computerviren-info.de

computerviren-info.de - Was Sie über Computerviren wissen sollten -
Die Kapitel Vorwort Was ist ein Computervirus? Eine kurze Geschichte der Viren Vorbeugen ist besser Was könnte auf einen Virenbefall hindeuten? Der Virenscanner hat einen Virus gefunden - was ist zu tun? Wie arbeitet ein Virenscanner? Welcher Virenscanner ist der beste? Wer schreibt oder verbreitet eigentlich Viren? Wollten Sie schon immer mal einen Virus selber schreiben? Links zu Viruslisten Was sagt das Gesetz zum Thema Computerviren? Andere Schadprogramme Die Top Ten / Statistik Virenscanner - und mehr Allgemeine Tipps zum Thema Computersicherheit Eine Aufstellung nützlicher Programme Weiterführende Links Glossar Impressum und Haftungsausschluss	Was ist ein Computervirus? Prof. Dr. Fred Cohen, der Erfinder des Computervirus, definierte ihn einmal so: Ein Computervirus ist ein Programm, das andere infizieren und verändern kann, um möglicherweise veränderte Versionen von sich selbst hinzuzufügen. Die heute übliche Definition lautet: Ein Computer-Virus ist eine nicht selbständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt. Ein Computervirus ist also - genau genommen - kein eigenständiges Programm, sondern eine Abfolge von aneinandergereihten Zeichen, die für sich genommen nicht ausführbar ist. Im Gegensatz zu Würmern und Trojanern (siehe das Kapitel "Andere Schadprogramme"), die "echte" Programme (z.B. .exe-Dateien) sind, können Sie einen Virus im Dateimanager nicht aufspüren. Der Quellcode eines Virus kann nur eine Zeile lang sein (siehe den "Eicar- Testvirus") oder er kann viele Seiten füllen. Es liegt ganz in der Fantasie und im Können des Virenprogrammierers, welche Schadroutinen er dem Quellcode des Virus hinzufügt. Zur Verbreitung bedient sich der Virus eines Wirtsprogramms oder einer Wirtsdatei. Dazu setzt er eine winzige Sprunganweisung (einen "Zeiger") an den Beginn des Wirts (4 Byte reichen dazu) und platziert sich dann am Ende des Wirtsprogramms. Die vom Originalprogramm abgetrennten Bytes werden hinter den Virencode geschrieben und die internen Adressen angepasst, so dass das Programm komplett bleibt und weiterhin ausgeführt werden kann. Gleichzeitig wird innerhalb des Zeigers ein Hinweis platziert, der das Programm als infiziert markiert. Einfacher gestrickte Viren überschreiben auch schon mal Teile des Wirtsprogramms. Bei moderneren Viren sollte das nicht mehr vorkommen, denn die Gefahr der vorzeitigen Entdeckung wäre dabei zu hoch. Sobald das infizierte Programm gestartet wird, sorgt der Zeiger dafür, dass zunächst der Virus und dann erst das Programm aktiv wird. Nun durchsucht der Virus die Festplatte nach Programmen oder Dateien, die noch nicht befallen sind (an deren Beginn also die entsprechende Markierung fehlt), und platziert dann Reproduktionen von sich selbst in ihnen - einschließlich der eigentlichen Schadroutine (dem sog. "Payload"). Er "vermehrt" sich wie ein Grippevirus (daher die Analogie). Dies ist nur ein grober Überblick, wie ein einfacher, "typischer" Virus arbeitet. Ich bitte um Verständnis, dass ich hier nicht weiter ins Detail gehen möchte :-) Was kann ein Virus alles anrichten? Nun, hier ist der Fantasie keine Grenze gesetzt. Das reicht vom Ausgeben von Meldungen auf dem Bildschirm oder dem Abspielen einer Melodie (z.B. der "Yankee-Doodle"-Virus) über das Formatieren der Festplatte