![[Index]](1arrow1.gif)
![[runter]](1arrow2.gif)
![[vorher]](1arrow4.gif)
|
|
|
Sequenzen, die in normale Texte eingebunden werden und bei der Anzeige die Tastaturbelegung verändern. Zum Beispiel könnte "FORMAT C:"+RETURN auf die Taste "a" gelegt werden. Benötigen den ANSI.SYS Treiber um aktiv zu werden.
Software, die eingesetzt werden sollte, um Viren und eventuell Trojaner zu erkennen, bevor sie Schaden anrichten können. Zu Antiviren-Programmen zählt man Integrity-Checker, Scanner, Heuristische Suchprogramme und Wächterprogramme.
Die meisten Viren (99%) sind in Assembler, also Maschinensprache geschrieben, weil man auf diese Weise den größt möglichen Zugriff auf alle Ressourcen eines Rechner bekommen kann und dabei trotzdem sehr kleine, kompakte Programme erhält.
Das beste Werkzeug gegen Computerviren und ihre Auswirkungen. Oft bemerken Anwender ein Virusinfektion erst viel zu spät und wertvolle Datenbestände sind bereits verloren, bevor mit einem Antiviren-Programm gearbeitet wird. Hier leistet ein regelmäßiger Backup (dt. Datensicherung) wertvolle Dienste. Auch für den Fall von fehlschlagenden Reperaturversuchen sowie zur Beweissicherung sind Backup's lebensnotwendig.
Im File-Allocation-Table (FAT) als unbrauchbar markierte Cluster eines Datenträgers. Durch diese Markierung wird verhindert, das DOS Daten auf einem als fehlerhaft erkannten Bereich des Datenträgers Informationen abspeichert. Viele Bootsektor-Viren nutzen diese Technik aus, in dem sie Ihren Code auf einem unbenutzen Cluster abspeichern und diesen anschliessend als Bad Sector markieren, um den Sektor dadurch vor überschreibungen durch DOS zu schützen.
Computerviren treten nicht nur unter DOS auf, sondern praktisch auf jedem bekannten Betriebssystem. So gibt es Viren unter UNIX, VMS, auf Macintosh, Atari, Amiga usw.
Unter Booten versteht man den gesamten Startvorgang eines Computers bis hin zur ersten Eingabeaufforderung. Dabei unterschiedet man zwischen einem Kalt- und einem Warmstart. Da beim Booten das gesamte Betriebssystem geladen wird, ist dieser Prozess für Viren äußerst interessant, da zu diesem Zeitpunkt die Kontrolle über alle Funktionen des PC's erlangt werden kann.
Jeder DOS-Datenträger besitzt einen Bootsektor (auch RAMDRIVES und Datendisketten !). Hier werden die logischen Daten wie Größe des Mediums, Anzahl der Cluster usw. angegeben. Der Bootsektor ist stets der erste LOGISCHE Sektor eines Datenträgers.
Bootsektorviren infizieren i.d.R. nur Disketten; bei Festplatten wird
normalerweise der Masterboot-Record
infiziert. Bootsektorviren können nur auf zwei Arten aktiviert werden:
Ist der Virus allerdings erst einmal aktiv, wird bei DIR A: (oder B:) jede eingelegte nicht-schreibgeschütze Diskette infiziert ! Bootviren fallen i.d.R. durch Reduzierung des TOM-Wertes auf, d.h. der Rechner besitzt angeblich nur noch z.b. 638 oder 639K DOS-Speicher.
Computer Antivirus Research Organisation, ein geschlossener Club der weltweit besten und bekanntesten Virusspezialisten. Die Anzahl der Mitglieder dieses Clubs ist sehr klein, um Gefahren durch die Weitergabe von Viren auszuschliessen.
CD's sind heute defacto der Datenträger zur Auslieferung von kommerzieller Software geworden. Da man auf CD's nicht schreiben kann, können CD's, anders als Disketten oder Festplatten, nicht nachträglich von Viren infiziert werden. Allerdings gibt es inzwischen genügend Fälle, bei denen ein Hersteller aus Versehen virusinfizierte Programme auf die CD brennen ließ. Daher muß gelten: auch Programme von CD's können Viren enthalten und müssen daher auch mit einem Antivirenprogramm überprüft werden.
