Was ist ein Computervirus? Eigenschaften eines Virus Kein selbständiges Programm Kein...
35
-
Upload
elldrich-wiant -
Category
Documents
-
view
109 -
download
3
Transcript of Was ist ein Computervirus? Eigenschaften eines Virus Kein selbständiges Programm Kein...
Was ist ein Computervirus?Was ist ein Computervirus?
Eigenschaften eines VirusEigenschaften eines Virus
Kein selbständiges ProgrammKein selbständiges ProgrammIst an ein Wirtsprogramm gebunden Ist an ein Wirtsprogramm gebunden
Viren werden erst aktiv, wenn das Viren werden erst aktiv, wenn das Wirtsprogramm gestartet wird. Wirtsprogramm gestartet wird.
Sie können sich selbst reproduzieren. Sie können sich selbst reproduzieren.
Rufen Störungen oder Beschädigungen von Rufen Störungen oder Beschädigungen von Software hervorSoftware hervor
Entstehung der VirenEntstehung der Viren
1984 stellt F. Cohen „ein Programm, das sich 1984 stellt F. Cohen „ein Programm, das sich selbst schreibt“ vor.selbst schreibt“ vor.
Studenten entwickeln „Schmunzelviren“Studenten entwickeln „Schmunzelviren“
Zweite Hälfte der 80er Jahre entstehen Zweite Hälfte der 80er Jahre entstehen gefährliche Viren (1986 Pakistani Brain)gefährliche Viren (1986 Pakistani Brain)
Anfang der 90er Jahre wurden auf den „Bulletin Anfang der 90er Jahre wurden auf den „Bulletin Boards“ Viren zum Download angebotenBoards“ Viren zum Download angeboten
Seit 1991 gibt es Baukästen für die Seit 1991 gibt es Baukästen für die Programmierung von VirenProgrammierung von Viren
HerkunftsländerHerkunftsländer (nach Bedeutung geordnet)(nach Bedeutung geordnet)
1.1. USAUSA
2.2. RusslandRussland
3.3. DeutschlandDeutschland
4.4. BulgarienBulgarien
5.5. PolenPolen
Ziel des Virus:Ziel des Virus:
Schädigung von Firmen durchSchädigung von Firmen durchDatenmanipulation oder Datenmanipulation oder Datenzerstörung Datenzerstörung
Vorteile eines Virus:Vorteile eines Virus:
Herkunft eines Virus ist nur selten feststellbar Herkunft eines Virus ist nur selten feststellbar Viren können an Daten herankommen, die vor Viren können an Daten herankommen, die vor
direkten Zugriffen geschützt sinddirekten Zugriffen geschützt sind Viren können sehr schnell verbreitet werden , da Viren können sehr schnell verbreitet werden , da
die Vermehrung exponentiell verläuft.die Vermehrung exponentiell verläuft.
Vergleich zwischen Biologischen Viren Vergleich zwischen Biologischen Viren und Computervirenund Computerviren
Biologische VirenBiologische Viren ComputervirenComputerviren
Greifen bestimmte Zellen anGreifen bestimmte Zellen an Greifen bestehende Programme (z. B. Greifen bestehende Programme (z. B. *.com, *.exe ) an*.com, *.exe ) an
Erbinformation der Zelle wird Erbinformation der Zelle wird verändertverändert
Programm wird manipuliertProgramm wird manipuliert
In befallenen Zellen entwickeln sich In befallenen Zellen entwickeln sich neue Virenneue Viren
Befallene Programme erzeugen Befallene Programme erzeugen weitere Kopien des Virus weitere Kopien des Virus
Krankheiten treten nicht unmittelbar Krankheiten treten nicht unmittelbar nach dem Befall auf nach dem Befall auf
Infizierte Programme können längere Infizierte Programme können längere Zeit fehlerfrei ablaufenZeit fehlerfrei ablaufen
Jede Zelle wird nur einmal infiziertJede Zelle wird nur einmal infiziert Viren legen in der Regel in jedem Viren legen in der Regel in jedem Programm nur eine Kopie anProgramm nur eine Kopie an
Viren können mutierenViren können mutieren Bestimmte Viren verändern ihre Bestimmte Viren verändern ihre StrukturStruktur
Der generelle Aufbau eines VirusDer generelle Aufbau eines VirusEin Computervirus besteht aus 2 Hauptteilen:Ein Computervirus besteht aus 2 Hauptteilen:
1.Der Fortpflanzungsmechanismus:1.Der Fortpflanzungsmechanismus:
Eine Aufgabe des Computervirus ist die weite Verbreitung im Computersystem. Je nach Virenart Eine Aufgabe des Computervirus ist die weite Verbreitung im Computersystem. Je nach Virenart werden Dateien, Bootsektoren oder Arbeitsspeicher infiziert.werden Dateien, Bootsektoren oder Arbeitsspeicher infiziert.
