Alles was Du über Viren wissen solltest . . .

Die Viren-Hystery...
Immer wieder geistern Horror-Meldungen über neue und gefährliche Computerviren Durch Zeitungen und Magazine Meist wird hier jedoch kräftig übertrieben. Wesentlich mehr Schaden an Computersystemen und deren Daten sind auf Sabotage oder auch unabsicht-
liche Fehlbedienug zurückzuführen als auf Viren und deren Folgen. Ein Virenbefall kann unter Umständen zum Verlust aller Daten und Programme führen und damit finanziellen Schaden in beträchtlicher höhe anrichten.


Wie infiziert ein Virus eine Datei...
Die größten Unterschiede bei der Infektion von Dateien liegen in der Art wie ein Virus sich in einem Programm festsetzt. Viele Viren hängen ihren eigenen Programmcode an das Ende einer ausführbaren Datei und setzen am Anfang einen Zeiger auf diesen Code. Wird das Programm gestartet, springt es vor der Ausführung seiner eigendlichen aufgaben zuerst auf das Virusprogramm. Ist dieses ausgeführt, springt es wieder an die Stelle zurück, an der der Ablauf ursprünglich unterbrochen wurde. Der Benutzer bemerkt allenfallseine minimale veränderung an der Aufrufgeschwindigkeit. Jedesmal, wenn das Programm jetzt aufgerufen wird, startet zuerst der Virus. Er such von diesen Moment an nach nicht infizierten, ausführbaren Datein, um sich auch an diese heranzumachen.
Die infektion durch dieses Anhängen, des Virencodes richtet keinen bleibenden Schaden, an der befallenen Datei an - diese Viren lassen sich wieder entfernen. Manche Viren gehen allerdings viel radikaler vor und überschreiben einfach so viel von der Datei, wie sie führ ihren Programmcode benötigen. Ist das Wirtsprogramm genauso groß oder größer als der Virus, geschieht das relativ unauffällig. Ist der Virus größer als sein Wirt, überschreibt er die Datei komplett und verlängert sie um den Platz, den er darüberhinaus benötigt. Eine Sorte von Viren verschiebt den Orginal-Bootsektor, schreibt das eigene Ladeprogramm in den Bootstrap (eine Routine, die das Bios auffordert, das Betriebssystem zu laden) und versteckt sich dann selbst irgendwo auf dam Datenträger. Wird beim Rechnerstart auf den Bootsector zugegriffen, startet der Virus-Lader zuerst den Virus und leitet den Zugriff danach auf den verpflanzten Original-Bootstrap um. Dadurch kann sich ein Virus auch auf Disketten verbreiten, die nur Datein und keine Programme enthalten, da auch nicht-bootfähige Disketten einen minimalen Bootsector haben. Wird bei einem Bootversuch kein Betriebssystem gefunden, gibt das Ladeprogramm lediglich die Meldung am Bildschirm aus: "keine Systemdiskette..." Eine solche Diskette kann einen Virus dann als Krüke zum Starten verwenden. Andere Viren überschreiben die in der FAT enthaltenen Informationen über ein Verzeichnis und geben bei jedem Programm als Adresse die des Virusprogramms an. Die Original-Adressen legt der Virus selbst in einer geordnetet Liste ab. Wird nun ein Programm aufgerufen, startet es zuerst den Virus. Dieser Leitet den Zugriff dann an die richtige Adresse weiter. Von jedem dieser Infektionswege gibt es einige Varianten. Auch kombinationen aus mehreren Methoden kommen häufig vor. Desswegen lassen sich Viren auch zunehmend schwehrer klassifizieren.