Einfaches Verfahren um die Integrität einer Datei zu überprüfen in dem alle Bytes einer Datei aufsummiert werden, wobei jeweils die Tausenderstelle ignoriert wird. Dieses Verfahren ist allerdings nicht all zu sicher, da einige Möglichkeiten der Datenmanipulation für einen Virus offen bleiben.
Externer Speicher, der durch eine Batterie mit Strom versorgt wird und rechnerspezifische Informationen wie Uhrzeit, Datum, Größe des RAM, der Festplatte usw. enthält. Es ist nicht möglich im CMOS aktiven Viruscode zu speichern.
Da eine Verwaltung der Festplatte in Sektoren zu aufwendig wäre, werden bei DOS mehrere Sektoren zu einem Cluster zusammengefaßt. Diese Cluster werden wiederum in der FAT verwaltet.
Companion-Viren nutzen die Eigenschaft von DOS ein .COM-Programm stets vor
einem gleichnamigen .EXE-Programm zu starten. Companion-Viren suchen nach
.EXE-Programmen und erzeugen gleichnamige .COM Dateien die den Virus enthalten
und beim Starten des Virus vor dem eigentlichen Programm ausgeführt werden.
Diese Dateien sind i.d.r. stets gleichlang und meistens durch setzen des HIDDEN
oder SYSTEM-Dateiattributes versteckt. Das Entfernen des Virus ist recht
einfach:
alle erzeugten .COM-Programme müssen gelöscht werden.
Cyclic-Redundancy-Check. Erweitertes Prüfsummenverfahren, bei dem der Überlauf wieder in die Berechnung einfließt. Dadurch wird das CRC Verfahren deutlich sicherer als die Verwendung reiner Prüfsummen.
Dieser Virustyp infiziert keine Sektoren oder Dateien, sondern manipuliert direkt die Verzeichnisse von DOS. DIR-Viren breiten sich sehr schnell aus, da schon ein DIR alle Dateien in dem Verzeichnis ausreicht diese zu infizieren". Beim Booten von einer sauberen Diskette sind alle infizierten Dateien querverbunden, da alle Dateien auf den selben Cluster zeigen.
Werkzeug, um aus ausführbaren Programmen (*.COM oder *.EXE) wieder lesbaren Assemblercode zu machen. Dieses Werkzeug wird bei der Analyse von Computerviren eingesetzt, um zu erkennen, welche Auswirkungen ein Virus hat, welchen Schaden er eventuell anrichtet oder welche Programme von ihm bedroht sind.
Eine Datei, die selbst nicht infiziert ist, aber einen Virus enthält, der beim Aufruf des Programmes auf der Festplatte/Diskette installiert wird. Der Virus wird i.d.R. erst beim nächsten Neustart aktiv.
European Institute of Computer Antivirus Research, das kommerzielle Gegenstück zu CARO. Hier haben sich Firmen der Datensicherheitsbranchen zum Erfahrungsaustausch zusammengeschlossen. Anders als bei CARO geht es bei EICAR aber nicht um den Austausch von Spezialwissen, sondern eher um grundsätzliche Dinge der Virenbekämpfung und ihre kommerzielle Realisierung.
Viele Computerviren kann man mit Antivirenprogrammen bzw. einigen Utilities des Betriebssystems entfernen, doch häufig gehen solche Reparaturen daneben und der Schaden wird dadurch nur noch größer. Deshalb sollten Viren nur dann mit Antivirenprogrammen entfernt werden, wenn kein Backup zu Verfügung steht, mit dem man die infizierten Programme ersetzen könnte.
engl. Fehlalarm. Wenn ein Antivirenprogramm in einer Datei eine Virussignatur findet, obwohl die Datei gar nicht infiziert ist. Sehr gefährlich, da zum Beispiel versucht werden könnte, den "Virus" zu desinfizieren, was die Zerstörung der Datei zur Folge hätte. Um Fehlalarme zu vermeiden müssen die Signaturen für Computerviren sehr sorgfältig ausgewält werden.
Signaturen, die für eine größere Anzahl von Viren zutreffen. Bekannte Beispiele sind hier "GenP", "GenB" oder "Generic 1". Mit diesen Signaturen können auch unbekannte, neue Varianten des ursprünglichen Virus erkannt werden.