bis hin zum Überschreiben des BIOS-Chips. Es beruhigt nicht wirklich, aber der Anteil der "harten" Viren, also der Viren, die programmiert wurden, um massive Schäden anzurichten ("Killerviren"), liegt bei unter 10 Prozent! Wie viel Schaden durch fehlerhaft oder schlampig programmierte oder versehentlich freigesetzte Viren - also unabsichtlich - entstanden ist, ist dagegen nicht einmal annähernd zu schätzen. Hin und wieder taucht die Frage auf, ob ein Virus PC-Hardware beschädigen oder gar den Computer zerstören kann. Die Antwort ist ein klares Nein. Es ist kein Virus bekannt, der dazu in der Lage wäre. Meldungen, die besagen, dass ein Virus den Prozessor zerstört indem er eine x-te Potenz erzeugt oder das Druckerkabel zum Schmelzen bringt weil er die anliegende Spannung erhöht, sind technischer Unsinn. Solche Meldungen fallen in den Bereich der "Hoaxes" (s. weiter unten). Viren können sich auf unterschiedlichen Wegen verbreiten. Früher war die Diskette der häufigste "Überträger", später erweitert um die CD-ROM und andere externe Datenträger. Zwar werden auf diesem Weg noch immer massenhaft Viren verbreitet, doch die größten "Virenschleudern" sind heute Netzwerke aller Art. Angefangen vom Firmen- oder Behördennetzwerk bis zum größten aller Netze, dem Internet. Unangefochtener Spitzenreiter ist dabei die Virenverbreitung über eMail. Mittlerweile gibt es so viele verschiedene Virenarten, Variationen, Mischformen etc., dass eine sinnvolle Klassifizierung von Computerviren kaum noch möglich ist. Einige wenige Grundbegriffe sollen hier dennoch erläutert werden. Bootsektorviren Ein Bootsektorvirus lagert die am Anfang der Festplatte (im Master Boot Record) gespeicherten Informationen, die für das Laden des Betriebssystems sorgen, auf eine andere Stelle auf der Festplatte aus. Diese Stelle markiert er als "fehlerhaft", so dass Betriebssystem und Programme nicht mehr in diesen Bereich schreiben. Neuere Bootsektorviren verschlüsseln den Original-Bootstrap oder die darin enthaltene Partitionstabelle. Dann nimmt der Virus die Stelle des Original-Bootstrap ein. Bei jedem Hochfahren des PCs wird somit zunächst der Virus aktiviert und in den Arbeitsspeicher geladen. Der Virus "übernimmt" den PC und startet dann erst die eigentliche Bootroutine. Das geht so schnell, dass der User von all dem nichts merkt. Der Virus bleibt die ganze Zeit über im Arbeitsspeicher und hat damit Zugriff auf alle an das System angeschlossenen Laufwerke, d.h. auf Festplatten, CD/DVD-Geräte, das Diskettenlaufwerk u.a. Er kann jetzt jeden Bootsektor von nicht schreibgeschützten Datenträgern manipulieren und sich dadurch auf weitere (ungeschützte) Computer übertragen. Es müssen sich nicht einmal Programme oder Daten auf den befallenen Datenträgern befinden. Somit kann auch eine scheinbar leere Diskette einen Bootsektorvirus enthalten. Hat der Virus das Original-Masterbootprogramm beim Auslagern verschlüsselt, kann er nicht mehr entfernt werden. Ohne seine Entschlüsselungsroutine ist kein Zugriff auf die Daten auf den Disketten oder Festplatten möglich. Bootsektorviren können auf allen möglichen Wegen auf den Computer eingeschleust werden. Da MS-DOS und die frühen "Windows"- Betriebssysteme heute aber nicht mehr als Serverbetriebssystem in Netzwerken eingesetzt werden und neuere Betriebssysteme die eigenständige Verbreitung dieser Viren verhindern, "vermehren" sich