COMPUTERVIREN – DAS BÖSE IST IMMER UND

Werbung
COMPUTERVIREN – DAS BÖSE IST IMMER UND ÜBERALL
Eine Horrormeldung in Österreichs Medien versetzte vor einigen Monaten alle
Computer – Freaks einen Schock. Auf dem Heimischen Markt sind CD – ROM
– Titel auf getaucht, die zum Preis von rund 300$ jede Menge Computer – Viren
zum Weiterverarbeiten beinhalten.
Das Programmieren von Computerviren ist längst nicht mehr in den Händen
einiger weniger Spezialisten. Im Untergrund sind sogenannte Entwickler – Kits
im Umlauf, die jedem durchschnittlichen PC – Benutzer erlauben, ein Virus zu
basteln. Auch ganze Virensammlungen können so über Internet und Mailbox
verbreitet werden.
Computerviren sind in Prinzip nichts anderes als kleine Programme, die sich wie
biologische Viren von selbst vermehren. Wenn sie einmal einen Computer
befallen haben können sie dort alles mögliche anstellen. Die harmlosen, unter
ihnen führen zum Erscheinen sinnloser Meldungen auf dem Bildschirm, wie
“Mach Dir nicht in die Hose” bösartige jedoch löschen die gesamte Festplatte
oder manipulieren die gespeicherten Daten. 1992 wurde das Problem der
Computerviren erstmals der Öffentlichkeit bekannt, als das berühmte
Michelangelo – Virus die Welt aufhorchen ließ. Damals zitterten die EDV –
User vor dem 6. März, dem Geburtstag jenes Universalgenies. Denn, so war
angekündigt, sollte das gleichnamige Virus alle Daten der Infizierten Computer
löschen. Passiert ist damals jedoch nur wenig.
Vor 4 Jahren waren rund 300 Virenarten bekannt. Heute zählt man rund 7.000
und täglich kommen 2-3 neue dazu.
Welche Arten von C.V. gibt es?
Sehr viele V. fügen den V. an bestehende Programme an, indem sie die
Programmdatei verlängern. In Gegensatz dazu überschreiben einige V. einen
Teil des ursprünglichen Programmes, so daß dieses nicht mehr ablauffähig ist.
DIREKT – ACTION – VIREN infizieren bei der Ausführung des infizierten
Programmes sofort weitere Programmdateien. Nach der Ausführung übergibt
der V. die Kontrolle an das ursprüngliche Programm und entfernt sich damit aus
dem Hauptspeicher.
Im Gegensatz dazu bleiben einige V. IM HAUPTSPEICHER RESISTENT, um
jederzeit das System zu kontrollieren, z.B.: Festplattenzugriff, Tastatureingaben
Druckeransteuerungen etc. Resistent V. bleiben also nach der Ausführung aktiv
und können eine Schadensroutine zu späteren Zeitpunkten ausführen.
Der Benutzer wird zwischen der Ausführung des infizierten Programms und
einen Schaden, der nach Beendigung des infizierten Programms auftritt keinen
Zusammenhang erkennen. Ein resisdenter V. kann, vom Zeitpunkt seiner
Aktivierung an, zu jeder Zeit neue Programmdatein infizieren. Schon das
Kommando DIR führt bei einigen resisdenten V. zu einer Infektion.
STEALTH – VIREN versuchen ihre Anwesenheit im System zu verschleiern.
Dazu überwachen sie z.B.: Zugriffe auf Programmdateien und das
Inhaltsverzeichnis.
Versucht das Betriebssystem, z.B.: beim Befehl DIR, die Größe einer Infizierten
Programmdatei zu ermitteln, subtrahiert der Stealth - V. von der tatsächlichen
Dateilänge die Länge des Viruscodes und täuscht so eine korrekte
Programmlänge vor. Wird eine Programmdatei nicht ausgeführt, sondern nur
gelesen, z.B.: von einem Virenscanner, entfernt der Virus aus der zu lesenden
Datei den Viruscode, so daß der V.S. den Virus nicht in der Programmdatei
finden kann.
Alle Stealth – V. nutzen die Technik der Residenz um die Zugriffe des
Betriebssystems zu kontrollieren.