Alle Viren die schon beim Dateiöffnen bzw. Schließen diese infizieren. Scannen der Festplatte mit aktiven Fast Infector-Virus hat zur Folge, das JEDES Programm dannach infiziert ist !
Hier wird angegeben, welche Cluster von welcher Datei belegt werden. Die FAT ist oft ein Ziel für destruktive Viren, denn beim Verlust der FAT verliert man praktisch die Information, wo auf dem Datenträger welche Informationen gespeichert sind.
Utility von DOS, mit dem der MBR modifiziert bzw. auch neu erzeugt wird. Mit dem Aufruf "FDISK /MBR" ist es z.B. möglich, einen neuen MBR auf einer Festplatte zu erzeugen und damit einen infizierten MBR zu überschreiben, den Virus also zu entfernen, ohne seine Daten zu verlieren. Bitte beachten Sie aber unbedingt Kapitel 7 - Nähres zum Befehl FDISK /MBR !
siehe False Positive
Virus, der Dateien infiziert, in dem er seinen eigenen Programmcode entweder in diese Dateien hinein schreibt oder anhängt.
Utility von DOS, mit dem ein Datenträger komplett überschrieben werden kann. Viele Anwender verwenden diese "Holzhammer-Methode", um alle Daten zu löschen und auf diese Art und Weise einen Virus los zu werden.
Bei der heuristische Suche wird nach typischen Merkmalen von Viren gesucht, die oft für eine größere Anzahl von Viren zutreffen. Wird eine bestimmte Anzahl von verdächtigen Strukturen gefunden, ist die Datei verdächtig. Desweiteren gibt es die Möglichkeit der Code Emulation, bei der das Programm im Speicher simuliert wird, ohne allerdings die Kontrolle über den Rechner zu erlangen. Hierbei kann u.A. festgestellt werden, ob der Virus verschlüsselt ist oder welche Interruptfunktionen der Virus genau aufruft. Die heuristische Suche findet unbekannte wie bekannte Viren, kann allerdings Falschmeldungen in "schlecht" programmierten Programmen erzeugen.
Da die wenigsten Computeranwender wirklich Erfahrung in der Virenbekämpfung haben, ist der Hotlineservice bei Antivirenprogrammen besonders wichtig und sollte daher bei der Kaufentscheidung entsprechend berücksichtigt werden.
Mit dem Begriff "in the wild" bezeichnet man in AV Kreisen die Eigenschaft eines Virus, das er wirklich draußen, bei Anwendern, auftritt, also übersetzt "in der Wildnis vorkommt" und nicht nur in VX-Boards und Virensammlungen, sozusagen "im Zoo" zu finden ist. Typische Beispiele von Viren, die "in the Wild" vorkommen , sind FORM, STONED, PARITY BOOT, TEQUILA, NEUROQUILA, TREMOR, JERUSALEM, ANTIEXE, ANTICMOS, HONECKER, CASCADE, ... also die Viren, die immer wieder von Usern gemeldet werden. Es ist eine Tatsache, dass es zwar z.Z. circa 5000 verschiedene Viren gibt, aber "in the wild" kaum mehr als 10% davon auftreten. Der Rest existiert zwar, ist aber nicht verbreitet bzw. wurde nie auf die Anwender losgelassen.
Darunter versteht man das Eindringen eines Virus in ein Computersystem. Es spielt dabei keine Rolle, ob es sich um einen Datei, MBR oder Bootsektor- Virus handelt, oder ob das Computersystem aus einem Netzwerk oder einem einzelnen PC besteht, da in allen Fällen Schaden durch den Virus entstehen kann und daher akuter Handlungsbedarf besteht.
Antivirenprogramm, das Viren nicht durch die Suche nach Signaturen oder Verhaltensmustern erkennt, sondern durch die Veränderung von Dateien oder Systembereichen. Hierzu werden CRC's und analoge Verfahren verwendet. Problematisch sind für solche Programme allerdings die sog. Slow-Infector Viren sowie die Tatsache, das Viren erst erkannt werden, wenn sie bereits im System sind. Ihr großer Vorteil liegt darin, das man keine Updates benötigt und auch unbekannte Viren entdeckt werden.
