Was ist Malware?

Schützen Sie Ihren PC vor Schadsoftware!

Start / Der Computervirus

Der Computervirus

Deutliches Anzeichen für die Anwesenheit eines Computervirus

Deutliches Anzeichen für die Anwesenheit eines Computervirus

Ein Computervirus ist eine nicht selbstständige Programmroutine, die wenn sie aktiviert wird, sich selbst reproduziert und eine Reihe von Anweisungen ausführt. Dabei infiziert der Virus Programmdateien oder ganze Betriebssysteme, in dem er sich zum Beispiel an den Anfang des Quellcodes der Dateien setzt und somit bei Ausführung der Datei, ebenfalls ausgeführt wird.

Das Problem an einem Computervirus ist, dass er sich nicht kontrolliert verbreitet und auch seine Auswirkungen nicht zu 100% abzuschätzen sind. Viele schädliche Funktionen, sind vom Programmierer eines Computervirus nicht beabsichtigt und startet der Anwender die infizierte Datei, kann dies nicht kontrollierbare Veränderungen am Status des Betriebssystems, an der Hardware oder an der Software zur Folge haben.

Der Computervirus zählt zur Malware und wird oft fälschlicherweise als Synonym für Computerwürmer oder Trojanische Pferde genutzt. Dies ist der Fall, da oft Mischformen existieren und ein normaler Anwender diese nicht auseinander halten kann.

Damit Sie genau wissen, was wirklich unter einem Computervirus verstanden wird, möchte ich Ihnen diesen im Folgenden näher vorstellen. Deshalb beantworte ich hier folgenden Fragen:

Wie ist ein Computervirus aufgebaut?

Es ist schwer zu beschreiben, wie Computerviren generell aufgebaut sind, da es so viele unterschiedliche Typen gibt. Der nachfolgend beschriebene Aufbau soll deshalb nur als Beispiel dienen. Manche Viren haben mehr, andere weniger Bestandteile. Doch in einem sind sich alle gleich, sie brauchen einen Vermehrungsteil.

Hier die möglichen Bestandteile eines Computervirus:

  • Entschlüsselungsroutine
  • Vermehrungsteil
  • Erkennungsteil
  • Schadensteil
  • Bedingungsteil
  • Tarnungsteil

Entschlüsselungsroutine
Bei verschlüsselten Computerviren, sorgt dieser Teil dafür, dass die Daten wieder entschlüsselt und ausgeführt werden können. Da nicht alle Viren verschlüsselt sind, besitzt auch nicht jedes Virus diesen Teil. Die Entschlüsselungsroutine kann aber von Herstellern von Antivirensoftware dazu genutzt werden, den Virus frühzeitig zu erkennen.

Vermehrungsteil
Im Vermehrungsteil reproduziert sich der Computervirus.

Erkennungsteil
Im Erkennungsteil wird geprüft, ob ein Programm oder ein Systembereich schon erfolgreich infiziert worden ist. Das hilft der Verbreitung des Computervirus, in dem ein solcher Bereich nur einmal infiziert wird.

Schadensteil
Hier kann ein für das Wirtssystem schädlicher Programmteil enthalten sein. Je nach Virus variiert der Inhalt oder es fehlt dieser Teil sogar komplett. Im Verhältnis zur Gesamtzahl der sich im Umlauf befindlichen Computerviren, besitzen nur die wenigsten diesen Teil.

Bedingungsteil
Die Vermehrung oder der Aufruf des Schadteils, können von dem Inhalt des Bedingungsteils abhängen. Der Bedingungsteil gibt an, unter welchen Bedingungen die anderen Teile aktiviert werden. Er macht es zum Beispiel vom Tagesdatum oder von den Systemvoraussetzungen abhängig, ob er die Schadensroutine ausführt oder nicht.

Tarnungsteil
Dieser Teil ist nur in komplexeren Viren vorhanden und soll den Computervirus davor schützen, von einem Antivirus Programm erkannt zu werden.

Welche Schäden kann ein Computervirus anrichten?

Viren sind bei den meisten so sehr gefürchtet, da sie den Ruf haben, alle Daten oder die komplette Hardware zu zerstören. Dies ist aber nur in den seltens Fällen richtig. Die meisten Arten von Computerviren, sind in erster Linie darauf aus, möglichst nicht aufzufallen und sich soweit wie möglich zu verbreiten.