Viele V. verschlüsseln inzwischen bei einer Infektion den gesamten V. oder
Teile davon (z. B: lesbare Zeichenketten). Dabei verwenden einige V. bei jeder
neuen Infektion neue Schlüssel zum Ver-/Entschlüsseln. Solche polymorphe V.
verhindern, daß Virenscanner nach einer speziellen, für den V. typischen
Bytefolge suchen können. Ein Beispiel hierfür sind V., die die sogenannte
Mutation – Engine enthalten, ein Modul, welches polymorphe V. erzeugt.
SLOW – VIREN führen ihre Schadensroutine nicht sofort aus, sondern
verändern Daten minimal, so daß sie lange Zeit unentdeckt bleiben. Werden
Datenmanipulationen über einen längeren Zeitraum nicht entdeckt, wird ein
Benutzer Datensicherungen durchführen. Diese Datensicherungen enthalten aber
schon die Manipulierten Daten. Stellt der Benutzer nach einiger Zeit die
Manipulation fest, wird er auf die Datensicherung zurückgreifen. Die dort
befindlichen Daten wurden allerdings ebenfalls schon manipuliert, so daß auch
diese Daten nicht benutzt werden können. Solche langsamen V. können
erheblichen Schaden anrichten.
Wie lassen sich C. V. entdecken?
Viele C. V. lassen sich durch verschiedene Methoden entdecken. Eine sichere
Methode alle C. V. zu entdecken gibt es allerdings nicht.
Auf jeden Fall muß der C. vor der Suche nach Computerviren mit einer nicht
infizierten, schreibgeschützten Originaldiskette durch einen Kaltstart gestartet
werden. Der Benutzer kann das Verhalten des Computers beobachten. Tritt ein
anomales Verhalten auf, kann die Ursache an der Existenz eines C. V. liegen.
Weiterhin kann der Benutzer sogenannte Virensuchprogramm (Virenscanner)
einsetzen. Die Qualität von V.S. wird durch die Zuverlässigkeit in Erkennen von
Viren bestimmt. Bei V.S. handelt es sich um Programme die gezielt nach
bestimmten Merkmalen in Programmdatein und Systembereichen suchen, die
typisch für das Auftreten bestimmter Viren sind.
Wie lassen sich C.V. entfernen?
C.V in Programmdateien lassen sich nur durch löschen der infizierten
Programmdatei sicher entfernen.
Antiviren oder Cleaner sind Programme, die in der Lage sind, V. zu entfernen.
Dabei können nur schon bekannte V. entfernt werden. Beim entfernen eines V.
aus infizierten Programmdateien versucht der Antivirus/Cleaner die
Ursprüngliche Programmdatei wieder herzustellen. In einigen Fällen gelingt
dieses sogar. Leider kann ein Benutzer nicht prüfen, ob ein Programm durch
einen A/C vollständig fehlerfrei wiederhergestellt werden konnte. Fehler beim
Versuch den V. aus der Programmdatei zu entfernen, können zu Fehlern in
Ablauf des bereinigten Programms führen.
Wie kann man sich vor C.V. schützen?
C.V. verbreiten sich über Datenträger. Wird auf einem C. niemals eine
“Fremde” Diskette eingelegt und wird stets nur Originalsoftware installiert,
haben V. wenig Chancen. Wird dagegen ab und zu einmal neue Software von
guten Bekannten ausprobiert, steigt die Wahrscheinlichkeit einer Infektion.
Viele V. verbreiten sich über den Bootsektor von Disketten. (Auch
Datendisketten haben einen Bootsektor). Wird der C. gestartet, prüft der c. ob
eine Diskette in Laufwerk A: eingelegt ist. Von dieser Diskette wird dann der
Bootsektor geladen und ausgeführt. Ein Bootsektorv. Wird dann geladen und
sofort ausgeführt. Kommt dann eine Meldung, diese Diskette enthalte kein
Betriebssystem und man sollt die Diskette aus dem Laufwerk entfernen und eine
Systemdiskette einlegen, wurde der V. längst aktiviert und hat sich
wahrscheinlich schon auf die Festplatte übertragen.