Bootsektorviren fast ausschließlich über externe Datenträger. Hoaxe Hoaxe sind keine Viren, sondern Warnungen vor Viren (und anderen Schadprogrammen) - allerdings falsche Warnungen, vergleichbar mit Zeitungsenten. Was einmal als Scherz begann, hat sich mittlerweile zu einer regelrechten Plage entwickelt. In diesen Hoaxen wird z.B. davor gewarnt, diese oder jene Datei oder eMail zu öffnen oder es wird empfohlen, unbedingt die Datei XY zu löschen. Meist wird dazu aufgefordert, diese Meldung an möglichst viele andere weiter zu leiten. Damit wird der Hoax auch noch zum digitalen Kettenbrief. Es gibt Leute, die sich einen Spaß daraus machen, solche Falschmeldungen in die Welt zu setzen. Sie wollen Verwirrung stiften. Weniger erfahrene Computer-Nutzer können durch Hoaxe zu falschen Reaktionen verleitet werden (z.B. wenn sie der Aufforderung folgen, eine bestimmte Datei zu löschen). ITW-Viren ITW steht für "In The Wild", also "in freier Wildbahn". Das sind Viren, die, im Gegensatz zu Zoo-Viren, auf Computern außerhalb von Virenforschungs- und Testlaboren gefunden wurden. Glücklicherweise ist nur ein ganz kleiner Teil aller bekannten Viren auch tatsächlich in freier Wildbahn aufgetaucht. Eine Liste aller je freigesetzten Viren finden Sie hier: FortiGuard Center - Antivirus - Wild List Makroviren Makro-Viren werden in einer speziellen Programmiersprache geschrieben, die auf "BASIC" aufbaut. Beim Office-Paket der Firma Microsoft ist das "VBA" ("Visual Basic for Applications"). Diese Sprache ist nicht schwer zu erlernen, weshalb Makroviren noch immer zu den am weitesten verbreiteten Viren gehören. Makros kommen überwiegend im Zusammenhang mit Office-Paketen zum Einsatz. Statt immer wieder die gleichen Arbeitsschritte abzuarbeiten, wird ein Makro erstellt, das diese Schritte "auf Knopfdruck" selbständig durchführt. Bei dem Textverarbeitungsprogramm "Word" der Firma Microsoft wird die Datei "normal.dot" infiziert. Diese Datei hat die Aufgabe, die globalen Einstellungen dieser Textverarbeitung zu speichern. Von dort aus infiziert der Makrovirus alle .dot- und .doc-Dateien und verbreitet sich beim Austausch dieser Dateien. Das gilt analog für alle Programme eines Office-Paketes, die Makros verarbeiten können, also auch Tabellenkalkulationen oder Präsentationsprogramme. Verlassen Sie sich keinesfalls auf den in diese Programme integrierten "Makroviren-Schutz". Der kann von Viren relativ leicht umgangen werden. Gegen Ende der 1990er Jahre machten Makroviren mehr als die Hälfte aller Viren aus. Heute sollte ihre Entdeckung einem modernen Virenscanner keine Probleme mehr bereiten. Ob die befallenen Dateien in jedem Fall auch wieder hergestellt werden können, steht allerdings auf einem anderen Blatt! Konnte sich ein Makro-Virus unbemerkt installieren, kann also u.U. die Arbeit von Wochen in Gefahr sein (etwa eine umfangreiche Diplomarbeit - möglichst noch ohne Backup). Polymorphe Viren Bevor der erste polymorphe Virus auftauchte, reichte es, wenn Virenscanner anhand einer "Vergleichsliste" nach den Bytefolgen der bekannten Viren suchte. Eine stetige Aktualisierung dieser Listen vorausgesetzt, war dieser Weg auch sehr erfolgreich. Um diese Suchmethode ins Leere laufen zu lassen, verändern polymorphe Viren ihren Code. Nach jeder neuen Infektion eines Programms hat der Virus seine Aussehen verändert. Der Virenscanner hat nun keine