LernCafe 15 vom 15. Februar 2002: "Sicherheit"
Online-Journal zur allgemeinen Weiterbildung
http://www.lerncafe.de
Fakten über Computerviren
(Druckversion)
Frank Ziemann
E-Mail: F.Ziemann@tu-berlin.de
Einleitung
Computer-Viren sind heute eine allgegenwärtige Bedrohung für Festplatten und
die darauf gespeicherten Daten und Programme. Bereits in den achtziger Jahren
tauchten die ersten Computer-Viren auf. Für einige Jahre waren sie für ihre
Ausbreitung auf austauschbare Datenträger wie Disketten angewiesen. Mit der zunehmenden Nutzung des Internets durch
Firmen und Behörden entdeckten die Programmierer von Viren dieses Medium auch für
sich. Sie entwickelten bald Viren, die sich auch über das Internet ausbreiten. Heute
werden hauptsächlich über elektronische Post (E-Mail), Viren verbreitet.
Virenarten
Man spricht zwar im Allgemeinen stets von Computer-Viren, tatsächlich ist nur
ein Teil der heute üblichen Schädlinge als Viren im engeren Sinne
klassifiziert. Dabei wird nach verschiedenen Virentypen differenziert. Daneben
unterscheiden die Fachleute Würmer, Trojanische Pferde und so genannte
Hacker-Tools. Alles zusammen wird als "Malware" (engl. MALicious
softWARE) bezeichnet. Alle diese Schädlinge sind auf bestimmte Wirte
spezialisiert, überwiegend DOS- bzw. Windows-Computer. DOS-Viren können sich
nicht auf Macintosh- oder Unix-Systemen ausbreiten, umgekehrt ist es genauso.
Dateiviren
Die klassische Form des Virus ist der Dateivirus. Er hängt sich meist an
vorhandene Dateien an, die damit größer werden. Es gibt jedoch auch einige
neuere Spezies, die ungenutzte oder weniger wichtige Dateibereiche
überschreiben und damit die Dateigröße nicht verändern. Dateiviren hängen
sich vorzugsweise an Programmdateien an. Wird ein infiziertes Programm
gestartet, wird es in den Arbeitsspeicher geladen, der Virus somit ebenfalls. Er
wird nun aktiv und infiziert weitere Programmdateien. Viele Viren sind so
programmiert, dass sie im Speicher verbleiben, auch wenn das infizierte Programm
(der Wirt) beendet wird. Viren können sich nur durch Weitergabe infizierter
Wirtsprogramme von einem Rechner auf den nächsten bewegen. Ein Virus ist ohne
Wirtsprogramm nicht funktionsfähig.
Bootviren
Bootviren hängen sich nicht an normale Programmdateien, sondern nisten sich
im Startbereich, dem Bootsektor, von Festplatten oder Disketten ein. Wird ein
Computer gestartet (gebootet), führt er zunächst den Programmcode aus, der im
Startbereich der Festplatte (oder Diskette) gespeichert ist. Dieser sucht nach
den Informationen, wo das eigentliche Betriebssystem (z.B. DOS, Windows, Linux,
MacOS) zu finden ist. Ist der Bootsektor mit einem Virus infiziert, wird dieser
in den Speicher geladen, noch bevor ein Betriebssystem aktiv ist. Damit
verschafft er sich einen Vorteil: Er kann nicht vom einem Virenscanner entfernt
werden, der auf das später geladene Betriebssystem angewiesen ist. Ist die
Festplatte mit einem Bootvirus infiziert, muss der Computer von einer
virenfreien Diskette gestartet werden, um den Virus entfernen zu können.
Bootviren können sich nur über die Weitergabe infizierter Datenträger (meist
Disketten) verbreiten und einen Rechner nur dann infizieren, wenn dieser von der
infizierten Diskette gebootet wird. Dies kann passieren, wenn man eine
infizierte Diskette im Laufwerk stecken lässt und den Rechner neu startet.
Makro- und Scriptviren
Makroviren sind vor allem ein Problem von MS Office, besonders Word. Die in
MS Office enthaltene Makrosprache dient der Automatisierung vieler Abläufe
(z.B. Serienbrieffunktion), ist jedoch so mächtig, dass sich damit auch Viren
programmieren lassen. Diese infizieren Office-Dokumente und Formatvorlagen. Sind
sie einmal im System, wird z.B. jede Word-Datei infiziert, die man öffnet oder
anlegt. Sie kommen über infizierte Dokumentdateien auf den PC, die man u.a. per
E-mail erhält. Scriptviren sind den Makroviren sehr ähnlich, operieren jedoch
systemweit. Die meisten nutzen die Scriptsprache VBS (Visual Basic Script), die
auf praktisch jedem modernen Windows-PC vorhanden ist.
Würmer
Ein Wurm interessiert sich nicht für einzelne Dateien, seine Wirte sind die
Computer an sich. Er verbreitet sich nicht innerhalb eines Rechners von Datei zu
Datei sondern innerhalb eines Netzwerks von Computer zu Computer. Das Netzwerk
kann dabei auch das Internet sein. Am häufigsten verbreiten sich Würmer über
E-Mail. Ein Wurm richtet meist wenig Schaden auf dem
einzelnen PC an. Jeder PC dient nur als Zwischenstation zum nächsten. Ein Wurm
ist im Gegensatz zum Virus ein selbständig lauffähiges Programm. Heutige
E-Mail-Würmer benötigen zur Verbreitung kein E-Mail-Programm, sie haben selbst
eine kleine eingebaute E-Mail-Routine.
