![[HaBo]](/styles/default/logoklein.png)
1.TEIL
(Diese Arbeit ist jetzt genau 3 Jahre alt, damals war ich noch nicht so gut informiert, also schickt mir keine Mails, die mir das erklären. Ich hatte keine Lust das alles nochmal zu schreiben!
)
Was ist ein Virus?
Hier sind 2 recht oft gebrauchte Definitionen eines Computervirus':
Stelle die Wirkung von biologischen und Computerviren gegenüber!
Biologisch:
Informationstechnisch:
Die Anatomie des Virus
Erkennungsteil:
Mit diesem Programmstück wird festgestellt, ob das Programm, welches infiziert werden soll, schon vom gleichen Virus befallen ist. Eine entsprechende Kennung ist oft im Programmkopf des Wirtsprogramms abgelegt.
Payload:
Infektionsteil: Dieses Programmstück bewirkt das Einlesen des zu infizierten Programms in den Arbeitsspeicher, das Hinzufügen des gesamten Virusprogramms und das Zurückschreiben des Wirtsprogramms auf das Speichermedium.
Funktionsteil: Mit diesem Programmstück löst der Virus gut- oder bösartige Funktionen im infizierten Programm bzw. im gesamten Computersystem aus.
Manche Viren besitzen zudem auch noch Trigger Auslösemechanismus welcher dann z.B. an einem bestimmten Datum oder nach dem 10. Öffnen der Datei z.B. Dateien infiziert oder andere Aktionen ausführt.), Polymorphismus ( Verwandlungsfähige Viren, welche Ihren Quellcode ändern oder sich sogar neu kompilieren, wenn auf dem Wirtsystem ein Compiler vorhanden ist (meist UNIX & Co.).
Virenarten
Makroviren: infizieren makrofähige Dokumente (z.B. Word- oder Exceldokumente). Makros sind Skripte zur Erleichterung der Arbeit mit Dokumenten!
Bsp.:
Bootviren: infizieren den Bootsektor einer Festplatte oder einer Diskette (manche ersetzen den Bootsektor durch eigenen Code und lenken Antivirenprogramme auf die verschobene Originaldatei um sich nicht entdecken zu lassen.
Bsp.: Bootsektorviren kopieren sich auf den bootfähigen Abschnitt der Festplatte oder Diskette, sodass der Virus die Kontrolle über das System ergreifen kann, wenn es von einem Laufwerk mit infiziertem Bootsektor gestartet wird. Das Problem ist, dass der Virus eher als das Betriebssystem (und der evtl. vorhandenen Virenscanner) geladen wird. Wenn ein System gestartet wird durchläuft es den üblichen POST (Power On Self Test) und gleich anschließend führt das BIOS (Basic Input/ Output System) den Bootstrap (Urlader) aus d.h. es sucht nach einem gültigen Startlaufwerk.
Bsp.:
Dateiviren: infizieren Dateien indem Sie den schädlichen Code in die Datei kopieren.
Bsp.:
Shockwave Flashviren: infizieren SWF (Shockwave Flash) -Dateien und kann (u.a. auch harmlose) grafische Applets darstellen! Applets sind in einer Programmiersprache programmierte (bewegte) grafische Darstellungen!
Bsp.:
Programmviren: infizieren Programmdateien indem Sie den schädlichen Code (wie beim Makrovirus) in die Programmdatei kopieren, welcher beim nächsten Start (oder auch durch Trigger (s.o.)) ausgeführt wird.
Bsp.:
Polymorphe Viren: polymorphe Viren sind Viren, die Ihren Quellcode verändern. Es wäre auch möglich den Virus direkt auf dem Zielhost neu zu kompilieren sofern ein Compiler vorhanden ist.
Bsp.: Der Morris-Wurm benutzte den Trick, eine Kopie des eigenen Quellcodes von einem bereits infizierten Host herunterzuladen, diese Kopie zu kompilieren und auszuführen. Dadurch kann der Code sich gut an das System anpassen, da er auf dem System kompiliert wurde. Diese Technik setzt voraus dass ein Compiler auf dem Wirtssystem vorhanden ist, was bei dem Betriebssystemen UNIX & Co. der Normalfall ist.