Chance mehr, den Virus mit Hilfe seiner Vergleichsliste zu finden. Die meisten modernen polymorphen Viren verschlüsseln ihnen Code. Um diese Viren dennoch zu entdecken, muss der Virenscanner aufwendige und rechenintensive Operationen durchführen. Mehr hierzu im Kapitel "Wie arbeitet ein Virenscanner?". TSR-Viren TSR heißt: "Terminate and Stay Resident" und bedeutet, dass sich diese Viren in den Arbeitsspeicher laden. Dort verbleiben sie, bis der Computer wieder ausgeschaltet wird. Als "speicherresident" bezeichnet man also keine bestimmte Virenart, sondern eine besondere Verhaltensweise ganz unterschiedlicher Viren. Das klassische Beispiel für einen speicherresidenten Virus ist der Bootsektorvirus. Aber beinahe jede andere Virenart (z.B. Makroviren) kann diese spezielle Eigenschaft ebenfalls besitzen. Nichtresidente Viren werden nur aktiv, wenn das befallene Programm gestartet wird. Einmal entdeckt, können sie deshalb relativ leicht "rückstandsfrei" entfernt werden. Im Gegensatz dazu haben TSR-Viren ganz andere Möglichkeiten. Sie können von sich aus Prozessaufrufe abfangen, externe Speichermedien manipulieren und allen erdenklichen Schaden im System anrichten, ohne dass der Anwender erst eine Aktion auslösen muss - und sie können, unter bestimmten Bedingungen, sogar die Formatierung (!) einer Festplatte "überleben". Stealth-/Tarnkappen-Viren Virenscanner legen für jedes Programm eine Prüfsumme an. Wird die Größe eines Programms (oder einer Datei) verändert, ändert sich sofort auch dessen Prüfsumme. Da Viren sich an ein Programm oder eine Datei anhängen, vergrößert sich das Wirtsprogramm bei einem Virenbefall automatisch. Stealth-Viren versuchen nun, dem Virenscanner vorzugaukeln, dass das befallene Programm gar nicht verändert sei, indem sie dem Scanner falsche Parameter übergeben. Stealth-Viren gehören zu den speicherresidenten Viren. Zeitzünder-/Trigger-Viren Das sind Viren, in die eine spezielle Routine einprogrammiert wurde, die den Virus erst bei Eintritt eines bestimmten Ereignisses oder dem Erreichen eines Datums aktiviert. Das kann das übernächste Hochfahren des Computers, ein bestimmter Tag oder auch erst ein Jahreswechsel sein. "Reine" Zeitzünder-Viren gibt es nicht (das wäre auch ziemlich sinnlos). Viren, die über einen "internen Zähler" verfügen, besitzen immer auch andere Schadroutinen. Im Prinzip kann jede Virenart mit einem Zeitzünder versehen werden. Zoo-Viren Zoo-Viren (auch Labor- oder Research-Viren genannt) sind, im Gegensatz zu ITW-Viren, nicht in freier Wildbahn anzutreffen, sondern z.B. in den Virenlaboren der Hersteller von Anti-Viren-Software. Sie werden zu Forschungs- oder Testzwecken erstellt. Der weitaus größte Teil aller Viren sind Zoo-Viren. "Moderne" Viren vereinigen fast immer mehrere der o.g. Eigenschaften in sich. So ist der speicherresidente, polymorphe Tarnkappenvirus, der am nächsten Montag Ihre Festplatte formatiert, durchaus nichts ungewöhnliches. Viren sind bei weitem nicht die einzigen "Schädlinge", die einen Computer befallen können - lesen Sie hierzu das Kapitel "Andere Schadprogramme". Zur Zeit werden nur wenige wirklich neue Schadprogramme entdeckt. Die meisten aktuellen Schädlinge sind Variationen schon bekannter Viren, Würmer usw. Sie werden i.d.R. durch eine fortlaufende Buchstabenfolge gekennzeichnet, z.B. "Sobig", "Sobig.B", "Sobig.C" usw. Aktualisiert am 23.10.2006