Anfrage eines Programms an das Betriebssystem, etwas bestimmtes zu tun, z.B. eine Datei zu öffenen oder Daten zu lesen. Mittels solcher Interrupts wird der gesammte PC gesteuert.
Technik von Computerviren, um Kontrolle über den PC zu bekommen, sich zu verbreiten und dabei möglichst unbemerkt zu bleiben. Wird ein Interrupt von einem normalen Programm aufgerufen, so schaltet sich der Virus dazwischen um gegebenenfalls Daten zu manipulieren, und sorgt erst dann wieder dafür, das das Programm weiterläuft.
Unter einem Kaltstart versteht man das Booten eines ausgeschalteten Rechners. Die Hardware wird überprüft, der Speicher hardwaremässig gelöscht, das Betriebssystem geladen und gestartet. Durch einen Kaltstart erreicht man, das eventuell im Speicher sitzenden Viren garantiert gelöscht werden (wegen des hardwaremässigen Speicherresets).
Darunter versteht man die komplette Neuinitialisiserung einer Festplatte. Dabei wird die gesammte Festplatte physikalisch gelöscht und alle Informationen gehen verloren. Bei bestimmten Festplatten darf eine solche Prozedur nicht durchgeführt werden, da sie zur Zerstörung der Festplatte führt.
Aus Mailboxen kann man nicht nur virusinfizierte Programme bekommen sondern auch aktuelle Antivirenprogramme sowie Informationen zur Virenbekämpfung. Da die Betreiber i.d.R. um den Ruf ihrer Mailbox sehr besorgt sind, gehen sie normalerweise sehr sorgfältig mit den Programmen um und untersuchen neue Software automatisch auf Computerviren. Allerdings gibt es auch Mailboxen, die gezielt Viren verbreiten (siehe VX).
Der Master-Boot-Record (MBR) ist der erste PHYSIKALISCHE Sektor einer Festplatte. Hier findet man ein kleines Bootprogramm, das den Bootsektor der aktiven Partition startet und die Partitionsdaten, die zur logischen Einteilung der Festplatte dienen.
Computerviren sind für alle Medien ein gutes Mittel, um Auflage oder Einschaltquote zu erhöhen. Leider basieren aber die meisten Berichte nicht auf fundierten Kenntnissen, so das Berichte in den Jedermann-Medien immer mit Vorsicht zu geniessen sind.
Multipartite-Viren infizieren nicht nur Dateien, sondern auch noch den MBR der Festplatte oder Bootsektoren von Disketten oder gar alle drei Elemente ! Bei der Reinigung muß darauf geachtet werden das der Virus nicht nur in einer Komponente entfernt wird !
Ob ein Rechnersystem aus einem oder mehreren Rechnern besteht, spielt für einen Computervirus keine Rolle. In Netzwerken hat ein Virus aber die Möglichkeit, sich sehr schnell auf alle angeschlossenen Rechner zu verbreiten und damit den Schaden zu potentieren. Bei der Bekämpfung eines Virus in einem Netzwerk ist auf die Gefahr der Reinfektion besonders zu achten.
Virenfreie, bootfähige Diskette, die neben dem Betriebssystem auch die wichtigsten Treiber sowie die Utilities FDISK, FORMAT und SYS, sowie die Restore-Programme ihres Backup-Programms enthält. Mittels dieser Diskette kann ein Rechner mittels Kaltstart virenfrei gebootet werden und ein Virus wirkungsvoll bekämpft werden.
Besonders bei kommerziell eingesetzten Rechnersystemen notwendig, um im Falle eines Schadens oder Ausfalls das System wieder zum Laufen zu bekommen und den Schaden möglichst gering zu halten. Prinzipiell ist ein Notfallplan eine Checkliste der Dinge und ihrer Reihenfolge, die nötig sind, um ein System wieder einsatzfähig zu machen.
Betriebssystem, das in letzter Zeit verstärkt bei PC's eingesetzt wird. Auch unter OS/2 sind bereits Viren bekannt geworden.
Manche Viren müssen stets an der gleichen Offsetadresse gestartet werden. Deshalb fügen sie zusätzliche 1-15 Bytes Bytes ein, um diese Adresse zu erreichen. Manche Viren benutzen eine auf 32,64,128 oder 256 (bzw. n-1) gerundete Dateigröße als Infektionsmarkierung.