Virentypen:

Bootsektorviren
Die am häufigsten auftretenden Viren sind Bootsektorviren wie der Form- und der Stoned-Virus. Solche Viren infizieren die Bootsektoren von Disketten und entweder den MBR (Master Boot Record bzw. Master-Boot-Partitionssektor) oder den DBR (DOS Boot Record bzw. DOS-Bootsektor) von Festplatten. Ein Bootsektorvirus vermehrt sich folgendermaßen:
Eine Diskette mit Daten (vielleicht einigen Textverarbeitungsdateien und einem Tabellenkalkulationsblatt) ist angekommen. Die Daten sind Bestandteil eines Projekts, an dem Sie zusammen mit einem Kollegen arbeiten. Ihr Kollege weiß jedoch nicht, daß sein Computer und damit auch die Diskette, die er Ihnen zugeschickt hat, mit einem Bootsektorvirus infiziert ist. Sie legen die Diskette in Laufwerk A: ein und beginnen, die darauf enthaltenen Dateien zu verwenden. Bis jetzt hat der Virus noch gar nichts gemacht. Bei Feierabend schalten Sie den Computer aus und gehen nach Hause. Am nächsten Morgen betreten Sie Ihr Büro und schalten den Computer ein. Die Diskette befindet sich noch in Laufwerk A:, also versucht der Computer, von dieser Diskette zu starten. Er lädt den ersten Sektor der Diskette in den Speicher, um den darin enthaltenen Code auszuführen (normalerweise handelt es sich dabei um ein kleines Programm, das von Microsoft zum Laden von DOS geschrieben wurde) oder um Ihnen mitzuteilen "Keine Systemdiskette, bitte drücken Sie eine beliebige Taste, um fortzufahren", falls er keine DOS-Systemdateien darauf finden kann. Diese Meldung haben Sie schon tausendmal gesehen, also öffnen Sie die Laufwerksverriegelung und drücken eine Taste. Aber diese Diskette ist mit dem Stoned-Virus infiziert, und daher wurde nicht das Programm von Microsoft, sondern der 1987 in Neuseeland geschriebene (und deshalb manchmal auch als New Zealand-Virus bezeichnete) Stoned-Virus ausgeführt. Der Virus installiert sich selbst auf der Festplatte, ersetzt den MBR und kopiert den Original-MBR an eine andere Stelle der Festplatte. Wenn Sie von der Festplatte starten, wird der MBR ausgeführt, der jetzt jedoch nichts anderes als der Stoned-Virus ist. Der Stoned-Virus wird speicherresident, fängt den Interrupt 13h (Lesen von/Schreiben auf Datenträger) ab und lädt danach den Original-MBR, und von da ab wird der Startvorgang ganz normal fortgesetzt. Da jedoch der Interrupt für das Lesen von/Schreiben auf Diskette abgefangen wurde, wird bei jedem Schreib- oder Lesezugriff auf Laufwerk A: (obwohl Sie denken, es handle sich um einen Lesezugriff, schreibt jedoch in Wirklichkeit der Virus auf Diskette) die Diskette untersucht, und wenn sie noch nicht infiziert ist, wird der Stoned-Virus im Bootsektor installiert. Somit infiziert Ihr Computer jetzt jede Diskette, die in Laufwerk A: eingelegt wird, und früher oder später wird eine dieser Disketten an einen Kollegen weitergegeben, und der Kreislauf beginnt von vorne. Im Detail unterscheiden sich die verschiedenen Bootsektorviren in ihrer Arbeitsweise voneinander, aber allen liegt dasselbe Prinzip zugrunde. Sie werden über die Bootsektoren infizierter Disketten übertragen und können nur auf diesem Weg weitergegeben werden (ein Bootsektorvirus kann sich beispielsweise nicht über ein Netzwerk ausbreiten). Eine Infektion kann nur durch den Versuch, von einer infizierten Diskette zu starten, stattfinden, selbst wenn dieser Versuch erfolglos verläuft. Bootsektorviren befallen PCs. Dabei spielt es überhaupt keine Rolle, welches Betriebssystem verwendet wird oder welche Schutzprogramme installiert sind, denn zu dem Zeitpunkt, zu dem sich der Bootsektorvirus installiert, werden das Betriebssystem oder das Schutzprogramm noch gar nicht ausgeführt. Bei einigen Betriebssystemen allerdings, die nicht auf DOS beruhen, wird zwar der PC infiziert, kann sich der Virus jedoch nicht auf Disketten kopieren, die danach eingelegt werden, und sich somit nicht ausbreiten. Er kann jedoch nach wie vor Schaden anrichten, wie ein Unix-Anwender erstaunt feststellen mußte, als am 6. März überraschend der Michelangelo-Virus zuschlug. Die meisten Leute sind vollkommen überrascht, wenn sie erfahren, daß sich ein Virus auf diese Art verbreitet, worin wohl auch der Grund für die Häufigkeit der Bootsektorviren zu suchen ist.

