In der letzten Ausgabe haben wir über Virenwarnungen (von denen wir hier in der Redaktion scheinbar verschont wurden), “Würmer” und “Hoax”, berichtet. Da diese beiden Arten nur ein Teil der ganzen Artenvielfalt sind, werden wir uns nun mit den anderen Familienmitgliedern dieser Zunft befassen und diese erklären.

Übrigens: Das Wort Virus kommt aus dem Lateinischen, wo es “Gift” oder “Schleim” bedeutet. Trotz der Endung - us ist es tatsächlich ein Neutrum, auch im Deutschen heißt es (lt. Duden) “ das” Virus.

Die folgenden Definitionen der verschiedenen Viren-Gattungen sind natürlich nur ein ganz grober Überblick. Es wird immer Ausnahmen geben, wo unsere Leserinnen und Leser andere Informationen haben. So auch zum Beispiel bei der Einteilung von File- und Boot-Viren. Diese Einteilung wurde schon 1990 mit der Entdeckung des “Anticad”-Virus und “Tequila”-Virus durchbrochen. Diese Viren können sich sowohl als File- als auch als Boot-Viren vermehren. Man nannte diese Virengattung “double action virus”. Aber auf solche Abarten werden wir hier nicht weiter eingehen.

Die Dateiviren (auch Programm- oder Fileviren , früher auch Linkviren genannt) fügen sich in bestehende Programmdateien ein, die bereits vorhanden sind. Sie benötigen also eine Art Wirt. Das infizierte Programm wird dann um den Programmcode des Virus erweitert und folglich größer. Manche dieser Viren haben die Fähigkeit, die Vergrößerung des Wirtprogrammes zu verschleiern (Stealth-Funktion).

Wird später das Programm oder die Datei aufgerufen, dann wird vor dem Start des eigentlichen Programms das Virus aktiviert.

Die Dateiviren infizieren beliebige Programmdateien. Der Zweck des jeweiligen (Wirts-)Programms ist dabei unerheblich: Im Prinzip können auch Antiviren-Programme infiziert werden. Sofern Systemteile wie normale Programmdateien organisiert sind (z.B. Command.com oder Win.com), können sie von diesen Viren ebenfalls infiziert werden.

Dateiviren verbreiten sich also durch den Start externer Programme. Auf welchem Weg diese Programme dem Benutzer zugänglich werden, etwa über Disketten, Rechnernetz, Internet oder gemeinsam benutzte Programmbibliotheken in Mehrbenutzersystemen, ist dabei völlig unerheblich.

Das Betriebssystem MS-DOS und ähnliche Systeme kennen mehrere Typen von Programmdateien; entsprechend kann man Com-, Exe-, Sys-, WinExe- und DLL-Viren ( Com, Exe, Sys, New Exe, or DLL, Infectors ) unterscheiden.

Begleitviren, im weiteren Sinne, verbinden sich mit beliebigen Programmdateien, ohne sie zu verändern. Sie nutzen Mechanismen des Betriebssystems aus, damit das Virus anstelle des jeweiligen Wirtes gestartet wird; das Virus startet anschließend das Wirtprogramm direkt, d.h. unter Umgehung des Mechanismus, der den Start des Virus bewirkt.

Begleit-Viren verbreiten sich also wie Dateiviren durch den Start fremder Programme.

Begleitviren im engeren Sinne ( Companion Viruses ) nutzen die Suchalgorithmen des Programmiersystems aus, um statt des Wirts das Virus zu starten. Der Kommandoentschlüssler des Betriebssystems MS-DOS ergänzt fehlende Pfad-Angaben und fehlende Dateitypen in Bezeichnungen von Programmdateien. Die üblichen Begleit-Viren erzeugen zu einer Exe-Datei (Wirt) eine gleichnamige Com-Datei (Virus).

Dateisystem-Viren ( File System, or Cluster, Viruses ) verändern die Verwaltungsinformation des Dateisystems so, dass es das Virus für den aktuellen Inhalt der infizierten Programmdatei hält. In der Regel ist auf dem gesamten Datenträger (Diskette oder Partition) nur eine einzige Kopie des Virus vorhanden, die aber dem Dateisystem als Teil sämtlicher infizierter Dateien erscheint.