Zur Verfolgung dieses Ziels, nutzt der Computervirus die Ressourcen des infizierten Rechners und stiehlt somit Rechenleistung und Festplattenkapazitäten. Dieser „Diebstahl“ stellt im Normalfall aber keine große Beeinträchtigung dar. Ein Computervirus ist nämlich so geschrieben, dass er nicht auffällt und bei den aktuellen Festplattengrößen und Kapazitäten des Arbeitsspeichers, bleibt der „Diebstahl“ vom User meist unbemerkt.

Auffälliger und umso ärgerlicher, sind die drei gewollten Arten von Schäden, die der Virenautor absichtlich einem Computervirus hinzufügt:

Mögliche Schäden eines Computervirus

Mögliche Schäden eines Computervirus

Existenzbericht:
Manche Viren informieren den Anwender, dass ihr System befallen ist. Dies kann z.B. durch

  • das Abspielen eines Tons oder Musik,
  • plötzlich aufgehende Meldungen mit auffälligen Nachrichten oder
  • Anomalien in der Darstellung auf dem Bildschrim (Verzerrungen von Fenstern)

erfolgen. Solche Existenzmeldungen sind meistens harmloser Natur und die Viren enthalten keine Schadroutine.

Datenzerstörung:
Der Schadensteil mancher Computerviren ist darauf ausgelegt, Dateien zu infizieren und diese zu manipulieren oder zu zerstören. Manche Viren gehen sogar soweit, dass sie die komplette Festplatte formatieren und damit alle darauf befindlichen Daten unwiderruflich löschen. Dies ist aber eher selten der Fall, denn Viren wollen nicht auffallen und das Ziel Nummer eins ist die Verbreitung. Wird die Festplatte formatiert, zerstören sie sich selbst, da sich der Computervirus im Speicher „einnistet“.

Hardwarezerstörung:
Durch Viren verursachte Hardwareschäden sind eher selten und nur in Einzelfällen möglich. Hierzu müsste der Virenautor die Hardware so fehlerhaft ansprechen, dass diese zerstört wird. Zum Beispiel könnte man sich vorstellen, das die Grafikkarte über eine Software übertaktet werden kann. Dies kann sich ein Computervirus zu nutze machen und die Grafikkarte soweit übertakten, dass diese überhitzt und funktionsunfähig wird.

Aufgrund der Vielzahl von erhältlichen Hardwarekomponenten und Hardwarekombinationen, ist die Zerstörung der Hardware aber kein lohnendes Ziel und wird nur sehr sehr selten durchgeführt.

Weitere mögliche Schäden:
Zu weiteren möglichen Schäden kann es kommen, wenn der Computervirus falsch programmiert wird und dieser Fehler so schwerwiegend ist, dass er Dateien zerstört oder gesamte Datenbestände vernichtet. Solche Fehler in der Programmierung sind vom Autor meist nicht gewollt und die möglichen Schäden nur schwer abzuschätzen.

Haben Viren einen Selbstschutzmechanismus?

Ja den haben Sie. Computerviren können auf 5 verschiedene Selbstschutzmechanismen aufbauen. Diese dienen alle dazu, das der Computervirus möglichst lange unentdeckt bleibt.

Selbstschutzmechanismen eines Computervirus

Selbstschutzmechanismen eines Computervirus

Welche Computervirentypen unterscheidet man?

Computerviren werden in die folgenden Kategorien eingeteilt:

Bootsektorviren
Der Bootsektorvirus „nistet“ sich im Bootsektor Ihrer Festplatte ein oder infiziert den Master Boot Record derselben. Dies ist für den Rechner kritisch, da der Bootsektor und der Master Boot Record den sogenannten Bootloader enthält. Der Bootloader wird direkt nach dem Start des Computers ausgeführt und übergibt die Kontrolle über alle Systemressourcen an das installierte Betriebssystem.

Ist Ihr PC von einem Bootsektorvirus befallen, wird dieser vor dem Start des Betriebssystems ausgeführt. Dies ist natürlich sehr intereassant für Angreifer, da sie mit der Hilfe eines Bootsektorvirus direkt in das Betriebssystem eingreifen oder dieses komplett umgehen können. Dateien finden oder öffnen können sie aber nicht, da dieser Computervirus nicht auf Funktionen zurückgreifen kann, die das Betriebssystem bereitstellt.

Durch die umfangreichen Schutzmaßnahmen des BIOS und der neuen Betriebssysteme, spielen die Bootsektorviren heutzutage eine eher untergeordnete Rolle.

