IT-Academy Logo
Sign Up Login Help
Home - Netzwerke - Verschiedenes - Viren - Die verschiedenen Arten



Viren - Die verschiedenen Arten

Definitionen über Makroviren, Stealth-Viren, Bootviren.....


Autor: Philip Graf (Phil)
Datum: 21-04-2002, 13:02:20
Referenzen: www.th-security.de
Schwierigkeit: Fortgeschrittene
Ansichten: 8170x
Rating: 6 (2x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Dateiviren

Mit Dateiviren hat alles angefangen: Wenn ein Virus aktiv ist, manipuliert er eine Programmdatei (com oder exe): Er kopiert seinen eigenen Viruscode in den Programmcode hinein. Wenn man das manipulierte Programm startet, wird zunächst der Virus aktiv. Er kann jetzt weitere Programme infizieren oder seine Schadensfunktion ausüben. Danach aktiviert er das Originalprogramm, so daß man nichts von dem Virus bemerkt. Bei der Infektion kann der Virus vorsichtig oder brutal vorgehen: Entweder er sichert die Originaldaten an einer anderen Stelle der Festplatte, oder er überschreibt einfach irgendwelchen Programmcode. Dann kann es passieren, daß das Programm an manchen Stellen abstürzt. Durch das Überschreiben ist es auch ausgeschlossen, daß ein Virenscanner den Virus rückstandsfrei wieder entfernen kann. Es hilft nur noch löschen.

Bootviren

Bootviren gehen einen ganz anderen Weg. Beim Start eines PC liest das BIOS einen exakt festgelegten Bereich der ersten Festplatte aus: Im Master Boot Record (MBR) steckt ein kleines Programm, das dabei aktiviert wird. Es sucht auf der Festplatte nach der Bootroutine der Partition, die als aktiv markiert ist, und startet sie.
Erst jetzt werden die Startdateien des eigentlichen Betriebssystems wie DOS oder Windows aktiviert. Auch jede Diskette hat einen Bootsektor, den der Virus für seine Zwecke nutzen kann. Liegt eine Diskette beim Einschalten im Laufwerk, versucht das BIOS den Bootsektor zu laden und auszuführen - sofern im BIOS-Setup nicht eine andere Bootreihenfolge eingestellt ist. Boot vieren ersetzen nun den Startcode im MBR und/oder im Bootsektor der Partition oder Diskette. So wird der Bootvirus aktiv, bevor ein anderes Programm ihn daran hindern kann. Dann kann ein Bootvirus im Hintergrund arbeiten und beispielsweise jede eingelegte Diskette infizieren.
Der Infektionsweg für einen Bootvirus ist klar: Beim Einschalten des PC liegt eine Diskette im Laufwerk, und der PC versucht, davon zu booten.
Da ein Bootvirus keine Datei zur Verbreitung benötigt, kann auch eine ganz "leere" Diskette einen Bootvirus enthalten. Weil Bootviren so auf scheinbar harmlosen Disketten lange Zeit unbemerkt bleiben, gehören sie zu den hartnäckigsten Vertretern der Viren. Aber Vorsicht: Ein beliebiges Programm - Dropper oder Trojaner genannt - kann beim Start einen Bootvirus auf die Festplatte kopieren. Es gibt sogar einige Makroviren, die so vorgehen. Darüber hinaus gibt es sogenannte Multipartite-Viren, die die Eigenschaften von Boot- und Dateiviren vereinen.

Companion-Viren

sind Viren, die den gleichen Dateinamen wie ein Anwendungsprogramm tragen, und die Optionen des jeweiligen Betriebssystems ausnutzen, um vor dem echten Programm zu starten. So würde zum Beispiel ein Virus der den Dateinamen Editor.com besitzt vor der Originaldatei Editor.exe ausgeführt werden. Das liegt daran, dass DOS Dateien mit der Erweiterung .COM Vorrang vor allen anderen ausführbaren Dateien gibt.

Filesystem-Viren

Dieser klassische Virentyp verändert den Code einer Programmdatei und bettet sich in das fremde Programm ein. Jedesmal, wenn man die infizierte Anwendung aufruft, beginnt der Virus seine Schadensfunktion auszuüben.