Bsp.:
Hybridviren: hybrid (sprachl. Herk.: Griechisch) = von gemischter Herkunft, gekreuzt!
Hybridviren sind also gemischte (gekreuzte Viren) welche z.B. Dateien als auch Masterboot-Sektoren infizieren können.
Bsp.:
Erläuterung der Begriffe:
Virenname ist der Name des Virus?.
Aliasname ist der Name den z.B. andere Antivirensoftwarehersteller für denselben Virus verwenden. Es wird daran gearbeitet, dass alle Antivirensoftwarehersteller denselben Name verwenden.
Infiziert bedeutet, welche Dateien der Virus infizieren kann. Danach wird die Häufigkeit angegeben, in welchem Volumen der Virus bis jetzt aufgetreten ist.
Die Länge beschreibt wie lang der Code des Virus? ist.
Speicherresident sind Viren, die nach der Aktivierung fest im Speicher sind bis er gelöscht wird (z.B. durch das Ausschalten des PCs).
Auslöser, welcher z.B. an einem bestimmten Datum oder nach dem 10. Öffnen der Datei z.B. Dateien infiziert, oder bei einer bestimmten Aktion ausführt!
Stealth heißt so viel wie verstecken, indem er die Größe der Datei ändert oder auch die Attribute (z.B. schreibgeschützt oder nicht).
Verschlüsselnde Viren verschlüsseln sich und polymorphe Viren können sich z.B. neu kompilieren!
Wo kann ich mich informieren?
Informationen zu Viren kann man am häufigsten im Internet finden.
Auf Webseiten des Antivirenprogramm-Herstellers wie z.B.
www.symantec.de
www.mcafee.de oder www.mcafee-at-home.de
www.percomp.de
www.antivir.de oder www.free-av.de
www.sophos.de
www.trendmicro.de oder www.trendmicro.com
www.norman.de
www.kaspersky.com oder www.datsec.de
www.gdata.de
www.nod32.de
www.pandasoftware.de
Man kann sich genauso gut in Computerzeitschriften wie ?PC-Welt?, ?Computerbild? oder tecChannel? über die neusten Gefahren informieren.
Falls man sich über einen bestimmten Virus genauer informieren möchte kann man sich in Mailinglisten eintragen oder in Foren bzw. Diskussionsgruppen im Internet eintragen.
Einige Beispiele:
Alt.comp.virus ist eine gute Diskussionsgruppe für jeden der sich über Viren informieren will wer sich noch etwas mehr damit beschäftigen möchte kann auch bei alt.comp.virus.source.code vorbeischauen.
Gute Foren sind z.B. auch
www.hackerboard.de
www.hilfe-forum.info
www.chat.de (unter PC und Sicherheit)
Wenn man sich aber allgemein über Viren informieren möchte kann man sich auch z.B. Bücher kaufen. Meist gute Informationen bekommt man auch beim nächsten PC- Geschäft.
Man kann aber auch einfach in einer Suchmaschine den Virus oder einen globalen Begriff eingeben.
Fragen könnt ihr direkt hier ins Forum posten!
Copyleft
(Diese Arbeit ist jetzt genau 3 Jahre alt, damals war ich noch nicht so gut informiert, also schickt mir keine Mails, die mir das erklären. Ich hatte keine Lust das alles nochmal zu schreiben!
)Was ist ein Virus?
Hier sind 2 recht oft gebrauchte Definitionen eines Computervirus':
Stelle die Wirkung von biologischen und Computerviren gegenüber!
Biologisch:
- selbstständige Verbreitung
- schädliche Wirkung
- erst bekämpfbar durch das Serum, am Besten vorsorgliche Immunisierung
Informationstechnisch:
- selbstständige Verbreitung
- schädliche Wirkung
- Erst bekämpfbar durch die Virensignatur der Antivirenhersteller
- vorsorgliche Immunisierung möglich aber selten angewendet! (meist auf Systemdateien angewendet)
Bsp.: Viren schreiben eine Teil von sich in das Wirtsprogramm um zu erkennen ob diese Programm infiziert ist. Immunisierung bedeutet, dass alle Signaturen von Viren in das Wirtsprogramm geschrieben werden und der Virus ?denkt?, dass das Programm schon infiziert ist.
