Computerviren, Computerwürmer und Trojanische Pferde
Computerviren und Computerwürmer verbreiten sich auf Rechnersystemen, basieren jedoch auf unterschiedlichen Konzepten und Techniken. Ein Virus kopiert sich selbst in nicht infizierte Dateien und modifiziert diese so, dass das Virus ausgeführt wird, sobald das Wirtsprogramm läuft. Die Verbreitung erfolgt durch das Kopieren einer infizierten Wirtsdatei auf ein anderes Computersystem - z.B. über Speichermedien, Netzwerke oder das Internet.
Ein Computerwurm ist ein aktives Schadprogramm, das selbstständig nach Verbreitungswegen sucht - z.B. über Sicherheitslücken im Zielsystem. Nach erfolgreichem Einbruch kopiert sich der Wurm wie ein Virus in eine andere Programmdatei oder versteckt sich unter falschem Namen ganz tief im Rechnersystem. Das Zielsystem wird dabei so manipuliert, dass der Computerwurm mit jedem System-Neustart automatisch ausgeführt wird.
Trojanische Pferde sind Computerprogramme, die sich zwar als nützliche Anwendung tarnen, im Hintergrund aber (heimlich) andere Funktionen ausführen. Sie zählen zur Malware-Programmfamilie und installieren während ihrer Ausführung unbemerkt weitere Schadprogramme auf dem Computer. Diese funktionieren dann eigenständig und werden durch Entfernung des Trojaners nicht unschädlich gemacht.
Maßnahmen zum Schutz vor Computerviren und schädlicher Software
Einen absoluten Schutz kann und wird es nicht geben. Selbst Anbieter von Antivirensoftware können schützende Updates erst dann erstellen, wenn die Schadsoftware bereits im Umlauf ist. Aus diesem Grund ist es besonders wichtig, Antivirenprogramme täglich zu aktualisieren. Darüber hinaus gibt es eine Reihe von Maßnahmen, die bei konsequenter Einhaltung für eine höhere Sicherheit sorgen.
- Antivirensoftware verwenden und täglich aktualisieren
- Personal Firewall zur Kontrolle von Internet- und Netzwerkverbindungen verwenden
- keine Peer-to-Peer-Netzwerke einrichten
- E-Mail-Anhänge vor dem Öffnen prüfen (Plausibilität, Dateiname, Datentyp, Dateigröße)
- Verlinkungen in E-Mails nicht einfach folgen - ggf. Hyperlink anzeigen und prüfen ob Absenderadresse und Weblink zueinander passen
- Daten auf externen Datenträgern mit Antivirensoftware überprüfen
- Vorsicht bei Onlineangeboten mit unseriösen Inhalten
- Vorsicht bei der Nutzung öffentlicher Internetzugänge und Funkverbindungen
Bootviren
Bootviren gehören zu den ältesten Computerviren. Sie infizieren den Bootsektor von Disketten und Festplattenpartitionen oder den Master Boot Record (MBR) einer Festplatte. Bootviren können somit in das Betriebssystem, das erst nach ihnen geladen wird, eingreifen und dieses verändern bzw. komplett umgehen.
Dateiviren und Linkviren
Linkviren oder Dateiviren sind die häufigsten Computerviren. Sie infizieren ausführbare Dateien oder Programmbibliotheken auf einem Rechner. Dabei fügt sich das Virus in eine Wirtsdatei ein und modifiziert diese so, dass das Virus beim Programmstart ausgeführt wird.
Makroviren
Makroviren benötigen Computeranwendungen, die Dokumente mit eingebetteten Makros verarbeiten. Sie befallen Makros in bislang nicht infizierten Dokumenten oder fügen Makros ein, falls diese noch nicht vorhanden sind. Makros kommen in den meisten Office-Dokumenten zur Anwendung - z.B. in allen Microsoft-Office-Dokumenten sowie Dokumenten der OpenOffice-Produktfamilie.
