Ausdrucken

LernCafe 15 vom 15. Februar  2002: "Sicherheit"
Online-Journal zur allgemeinen Weiterbildung
http://www.lerncafe.de

Fakten über Computerviren
(Druckversion)

Frank Ziemann
E-Mail: F.Ziemann@tu-berlin.de

Einleitung
Computer-Viren sind heute eine allgegenwärtige Bedrohung für Festplatten und die darauf gespeicherten Daten und Programme. Bereits in den achtziger Jahren tauchten die ersten Computer-Viren auf. Für einige Jahre waren sie für ihre Ausbreitung auf austauschbare Datenträger wie Disketten angewiesen. Mit der zunehmenden Nutzung des Internets durch Firmen und Behörden  entdeckten die Programmierer von Viren dieses Medium auch für sich. Sie entwickelten bald Viren, die sich auch über das Internet ausbreiten. Heute werden hauptsächlich über elektronische Post (E-Mail), Viren verbreitet. 

Virenarten
Man spricht zwar im Allgemeinen stets von Computer-Viren, tatsächlich ist nur ein Teil der heute üblichen Schädlinge als Viren im engeren Sinne klassifiziert. Dabei wird nach verschiedenen Virentypen differenziert. Daneben unterscheiden die Fachleute Würmer, Trojanische Pferde und so genannte Hacker-Tools. Alles zusammen wird als "Malware" (engl. MALicious softWARE) bezeichnet. Alle diese Schädlinge sind auf bestimmte Wirte spezialisiert, überwiegend DOS- bzw. Windows-Computer. DOS-Viren können sich nicht auf Macintosh- oder Unix-Systemen ausbreiten, umgekehrt ist es genauso.

Dateiviren
Die klassische Form des Virus ist der Dateivirus. Er hängt sich meist an vorhandene Dateien an, die damit größer werden. Es gibt jedoch auch einige neuere Spezies, die ungenutzte oder weniger wichtige Dateibereiche überschreiben und damit die Dateigröße nicht verändern. Dateiviren hängen sich vorzugsweise an Programmdateien an. Wird ein infiziertes Programm gestartet, wird es in den Arbeitsspeicher geladen, der Virus somit ebenfalls. Er wird nun aktiv und infiziert weitere Programmdateien. Viele Viren sind so programmiert, dass sie im Speicher verbleiben, auch wenn das infizierte Programm (der Wirt) beendet wird. Viren können sich nur durch Weitergabe infizierter Wirtsprogramme von einem Rechner auf den nächsten bewegen. Ein Virus ist ohne Wirtsprogramm nicht funktionsfähig.

Bootviren
Bootviren hängen sich nicht an normale Programmdateien, sondern nisten sich im Startbereich, dem Bootsektor, von Festplatten oder Disketten ein. Wird ein Computer gestartet (gebootet), führt er zunächst den Programmcode aus, der im Startbereich der Festplatte (oder Diskette) gespeichert ist. Dieser sucht nach den Informationen, wo das eigentliche Betriebssystem (z.B. DOS, Windows, Linux, MacOS) zu finden ist. Ist der Bootsektor mit einem Virus infiziert, wird dieser in den Speicher geladen, noch bevor ein Betriebssystem aktiv ist. Damit verschafft er sich einen Vorteil: Er kann nicht vom einem Virenscanner entfernt werden, der auf das später geladene Betriebssystem angewiesen ist. Ist die Festplatte mit einem Bootvirus infiziert, muss der Computer von einer virenfreien Diskette gestartet werden, um den Virus entfernen zu können. Bootviren können sich nur über die Weitergabe infizierter Datenträger (meist Disketten) verbreiten und einen Rechner nur dann infizieren, wenn dieser von der infizierten Diskette gebootet wird. Dies kann passieren, wenn man eine infizierte Diskette im Laufwerk stecken lässt und den Rechner neu startet.

Makro- und Scriptviren
Makroviren sind vor allem ein Problem von MS Office, besonders Word. Die in MS Office enthaltene Makrosprache dient der Automatisierung vieler Abläufe (z.B. Serienbrieffunktion), ist jedoch so mächtig, dass sich damit auch Viren programmieren lassen. Diese infizieren Office-Dokumente und Formatvorlagen. Sind sie einmal im System, wird z.B. jede Word-Datei infiziert, die man öffnet oder anlegt. Sie kommen über infizierte Dokumentdateien auf den PC, die man u.a. per E-mail erhält. Scriptviren sind den Makroviren sehr ähnlich, operieren jedoch systemweit. Die meisten nutzen die Scriptsprache VBS (Visual Basic Script), die auf praktisch jedem modernen Windows-PC vorhanden ist.

Würmer
Ein Wurm interessiert sich nicht für einzelne Dateien, seine Wirte sind die Computer an sich. Er verbreitet sich nicht innerhalb eines Rechners von Datei zu Datei sondern innerhalb eines Netzwerks von Computer zu Computer. Das Netzwerk kann dabei auch das Internet sein. Am häufigsten verbreiten sich Würmer über E-Mail. Ein Wurm richtet meist wenig Schaden auf dem einzelnen PC an. Jeder PC dient nur als Zwischenstation zum nächsten. Ein Wurm ist im Gegensatz zum Virus ein selbständig lauffähiges Programm. Heutige E-Mail-Würmer benötigen zur Verbreitung kein E-Mail-Programm, sie haben selbst eine kleine eingebaute E-Mail-Routine.