- Bloodhound-Technik (heuristische) KANN Viren erkennen, welche noch nicht als Virensignatur existieren. Das Wirtsprogramm wird mit üblichen Mustern, die von Viren verwendet werden, verglichen.
Die Anatomie des Virus
Erkennungsteil:
Mit diesem Programmstück wird festgestellt, ob das Programm, welches infiziert werden soll, schon vom gleichen Virus befallen ist. Eine entsprechende Kennung ist oft im Programmkopf des Wirtsprogramms abgelegt.
Payload:
Infektionsteil: Dieses Programmstück bewirkt das Einlesen des zu infizierten Programms in den Arbeitsspeicher, das Hinzufügen des gesamten Virusprogramms und das Zurückschreiben des Wirtsprogramms auf das Speichermedium.
Funktionsteil: Mit diesem Programmstück löst der Virus gut- oder bösartige Funktionen im infizierten Programm bzw. im gesamten Computersystem aus.
Manche Viren besitzen zudem auch noch Trigger Auslösemechanismus welcher dann z.B. an einem bestimmten Datum oder nach dem 10. Öffnen der Datei z.B. Dateien infiziert oder andere Aktionen ausführt.), Polymorphismus ( Verwandlungsfähige Viren, welche Ihren Quellcode ändern oder sich sogar neu kompilieren, wenn auf dem Wirtsystem ein Compiler vorhanden ist (meist UNIX & Co.).
Virenarten
Makroviren: infizieren makrofähige Dokumente (z.B. Word- oder Exceldokumente). Makros sind Skripte zur Erleichterung der Arbeit mit Dokumenten!
Bsp.:
Code:
Virenname: W97M.Melissa.A
Aliasnamen: W97M.Melissa.A
Infiziert: MS Word 97 Dokumente
Häufigkeit: häufig
Länge: 1234 Byte
Merkmale
Speicherresisdent: nein
Auslöser: ja
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: nein
Code:
Virenname: WM.Magnum
Aliasnamen: keine
Infiziert: Makrofähige Dokumente
Häufigkeit: selten
Länge: 1000 Byte
Merkmale
Speicherresisdent: nein
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: nein
Code:
Virenname: WM.Minimal.BM
Aliasnamen: keine
Infiziert: Makrofähige Dokumente
Häufigkeit: selten
Länge: 1234 Byte
Merkmale
Speicherresisdent: nein
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: jaBootviren: infizieren den Bootsektor einer Festplatte oder einer Diskette (manche ersetzen den Bootsektor durch eigenen Code und lenken Antivirenprogramme auf die verschobene Originaldatei um sich nicht entdecken zu lassen.
Bsp.: Bootsektorviren kopieren sich auf den bootfähigen Abschnitt der Festplatte oder Diskette, sodass der Virus die Kontrolle über das System ergreifen kann, wenn es von einem Laufwerk mit infiziertem Bootsektor gestartet wird. Das Problem ist, dass der Virus eher als das Betriebssystem (und der evtl. vorhandenen Virenscanner) geladen wird. Wenn ein System gestartet wird durchläuft es den üblichen POST (Power On Self Test) und gleich anschließend führt das BIOS (Basic Input/ Output System) den Bootstrap (Urlader) aus d.h. es sucht nach einem gültigen Startlaufwerk.
Bsp.:
Code:
Virenname: Zimbab
Aliasnamen: keine
Infiziert: Diskette und Masterboot-Sektoren
Häufigkeit: selten
Länge: 520 Byte
Merkmale
Speicherresisdent: nein
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: nein
Code:
Virenname: Zaboot (b)
Aliasnamen: keine
Infiziert: Diskette, Festplatte und Masterboot-Sektoren
Häufigkeit: selten
Länge: 520 Byte
Merkmale
Speicherresisdent: ja
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: nein
Code:
Virenname: Kilroy-B (b)
Aliasnamen: keine
Infiziert: Diskette und Festplatte Boot-Sektoren
Häufigkeit: selten
Länge: 520 Byte
Merkmale
Speicherresisdent: nein
Auslöser: ja
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: neinDateiviren: infizieren Dateien indem Sie den schädlichen Code in die Datei kopieren.