Die ursprünglichen Wirtprogramme liegen für das Dateisystem unzugänglich auf dem Datenträger und können vom Virus unter Umgehung des Dateisystems aktiviert werden. DOS-formatierte Disketten oder Partitions zeigen also nach Infektion mit so einem Virus zahlreiche kreuzverbundene Programm-Dateien (Virus) und zahlreiche verlorene Ketten (ursprüngliche Wirtprogramme). Wird ein infiziertes Programm mit normalen Systemdiensten kopiert, so geht der ursprüngliche Wirt verloren und die Kopie enthält nur noch das Virus.

Die System- oder auch Bootviren befallen anders als die Dateiviren nur einen Bereich eines PC-Systems. Und zwar den sogenannten Bootsektor bzw. Master-Boot-Sektor (MBR) also die Partitionstabelle, wobei sie die besonderen technischen Bedingungen nutzen, die für die betreffenden Teile des Betriebssystems gelten. Befindet sich in diesem Bereich ein Virus, wird er schon beim Booten des Rechners in den Speicher geladen. Wird später eine Diskette eingelegt, wird sofort der Bootbereich der Diskette befallen.

Entgegen einer verbreiteten Annahme, können Boot-Viren auch auf Disketten hausen, die gar nicht startfähig sind (d.h. von denen man nicht booten kann). Auch hier gibt es nämlich ein Programm, und zwar jenes, das die bekannte Meldung “Keine Systemdiskette...” erzeugt.

In der Tat ist ein typischer Infektionsweg die beim Abschalten des Rechners in Laufwerk A: vergessene (verseuchte) Datendiskette. Bei erneutem Einschalten versucht der Rechner, von dieser sein Betriebssystem zu laden (so dies im BIOS eingestellt ist), dies kann nicht gelingen, die Fehlermeldung wird gestartet und bei dieser Gelegenheit auch das Virus aktiviert, das sich via Arbeitsspeicher auf die Festplatte begibt und von dort weitere Disketten infizieren kann.

Bootsektor-Viren ( Floppy Boot Record Viruses ) infizieren den Bootsektor von Disketten . Wenn beim Einschalten oder Wiederanlaufen des PC eine Diskette im Laufwerk “A” liegt, wird normalerweise der Inhalt des ersten Sektors dieser Diskette vom Rechner als Programm interpretiert. Dieses Programm soll den Systemaufbau einleiten, der Sektor heißt deshalb Bootsektor. Falls der Bootsektor infiziert ist, wird das Virus als erstes Programm ausgeführt und infiziert den Rechner, noch bevor das System aufgebaut oder die Fehlermeldung “ Keine Systemdiskette ” ausgegeben wird. Bootsektor-Viren verbreiten sich also über Disketten.

MBR-Viren ( Master Boot Record Viruses ) infizieren den MBR von Festplatten . Wenn beim Einschalten oder Wiederanlaufen des PC keine Diskette in Laufwerk “A” liegt, wird normalerweise der Inhalt des ersten Sektors der ersten (oder einzigen) Festplatte vom Rechner als Programm interpretiert. Dieses Programm soll den Systemaufbau einleiten, der Sektor heißt MBR. Falls der MBR infiziert ist, wird das Virus ebenfalls als erstes Programm ausgeführt und bereitet seine weitere Verbreitung vor; in der Regel werden alle Disketten infiziert, die später an dem infizierten Rechner bearbeitet werden. MBR-Viren verbreiten sich also als Bootsektor-Viren auch über Disketten.

OBR-Viren (Operatingsystem Boot Record Viruses ) infizieren den ersten Sektor der aktiven Partition der ersten (oder einzigen) Festplatte. Eine Festplatte kann eine oder mehrere Partitionen enthalten, von denen höchstens eine als “aktiv” gekennzeichnet ist. Das übliche MBR-Programm interpretiert den ersten Sektor der aktiven Partition als Programm, dieses Programm soll den Systemaufbau fortsetzen, es heißt daher “Betriebssystem-Bootsektor” (OBR - Operatingsystem Boot Record ). Falls der OBR infiziert ist, wird das Virus als erstes Programm ausgeführt und bereitet seine weitere Verbreitung vor. In der Regel werden alle Disketten infiziert, die später an dem infizierten Rechner bearbeitet werden. OBR-Viren verbreiten sich also ebenfalls als Bootsektor-Viren über Disketten.