Skriptviren
Skripte werden häufig auf Webservern verwendet oder in Webseiten eingebunden. Dort suchen Skriptviren nach geeigneten Wirtsdateien, die sie infizieren können. Bei HTML-Dateien fügt sich das Skriptvirus beispielsweise in einen speziellen Bereich, den Skriptbereich, einer HTML-Datei ein. Die meisten Browser laden diesen Skriptbereich des HTML-Dokuments und führen dann das Skriptvirus aus.
Companion-Viren
Ein Companion-Virus infiziert nicht die ausführbare Datei selbst, sondern benennt diese um und erstellt eine neue Datei mit dem ursprünglichen Dateinamen, die nur das Virus enthält, oder es erstellt eine Datei mit ähnlichem Namen, die vor der ursprünglichen Datei ausgeführt wird.
Überschreibende Viren
Wird ein infiziertes Programm ausgeführt wird, sucht das Virus nach neuen infizierbaren Dateien und überschreibt entweder die ganze Datei oder nur einen Teil. Die Wirtsdatei wird dabei unwiderruflich beschädigt und funktioniert nicht mehr oder nicht mehr richtig.
Prepender-Viren
Prepender-Viren fügen sich am Anfang einer Wirtsdatei ein. Beim Ausführen wird zuerst das Virus aktiviert, das sich weiterverbreitet oder seine Schadwirkung entfaltet. Danach stellt das Virus im Arbeitsspeicher den Originalzustand des Wirtsprogramms her und führt dieses aus.
Appender-Viren
Appender-Viren fügen sich am Ende einer Wirtsdatei ein und verändern diese derart, dass es vor dem Wirtsprogramm zur Ausführung kommt. Nachdem das Virus aktiv geworden ist, führt es das Wirtsprogramm aus, indem es an den ursprünglichen Programmeinstiegspunkt springt.
Entry Point Obscuring
Unter »Entry Point Obscuring« (EPO) ist die »Verschleierung des Einsprungspunktes« zu verstehen. EPO-Viren suchen sich zur Infektion einen bestimmten Punkt in der Wirtsdatei, der nicht am Anfang oder am Ende liegt. Der Nachteil besteht also darin, dass Virenscanner die gesamte Datei untersuchen müssen, um EPO-Viren zu finden.
Speicherresidente Viren
Speicherresidente Viren verbleiben nach Ausführung und Beendigung des Wirtprogramms im Speicher und erzeugen ggf. einen neuen Prozess mit einem unverdächtigen Prozessnamen. Gelegentlich versuchen diese Viren auch Funktionen des Betriebssystems zu manipulieren.
Stealth-Viren
Stealth-Viren ergreifen besondere Maßnahmen, um ihre Existenz zu verschleiern. Systemaufrufe werden abgefangen, so dass z.B. bei der Abfrage der Größe einer infizierten Datei die Größe vor der Infektion angegeben wird oder beim Lesen der Datei die Daten der ursprünglichen Datei zurückgeben werden.
Verschlüsselte Viren
Dieser Virentyp verschlüsselt sich selbst, wobei der Schlüssel von Infektion zu Infektion variieren kann. Antivirenprogramme werden dadurch daran gehindert, einfach nach einer bestimmten Zeichenfolge in Dateien zu suchen.
Polymorphe Viren
Polymorphe Viren ändern ihre Gestalt von Generation zu Generation, teilweise sogar vollkommen, wobei oft eine variable Verschlüsselung zur Anwendung kommt. Ein Teil des Virus muss jedoch in unverschlüsselter Form vorliegen, um bei der Ausführung den Rest zu entschlüsseln. Um auch diesen Teil variabel zu gestalten, wird die Entschlüsselungsroutine bei jeder Infektion neu erstellt.
Metamorphe Viren
Metamorphe Viren verändern bei der Ausführung die eigene formale Grammatik. Im Gegensatz zu polymorphen Viren, wird hier der Virus temporär in eine Metasprache umgeschrieben, dann verändert, und danach wieder kompiliert. Da die Mutation eine Veränderung der eigenen Grammatik bedeutet, ist jede neue Generation ein neuer Virus und damit wesentlich schwerer zu erkennen.