Bsp.:
Code:
Virenname: LBM6
Aliasnamen: keine
Infiziert: .com-Dateien
Häufigkeit: selten
Länge: 30'075 Byte
Merkmale
Speicherresisdent: nein
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: nein
Code:
Virenname: LD93.1232
Aliasnamen: keine
Infiziert: .exe-Dateien
Häufigkeit: häufig
Länge: 1232 Byte
Merkmale
Speicherresisdent: ja
Auslöser: ja
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: ja
Polymorph: nein
Code:
Virenname: VBS.Chick@mm
Aliasnamen: keine
Infiziert: .exe-Dateien
Häufigkeit: selten
Länge: 10'622 Byte
Merkmale
Speicherresisdent: nein
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: neinShockwave Flashviren: infizieren SWF (Shockwave Flash) -Dateien und kann (u.a. auch harmlose) grafische Applets darstellen! Applets sind in einer Programmiersprache programmierte (bewegte) grafische Darstellungen!
Bsp.:
Code:
Virenname: SWF/LFM-926
Aliasnamen: keine
Infiziert: Shockwave Flash-Dateien (.swf)
Häufigkeit: selten
Länge: keine Angaben
Merkmale
Speicherresisdent: nein
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: nein
Anmerkung: Es muss eine bestimmte Version von Windows Flash Player installiert sein!Programmviren: infizieren Programmdateien indem Sie den schädlichen Code (wie beim Makrovirus) in die Programmdatei kopieren, welcher beim nächsten Start (oder auch durch Trigger (s.o.)) ausgeführt wird.
Bsp.:
Code:
Virenname:_1403
Aliasnamen: keine
Infiziert: .com und .exe-Dateien
Häufigkeit: selten
Länge: 1403 Byte
Merkmale
Speicherresisdent: ja
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: ja
Polymorph: nein
Code:
Virenname:Bomz.3809
Aliasnamen: keine
Infiziert: .exe-Dateien
Häufigkeit: selten
Länge: 3809 Byte
Merkmale
Speicherresisdent: ja
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: nein
Code:
Virenname: W32.Nimda.A@mm
Aliasnamen: keine
Infiziert: .exe-Dateien
Häufigkeit: häufig
Länge: 57344 Byte
Merkmale
Speicherresisdent: nein
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: neinPolymorphe Viren: polymorphe Viren sind Viren, die Ihren Quellcode verändern. Es wäre auch möglich den Virus direkt auf dem Zielhost neu zu kompilieren sofern ein Compiler vorhanden ist.
Bsp.: Der Morris-Wurm benutzte den Trick, eine Kopie des eigenen Quellcodes von einem bereits infizierten Host herunterzuladen, diese Kopie zu kompilieren und auszuführen. Dadurch kann der Code sich gut an das System anpassen, da er auf dem System kompiliert wurde. Diese Technik setzt voraus dass ein Compiler auf dem Wirtssystem vorhanden ist, was bei dem Betriebssystemen UNIX & Co. der Normalfall ist.
Bsp.:
Code:
Virenname: Markus.mp.6001
Aliasnamen: keine
Infiziert: .com und .exe-Dateien
Häufigkeit: selten
Länge: 6001 Byte
Merkmale
Speicherresisdent: nein
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: ja
Code:
Virenname: Maverick.1536 (4)
Aliasnamen: keine
Infiziert: .com und .exe-Dateien
Häufigkeit: selten
Länge: 1536 Byte
Merkmale
Speicherresisdent: ja
Auslöser: nein
Stealth (Größe): ja
Stealth (Größe und Attribute): ja
Verschlüssend: nein
Polymorph: ja
Code:
Virenname: Vice.CJ
Aliasnamen: keine
Infiziert: .com-Dateien
Häufigkeit: häufig
Länge: 4650 Byte
Merkmale
Speicherresisdent: ja
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: ja
Polymorph: jaHybridviren: hybrid (sprachl. Herk.: Griechisch) = von gemischter Herkunft, gekreuzt!