Companionviren
Wenn Sie eine COM- und eine EXE-Datei mit demselben Dateinamen haben und diesen Dateinamen eingeben, führt DOS stets vorzugsweise die COM-Datei aus. Companion-Viren nutzen diesen Umstand, und erstellen für jede Ihrer EXE-Dateien eine gleichnamige (sozusagen begleitende) COM-Datei. Wenn Sie dann versuchen, Ihr EXE-Programm auszuführen, wird statt dessen das COM-Programm, also der Virus, ausgeführt. Wenn der Virus das, was er tun sollte, abgeschlossen (und beispielsweise einen weiteren Companion-Virus für eine weitere Datei erstellt) hat, startet er das EXE-Programm, damit alles ganz normal zu funktionieren scheint. Es gab ein paar recht erfolgreiche Companion-Viren, aber nicht viele. Der Hauptvorteil für den Virenprogrammierer besteht darin, daß die EXE-Datei überhaupt nicht verändert wird und einige der änderungssensitiven Programme daher gar nicht bemerken, daß sich ein Virus ausbreitet. Eine andere Art des Companion-Virus ist der "Path-Companion" oder Pfadbegleiter. Diese Art von Virus legt ein Programm in einem Verzeichnis ab, das bei der Abarbeitung der PATH-Anweisung von DOS vor dem Pfad, in dem sich die Opferdatei befindet, abgesucht wird. Wenn Sie ein Programm ausführen, das sich nicht im aktuellen Unterverzeichnis befindet, sucht DOS dieses Programm in mehreren Unterverzeichnissen, die in der PATH-Anweisung in Ihrer AUTOEXEC.BAT festgelegt sind. Pfadbegleiter sind schwerer zu schreiben als gewöhnliche Companion-Viren; daher gibt es auch nicht so viele.

Dropper
Ein Dropper ist weder ein Virus noch ist es ein mit einem Virus infiziertes Programm, aber wenn dieses Programm ausgeführt wird, installiert es einen Virus im Speicher, auf der Festplatte oder in einer Datei. Dropper wurden als geeignete Überträger für einen bestimmten Virus oder einfach als Hilfsmittel zur Sabotage geschrieben. Einige Anti-Virus-Programme versuchen, Dropper zu erkennen.

Hybridviren
Viren, die sowohl Programmdateien als auch Boot-Sektoren infizieren.

Keime
Ein Keim ist ein Virus der Generation Null, der in einer solchen Form vorliegt, daß die Infektion nicht auf normale Weise stattgefunden haben kann, wie beispielsweise bei einem Virus, der lediglich Dateien von mindestens 5 KB Umfang infiziert und jetzt eine winzige Datei von 10 Byte infiziert hat. Als Keim wird aber auch eine Viruskopie ohne Wirtsdatei betrachtet. Wenn Sie aus einer solchen Datei den Viruscode entfernen, bleibt eine Datei von 0 Byte übrig. Bei dieser zweiten Art von Keim handelt es sich also um die vom Virenprogrammierer erstellte Originaldatei.

Killerprogramme
Killerprogramme sind Viren, die beispielsweise nach einer gewissen Anzahl von Infektionen die Festplatte des Infizierten Rechners zerstören. Der Virus enthält dazu einen Infektionszähler, der von einem Festgelegten Wert ausgehen, nach unten zählt. Ist dieser Zähler bei Null angekommen, wird die zerstörende Aktion ausgelöst. In manchen fällen ruft der Virus dann den Befehl FORMAT auf und bestätigt ihn. Andere Viren lassen "nur" sämtliche Deteien auf einem Datenträger Löschen. Die unfreundlichste Variante dieser Viren ändert die Einträge in der FAT. Dabei sind zwar alle Dateien noch wie zuvor auf der Festplatte vorhanden, der Datenbestand ist allerdings nicht mehr les- und verwendbar.