Bei Infektion kopiert der Virus neben dem eigentlichen Programm einen speziellen Code in das File. Bei Infektion kopiert der Virus neben dem eigentlichen Programm einen speziellen Code in das File. Falls der Virus jetzt versucht eine schon infizierte Datei nochmals zu infizieren und dabei auf seinen Falls der Virus jetzt versucht eine schon infizierte Datei nochmals zu infizieren und dabei auf seinen eigenen Code stößt, weiß er, dass die Datei schon von ihm infiltriert ist und eine doppelte Infektion eigenen Code stößt, weiß er, dass die Datei schon von ihm infiltriert ist und eine doppelte Infektion wird somit vermieden.wird somit vermieden.
2. Der Auftrag:2. Der Auftrag:
Nach dem Ziel, das der Programmierer verfolgt, gestaltet sich der Auftrag. Vom einfachen Nichtstun Nach dem Ziel, das der Programmierer verfolgt, gestaltet sich der Auftrag. Vom einfachen Nichtstun bis zur Zerstörung von Bildschirm, Laufwerke und Löschung von Festplatten usw. ist alles möglich.bis zur Zerstörung von Bildschirm, Laufwerke und Löschung von Festplatten usw. ist alles möglich.
Um möglichst lange unentdeckt zu bleiben und um sich weit verbreiten zu können, tritt die Um möglichst lange unentdeckt zu bleiben und um sich weit verbreiten zu können, tritt die Schadensfunktion meistens erst nach einiger Zeit in Kraft. Viren verwenden dazu sog. Trigger, d.h. der Schadensfunktion meistens erst nach einiger Zeit in Kraft. Viren verwenden dazu sog. Trigger, d.h. der Virus wird erst nach dem Eintreten eines bestimmten Ereignisses aktiv.Virus wird erst nach dem Eintreten eines bestimmten Ereignisses aktiv.
Beispiele für Trigger:Beispiele für Trigger:
Aktivierung Aktivierung an einem bestimmten Datum ( Fr 13.12.2002)an einem bestimmten Datum ( Fr 13.12.2002) nach dem 100. Start des infizierten Programmesnach dem 100. Start des infizierten Programmes nach dem 200. Start des Computersnach dem 200. Start des Computers nach Drücken einer bestimmten Tastenkombinationnach Drücken einer bestimmten Tastenkombination an einer bestimmten Uhrzeitan einer bestimmten Uhrzeit
BeispielcodeBeispielcodeDas folgende Programmcode beschreibt die prinzipielle Funktionsweise von Das folgende Programmcode beschreibt die prinzipielle Funktionsweise von
Computerviren:Computerviren:
1 program BÖSER_VIRUS1 program BÖSER_VIRUS 2 HIHÄHU2 HIHÄHU 33 4 procedure Infiziere_neues_Programm;4 procedure Infiziere_neues_Programm; 5 begin5 begin 6 gefunden:=false;6 gefunden:=false; 7 repeat7 repeat 8 zieldatei:=irgendeine_EXE_oder_COM_Datei;8 zieldatei:=irgendeine_EXE_oder_COM_Datei; 9 if not (2. Zeile von zieldatei)=HIHÄHU then 9 if not (2. Zeile von zieldatei)=HIHÄHU then
beginbegin 10 gefunden=true;10 gefunden=true; 11 infiziere_Datei(zieldatei);11 infiziere_Datei(zieldatei); 12 end;12 end; 13 until gefunden=true;13 until gefunden=true; 14 end;14 end; 1515 16 procedure Aufgabe;16 procedure Aufgabe; 17 begin17 begin 18 if Datum=13.12.2002 then format C:18 if Datum=13.12.2002 then format C: 19 end;19 end; 2020 21 begin21 begin 22 Infiziere_neues_Program;22 Infiziere_neues_Program; 23 Aufgabe;23 Aufgabe; 24 Starte_Wirtprogramm;24 Starte_Wirtprogramm; 25 end.25 end.