Trojanische Pferde
Trojanische Pferde (kurz auch als Trojaner bezeichnet) sind ebenfalls
eigenständige Programme. Sie können als versteckter Bestandteil eines an sich
harmlosen oder harmlos erscheinenden Programms auf einen Computer gelangen, etwa
mit Programmen, die man per E-Mail geschickt bekommt oder sich aus dem Internet herunter lädt. Typisch ist auch, dass Programme im Chat
angeboten werden, die als Spiel oder nützliches Hilfsprogramm annonciert sind,
in Wirklichkeit jedoch ein Trojanisches Pferd enthalten. Trojanische Pferde
haben eine breite Palette an möglichen Schadenswirkungen. Sie spionieren
Passwörter aus, manipulieren oder löschen Dateien, installieren weitere
Malware oder öffnen eine Hintertür (engl. backdoor), die es einem Angreifer
ermöglicht, über das Internet in den Computer des Opfers einzudringen und
vollständig zu kontrollieren. Ausgespähte Daten werden per E-Mail oder
Chat-Programm an den Angreifer gemeldet.
Hacker-Tools
Die schon erwähnten Backdoor-Trojaner werden auch als Hacker-Tools
bezeichnet, da ein Angreifer damit einen Computer fernsteuern kann, um damit
z.B. weitere Computer anzugreifen. Zu demselben Zweck gibt noch eine Reihe
weiterer Programme, mit denen ein Angreifer z.B. fremde Computer dazu
missbrauchen kann, konzertierte Angriffe auf Server im Internet auszuführen,
indem z. B. Massenanfragen an einen Server geschickt werden, die dieser dann
nicht mehr bearbeiten kann.
Kleiner Scherz gefällig?
Neben den wirklichen Schädlingen gibt es noch Scherzprogramme (engl. joke),
die nur so tun als würden sie Schaden anrichten. Damit werden die Benutzer
zuweilen stark verunsichert und richten in Panik selbst Schaden an. Einige
Virenscanner melden auch diese Jokes, leider jedoch mit denselben Texten, die
sie für Viren verwenden. Dadurch kann man nur am Namen des gemeldeten Virus
erkennen, dass es ein Scherzprogramm ist. Der "Virusname" enthält
dann meist das Wort "Joke". Ebenfalls in die Kategorie "dumme
Streiche" gehören falsche Virenwarnungen (Hoaxes), die kettenbriefartig
per E-Mail verbreitet werden (siehe gesonderter Artikel in der Rubrik
Webangebote in dieser Ausgabe).
Schutzmaßnahmen
Auf jeden PC, der mit dem Internet zeitweise oder permanent verbunden ist,
gehört heute ein Virenscanner. Diese bestehen aus zwei Teilen: Einem Programm,
das bedarfsweise oder zeitgesteuert Dateien, Verzeichnisse oder ganze
Datenträger auf Viren prüft ("On-Demand-Scanner") und ein
Hintergrundwächter ("On-Access-Scanner"), der permanent alle Lese-
und Schreibvorgänge überwacht und sofort Alarm schlägt, wenn er einen Virus
entdeckt. Als Zusatzausstattung gibt es oft auch E-Mail-Scanner. Moderne
Virenscanner müssten eigentlich "Malware-Scanner" genannt werden,
denn sie finden nicht nur Viren, sondern auch Würmer und Trojanische Pferde.
Jeder Virenscanner ist jedoch nur so gut wie seine Virendatendatenbank. Wird ein
neuer Virus entdeckt, bietet der Hersteller des Virenscanners ein Update für
diese Datenbank an. Da ständig neue Viren entdeckt werden, sollte man seine
Antivirus-Software möglichst oft aktualisieren. Zu empfehlen ist ein
wöchentlicher Turnus. Die meisten Virenscanner werden mit einer eingebauten
Update-Funktion geliefert. Diese ermöglicht es Updates mehr oder weniger automatisch
aus dem Internet zu holen und zu installieren.
Schwachstelle Mensch
Ob mit oder ohne Virenscanner - die größte Schwachstelle im System ist der
Mensch. Viele Menschen müssen erst durch schlechte Erfahrungen klüger werden,
damit sie nicht unvorsichtig jede Datei öffnen, die per E-Mail oder auf anderen
Wegen auf ihren Rechner gelangt. Dateianhänge von E-Mails sollten nie direkt
vom E-Mail-Programm aus geöffnet werden. Speichern Sie sie zunächst auf die
Festplatte, damit der Virenwächter sie prüfen kann.
Besonders problematisch ist das E-Mail-Programm Outlook Express, das mit dem
Internet Explorer installiert wird. Es weist in Zusammenarbeit mit dem Internet
Explorer eine Reihe von Sicherheitslücken auf, die mühsam durch ständige
Updates und das Abschalten von unsicheren Funktionen wie der Vorschau gestopft
werden müssen. Wenn Sie Outlook Express verwenden, schalten Sie den
Vorschau-Modus aus, da einige Viren und Würmer bereits aktiv werden, wenn eine
infizierte E-Mail in der Vorschau angezeigt wird.
Fazit
Schützen Sie sich vor Viren und anderer Malware durch gesunden
Menschenverstand, sicherheitsbewussten Umgang mit dem PC und dem Internet sowie
einen Virenscanner, den Sie wöchentlich aktualisieren. Verzichten Sie auf
problematische Funktionen von Internet-Programmen.
Web-Links
Antivirus-Software:
http://www.tu-berlin.de/www/software/antivirus.shtml
aktuelle Virenmeldungen:
http://www.tu-berlin.de/www/software/virus/aktuell.shtml
bzw. http://hoax-info.de/va (identisch)
Hilfe bei Virenproblemen:
Virus Help Munich (VHM) - http://www.virushelpmunich.de