Logische Bomben
Logische Bobmbens sind eine besondere Art von Viren: Sie können entweder durch eine Art von Zeitzünder ausgelöst werden, oder durch das Erfüllen einer Bedingung, beispielsweise die Eingabe oder das Fehlen eines Bestimmten Wortes oder eines Benutzernamens. Diese Viren sind meistens auf ein Bestimmtes System beschränkt: Sie können sich normalerweise nur innerhalb eines vorgegebenen Umfeldes reproduzieren und sind daher ausehalb dieses Umfelds meist wirkungslos.

Macro-Viren
Makroviren sind Viren, die Datendateien infizieren. Sie werden typischerweise in Microsoft Word-Dokumenten (.doc und .dot) gefunden. So bald ein infiziertes Dokument geöffnet wird, wird die Datei Normal.dot infiziert. Wird jetzt ein Dokument gespeichert/geöffnet, wird dieses mit dem Virus infiziert. Macroviren ersetzen beispielsweise, dem Speichern-Befehl durch den Format-Befehl.
Netzwerk-Viren
Spezielle Netzwerk-Viren gibt es bisher nur wenige, doch können sich die meisten Vieren auch in Netzwerken verbreiten. Die klassischen Netzwerk-Viren sind die sogenanten Würmer. Sie verbreiten sich nicht als anhängsel eines Programmes in Systemen, sondern können ihren eigenen Code selbstständig reproduzieren. und als eigenständiges Programm ablaufen lassen.
Bis heute gibt es allerdings noch keine Viren, die sich in mehreren Betriebssystemen verbreiten können. Viren sind von ihrer Konzeption her immer auf die Schwachstellen eines Systems angewiesen. Da diese jedoch bei jedem System an anderer Stelle sitzen und jedes System andere Programmieranforderrungen stellt, wird es auch in absehbarer Zeit kaum Viren Geben, die beispielsweise auf MAC- und MS-DOS-Rechnern agieren können.

Die meisten glauben, daß sich ein Virus, sobald er bis in ein Netz vorgedrungen ist, sofort irgendwie rasend schnell über das gesamte Netzwerk ausbreitet. Die Wahrheit ist jedoch weitaus komplizierter. Erstens können sich Bootsektorviren nicht über Netzwerke ausbreiten, selbst wenn mehrere der angeschlossenen Computer infiziert sind, denn diese Virenart verbreitet sich über Disketten. Dateiviren dagegen breiten sich folgendermaßen über ein Netzwerk aus:

1. Benutzer 1 infiziert seinen Computer, möglicherweise durch die Demodiskette eines Vertreters. Der Virus wird speicherresident.

2. Benutzer 1 führt weitere Programme auf seiner Festplatte aus, die dadurch ebenfalls infiziert werden.

3. Benutzer 1 führt ein paar Programme auf dem Netzwerk aus, die dadurch ebenfalls infiziert werden. Ein Netzwerk emuliert ein DOS-Gerät, d. h. Lesen und Schreiben in Dateien auf dem Server findet in derselben Weise statt wie lokal. Der Virus muß sich also nicht anders als sonst verhalten, um Dateien auf dem Server zu infizieren.

4. Benutzer 2 meldet sich am Server an und führt eine infizierte Datei aus. Der Virus wird auf dem Computer von Benutzer 2 speicherresident.

5. Benutzer 2 führt mehrere andere Programme auf seiner lokalen Festplatte und auf dem Server aus. Jede ausgeführte Datei wird infiziert.

6. Benutzer 3, Benutzer 4 und Benutzer 5 melden sich an und führen infizierte Dateien aus.

7. Und so weiter.


Pholymorphe Viren
Die am häufigsten verwendete Art von Anti-Virus-Programm ist der Scanner, der nach einem Repertoire von Viren sucht. Für den Virenprogrammierer ist dies das Produkt, das er am liebsten täuschen würde. Ein polymorpher Virus ist ein Virus, von dem keine zwei Kopien an irgendeiner Stelle gemeinsame Byte-Folgen enthalten. Daher kann ein solcher Virus nicht einfach anhand einer bestimmten Byte-Folge erkannt werden, sondern es muß eine wesentlich komplexere und schwierigere Aufgabe bewältigt werden, um ihn ermitteln zu können.