Trojanische Pferde
Trojanische Pferde (kurz auch als Trojaner bezeichnet) sind ebenfalls eigenständige Programme. Sie können als versteckter Bestandteil eines an sich harmlosen oder harmlos erscheinenden Programms auf einen Computer gelangen, etwa mit Programmen, die man per E-Mail geschickt bekommt oder sich aus dem Internet herunter lädt. Typisch ist auch, dass Programme im Chat angeboten werden, die als Spiel oder nützliches Hilfsprogramm annonciert sind, in Wirklichkeit jedoch ein Trojanisches Pferd enthalten. Trojanische Pferde haben eine breite Palette an möglichen Schadenswirkungen. Sie spionieren Passwörter aus, manipulieren oder löschen Dateien, installieren weitere Malware oder öffnen eine Hintertür (engl. backdoor), die es einem Angreifer ermöglicht, über das Internet in den Computer des Opfers einzudringen und vollständig zu kontrollieren. Ausgespähte Daten werden per E-Mail oder Chat-Programm an den Angreifer gemeldet.

Hacker-Tools
Die schon erwähnten Backdoor-Trojaner werden auch als Hacker-Tools bezeichnet, da ein Angreifer damit einen Computer fernsteuern kann, um damit z.B. weitere Computer anzugreifen. Zu demselben Zweck gibt noch eine Reihe weiterer Programme, mit denen ein Angreifer z.B. fremde Computer dazu missbrauchen kann, konzertierte Angriffe auf Server im Internet auszuführen, indem z. B. Massenanfragen an einen Server geschickt werden, die dieser dann nicht mehr bearbeiten kann.

Kleiner Scherz gefällig?
Neben den wirklichen Schädlingen gibt es noch Scherzprogramme (engl. joke), die nur so tun als würden sie Schaden anrichten. Damit werden die Benutzer zuweilen stark verunsichert und richten in Panik selbst Schaden an. Einige Virenscanner melden auch diese Jokes, leider jedoch mit denselben Texten, die sie für Viren verwenden. Dadurch kann man nur am Namen des gemeldeten Virus erkennen, dass es ein Scherzprogramm ist. Der "Virusname" enthält dann meist das Wort "Joke". Ebenfalls in die Kategorie "dumme Streiche" gehören falsche Virenwarnungen (Hoaxes), die kettenbriefartig per E-Mail verbreitet werden (siehe gesonderter Artikel in der Rubrik Webangebote in dieser Ausgabe).

Schutzmaßnahmen
Auf jeden PC, der mit dem Internet zeitweise oder permanent verbunden ist, gehört heute ein Virenscanner. Diese bestehen aus zwei Teilen: Einem Programm, das bedarfsweise oder zeitgesteuert Dateien, Verzeichnisse oder ganze Datenträger auf Viren prüft ("On-Demand-Scanner") und ein Hintergrundwächter ("On-Access-Scanner"), der permanent alle Lese- und Schreibvorgänge überwacht und sofort Alarm schlägt, wenn er einen Virus entdeckt. Als Zusatzausstattung gibt es oft auch E-Mail-Scanner. Moderne Virenscanner müssten eigentlich "Malware-Scanner" genannt werden, denn sie finden nicht nur Viren, sondern auch Würmer und Trojanische Pferde. Jeder Virenscanner ist jedoch nur so gut wie seine Virendatendatenbank. Wird ein neuer Virus entdeckt, bietet der Hersteller des Virenscanners ein Update für diese Datenbank an. Da ständig neue Viren entdeckt werden, sollte man seine Antivirus-Software möglichst oft aktualisieren. Zu empfehlen ist ein wöchentlicher Turnus. Die meisten Virenscanner werden mit einer eingebauten Update-Funktion geliefert. Diese ermöglicht es Updates mehr oder weniger automatisch aus dem Internet zu holen und zu installieren.

Schwachstelle Mensch
Ob mit oder ohne Virenscanner - die größte Schwachstelle im System ist der Mensch. Viele Menschen müssen erst durch schlechte Erfahrungen klüger werden, damit sie nicht unvorsichtig jede Datei öffnen, die per E-Mail oder auf anderen Wegen auf ihren Rechner gelangt. Dateianhänge von E-Mails sollten nie direkt vom E-Mail-Programm aus geöffnet werden. Speichern Sie sie zunächst auf die Festplatte, damit der Virenwächter sie prüfen kann.
Besonders problematisch ist das E-Mail-Programm Outlook Express, das mit dem Internet Explorer installiert wird. Es weist in Zusammenarbeit mit dem Internet Explorer eine Reihe von Sicherheitslücken auf, die mühsam durch ständige Updates und das Abschalten von unsicheren Funktionen wie der Vorschau gestopft werden müssen. Wenn Sie Outlook Express verwenden, schalten Sie den Vorschau-Modus aus, da einige Viren und Würmer bereits aktiv werden, wenn eine infizierte E-Mail in der Vorschau angezeigt wird.

Fazit
Schützen Sie sich vor Viren und anderer Malware durch gesunden Menschenverstand, sicherheitsbewussten Umgang mit dem PC und dem Internet sowie einen Virenscanner, den Sie wöchentlich aktualisieren. Verzichten Sie auf problematische Funktionen von Internet-Programmen.

Web-Links
Antivirus-Software:
http://www.tu-berlin.de/www/software/antivirus.shtml

aktuelle Virenmeldungen:
http://www.tu-berlin.de/www/software/virus/aktuell.shtml
bzw. http://hoax-info.de/va (identisch)

Hilfe bei Virenproblemen:
Virus Help Munich (VHM) - http://www.virushelpmunich.de