Für das Betriebssystem MS-DOS und ähnliche Systeme gibt es folgende Arten von Systemviren:

DBR-Viren ( DOS Boot Record Viruses ) sind die OBR-Viren zum DOS, d.h. sie infizieren den DOS-Bootsektor in der aktiven Partition der Festplatte und verbreiten sich als Bootsektor-Viren über Disketten. Falls die aktive Partition ein anderes Betriebssystem (etwa Linux) enthält, wird dessen Bootsektor durch eine DBR-Infektion in der Regel zerstört. Das System kann dann nicht mehr von der Festplatte gestartet werden.

Andere Arten von DOS-Viren infizieren den Kommando-Entschlüssler Command.com oder eine der beiden verborgenen Systemdateien ( Kernel Infectors ).

Der Begriff “Stealth-Viren” (engl. stealth = verheimlichen, tarnen ) ist eigentlich falsch, es sollte besser Stealth-Funktion heißen. Hierbei handelt es sich nämlich nicht um eine Viren-Gattung , sondern lediglich um eine spezielle Funktion der Quälgeister.

Durch Stealth-Funktion versuchen Viren, ihre Anwesenheit im System zu verschleiern. Dazu überwachen sie verschiedene Systemfunktionen, z.B. Zugriffe auf Programmdateien und das Inhaltsverzeichnis. Wird zum Beipiel mit dem DIR Befehl durch den Anwender versucht, die Dateigröße herauszufinden oder besser noch zu vergleichen, dann täuscht die Tarn-Funktion (Stealth-Funktion) die original Dateigröße vor. Obwohl dies nicht stimmt.

Viele Viren verschlüsseln inzwischen bei einer Infektion das gesamte Virus oder Teile davon. Dabei verwenden einige Viren bei jeder neuen Infektion neue Schlüssel zum Ver-/Entschlüsseln. Solche polymorphen Viren verhindern, daß Virenscanner nach einer speziellen, für das Virus typische Bytefolge suchen können. Ein Beispiel hierfür sind Viren, die die sogenannte Mutation-Engine enthalten, ein Modul, welches polymorphe Viren erzeugt.

Die ersten Stealth-Viren hatten allerdings noch recht einfache Funktionen. So beschränkte sich ein spezielles Virus auf eine Version des McAfee Viren-Scanners, von der es nicht erkannt wurde.

Trojanische Pferde

Die Bezeichnung “Trojanisches Pferd” geht auf die griechische Sagenwelt zurück. Die Griechen bauten nach zehnjähriger Belagerung von Troja ein Holzpferd und füllten es mit Soldaten. Die Trojaner ließen sich durch den (scheinbaren) Abzug der griechischen Schiffe täuschen. Sie zogen das Holzpferd trotz der Warnung Laokoons in die Stadt, um der Göttin Athene ein Opfer zu bringen. Durch diese List konnten die Griechen Troja erobern. Auch hier ist die Funktion des Virus die gleiche. Es tarnt sich geschickt als etwas, was es im Grunde gar nicht ist.

Ein Trojanisches Pferd ist ein Programm oder Programmteil. Es enthält eine nicht dokumentierte Routine, die eine unerwartete (evtl. destruktive) Zusatzfunktion ausführt. Es gibt sich in der Regel als ein nützliches kleines Programm aus (Editor, Packer etc.) und beginnt im Hintergrund Schaden anzurichten, während der Anwender denkt, er benutzt ein Tool/Programm. Besonders beliebt sind hier zum Beispiel auch Bildschirmschoner!

Zu den typischen Aufgaben Trojanischer Pferde gehört beispielsweise das (nicht legale) Sammeln von Paßworten. Ein Trojanisches Pferd reproduziert oder “bewegt” sich nicht. Dadurch ist der Ort der Manipulation auch der Ausgangspunkt seiner Wirkung. Dies erleichtert (verglichen mit Viren und Würmern) wesentlich seine Bekämpfung.