Retroviren
Retroviren deaktivieren installierte Virenschutzprogramme und Personal Firewalls. Da sie sich selbst effektiv vor Entdeckung schützen, aber auch anderen Schadprogrammen ein unbehindertes Eindringen ermöglichen, gelten sie als besonders gefährlich.
Instant-Messaging-Würmer
Instant-Messaging-Programme wie »ICQ« oder »MSN Messenger« sind durch ihre Web-Anbindung besonders anfällig für Malware. Die Würmer verbreiten sich, indem sie einem anderen Messenger einen Link zu einer Webseite schicken, die den Wurm enthält. Wird der Link angeklickt, installiert sich der Wurm auf dem Ziel-Computer und wird ausgeführt. Nun sendet der Wurm den infizierten Link an alle Kontakte im Verteiler.
IRC-Würmer
IRC-Clients dienen dem Austausch von Textnachrichten in Echtzeit (Chat). IRC-Programme verwenden spezielle Skripte die beim Start des Programms ausgeführt werden. Für seine Verbreitung sucht ein IRC-Wurm nach IRC-Programmen und modifiziert die auszuführenden Skripte. Beim nächsten Programmstart verteilt sich der Wurm an alle im Chatraum angemeldeten Nutzer.
P2P-Würmer
Peer-to-Peer-Netzwerke stellen eine Direktverbindung zwischen einzelnen Computern her. P2P-Würmer kopieren sich entweder in freigegebene Ordner, aus denen andere Benutzer Dateien herunterladen oder sie verbreiten sich über das Peer-to-Peer-Protokoll wobei sie bei Suchanfragen den anderen Benutzern eine infizierte Datei als Suchergebnis ausliefern. Darüber hinaus greifen P2P-Würmer die im P2P-Netzwerk miteinander verbundenen Computer vollautomatisch über mögliche Sicherheitslücken an.
Würmer für Wechseldatenträger
Wechseldatenträger - wie z.B. USB-Sticks - sind austauschbare Datenträger. Zur Verbreitung kopieren sich Wechseldatenträger-Würmer selbstständig auf diese Datenträger - sie nutzen also keine Netzwerke. Spezielle Techniken ermöglichen einen automatischen Start des Wurms, sobald der Wechseldatenträger mit einem Endgerät verbunden wird.
E-Mail-Würmer
E-Mail-Würmer verbreiten sich durch E-Mails und versenden eine ausführbare Datei oder ein Hyperlink zu einer solchen. Sie verteilen sich meistens über das auf dem Computer installierte E-Mail-Programm und verwenden die E-Mail-Adressen des lokalen Adressbuches.
Scareware
Scareware ist Software mit dem Ziel Computernutzer zu verunsichern und Angst zu verbreiten. Fällt das Opfer auf den Trick herein, wird ihm gegen Bezahlung eine Beseitigung der nicht vorhandenen Gefahr angeboten. In anderen Fällen wird das Opfer durch Vortäuschung eines bereits erfolgten Angriffs zu Handlungen bewegt, die den eigentlichen Angriff erst ermöglichen.
Trojanische Pferde
Trojanische Pferde gelangen auf vielfältige Weise auf einen Computer, z.B. über Datenträger, Netzwerkverbindungen, Internet oder via E-Mail. Danach erfolgt die Verbreitung über den Anwender selbst. Je attraktiver die infizierte Software ist, desto höher ist die Wahrscheinlichkeit der Weitergabe an andere Anwender. Für die Verbreitung per E-Mail wird oft ein Computerwurm benutzt, der das Trojanische Pferd in sich transportiert. Trojanische Pferde installieren unbemerkt weitere Schadprogramme auf dem Computer. Diese funktionieren auch dann noch, wenn der eigentliche Trojaners bereits entfernt wurde.
Leistungen