- Was Sie über Computerviren wissen sollten -

Die Kapitel

Vorwort

Was ist ein Computervirus?

Eine kurze Geschichte der Viren

Vorbeugen ist besser

Was könnte auf einen Virenbefall hindeuten?

Der Virenscanner hat einen Virus gefunden - was ist zu tun?

Wie arbeitet ein Virenscanner?

Welcher Virenscanner ist der beste?

Wer schreibt oder verbreitet eigentlich Viren?

Wollten Sie schon immer mal einen Virus selber schreiben?

Links zu Viruslisten

Was sagt das Gesetz zum Thema Computerviren?

Andere Schadprogramme

Die Top Ten / Statistik

Virenscanner - und mehr

Allgemeine Tipps zum Thema Computersicherheit

Eine Aufstellung nützlicher Programme

Weiterführende Links

Glossar

Impressum und Haftungsausschluss

Was ist ein Computervirus?

Prof. Dr. Fred Cohen, der Erfinder des Computervirus, definierte ihn einmal so:

Ein Computervirus ist ein Programm, das andere infizieren und verändern kann, um möglicherweise veränderte Versionen von sich selbst hinzuzufügen.

Die heute übliche Definition lautet:

Ein Computer-Virus ist eine nicht selbständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt.

Ein Computervirus ist also - genau genommen - kein eigenständiges Programm, sondern eine Abfolge von aneinandergereihten Zeichen, die für sich genommen nicht ausführbar ist. Im Gegensatz zu Würmern und Trojanern (siehe das Kapitel "Andere Schadprogramme"), die "echte" Programme (z.B. .exe-Dateien) sind, können Sie einen Virus im Dateimanager nicht aufspüren.

Der Quellcode eines Virus kann nur eine Zeile lang sein (siehe den "Eicar- Testvirus") oder er kann viele Seiten füllen. Es liegt ganz in der Fantasie und im Können des Virenprogrammierers, welche Schadroutinen er dem Quellcode des Virus hinzufügt.

Zur Verbreitung bedient sich der Virus eines Wirtsprogramms oder einer Wirtsdatei. Dazu setzt er eine winzige Sprunganweisung (einen "Zeiger") an den Beginn des Wirts (4 Byte reichen dazu) und platziert sich dann am Ende des Wirtsprogramms. Die vom Originalprogramm abgetrennten Bytes werden hinter den Virencode geschrieben und die internen Adressen angepasst, so dass das Programm komplett bleibt und weiterhin ausgeführt werden kann. Gleichzeitig wird innerhalb des Zeigers ein Hinweis platziert, der das Programm als infiziert markiert.

Einfacher gestrickte Viren überschreiben auch schon mal Teile des Wirtsprogramms. Bei moderneren Viren sollte das nicht mehr vorkommen, denn die Gefahr der vorzeitigen Entdeckung wäre dabei zu hoch.

Sobald das infizierte Programm gestartet wird, sorgt der Zeiger dafür, dass zunächst der Virus und dann erst das Programm aktiv wird. Nun durchsucht der Virus die Festplatte nach Programmen oder Dateien, die noch nicht befallen sind (an deren Beginn also die entsprechende Markierung fehlt), und platziert dann Reproduktionen von sich selbst in ihnen - einschließlich der eigentlichen Schadroutine (dem sog. "Payload"). Er "vermehrt" sich wie ein Grippevirus (daher die Analogie).

Dies ist nur ein grober Überblick, wie ein einfacher, "typischer" Virus arbeitet. Ich bitte um Verständnis, dass ich hier nicht weiter ins Detail gehen möchte :-)

Was kann ein Virus alles anrichten? Nun, hier ist der Fantasie keine Grenze gesetzt. Das reicht vom Ausgeben von Meldungen auf dem Bildschirm oder dem Abspielen einer Melodie (z.B. der "Yankee-Doodle"-Virus) über das Formatieren der Festplatte bis hin zum Überschreiben des BIOS-Chips. Es beruhigt nicht wirklich, aber der Anteil der "harten" Viren, also der Viren, die programmiert wurden, um massive Schäden anzurichten ("Killerviren"), liegt bei unter 10 Prozent! Wie viel Schaden durch fehlerhaft oder schlampig programmierte oder versehentlich freigesetzte Viren - also unabsichtlich - entstanden ist, ist dagegen nicht einmal annähernd zu schätzen.