Hybridviren sind also gemischte (gekreuzte Viren) welche z.B. Dateien als auch Masterboot-Sektoren infizieren können.
Bsp.:
Code:
Virenname: Alar.5088 (b)
Aliasnamen: keine
Infiziert: .com und .exe-Dateien
Häufigkeit: selten
Länge: 512 Byte
Merkmale
Speicherresisdent: ja
Auslöser: nein
Stealth (Größe): nein
Stealth (Größe und Attribute): ja
Verschlüssend: nein
Polymorph: ja
Code:
Virenname: AntiCAD.4096.Chi (x)
Aliasnamen: keine
Infiziert: .com und .exe-Dateien
Häufigkeit: selten
Länge: 4096 Byte
Merkmale
Speicherresisdent: ja
Auslöser: ja
Stealth (Größe): nein
Stealth (Größe und Attribute): nein
Verschlüssend: nein
Polymorph: nein
Code:
Virenname: Neuroq/Nightfall (21)
Aliasnamen: keine
Infiziert: .exe-Dateien
Häufigkeit: häufig
Länge: 4554 Byte
Merkmale
Speicherresisdent: ja
Auslöser: ja
Stealth (Größe): ja
Stealth (Größe und Attribute): ja
Verschlüssend: ja
Polymorph: jaErläuterung der Begriffe:
Virenname ist der Name des Virus?.
Aliasname ist der Name den z.B. andere Antivirensoftwarehersteller für denselben Virus verwenden. Es wird daran gearbeitet, dass alle Antivirensoftwarehersteller denselben Name verwenden.
Infiziert bedeutet, welche Dateien der Virus infizieren kann. Danach wird die Häufigkeit angegeben, in welchem Volumen der Virus bis jetzt aufgetreten ist.
Die Länge beschreibt wie lang der Code des Virus? ist.
Speicherresident sind Viren, die nach der Aktivierung fest im Speicher sind bis er gelöscht wird (z.B. durch das Ausschalten des PCs).
Auslöser, welcher z.B. an einem bestimmten Datum oder nach dem 10. Öffnen der Datei z.B. Dateien infiziert, oder bei einer bestimmten Aktion ausführt!
Stealth heißt so viel wie verstecken, indem er die Größe der Datei ändert oder auch die Attribute (z.B. schreibgeschützt oder nicht).
Verschlüsselnde Viren verschlüsseln sich und polymorphe Viren können sich z.B. neu kompilieren!
Wo kann ich mich informieren?
Informationen zu Viren kann man am häufigsten im Internet finden.
Auf Webseiten des Antivirenprogramm-Herstellers wie z.B.
www.symantec.de
www.mcafee.de oder www.mcafee-at-home.de
www.percomp.de
www.antivir.de oder www.free-av.de
www.sophos.de
www.trendmicro.de oder www.trendmicro.com
www.norman.de
www.kaspersky.com oder www.datsec.de
www.gdata.de
www.nod32.de
www.pandasoftware.de
Man kann sich genauso gut in Computerzeitschriften wie ?PC-Welt?, ?Computerbild? oder tecChannel? über die neusten Gefahren informieren.
Falls man sich über einen bestimmten Virus genauer informieren möchte kann man sich in Mailinglisten eintragen oder in Foren bzw. Diskussionsgruppen im Internet eintragen.
Einige Beispiele:
Alt.comp.virus ist eine gute Diskussionsgruppe für jeden der sich über Viren informieren will wer sich noch etwas mehr damit beschäftigen möchte kann auch bei alt.comp.virus.source.code vorbeischauen.
Gute Foren sind z.B. auch
www.hackerboard.de
www.hilfe-forum.info
www.chat.de (unter PC und Sicherheit)
Wenn man sich aber allgemein über Viren informieren möchte kann man sich auch z.B. Bücher kaufen. Meist gute Informationen bekommt man auch beim nächsten PC- Geschäft.
Man kann aber auch einfach in einer Suchmaschine den Virus oder einen globalen Begriff eingeben.
Fragen könnt ihr direkt hier ins Forum posten!
Copyleft