virus für das Betriebssystem UNIX vorgestellt.
• 1985 - Über Mailboxen wird das Trojanische Pferd Gotcha über ein Programm verteilt, das die Grafik verbessern soll. Nach dem Start werden die Daten auf der Festplatte gelöscht und es erscheint auf dem Bildschirm der Schriftzug Arf, arf, Gotcha.
• 1986 - Zwei Software-Händler aus Pakistan verbreiten das erste Virus für das Betriebssystem DOS. Das Programm war relativ harmlos, da es nur das Inhaltsverzeichnis der befallenen Disketten in Brain umbenannte.
• 1987 - Das so genannte Cascade-Virus lässt zum ersten Mal in Deutschland die Buchstaben einer Seite nach unten rutschen, wo sie sich zu einem kleinen Häufchen sammeln. Es vernichtete Dateien.
• 1988 - Der erste Baukasten für Viren (Virus Construction Kit) wird veröffentlicht. Damit ist es auch Anfängern möglich, Viren nach Maß zu erstellen. Das Programm läuft auf dem Computer Atari ST.
• 1989 - Mit V2Px erscheint das erste polymorphe Virus, das sich selbst wieder neu verschlüsseln kann und deshalb durch Anti-Virus-Software nur schwer zu entdecken ist.
• 1990 - Der Verband deutscher Virenliebhaber verbreitet das erste Virus Construction Kit für DOS.
• 1993 - Erste Computerviren für Windows tauchen auf.
• 1995 - Es erscheinen die ersten Makroviren.
• 1997 - Das erste Virus für das Betriebssystem Linux taucht auf.
• 1998 - Strange Brew, das erste Virus für Java, erscheint.

Prävention

Viren werden entweder vom Anwender selbst (oft unabsichtlich) oder von unsicherer Software installiert. Anwender sollten deshalb niemals unbekannte Programme ausführen. Vor allem Microsoft Outlook Express ist als sehr unsicherer Mail-Client aufgefallen, da es ohne Zutun des Benutzers fremde Software in E-Mails gestartet hat. Man sollte deshalb überlegen, ein sichereres Programm zu benutzen.

Antivirenprogramme schützen nur vor bekannten Viren. Daher ist es bei der Benutzung eines solches Programms wichtig, regelmäßig neue Virensignaturen einzuspielen. Diese werden meist vom Hersteller der Software bereitgestellt. Unbekannte Viren können jedoch von manchen dieser Programme auch anhand ihres Verhaltens entdeckt werden. Diese Funktionen arbeiten jedoch extrem unzuverlässig.

Aus diesen Gründen sollte man diese Programme nur als Unterstützung ansehen und sich nicht allein auf ihr Urteil verlassen.

Personal Firewalls können theoretisch vor bösartiger Software, die sich über Schwachstellen in Serverdiensten weiterverbreitet, schützen. In der Praxis ist es jedoch besser, die kritschen Dienste zu beenden, da jedes Programm mit Internetzugriff, auch eine Personal Firewall, ein potentielles Angriffsziel darstellt.

Des Weiteren sind Personal Firewalls gegen Computerviren fast immer unwirksam, da diese sich im Allgemeinen durch die Weitergabe infizierter Dateien durch die Benutzer verbreiten.

Folgende Tipps helfen, die Bedrohung durch Viren einzuschränken:

• 1. Dateien aus dem Internet (ob nun per Download heruntergeladen oder per E-Mail erhalten) sollten nur angenommen werden, wenn man sicher ist, dass sie aus seriöser Quelle stammen (E-Mail-Absender können gefälscht sein) und nur geöffnet werden, nachdem man mit einem Antivirenprogramm die Virenfreiheit festgestellt hat.
• 2. Das automatische Öffnen von Dateien aus dem Internet sowie das automatische Anzeigen von Dateianhängen sollte deaktiviert werden.
• 3. Regelmäßig Betriebssystem und Software aktualisieren.
• 4. Einen sicheren Browser und ein sicheres E-Mail-Programm verwenden.
• 5. Schutzfunktionen des Betriebssystems nutzen. Dazu zählt insbesondere, nicht als Administrator mit allen Rechten, sondern als Nutzer mit eingeschränkten Rechten zu arbeiten, der keine Software installieren darf.

eventuell auch:

• 1. Kein Windows verwenden, sondern Mac OS, Linux oder ein Unix-Derivat. Diese Systeme sind zwar nicht unangreifbar, aber es gibt weniger Personen, die maliziöse Software für diese herstellen und verbreiten. Auch ist es auf diesen Systemen einfacher, konsequent den Benutzer vom Systemverwalter zu trennen. Des Weiteren sind z.B. PowerPC-basierte CPU-Instruktionssätze vom Design her weniger anfällig für typischen Virenattacken, z.B. durch Buffer-Overflows.
• 2. Verwendung aktueller Antivirenprogramme mit Virendefinitionen, die mindestens wöchentlich aktualisiert werden.
• 3. Einsatz einer Personal Firewall, um Angriffe abzublocken, die Sicherheitslücken im System ausnutzen.

Siehe auch: Malware, Hoax, Computersicherheit, Backdoor, Liste von Computerviren, Dropper, Monokultur

Weblinks

• Informationen zu Computer-Viren vom Bundesamt für Sicherheit in der Informationstechnik
• Makro-Viren (Microsoft Word und Excel)
• Telepolis-Artikel zum 20-jährigen Bestehen von Computerviren
• Links zu Antivirenherstellern und Informationsseiten
• Windows Update