Hin und wieder taucht die Frage auf, ob ein Virus PC-Hardware beschädigen oder gar den Computer zerstören kann. Die Antwort ist ein klares Nein. Es ist kein Virus bekannt, der dazu in der Lage wäre. Meldungen, die besagen, dass ein Virus den Prozessor zerstört indem er eine x-te Potenz erzeugt oder das Druckerkabel zum Schmelzen bringt weil er die anliegende Spannung erhöht, sind technischer Unsinn. Solche Meldungen fallen in den Bereich der "Hoaxes" (s. weiter unten).

Viren können sich auf unterschiedlichen Wegen verbreiten. Früher war die Diskette der häufigste "Überträger", später erweitert um die CD-ROM und andere externe Datenträger. Zwar werden auf diesem Weg noch immer massenhaft Viren verbreitet, doch die größten "Virenschleudern" sind heute Netzwerke aller Art. Angefangen vom Firmen- oder Behördennetzwerk bis zum größten aller Netze, dem Internet. Unangefochtener Spitzenreiter ist dabei die Virenverbreitung über eMail.

Mittlerweile gibt es so viele verschiedene Virenarten, Variationen, Mischformen etc., dass eine sinnvolle Klassifizierung von Computerviren kaum noch möglich ist. Einige wenige Grundbegriffe sollen hier dennoch erläutert werden.

Bootsektorviren

Ein Bootsektorvirus lagert die am Anfang der Festplatte (im Master Boot Record) gespeicherten Informationen, die für das Laden des Betriebssystems sorgen, auf eine andere Stelle auf der Festplatte aus. Diese Stelle markiert er als "fehlerhaft", so dass Betriebssystem und Programme nicht mehr in diesen Bereich schreiben. Neuere Bootsektorviren verschlüsseln den Original-Bootstrap oder die darin enthaltene Partitionstabelle. Dann nimmt der Virus die Stelle des Original-Bootstrap ein.

Bei jedem Hochfahren des PCs wird somit zunächst der Virus aktiviert und in den Arbeitsspeicher geladen. Der Virus "übernimmt" den PC und startet dann erst die eigentliche Bootroutine. Das geht so schnell, dass der User von all dem nichts merkt.

Der Virus bleibt die ganze Zeit über im Arbeitsspeicher und hat damit Zugriff auf alle an das System angeschlossenen Laufwerke, d.h. auf Festplatten, CD/DVD-Geräte, das Diskettenlaufwerk u.a.

Er kann jetzt jeden Bootsektor von nicht schreibgeschützten Datenträgern manipulieren und sich dadurch auf weitere (ungeschützte) Computer übertragen. Es müssen sich nicht einmal Programme oder Daten auf den befallenen Datenträgern befinden. Somit kann auch eine scheinbar leere Diskette einen Bootsektorvirus enthalten.

Hat der Virus das Original-Masterbootprogramm beim Auslagern verschlüsselt, kann er nicht mehr entfernt werden. Ohne seine Entschlüsselungsroutine ist kein Zugriff auf die Daten auf den Disketten oder Festplatten möglich.

Bootsektorviren können auf allen möglichen Wegen auf den Computer eingeschleust werden. Da MS-DOS und die frühen "Windows"- Betriebssysteme heute aber nicht mehr als Serverbetriebssystem in Netzwerken eingesetzt werden und neuere Betriebssysteme die eigenständige Verbreitung dieser Viren verhindern, "vermehren" sich Bootsektorviren fast ausschließlich über externe Datenträger.