Partitionsviren verändern den MBR entweder direkt oder die Angabe des ersten logischen Sektors und werden sofort beim Starten des Rechners aktiv. Meist reicht ein Aufruf von "FDISK /MBR" von einer Bootdiskette aus, um den Virus zu entfernen.
siehe Master-Boot-Record
Polymorphe Viren sind verschlüsselt und ändern bei jeden infizierten Programm den Aufbau der Entschlüsselungsroutine. Damit ist ein Suche mittels Suchstrings unmöglich. Die Mutation Engine (MtE) erzeugt mehrere Millionen Arten von Verschlüsselungen. Polymorphe Viren können nur durch eine algorithmische Suche oder durch heuristische Analyse-/Codeemulation gefunden werden.
siehe Checksumme
erneute Infektion eines Rechners nach der Beseitung eines Virus. Dies kann z.B. durch das Einspielen infizierte Programme von einem Backup, durch Booten von infizierten Disketten oder durch aktive Viren in einem Netzwerk passieren. Reinfektionen passieren relativ häufig und sind Beleg für eine unzureichende Entfernung eines Virus.
Virus, der aktiv im Speicher sitzt, ohne das es der Anwender merkt, und permanent Daten modifiziert bzw. Funktionen des Betriebssystems überwacht, um zu einem bestimmtem Zeitpunkt aktiv zu werden.
Antivirenprogramme, die nach der übliche Methode vorgehen, um Viren zu finden. Dabei wird nach einer bestimmten Signatur gesucht, die praktisch einem Fingerabdruck eines Virus entspricht.
Jeder Virus ist ein Schaden für ein Rechnersystem. Einmal belegt jeder Virus Platz auf den Datenträgern, zum anderen haben viele Viren eine festgelegte Schadensfunktion, z.B. das Löschen der Daten am Freitag den 13., und schließlich kann es noch zu Schäden kommen, die die Virusprogrammierer gar nicht beabsichtigt hatten, z.B. weil ein Rechner in einem Netzwerk betrieben wird und daher einige Interrupts anders verwendetet werden, als bei einem Standalone Rechner.
Disketten haben einen hardwaremäßig aktivierbaren Schreibschutz, bei 3 1/2 '' Disketten durch einen Riegel, bei 5 1/4 '' Disketten durch eine überklebbare Kerbe. Da dieser Schreibschutz von der Hardware des Diskettenlaufwerks ausgewertet wird, ist es für einen Virus nicht möglich, diesen Schreibschutz zu umgehen. Deshlab sollten wann immer es geht, den Schreibschutz ihrer Disketten aktivieren.
Herkömmliche Methode einen Virus zu finden: Man extrahiert eine eindeutige Bytefolge aus dem Virus und durchsucht alle Dateien nach diesem String. Scanner die alleine auf Virensignaturen basieren veralten schnell: Der Virus muß nur geschickt modifiziert werden um nicht mehr entdeckt zu werden. Polymorphe Viren können mit dieser Methode nicht identifiziert werden.
Slow Infector-Viren infizieren nur dann, wenn durch den Benutzer selber Daten verändert werden. So kann sich ein Virus z.B. beim Erstellen oder Schreiben von Programmen diese infizieren. Diese Technik wird benutzt um Prüfsummenprogrammen zu überlisten: Da eine neue Datei erstellt wird, ist noch keine entsprechende Prüfsumme vorhanden und die Infektion bleibt unbemerkt. Viren dieser Art verbreiten sich nur langsam, aber bleiben dafür oft viel länger unbemerkt.
Stealth- oder Tarnkappenviren verbergen die Tatsache daß infizierte Dateien oder Sektoren verlängert bzw. verändert werden, und können damit so gut wie alle Virensuchprogramme und Prüfsummenchecker täuschen. Man unterscheidet zwischen Semi- und Vollstealth, wobei Semistealth-Viren nur die Dateiverlängerung verbergen, nicht aber die eigentliche Dateiveränderung. Stealthviren zu entfernen, erfordert das Starten des Rechners von einer sauberen Bootdiskette aus, da sonst der Virus noch aktiv im Speicher ist. Dateistealthviren fallen oft durch "Fehlermeldungen" bei CHKDSK auf, die durch den Unterschied zwischen FAT und Verzeichnis entstehen. (-NICHT- den Parameter /F angeben ! Datenverlust !)