Stealth- oder Tarnkappen-Viren
Wenn ein Virus speicherresident werden kann (was auf 99 % aller in der Computerwelt auftretenden Viren zutrifft), dann kann er mindestens einen der Interrupts abfangen. Wenn es sich um einen Bootsektorvirus handelt, dann mißbraucht er den Interrupt 13h (Lesen von/Schreiben auf Datenträger). Wenn es sich um einen Stealth-Virus handelt und ein beliebiges Programm den Bootsektor zu lesen versucht, sagt sich der Virus "Aha, da will einer den Bootsektor sehen. Ich werde einfach dort, wo ich ihn abgelegt habe, den Original-Bootsektor lesen und dann statt des infizierten Bootsektors den Inhalt des Originals präsentieren". Dadurch fällt dem anfragenden Programm nichts Ungewöhnliches auf. Der Brain-Virus, Baujahr 1986, war der erste Virus, der mit diesem Trick gearbeitet hat. Dateiviren wie beispielsweise der Frodo-Virus können mit einem ähnlichen Trick ebenfalls ihre Existenz so verbergen, daß jedes Programm, das die Datei liest, nur die Bytes zu Gesicht bekommt, die vor der Virusinfektion darin enthalten waren. Solche Tarnfähigkeiten sind jedoch häufiger bei Bootsektorviren als bei Dateiviren zu beobachten, da es bei einem Bootsektorvirus viel einfacher ist, eine Tarnroutine zu programmieren.

Trojanische Pferde
Trojanische Pferde sind streng genommen keine Viren, da es sich dabei nicht um Programme handelt, die sich selbst reproduzieren und ausführen können. Meist dienen nützliche Hilfsprogramme oder Informations-Disketten als Tarnung, oft verbunden mit der Einladung, die Dateien kostenlos zu kopieren und weiterzugeben. Die verstecken Schädlinge werden erst wirksam, wenn der Anwender dass Programm aufruft, in dem sie verborgen sind. Eines der bekanntesten Trojanischen Pferde ist als Diskette mit wichtigem Informationsmaterial zum Thema AIDS getarnt. Diese "AIDS-Informationsdiskette" wurde aus Panama kostenlos an Teilnehmer eines Fachkongresses verschickt.

TSR-Dateiviren
Die zweithäufigste Art von Viren ist der TSR-Dateivirus. Wie der Name schon sagt, werden von Viren dieser Art Dateien befallen. Dabei handelt es sich in der Regel um COM- und EXE-Dateien; es gibt aber auch ein paar Gerätetreiberviren, und einige Viren infizieren Überlagerungsdateien, außerdem müssen ausführbare Programme nicht unbedingt die Namenserweiterung COM oder EXE haben, obwohl dies in 99 % der Fälle zutrifft. Damit sich ein TSR-Virus verbreiten kann, muß jemand ein infiziertes Programm ausführen. Der Virus wird speicherresident, und prüft in der Regel jedes nach ihm ausgeführte Programm, um es ebenfalls zu infizieren, falls es noch nicht infiziert ist. Einige Viren werden als "schnell infizierende Viren" bezeichnet. Solche Viren infizieren eine Datei bereits, wenn Sie diese nur öffnen (zum Beispiel wird bei einer Datensicherung unter Umständen jede auf einem Laufwerk enthaltene Datei geöffnet). Der erste schnell infizierende Virus war Dark Avenger. Die Infektionsroutine des Green Caterpillar dagegen wird durch jeden Vorgang ausgelöst, mit dem bestimmt wird, welche Dateien vorhanden sind (z. B. durch den DIR-Befehl). Es wuden auch noch andere Infektionsauslöser verwendet, aber in den meisten Fällen wird ein Programm infiziert, sobald es ausgeführt wird.