Aus diesem Grund sollt vor jedem Start des C. sichergestellt werden, daß sich in
Laufwerk A. entweder die korrekte Bootdiskette oder keine Diskette befindet.
Programm. verbreiten sich beim Start von infizierten Programmen. Vor dem
Start sollten neue Programme daher mit einem aktuellen V.S. auf V. untersucht
werden. Wird dabei ein Virus gefunden, sollte das Programm sofort gelöscht
werden, damit der Virus nicht zur Ausführung gelangen kann.
In regelmäßigen Abständen sollte die lokale Festplatte auf V. untersucht werden.
Dazu muß ein Kaltstart des C. durchgeführt und von einer virenfreien,
schreibgeschützten Originaldiskette gestartet werden.
Ein Universalmittel gegen C.V. gibt es noch nicht, und ob es jemals eines geben
wird steht noch in den Sternen. Bis dahin muß der Anwender mit der Gefahr
leben. Bleibt für den Anwender nur der Rat eines alten Programmierers: “Mit
dem C.V ist es wie mit dem Geschlechtsverkehr: Der einzige Hundertprozentige
Schutz besteht darin, keinen Datenverkehr zu betreiben. Weil das meist nicht
geht, sollten wir wenigstens nur geschützt verkehren.
Astrid Horejs
Computerviren
Computerviren sind im Prinzip nichts anderes als kleine Programme die sich wie biologische
Viren von selbst vermehren.
Vor 4 Jahren waren rund 300 Virenarten bekannt. Heute zählt man rund 7.000 und täglich
kommen 2-3 neue dazu.
Welche Arten von Computerviren gibt es?
Die harmlosen, unter ihnen führen zum Erscheinen sinnloser Meldungen auf dem Bildschirm,
bösartige jedoch, löschen die gesamte Festplatte oder manipulieren die gespeicherten Daten.
Sehr viele Viren fügen den Virus an bestehende Programme an, indem sie die Programmdatei
verlängern. Im Gegensatz dazu überschreiben einige Viren einen Teil des ursprünglichen
Programmes, so daß dieses nicht mehr ablauffähig ist.
Es gibt Viren die nach der Ausführung die Kontrolle an das ursprüngliche Programm
zurückgeben und sich damit aus dem Hauptspeicher andere aber bleiben im Hauptspeicher,
um jederzeit das System zu kontrollieren.
Es gibt auch Viren die versuchen ihre Anwesenheit im System zu verschleiern. Dazu
überwachen sie z.B.: Zugriffe auf Programmdateien und das Inhaltsverzeichnis. Dadurch
merken sie auch wenn eine Datei von einem Virenscanner gelesen wird und können sich so,
noch bevor sie entdeckt werden, aus dieser Datei entfernen.
Es gibt auch Viren die ihre Daten nur minimal verändern, und so lange Zeit unentdeckt
bleiben.
Wie lassen sich Computerviren entdecken?
Eine sichere Methode Computerviren zu entdecken gibt es nicht.
Auf jeden Fall muß der Computer vor der Suche nach Computerviren mit einer nicht
infizierten, schreibgeschützten Originaldiskette durch einen Kaltstart gestartet werden.
Weiterhin kann der Benutzer sogenannt Virensuchprogramme (Virenscanner) einsetzen.
Wie lassen sich Computerviren entfernen?
Computerviren lassen sich nur durch löschen der infizierten Programmdatei sicher entfernen.
Antivieren oder Cleaner sind Programme, die in der Lage sind, Viren zu entfernen. Jedoch
können mit Hilfe von Antivieren/Cleanern nur schon bekannte Viren entfernt werden
Wie kann man sich vor Computerviren schützen?
Computerviren verbreiten sich über Datenträger. Wird auf einem Computer also nur Originalsoftware
verwendet und niemals eine “Fremde” Diskette eingelegt, ist man vor Viren relativ sicher. Außerdem
sollten neue Programme vor dem Start mit aktuellen Virenscannern auf Viren untersucht werden.
Außerdem sollte die lokale Festplatt auch regelmäßig auf Viren untersucht werden.
Hundertprozentig vor Computerviren schützen kann man sich jedoch nicht, und ob man das jemals
kann steht noch in den Sternen.
Herunterladen