Allerdings gibt es auch agressive Versionen, wie das durch viele E-Mail-Warnungen bekannte Beispiel PKZ300, das scheinbar eine neue Version des Programms PKZIP/PKUNZIP ist, aber bei einem Aufruf des Programms die Festplatte formatiert.

Ebenso wie Würmer werden durch Trojanische Pferde keine anderen Objekte infiziert .

Würmer sind, im Gegensatz zu Viren, kleine eigenständige Programme, die keine anderen Dateien oder Programme als “Wirt” brauchen, um sich zu verbreiten oder zu reproduzieren. Sie infizieren also keine anderen Programme im eigentlichen Sinn, sondern arbeiten eher wie automatisierte Kettenbriefe. Der Schaden, den ein Wurm anrichtet, beschränkt sich in der Regel darauf, sich “einfach” in Netzwerken (dazu zählt auch das Internet) zu verbreiten und exzessiv von Systemressourcen Gebrauch zu machen. Ein bekanntes Beispiel ist der Internetwurm, der durch den hohen Verbrauch von Arbeitsspeicher Server und Netzwerke ausfallen ließ.

Logische Bomben

Bei logischen Bomben (oder auch Slow-Virus genannt) handelt es sich im Grunde um normale Viren, die nicht sofort, sondern erst später ihre Schadensfunktion starten.

Bei dieser besondere Viren-Variante wurd das Virus erst nach der Erfüllung einer vorgegebenen Bedingung, z.B. zu einem bestimmten Zeitpunkt oder nach einer besonderen Aktion des Anwenders, aktiv. Bis dahin führt das schon infizierte Programm die erwarteten Funktionen (scheinbar) korrekt aus - Daten werden nur minimal verändert.

Bekanntes Beipiel einer solchen Zeitverzögerung ist der Michelangelo-Virus, der jedes Jahr am 6. März, dem Geburtstag des italienischen Bildhauers und Malers Michelangelo Buonarotti, den Datenträger zerstört . Dazu werden auf den Festplatten die Sektoren 1-17; Kopf 0-3 auf allen Spuren mit unsinnigen Werten überschrieben. Bei Disketten zerstört dieses Computervirus, abhängig vom Format, die Sektoren 1-9 bzw. 1-14.

Der HARE-Virus hingegen befällt Bootsektoren. Es ist ein polymorpher Virus. Die Verlängerung infizierter Dateien ist deshalb unterschiedlich. Das Virus besitzt eine programmierte Schadfunktion: Am 22. August (2000, ein Dienstag) und am 22. September (2000, ein Freitag) wird von Hare die Meldung: “HDEuthanasia” by Demon Emperor: Hare Krsna, hare, hare... ausgegeben. Das Virus wird im Speicher resident und besitzt Tarnkappen-Eigenschaften.

Makro-Viren infizieren, im Gegensatz zu Boot- und File-Viren, nicht Boot-Sektoren oder Dateien, die Programme enthalten, sondern in Word geschriebene Dokumente und Templates ebenso wie Excel-Dateien. Der Viren-Code wird als Makro in diese Dateien eingefügt. Als Programmiersprache steht das von Microsoft entwickelte WordBasic zur Verfügung. Dies ist zugleich auch die Erklärung dafür, dass es von einigen Makro-Viren eine Vielzahl von Varianten gibt.

Die Funktion ist simpel. Durch die Macrosprache soll der Anwender schon beim Aufruf des Dokumentes durch verschiedene Funktionen geleitet werden. Liegt hier aber ein Makrovirus versteckt, dann ist dieses durch eben diese “Auto Start Funktion” aktiviert. Danach verstecken und befallen sie dann möglichst viele andere Dateien des Office-Paketes.

Destruktive PC-Anwender können im Gegensatz zu Boot- und File-Viren mit geringen PC-Grundwissen zumindest Varianten von Makro-Viren herstellen. Internet und die verstärkte Nutzung von E-Mail trägt zusätzlich zur schnellen internationalen Verbreitung von Makro-Viren bei.

Die ersten Makro-Viren tauchten im Spätsommer 1995 auf. Nach einem relativ langsamen Start wuchs die Zahl der Makro-Viren schnell an. Ein Beispiel: Im Juli 1997 wurde die Zahl von 1.000 und im Februar 1998 bereits von 2.000 Makro-Viren überschritten. Dies ist eine Verdopplung im Laufe eines halben Jahres!