Mehr Informationen zu den Bootsektorviren

Dateiviren
Ein Computervirus von diesen Typ, befällt ausführbare Dateien oder Programmbibliotheken. Ist eine Datei infiziert, befindet sich am Anfang des Quellcodes eine Sprunganweisung zum Quellcode des Virus. Führen Sie die infizierte Datei aus, dann wird vor dem Start des eigentlichen Programms, der Quellcode des Computervirus ausgeführt und danach erst das Programm gestartet. Dieser Vorgang geht meist so schnell vonstatten, dass Ihnen als Anwender diese Verzögerung kaum auffallen dürfte.

Der Dateivirus ist der am häufigsten anzutreffende Virentyp.

Weitere Informationen zu den Dateiviren

Makroviren
Viele Textverarbeitungsprogramme oder Tabellenkalkulationen wie z.B. Microsoft Word oder Mircosoft Excel, aber auch die verwandten Produkte von OpenOffice, nutzen zur Automatisierung von Aufgaben, eine an die Programmiersprache Basic angelehnte Makrosprache. Um auf diese zugreifen zu können, wird beim Programmstart automatisch ein spezielles Makro ausgeführt. Das Makro ist der bevorzugte Ort, der von Makroviren für die Infizierung genutzt wird, da hier die Wahrscheinlichkeit der Ausführung am höchsten ist.

Die Makroviren haben sich lange Zeit sehr erfolgreich verbreitet, da die meisten User in den entsprechenden Dokumenten keine Computerviren vermutet haben. Neuerdings fragen die entsprechenden Office-Anwendungen aber nach, bevor Makros ausgeführt werden, weil das automatische Ausführen von Makros mittlerweile standardmäßig ausgeschaltet ist. Sollte dies bei Ihnen nicht der Fall sein, müssen Sie unbedingt diese Einstellung nachträglich vornehmen.

Weitere Informationen zu den Makroviren

Skriptviren
Skriptviren verstecken sich, wie der Name schon vermuten lässt, in sogenannten Skripten. Skripte werden meist dazu verwendet, um immer wiederkehrende Aufgaben zu automatisieren (also ähnlich wie bei den Makros). Sie werden aber auch dazu eingesetzt, um Funktionen auf Webseiten zu realisieren, wofür sonst ausführbare Programme direkt auf dem PC vonnöten gewesen wären.

Die häufigste Form von Skriptviren, ist innerhalb von Webseiten zu finden. Im Quellcode einer Webseite gibt es einen speziellen Bereich, der für Skripte vorgesehen ist. Den sogenannten Skriptbereich. Skriptviren infizieren und verstecken sich in diesem Bereich, da er vom Browser geladen und ausgeführt wird. Nach der Ausführung sucht sich der Computervirus eine Wirtsdatei auf Ihrem Computer und Ihr System ist infiziert.

Dieser Computervirus ist wie der Dateivirus, sehr weit verbreitet. Häufig trifft man ihn auf Webseiten mit halb- oder illegalem Content an.

Weitere Informationen zu den Skriptviren

Welche Infektionsarten gibt es?

Genauso wie bei den Virentypen, gibt es auch bei den Infektionsarten nicht nur eine Variante, wie Viren eine Wirtsdatei infizieren können. Hier die vier wichtigsten Infektionsarten eines Computervirus:

  1. Companion-Viren
    Bei Companion-Viren wird nicht die ausführbare Datei selbst infiziert, sondern die Datei umbenannt und eine neue Datei mit dem ursprünglichen Namen erstellt. Diese enthält den Virus und wird vom Anwender für die Originaldatei gehalten.

    Die Funktioinsweise von Companion-Viren

    Die Funktioinsweise von Companion-Viren

  2. Überschreibende Computerviren
    Wie der Name es schon vermuten lässt, überschreiben Viren dieser Infektionsart, entweder gleich die gesamte Wirtsdatei oder nur einen Teil davon. Dadurch wird die befallene Datei so schwer beschädigt, dass sie nicht mehr funktioniert und nur noch zur Verbreitung des Viruses dient.

    Mit einem überschreibenden Computervirus infiziertes Programm

    Mit einem überschreibenden Computervirus infiziertes Programm

  3. Prepender
    Hier wird das Virus an den Anfang einer Datei oder eines ausführbaren Programms gesetzt. Somit wird der Computervirus vor der Ausführung der eigentlichen Datei gestartet und kann seine Schadwirkung entfalten. Nachdem die Schadroutine ausgeführt worden ist, wird das Wirtsprogramm ausgeführt. Der Anwender bekommt von der Ausführung des Computervirus in den seltensten Fällen etwas mit, da das Wirtsprogramm vollfunktionsfähig bleibt und nur ein geringer Zeitverlust beim Start entsteht.

