[HaBo]

MrNiceGuy

Anzeige

1.TEIL
(Diese Arbeit ist jetzt genau 3 Jahre alt, damals war ich noch nicht so gut informiert, also schickt mir keine Mails, die mir das erklären. Ich hatte keine Lust das alles nochmal zu schreiben! ;))


Was ist ein Virus?

Hier sind 2 recht oft gebrauchte Definitionen eines Computervirus':

Stelle die Wirkung von biologischen und Computerviren gegenüber!

Biologisch:

• selbstständige Verbreitung
• schädliche Wirkung
• erst bekämpfbar durch das Serum, am Besten vorsorgliche Immunisierung

Informationstechnisch:

• selbstständige Verbreitung
• schädliche Wirkung
• Erst bekämpfbar durch die Virensignatur der Antivirenhersteller
• vorsorgliche Immunisierung möglich aber selten angewendet! (meist auf Systemdateien angewendet)
  
  Bsp.: Viren schreiben eine Teil von sich in das Wirtsprogramm um zu erkennen ob diese Programm infiziert ist. Immunisierung bedeutet, dass alle Signaturen von Viren in das Wirtsprogramm geschrieben werden und der Virus ?denkt?, dass das Programm schon infiziert ist.
  
• Bloodhound-Technik (heuristische) KANN Viren erkennen, welche noch nicht als Virensignatur existieren. Das Wirtsprogramm wird mit üblichen Mustern, die von Viren verwendet werden, verglichen.

Die Anatomie des Virus

Erkennungsteil:

Mit diesem Programmstück wird festgestellt, ob das Programm, welches infiziert werden soll, schon vom gleichen Virus befallen ist. Eine entsprechende Kennung ist oft im Programmkopf des Wirtsprogramms abgelegt.


Payload:

Infektionsteil: Dieses Programmstück bewirkt das Einlesen des zu infizierten Programms in den Arbeitsspeicher, das Hinzufügen des gesamten Virusprogramms und das Zurückschreiben des Wirtsprogramms auf das Speichermedium.
Funktionsteil: Mit diesem Programmstück löst der Virus gut- oder bösartige Funktionen im infizierten Programm bzw. im gesamten Computersystem aus.

Manche Viren besitzen zudem auch noch Trigger Auslösemechanismus welcher dann z.B. an einem bestimmten Datum oder nach dem 10. Öffnen der Datei z.B. Dateien infiziert oder andere Aktionen ausführt.), Polymorphismus ( Verwandlungsfähige Viren, welche Ihren Quellcode ändern oder sich sogar neu kompilieren, wenn auf dem Wirtsystem ein Compiler vorhanden ist (meist UNIX & Co.).


Virenarten



Makroviren: infizieren makrofähige Dokumente (z.B. Word- oder Exceldokumente). Makros sind Skripte zur Erleichterung der Arbeit mit Dokumenten!

Bsp.:

Bootviren: infizieren den Bootsektor einer Festplatte oder einer Diskette (manche ersetzen den Bootsektor durch eigenen Code und lenken Antivirenprogramme auf die verschobene Originaldatei um sich nicht entdecken zu lassen.

Bsp.: Bootsektorviren kopieren sich auf den bootfähigen Abschnitt der Festplatte oder Diskette, sodass der Virus die Kontrolle über das System ergreifen kann, wenn es von einem Laufwerk mit infiziertem Bootsektor gestartet wird. Das Problem ist, dass der Virus eher als das Betriebssystem (und der evtl. vorhandenen Virenscanner) geladen wird. Wenn ein System gestartet wird durchläuft es den üblichen POST (Power On Self Test) und gleich anschließend führt das BIOS (Basic Input/ Output System) den Bootstrap (Urlader) aus d.h. es sucht nach einem gültigen Startlaufwerk.

Bsp.:

Dateiviren: infizieren Dateien indem Sie den schädlichen Code in die Datei kopieren.

Bsp.:

Shockwave Flashviren: infizieren SWF (Shockwave Flash) -Dateien und kann (u.a. auch harmlose) grafische Applets darstellen! Applets sind in einer Programmiersprache programmierte (bewegte) grafische Darstellungen!

Bsp.:

Programmviren: infizieren Programmdateien indem Sie den schädlichen Code (wie beim Makrovirus) in die Programmdatei kopieren, welcher beim nächsten Start (oder auch durch Trigger (s.o.)) ausgeführt wird.

Bsp.:

Polymorphe Viren: polymorphe Viren sind Viren, die Ihren Quellcode verändern. Es wäre auch möglich den Virus direkt auf dem Zielhost neu zu kompilieren sofern ein Compiler vorhanden ist.