DOS Utility, mit dem man die Betriebssystemdateien auf einen anderen Datenträger übertragen kann.
Virus, der weder Dateien noch MBR bzw. Bootsektor infiziert, sondern das Betriebssystem selbst (siehe DIR-Virus).
Praktisch in jeder Computerzeitschrift wird ab und zu ein Test von verschiedenen Antivirenprogrammen abgedruckt. Hier gilt sinngemäß das gleiche wie bei dem Punkt Medien. Meist basieren diese Tests eben nicht auf einer sinnvollen Testanordnung, sondern oft nur auf der Beurteilung der Benutzeroberfläche. Berücksichtigt man die Tatsache, das es inzwischen an die 12 000 Computerviren gibt, kann man abschätzen, wie objektiv Tests mit 20 Viren sind, wie sie leider immer wieder in Zeitschriften veröffentlicht werden.
Der TOM-Wert gibt die Obergrenze für den konventionellen DOS-Speicher an. Normalerweise beträgt dieser Wert 640K. Vor allem Bootviren reduzieren diese Größe und kopieren sich in den nun geschützten Bereich. Einige Rechner belegen 1K für BIOS-Daten.
engl. Schalter. Bedingung, die Eintreten muss, damit der Virus seine Schadensfunktion ausführt. Der Trigger kann z.B. das aktuelle Datum (Michelangelo zerstört Daten auf der Festplatte am 6. März) oder aber die Zeit seit dem Eindringen in ein System sein (dBase Virus, dessen Schaden nach 40 Tagen sichtbar wird).
Programm, das etwas anderes macht, als man erwartet. Wenn man ein neues Programm bekommt, das sich beim Programmstart als Spiel ausgibt, nach 20 Sekunden aber die Festplatte formatiert, handelt es sich um einen Trojaner. Im Gegensatz zu Viren verbreiten sich Trojaner nicht weiter.
neuere Viren versuchen sich vor Antivirenprogrammen zu verbergen, in dem sie ihren Programmcode in verschlüsselter Form abspeichern und diesen erst wärend des Programmablaufs entschlüsseln. Heuristische Virenscanner erkennen aber gerade in dieser Verschlüsselungstechnik ein virentypisches Verhalten und geben entsprechend Alarm.
ein Programm, welches die Fähigkeit besitzt, sich nach seinem Aufruf selbsttätig an andere ausführbare Codefragmente auf irgendeine Weise anzuhängen, diese also zu infizieren.
Hilfsprogramme, die es sogar Laien ermöglichen, Computerviren zu erzeugen. Meist sind die Ergebnisse solcher Programme aber qualitativ minderwertig und von Antivirenprogrammen leicht zu erkennen.
Virus eXchange, Mailboxen in denen Computerviren getauscht oder kostenlos weitergegeben werden. Da inzwischen in einigen Staaten die Weitergabe von Computerviren verboten wurde, arbeiten viele diese VX Systeme im Untergrund.
residentes Antivirenprogramm, das Aktivitäten von Viren erkennt und den Anwender entsprechend informiert. Der Vorteil solcher Wächterprogramme besteht darin, das sie Virusaktivitäten erkennen, bevor sich der Virus verbreiten kann. Nachteile sind zum einen Unverträglichkeiten mit anderen Programmen und anderen aber die Gefahr, das Wächterprogramme von Viren umgangen werden können.
Booten des Rechners durch die Tastenkombination ATL-CTRL-DEL. Im Gegensatz zum Kaltstart wird dabei der Speicher nicht neu initialisiert, weshalb ein Computervirus so einen Warmstart ohne weiteres überstehen kann. Zur Bekämpfung eines Virus ist daher immer ein Kaltstart erforderlich.
ein Programm, welches sich innerhalb von Netzwerken selbst vervielfältigt, dabei Rechenzeit stiehlt, jedoch keinerlei Wirtscode infiziert. Klassisches Beispiel ist der Internetwurm gewesen, der binnen kürzester Zeit weltweit hunderte von Rechnern in Internet lahm legte.
|
![[hoch]](1arrow3.gif) |
|