Update-Viren
Update-Viren sind eine besonders ausgeklügelte Virenart. Sie sind nach Familien gegliedert und werden meist von einem einzigen Programmierer oder einer Gruppe entwickelt. Neben ihrem Hex-Pattern enthalten diese Viren nicht nur eine Versionsnummer, sondern auch eine Update-Routine, die überprüft, ob der Virus bereits in einer Version vertreten ist. Aber damit nicht genug: Die Routine untersucht ausserdem, ob die Datei bereits eine ältere Version des Virus enthalten. Ist das der Fall, wird diese ersetzt. Ist eine neuere Version installiert, wird diese nicht noch einmal infiziert.

Würmer
Computerwürmer sind Programme, die sich selbstständig in einem Netzwerk verbreiten können. Es handelt sich dabei nicht um klassische Viren, sondern um damit verwandte Störprogramme, die jedoch auch Viren enthalten können. Würmer sind eigenständige Programme, die keine Wirtsprogramme benötigen, um sich daran anzuhängen. Meist bestehen sie aus mehreren Programmsegmenten, die miteinander in Verbindung stehen. Computerwürmer können sich selbst reproduzieren und sich zu dem mit Hilfe von Netzwerkfunktionen auf andere Rechner kopieren.

Zeitzünder
Zeitzünder sind spezielle Auslösemechanismen für Viren. Ein Routine fragt hier innerhalb eines Virusprogramms die Systemzeit ab. Wird ein festgelegter Wert erreicht, löst dieses die Ausführung des Aktionsteiles des Virus aus. Bei der Bedingung kann es sich um eine Zeitspanne nach dem einschalten handeln oder um ein festgelegtes Datum. Theoretisch ist es so zom Beispiel möglich, jemandem einen Geburtstagsgruß zu schicken, der am bewusten Tag automatisch aufgerufen wird. Neben Kalenderdaten lässt sich auch eine Routine einsetzen, die jeden Tag um die seilbe Uhrzeit gestartet wird. Die auswahl an Bedingungen für Zeitzünder ist beinahe unbegrenzt - "Trigger Days" sind zuminderst jene Tage, an denen in der Vergangenheit bestimmte Virentypen zugeschlagen haben.


Ansteckung Als Ansteckung bezeichnet man in der Medizin, den Vorgang, bei dem ein Krankeitserreger übertragen wird. Da sich Computerviren ähnlich wie biologische Viren verhalten, wird in Analogie auch hier der Übertragungsprozess Ansteckung genannt. Dabei wird über einen Virenträger, meist eine Diskette, der Virus auf einen anderen potentionellen Virenträger, wie eine Festplatte, übertragen. Dies geschieht entweder durch den Aufruf eines verseuchten Programms oder eine verseuchten Bootroutine der Diskette.


Aufbau eines Virus
Jeder Virus besteht aus drei, meißt vier Programmteilen: Beim ersten Teil handelt es sich um eine Art Kennung, das Hex-Pattern, durch das der Virus sich selbst erkennen kann. Mit seiner Hilfe kann ein Virus jederzeit überprüfen, ob eine Datei bereits infiziert ist. Der zweite Teil enthält die eigendliche Infektionsroutine. Hierbei handelt es sich zuerst um eine Routine, die nach einer nicht infizierten, ausführbaren Datei sucht. Ist eine solche Datei gefunden, kopiert der Virus seinen Programmcode in die Datei. Ausserdem befindet sich in diesem Teil auch der Programmcode, der bei bedarf die Datei so umbaut, dass der Virus sofort bei aufrufs des Programms sofort aktiv werden kann. Auch die Routine für einen eventuellen Tarnmechanismus befindet sich hier. Der dritte Teil entscheidet darüber, ob es sich um einen harmlosen Virus handelt, der nur einen kleinen Scherz macht, oder um einen destruktiven Typ, der eine mitlere oder größere Katastrophe auslöst. Im harmlosen Fall steht hier die Anweisung, dass der Virus am Tag X ein Bild auf den Monitor Zeichnet oder einen bestimmten Text ausgeben soll. Hier kann sich aber auch der Befehl befinden: "formatiere nach dem x-ten Neustart die Festplatte." Mit dem vierten Teil schließt sich der Kreis. Hier befindet sich der Befehl mit dem das Programm nach ausführung des Virencodes wieder zu der Stelle zurückkehrt, an ser der Virus den Programmablauf unterbrochen hat.