Bsp.: Der Morris-Wurm benutzte den Trick, eine Kopie des eigenen Quellcodes von einem bereits infizierten Host herunterzuladen, diese Kopie zu kompilieren und auszuführen. Dadurch kann der Code sich gut an das System anpassen, da er auf dem System kompiliert wurde. Diese Technik setzt voraus dass ein Compiler auf dem Wirtssystem vorhanden ist, was bei dem Betriebssystemen UNIX & Co. der Normalfall ist.

Bsp.:

Hybridviren: hybrid (sprachl. Herk.: Griechisch) = von gemischter Herkunft, gekreuzt!
Hybridviren sind also gemischte (gekreuzte Viren) welche z.B. Dateien als auch Masterboot-Sektoren infizieren können.

Bsp.:
Erläuterung der Begriffe:

Virenname ist der Name des Virus?.

Aliasname ist der Name den z.B. andere Antivirensoftwarehersteller für denselben Virus verwenden. Es wird daran gearbeitet, dass alle Antivirensoftwarehersteller denselben Name verwenden.

Infiziert bedeutet, welche Dateien der Virus infizieren kann. Danach wird die Häufigkeit angegeben, in welchem Volumen der Virus bis jetzt aufgetreten ist.

Die Länge beschreibt wie lang der Code des Virus? ist.

Speicherresident sind Viren, die nach der Aktivierung fest im Speicher sind bis er gelöscht wird (z.B. durch das Ausschalten des PCs).

Auslöser, welcher z.B. an einem bestimmten Datum oder nach dem 10. Öffnen der Datei z.B. Dateien infiziert, oder bei einer bestimmten Aktion ausführt!

Stealth heißt so viel wie verstecken, indem er die Größe der Datei ändert oder auch die Attribute (z.B. schreibgeschützt oder nicht).

Verschlüsselnde Viren verschlüsseln sich und polymorphe Viren können sich z.B. neu kompilieren!


Wo kann ich mich informieren?


Informationen zu Viren kann man am häufigsten im Internet finden.

Auf Webseiten des Antivirenprogramm-Herstellers wie z.B.

www.symantec.de
www.mcafee.de oder www.mcafee-at-home.de
www.percomp.de
www.antivir.de oder www.free-av.de
www.sophos.de
www.trendmicro.de oder www.trendmicro.com
www.norman.de
www.kaspersky.com oder www.datsec.de
www.gdata.de
www.nod32.de
www.pandasoftware.de

Man kann sich genauso gut in Computerzeitschriften wie ?PC-Welt?, ?Computerbild? oder tecChannel? über die neusten Gefahren informieren.

Falls man sich über einen bestimmten Virus genauer informieren möchte kann man sich in Mailinglisten eintragen oder in Foren bzw. Diskussionsgruppen im Internet eintragen.

Einige Beispiele:

Alt.comp.virus ist eine gute Diskussionsgruppe für jeden der sich über Viren informieren will wer sich noch etwas mehr damit beschäftigen möchte kann auch bei alt.comp.virus.source.code vorbeischauen.

Gute Foren sind z.B. auch

www.hackerboard.de
www.hilfe-forum.info
www.chat.de (unter PC und Sicherheit)


Wenn man sich aber allgemein über Viren informieren möchte kann man sich auch z.B. Bücher kaufen. Meist gute Informationen bekommt man auch beim nächsten PC- Geschäft.

Man kann aber auch einfach in einer Suchmaschine den Virus oder einen globalen Begriff eingeben.

Fragen könnt ihr direkt hier ins Forum posten!

Copyleft

jorey

*Sprachlos gut*

CPU8080

ich find das könnte man doch gut ins Wiki packen, oder?

nlite

*gähn* Wer interessiert sich heute noch für Viren?

CPU8080

Leider viel zuviele

nlite

Was ich eigentlich sagen will, ist das: Virenprogramme sind schön und gut - aber die wirklich gefährlichen Viren erkennen sie erst, wenn man sie geupdatet hat. Den Rest der Zeit blockieren sie Arbeitsspeicher und Festplatte für ein bescheidenes Gefühl von Sicherheit. Also warum nicht gleich darauf verzichten und ein wenig Dateidisziplin halten? Wen Hunderte DAUs zugleich den "I love you" Virus öffnen, ist ihnen so oder so nicht zu helfen...
Und was die Abertausenden bekannten Viren betrifft, die jetzt die Datenbanken füllen...gibts die überhaupt noch in freier Wildbahn?