Hoaxe

Hoaxe sind keine Viren, sondern Warnungen vor Viren (und anderen Schadprogrammen) - allerdings falsche Warnungen, vergleichbar mit Zeitungsenten. Was einmal als Scherz begann, hat sich mittlerweile zu einer regelrechten Plage entwickelt.

In diesen Hoaxen wird z.B. davor gewarnt, diese oder jene Datei oder eMail zu öffnen oder es wird empfohlen, unbedingt die Datei XY zu löschen. Meist wird dazu aufgefordert, diese Meldung an möglichst viele andere weiter zu leiten. Damit wird der Hoax auch noch zum digitalen Kettenbrief.

Es gibt Leute, die sich einen Spaß daraus machen, solche Falschmeldungen in die Welt zu setzen. Sie wollen Verwirrung stiften. Weniger erfahrene Computer-Nutzer können durch Hoaxe zu falschen Reaktionen verleitet werden (z.B. wenn sie der Aufforderung folgen, eine bestimmte Datei zu löschen).

ITW-Viren

ITW steht für "In The Wild", also "in freier Wildbahn". Das sind Viren, die, im Gegensatz zu Zoo-Viren, auf Computern außerhalb von Virenforschungs- und Testlaboren gefunden wurden.

Glücklicherweise ist nur ein ganz kleiner Teil aller bekannten Viren auch tatsächlich in freier Wildbahn aufgetaucht. Eine Liste aller je freigesetzten Viren finden Sie hier: FortiGuard Center - Antivirus - Wild List

Makroviren

Makro-Viren werden in einer speziellen Programmiersprache geschrieben, die auf "BASIC" aufbaut. Beim Office-Paket der Firma Microsoft ist das "VBA" ("Visual Basic for Applications"). Diese Sprache ist nicht schwer zu erlernen, weshalb Makroviren noch immer zu den am weitesten verbreiteten Viren gehören.

Makros kommen überwiegend im Zusammenhang mit Office-Paketen zum Einsatz. Statt immer wieder die gleichen Arbeitsschritte abzuarbeiten, wird ein Makro erstellt, das diese Schritte "auf Knopfdruck" selbständig durchführt.

Bei dem Textverarbeitungsprogramm "Word" der Firma Microsoft wird die Datei "normal.dot" infiziert. Diese Datei hat die Aufgabe, die globalen Einstellungen dieser Textverarbeitung zu speichern. Von dort aus infiziert der Makrovirus alle .dot- und .doc-Dateien und verbreitet sich beim Austausch dieser Dateien. Das gilt analog für alle Programme eines Office-Paketes, die Makros verarbeiten können, also auch Tabellenkalkulationen oder Präsentationsprogramme. Verlassen Sie sich keinesfalls auf den in diese Programme integrierten "Makroviren-Schutz". Der kann von Viren relativ leicht umgangen werden.

Gegen Ende der 1990er Jahre machten Makroviren mehr als die Hälfte aller Viren aus. Heute sollte ihre Entdeckung einem modernen Virenscanner keine Probleme mehr bereiten. Ob die befallenen Dateien in jedem Fall auch wieder hergestellt werden können, steht allerdings auf einem anderen Blatt! Konnte sich ein Makro-Virus unbemerkt installieren, kann also u.U. die Arbeit von Wochen in Gefahr sein (etwa eine umfangreiche Diplomarbeit - möglichst noch ohne Backup).

Polymorphe Viren

Bevor der erste polymorphe Virus auftauchte, reichte es, wenn Virenscanner anhand einer "Vergleichsliste" nach den Bytefolgen der bekannten Viren suchte. Eine stetige Aktualisierung dieser Listen vorausgesetzt, war dieser Weg auch sehr erfolgreich. Um diese Suchmethode ins Leere laufen zu lassen, verändern polymorphe Viren ihren Code. Nach jeder neuen Infektion eines Programms hat der Virus seine Aussehen verändert. Der Virenscanner hat nun keine Chance mehr, den Virus mit Hilfe seiner Vergleichsliste zu finden.