In dieser Form wäre der Virus natürlich nicht In dieser Form wäre der Virus natürlich nicht funktionstüchtig.funktionstüchtig.
Erklärung der einzelnen Abschnitte:Erklärung der einzelnen Abschnitte:
Zeile 2: Bei jeder Neuinfektion einer Datei Zeile 2: Bei jeder Neuinfektion einer Datei überprüft der Virus ob diese Zeichenkette in der überprüft der Virus ob diese Zeichenkette in der Datei schon enthalten ist. Ist das der Fall, ist die Datei schon enthalten ist. Ist das der Fall, ist die Datei schon infiziert.Datei schon infiziert.
Zeile 4-14: Hier wird eine zu infizierende Datei Zeile 4-14: Hier wird eine zu infizierende Datei gesucht (Zeile8) und überprüft ob sie noch gesucht (Zeile8) und überprüft ob sie noch gesund ist (Zeile 9). Ist das der Fall, wird sie gesund ist (Zeile 9). Ist das der Fall, wird sie gekränkt.gekränkt.
Zeile 16-19: Hier sind die Aufgabe des Virus und Zeile 16-19: Hier sind die Aufgabe des Virus und der Zeitpunkt der Ausführung definiert. In diesem der Zeitpunkt der Ausführung definiert. In diesem Fall formatiert der Virus am 13.12.2002 die Fall formatiert der Virus am 13.12.2002 die Festplatte C:.Festplatte C:.
Zeile 21-25: Das ist das Hauptprogramm in dem Zeile 21-25: Das ist das Hauptprogramm in dem die einzelnen Abschnitte (Infektion, Aufgabe, Start die einzelnen Abschnitte (Infektion, Aufgabe, Start des Wirtprogramms) aufgerufen werden. In Zeile des Wirtprogramms) aufgerufen werden. In Zeile 24 wird das Wirtprogramm gestartet um dem 24 wird das Wirtprogramm gestartet um dem Benutzer ein fehlerfreies Programm vorzugaukeln.Benutzer ein fehlerfreies Programm vorzugaukeln.
Formatieren der Festplatte
Formatieren der Festplatte
Verlangsamendes Rechners
Verlangsamendes Rechners
Bildschirm-ausgaben
manipulieren
Bildschirm-ausgaben
manipulieren
System-abstürze
System-abstürze
Passwort-abfragen
Passwort-abfragen
Blockierendes Rechners
Blockierendes Rechners
Änderung von Konfigurations-
Daten (FAT,
CMOS-Setup)
Änderung von Konfigurations-
Daten (FAT,
CMOS-Setup)
Gags(Musik, falsche
Meldungen)
Gags(Musik, falsche
Meldungen)
Schaden an Geräten (meist
Vortäuschen von Schäden)
Schaden an Geräten (meist
Vortäuschen von Schäden)
Verändern von
Programmen
Verändern von
Programmen
StörendeBildschirm-animation
StörendeBildschirm-animation
Zerstörungund
Veränderung von Dateien
Zerstörungund
Veränderung von Dateien
Schäden durch Viren
Schäden durch Viren
Was können Viren nicht?Was können Viren nicht?
Computerviren können keine Dateien auf Computerviren können keine Dateien auf schreibgeschützten Datenträgern schreibgeschützten Datenträgern infizieren infizieren
Ausnahme sind die Word-MakrovirenAusnahme sind die Word-Makroviren
Viren infizieren auch keine Viren infizieren auch keine komprimierten Dateien. komprimierten Dateien.
Viren befallen keine HardwareViren befallen keine Hardware
Wie viele Viren gibt es?Wie viele Viren gibt es?