Hoaxes

Hoaxes haben mit Viren eigentlich nichts zu tun, verursachen aber trotzdem erheblichen materiellen Schaden.
Hoaxes sind falsche Berichte über Viren und deren übertriebene Ansteckungsgefahren. Als E-Mail in der Art eines Kettenbriefes verscickt, erreichen solche Falschmeldungen in kürzester Zeit Tausende von Empfängern. Mit einem Virus hat das Ganze nichts zu tun, die Verbreitung erfolgt "freiwillig" durch die Anwender.
In einem Unternehmen geht allein dadurch Geld verloren, daß unbedarfte Mitarbeiter die Falschmeldung lesen und wohlmeinend an Kollegen weiterleiten. Der eine oder andere informiert auch panisch die EDV-Abteilung, der dadurch ebenfalls Arbeitszeit verlorengeht.

Makroviren

Das Office-Paket von Microsoft verfügt über eine ausgefeilte Makrosprache mit mächtigen Befehlen: VBA (Visual Basic für Applikationen). Mit diesen Befehlen kann ein Makro etwa Dateien und andere Office-Dokumente manipulieren oder Windows-Programme fernsteuern. Der Knackpunkt bei MS-Office: Die Makros sind direkt im Dokument gespeichert. Wenn man ein Word-, Excel-, oder PowerPoint-Dokument weitergibt, sind eventuelle Makros mit dabei. Und es gibt eine Autostart-Funktion. Sobald ein Dokument mit einem entsprechend deklarierten Makro geöffnet wird, wird das Makro aktiv.
Dann verändern die meisten Makroviren die Standart-Dokumentvorlage - normal.dot - so, daß der Virus bei jedem Start von Word etc. aktiv wird. Bei anderen Office-Programmen ist die Vorgehensweise im Detail etwas anders.
Besondere Brisanz haben Makroviren, die sich selbstständig über E-Mail weiterverbreiten. Das bekannteste Beispiel dafür ist Melissa: Der Virus sucht sich aus der Outlook-Datenbank 50 Empfänger und schickt ihnen eine E-Mail mit dem Virus als Anhang. Wenn der Empfänger den Anhang dann per Doppelklick aktiviert, nistet sich Melissa im System ein. Daß die E-Mail von einem bekannten Absender stammt, erhöht die Chance auf einen unbedachten Doppelklick. Mittlerweile gibt es etliche Nachahmer.
Der Schaden, den Makroviren anrichten können, ist beträchtlich. Die Infektionswege sind offensichtlich: Sobald man ein fremdes Dokument auf seinem PC öffnet, kann ein Virus im Spiel sein. Dieses Dokument kann per E-Mail, als Download von einer Web-Seite, über eine Diskette oder über CD-ROM auf den PC kommen.
Grundsätzlich ist jedes Programm, das Makros verarbeiten kann, anfällig für einen Makrovirus. So gibt es einzelne Viren für Lotus Ami Pro oder Corel Draw. Diese Programme speichern aber Makros in einer separaten Datei getrennt von den Dokumenten. Da nur selten Dokument und Makrodatei weitergegeben werden, ist die Infektionsgefahr gering. Auch für Access-Datenbanken gibt es spezielle Viren - allerdings werden Datenbankdateien wohl nur selten weitergegeben.

Polymorphe Viren

Viren werden von Virenscannern häufig an bestimmten Code-Sequencen erkannt. Polymorphe Viren versuchen der Erkennung zu entgehen, indem Sie ständig veränderte Kopien von sich selbst erstellen.

Retroviren

Die Ziele von Retroviren sind weniger Anwendungsdaten, als vielmehr Antiviren-Programme. Sie löschen gezielt die Dateien von Antivirus-Software.

Stealth-Viren

Stealth-Viren tarnen sich, indem sie Systemprogramme manipulieren. Durch diese Veränderungen zeigt das Betriebssystem zum Beispiel nicht an, dass eine verseuchte Datei größer geworden ist oder dass Sie wegen des laufenden Virus weniger Hauptspeicher zur Verfügung haben.



[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04510
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06247
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1158
Comments: 0