    Mit einem Prepender-Computervirus infiziertes Programm

    Mit einem Prepender-Computervirus infiziertes Programm

  4. Appender
    Die häufigste Infektionsart, da am einfachsten zu implementieren, ist die eines Appender-Virus. Hier wird die Programmlogik des Computervirus an das Ende des Wirtsprogramms gesetzt. Über verschiedenste Sprungmarken im Quellcode, wird der Virus vor dem eigentlichen Programm ausgeführt und kann seine Schadroutine starten. Ist der Computervirus fertig, wird zurück zum Programmeinstiegspunkt gesprungen. Der Vorteil dieser Variante ist der, dass das Programm im Arbeitsspeicher nicht wiederhergestellt werden muss und es auch nur minimal verändert wird.

    Mit einem Appender-Computervirus infiziertes Programm

    Mit einem Appender-Computervirus infiziertes Programm

Welche Betriebssysteme sind besonders gefährdet?

Windows ist das Hauptziel der meisten Computerviren

Windows ist das Hauptziel der meisten
Computerviren

Durch die unterschiedlich starke Verbreitung der verschiedenen Betriebssysteme, ist die Gefahr einer Infektion mit einem Computervirus auch unterschiedlich hoch. Die meisten Programmierer, die hinter einem Computervirus stecken, wollen einen möglichst großen Schaden anrichten und konzentrieren sich dadurch auf die erfolgreichsten Betriebssysteme. Da das Betriebssystem Windows, von der Firma Microsoft mit seinen ganzen Produktlinien, einen ungefähren Marktanteil von 90% besitzt, existieren für dieses Betriebssystem auch die meisten Computerviren.

Grundsätzlich sind aber alle Betriebssysteme für eine Infektion mit einem Computervirus anfällig, sobald diese einem Programm erlauben, Operationen auf Dateien auszuführen. Also das Bearbeiten, Kopieren oder Löschen von Dateien.

Eine wichtige Rolle hierbei spielt das Berechtigungssystem des eingesetzten Betriebssystems, denn es bestimmt das Ausmaß der Ausbreitung eines Computervirus. Arbeiten die Anwender nur mit Benutzerkonten, die eingeschränkte Berechtigungen haben, kann der Computervirus auch nur die Dateien infizieren, für die der Anwender eine entsprechende Berechtigung besitzt. Systemdateien und Dateien anderer Anwender, sind von diesen Berechtigungen meist ausgeschlossen und können nicht befallen werden.

Früher waren Betriebssysteme im Einsatz, in denen der Benutzer ausschließlich als Administrator unterwegs war. Solche Systeme sind natürlich besonders anfällig. Das Problem wurde bei Windows aber spätestens seit Windows Vista gelöst. Hier besitzt ein normales Benutzerkonto keine Administratorenrechte mehr und durch die Benutzerkontensteuerung (UAC) wird das System zustätzlich geschützt.

Beim Betriebssystem Linux wird direkt nach der Installation ein Benutzerkonto mit eingeschränkten Berechtigungen eingerichtet. Dieses Benutzerkonto besitzt keine Administratorenrechte, da sie dem sogenannten Root-Account vorbehalten sind. Durch die strikte Trennung gleich nach der Installation und den hohen Sicherheitsstandards, ist das Betriebssystem Linux, besser gegen eine Infektion durch Computerviren geschützt. Außerdem ist Linux beim Endanwender nicht so weit verbreitet, wodurch dieses Betriebssystem für Virenautoren ein kaum lohnendes Ziel darstellt. Somit sind auch kaum Computerviren für Linux im Umlauf.

Ähnlich sieht es bei Mac OS aus. Hier sorgen ebenfalls die hohen Sicherheitsstandards, aber auch die geringe Verbreitung des Betriebssystems, für deutlich geringere Infrektionszahlen. Bis 2006 galt Mac OS sogar als gänzlich virenfrei.

4-Punkte-Plan für einen guten Virenschutz

1Halten Sie Ihre Software und Betriebssystem auf den aktuellsten Stand. Installieren Sie zeitnah neue Service Packs und Sicherheitsupdates.

2Seien Sie aufmerksam beim Umgang mit E-Mails. Öffnen Sie keine unbekannten Dateiänhange und nehmen Sie sich in Acht vor Phishing-Mails.

3Verwenden Sie ein aktuelles Antivirenprogramm und halten die Virendefinition stets aktuell.

4Verwenden Sie eine Firewall, die den Netzwerkverkehr überwacht. Mehr Informationen zur Firewall

Ich will mehr Sicherheit