Bemerkenswert ist auch, dass viele Makro-Viren zum Beispiel auf Macintosh PCs funktionsfähig sind, falls Word oder Excel eingesetzt wird.

Die Java Viren gibt es tatsächlich schon! Und die Gefahr, die von dieser Art Viren ausgeht, ist enorm . Erreicht man doch durch die plattformunabhängige Sprache die Möglichkeit, jedes System zu befallen, egal, welches Betriebssystem installiert ist.

Das erste Virus dieser Art war das “ Strange-Brew”. Dieses hatte aber einige Schwächen in der Programmierung und konnte sich nicht weit verbreiten. Doch dies zeigt deutlich, welche Gefahr auch hier schlummert!

Nachdem Sie nun eine der gefährlichsten Gattungen - das Java-Virus - kennen gelernt haben, lassen Sie uns noch ein paar relativ ungefährliche “Krabbeltiere anschauen.

E-Mail Viren

Die allseits bekannten und durch Unwissenheit gepuschten Meldungen über Viren, die einen per E-Mail befallen, sind völlig aus der Luft gegriffen. So etwas gibt es nicht, dadurch wird eigentlich nur deutlich, dass viele Anwenderinnen und Anwender dringenden Informationsbedarf zum Thema Viren haben. Die bekannten Meldungen wie zum Beispiel AOL-Good-Times (aber auch andere) dienen wohl nur einem Zweck: den dahinterstehenden Provider kostenlos in die Presse zu bekommen.

Was es aber gibt, sind die Dateianhänge (attachment), die es in E-Mails ja nunmal gibt. In diesen können sich sehr wohl Viren oder Macroviren befinden. Diese können aber erst beim Start oder dem Aufruf der Datei aktiviert werden - vorher nicht!

Und solange es noch keine E-Mail Programme gibt, die eine Macrosprache beinhalten, wird es dies auch nicht geben. Sollte dies jedoch einmal der Fall sein - was wir alle nicht hoffen wollen - dann wird es echt gefährlich!

Hoax (Mail-Ente)

Mail-Enten (englisch: hoax) infizieren ebenso wie Trojaner, Kettenbriefe und Würmer keine anderen Objekte. Derartige Nachrichten, die in der Regel falsche Informationen enthalten, verbreiten unter den PC-Anwendern nur Angst und Schrecken vor möglichen Schäden an Soft- und/oder Hardware, wenn zum Beispiel E-Mails heruntergeladen werden.

Trotz vieler aufklärender Informationen halten sich solche Gerüchte zum Beispiel um “Penpal Greetings” hartnäckig und werden immer wieder über Internet und Mailsysteme verbreitet.

Kettenbriefe infizieren ebenso wie Trojaner, Kettenbriefe und Würmer keine anderen Objekte. Sie nutzen entweder vorhandene Mailsysteme und die im PC gespeicherten E-Mail-Adressen, oder sie motivieren den Empfänger einer solchen Nachricht, die Information schnell weiterzugeben. In der Regel besitzen sie keine programmierten Schadfunktionen.

HTML-Viren

Das Virus ist kein reiner in HTML geschriebener Virus, sondern in Visual Basic Scripts erstellt. Der Name HTML Virus kommt daher, dass durch den Code HTML-Dateien infiziert werden. Eine Verbreitung über das Internet ist aber so gut wie ausgeschlossen! Es sucht und infiziert nur HTML-Dateien auf lokalen Festplatten.

TIP: Visual Basic Scripts erst nach einer Bestätigung durch den Benutzer vom Browser ausführen lassen.

Einfach ausgedrückt steht nach der Infektion in jeder lokalen HTML-Datei im Dateikopf ein kurzer Text und Hinweis auf das Virus. Eine weitere Verbreitung über das Netz ist sehr unwahrscheinlich. Script/HTML Viren stellen also derzeit keine große Gefahr da.

Sooo, das sind im großen und ganzen die Gattungen der Viren, die Jahreszeitunabhängig Ihr Rechnersystem befallen können. In der nächsten Ausgabe werden wir uns dann mit Dateien beschäftigen, an denen Viren nicht sonderlich interessiert sind.