Bug
Nicht jeder Fehler, der während der Arbeit am Computer auftritt, ist auf einen Virus zurückzuführen. In den meisten Faällen handelt es sich um Mängel in der Software. Trotzdem sollten Sie vorsichtig sein: Stellen sich plötzlich Fehler ein, die unter den selben Bedingungen bisher nicht auftraten, sollten Sie einen Vierencheck durchführen.

Cohen ,Fred
Fred Cohen von der Universität Südkalifornien programmierte 1983 den ersten offiziell bekanntgewordenen Virus. Er entwickelte für seine Docktorarbeit die Theorie des sich selbst reproduzierenden Programms und trat zugleich den Beweis dafür an. Der von ihm programmierte Virus lief unter dem Betriebssystem UNIX. Er bewirkte, dass jeder Benutzer des Systems sämtliche Zugriffsrechte erhielt.

Defekte Cluster
Viren haben zumeist Tarnmechanismen, die sie vor Entdeckung schützen sollen. Einer dieser Mechanismen verhindert etwa, dass der Anwender den von Virus belegten Speicherplatz entdeckt. Dazu setzt sich der Virus auf dem Datenträger an einer beliebigen Stelle fest und markiert den belegten Cluster (die Speichereinheit) als defekt. Die meisten Anwendungsprogramme (also auch Virenscanner) übergehen Defekte Cluster einfach oder melden lediglich den Defekt und zeichen den noch verbleibenden Restspeicher an.

Fat
Die File Allocation Table (FAT) oder Deteizuordnungstabelle ist eine Art Notizbuch des Systems, indem sich ein Eintrag für jeden Cluster befindet. Je nach Status des Clusters ist hier ein Zeiger auf den nächsten Cluster einer Datei, auf eine Ende-Kennung oder auf die Meldung "defekt" oder "frei" verzeichnet. Das macht sie zu einem der beliebtesten Angriffspunkte: Der Virus kann hier den Zeiger auf den nächsten Cluster einer Datei durch den Zeiger auf seinen eigenen Programmcode ersetzen. Wird eine solche Datei aufgerufen, aktiviert dies den Virus.

Grafikkarten
Grafikkarten stehen oft als Überträger in Verdacht. Die Viren sollen sich dabei im Viedeospeicher der Grafikkarte einnisten. Tatsächlich ist dies unmöglich: Der Videospeicher einer Grafikkarte ist nicht Bootfähig, es werden hier nur Daten abgelegt. Ein Virus kann daher nicht direkt von Speicher der Grafikkarte aus in den ausführbaren Speicher des Rechners gelangen. Der Speicher einer Grafikkarte kann vom Virus höchstens zum ablegen einer Kennung verwendet werden.

Hex-Pattern
Jeder Virus besitzt ein charakteristisches Bitmuster, das Hex-Pattern. Es besteht aus einer 10 bis 16 bytes langen Kette von hexadezimalen Zeichen (manchmal Wörter wie z.B. "Gotcha!") und dient dem Virus dazu, zu erkennen, ob eine Datei bereits infiziert ist. Ist diese Hex-Pattern bekannt, läßt es sich dazu nutzen, auf einem Datenträger nach einem bestimmten Virus zu suchen. Problematisch wird die Suche erst bei den sich selbst verschlüsselnden Viren.

Infektionsteil
Jeder Virus besteht aus mehreren Teilen. Der erste Teil etwa, dient zur Selbsterkennung und enthält meist das oben genannte Hex-Pattern, durch das der Virus erkennen kann, ob die Datei bereits infiziert ist oder nicht. Der zweite Teil wird als Infektions- oder Kopierteil bezeichnet und enthält semtliche Anweisungen, die der Virus benötigt, um sich in Dateien Auszubreiten. Je nachdem, zu welchem Zweck dieser Teil programmiert ist, vermehrt sich der Virus schnell oder eher langsam. Auch ein von Urheber harmlos gedachter Ulk-Virus kann großen Schaden anrichten, wenn der Kopierteil so programmiert ist, dass die vorhandenen Dateien ganz oder teilweise überschrieben werden.


Der Aufbau eines "einfachen" Virus...



. . . zurück