Die meisten modernen polymorphen Viren verschlüsseln ihnen Code. Um diese Viren dennoch zu entdecken, muss der Virenscanner aufwendige und rechenintensive Operationen durchführen. Mehr hierzu im Kapitel "Wie arbeitet ein Virenscanner?".

TSR-Viren

TSR heißt: "Terminate and Stay Resident" und bedeutet, dass sich diese Viren in den Arbeitsspeicher laden. Dort verbleiben sie, bis der Computer wieder ausgeschaltet wird. Als "speicherresident" bezeichnet man also keine bestimmte Virenart, sondern eine besondere Verhaltensweise ganz unterschiedlicher Viren.

Das klassische Beispiel für einen speicherresidenten Virus ist der Bootsektorvirus. Aber beinahe jede andere Virenart (z.B. Makroviren) kann diese spezielle Eigenschaft ebenfalls besitzen.

Nichtresidente Viren werden nur aktiv, wenn das befallene Programm gestartet wird. Einmal entdeckt, können sie deshalb relativ leicht "rückstandsfrei" entfernt werden. Im Gegensatz dazu haben TSR-Viren ganz andere Möglichkeiten. Sie können von sich aus Prozessaufrufe abfangen, externe Speichermedien manipulieren und allen erdenklichen Schaden im System anrichten, ohne dass der Anwender erst eine Aktion auslösen muss - und sie können, unter bestimmten Bedingungen, sogar die Formatierung (!) einer Festplatte "überleben".

Stealth-/Tarnkappen-Viren

Virenscanner legen für jedes Programm eine Prüfsumme an. Wird die Größe eines Programms (oder einer Datei) verändert, ändert sich sofort auch dessen Prüfsumme. Da Viren sich an ein Programm oder eine Datei anhängen, vergrößert sich das Wirtsprogramm bei einem Virenbefall automatisch.

Stealth-Viren versuchen nun, dem Virenscanner vorzugaukeln, dass das befallene Programm gar nicht verändert sei, indem sie dem Scanner falsche Parameter übergeben.

Stealth-Viren gehören zu den speicherresidenten Viren.

Zeitzünder-/Trigger-Viren

Das sind Viren, in die eine spezielle Routine einprogrammiert wurde, die den Virus erst bei Eintritt eines bestimmten Ereignisses oder dem Erreichen eines Datums aktiviert. Das kann das übernächste Hochfahren des Computers, ein bestimmter Tag oder auch erst ein Jahreswechsel sein.

"Reine" Zeitzünder-Viren gibt es nicht (das wäre auch ziemlich sinnlos). Viren, die über einen "internen Zähler" verfügen, besitzen immer auch andere Schadroutinen. Im Prinzip kann jede Virenart mit einem Zeitzünder versehen werden.

Zoo-Viren

Zoo-Viren (auch Labor- oder Research-Viren genannt) sind, im Gegensatz zu ITW-Viren, nicht in freier Wildbahn anzutreffen, sondern z.B. in den Virenlaboren der Hersteller von Anti-Viren-Software. Sie werden zu Forschungs- oder Testzwecken erstellt. Der weitaus größte Teil aller Viren sind Zoo-Viren.

"Moderne" Viren vereinigen fast immer mehrere der o.g. Eigenschaften in sich. So ist der speicherresidente, polymorphe Tarnkappenvirus, der am nächsten Montag Ihre Festplatte formatiert, durchaus nichts ungewöhnliches.

Viren sind bei weitem nicht die einzigen "Schädlinge", die einen Computer befallen können - lesen Sie hierzu das Kapitel "Andere Schadprogramme".

Zur Zeit werden nur wenige wirklich neue Schadprogramme entdeckt. Die meisten aktuellen Schädlinge sind Variationen schon bekannter Viren, Würmer usw. Sie werden i.d.R. durch eine fortlaufende Buchstabenfolge gekennzeichnet, z.B. "Sobig", "Sobig.B", "Sobig.C" usw.

Aktualisiert am 23.10.2006