Über 50.000bekannte Viren
„In-the-Wild-Viren“ „Zoo-Viren“
Laborentwicklungen
Kommen nie in Umlauf
1 bis 2% der bekannten Viren
Werden tatsächlich verbreitet
Rechtslage:Rechtslage:
In Österreich und Deutschland ist die In Österreich und Deutschland ist die Anwendung von Viren und die daraus Anwendung von Viren und die daraus resultierende Veränderung von Daten resultierende Veränderung von Daten strafbar.strafbar.
Das Programmieren von Computerviren ist Das Programmieren von Computerviren ist nicht ausdrücklich verboten.nicht ausdrücklich verboten.
Unterteilung der Unterteilung der ComputervirenComputerviren in 3 Gruppen in 3 Gruppen
Computerviren
Dateiviren
DateivirenDateiviren
Auch Linkviren genannt. Diese Viren Auch Linkviren genannt. Diese Viren "linken" sich an das Wirtsprogramm an. "linken" sich an das Wirtsprogramm an.
Sie infizieren EXE-, COM- und andere Sie infizieren EXE-, COM- und andere Dateien. Dateien.
Es gibt verschiedene Es gibt verschiedene Infektionsmechanismen. Jeder Virus Infektionsmechanismen. Jeder Virus verwendet jeweils nur eine der folgenden verwendet jeweils nur eine der folgenden Mechanismen. Mechanismen.
Überschreibender VirusÜberschreibender Virus
einfachste Art der Infektion. einfachste Art der Infektion. Virus überlagert das Wirtsprogramm mit seinem Virus überlagert das Wirtsprogramm mit seinem
Code. Code. Das Programm wird zerstört. Das Programm wird zerstört. Diese einfachen Viren treten heute kaum noch auf, Diese einfachen Viren treten heute kaum noch auf,
da sie sehr leicht zu erkennen sind. da sie sehr leicht zu erkennen sind.
Überschreibender Virus - zweite Variante:Überschreibender Virus - zweite Variante: Der Virus hat einen sehr kurzen CodeDer Virus hat einen sehr kurzen Code sucht nach Wirtsprogrammen mit statischen Daten. sucht nach Wirtsprogrammen mit statischen Daten. Hierher schreibt der Virus seinen Code und ändert Hierher schreibt der Virus seinen Code und ändert
den Startup-Code. den Startup-Code. Das Programm wird nicht zerstörtDas Programm wird nicht zerstört Die Programmlänge bleibt gleich. Die Programmlänge bleibt gleich. Die statischen Daten weisen falsche Werte aufDie statischen Daten weisen falsche Werte auf
Nichtüberschreibender Virus:Nichtüberschreibender Virus:
Erster Teil des Programms in der Länge des Virencodes Erster Teil des Programms in der Länge des Virencodes wird an das Ende der Datei verschoben. wird an das Ende der Datei verschoben.
Virus überlagert den ersten Teil mit seinem Code Virus überlagert den ersten Teil mit seinem Code Programm wird gestartet => Virus abgearbeitet. Programm wird gestartet => Virus abgearbeitet. Verschieberoutine => kopiert den verschobenen Verschieberoutine => kopiert den verschobenen
Programmteil wieder an seinen ursprünglichen Platz und Programmteil wieder an seinen ursprünglichen Platz und startet ihn.startet ihn.
Der Virus wird dabei überschrieben, er hat jedoch seine Der Virus wird dabei überschrieben, er hat jedoch seine Arbeit schon längst getan. Arbeit schon längst getan.
Nichtüberschreibender Virus - zweite Variante: Nichtüberschreibender Virus - zweite Variante: Virus versteckt seinen Code im ProgrammVirus versteckt seinen Code im Programm Der Programmteil mit dem Virencode wird an Der Programmteil mit dem Virencode wird an
das Ende verschoben. das Ende verschoben. Ein Sprungbefehl am Anfang führt zum Ein Sprungbefehl am Anfang führt zum
Virencode. Virencode. Virencode-ende steht ein weiterer Sprung Virencode-ende steht ein weiterer Sprung
zurück zum eigentlichen Programm. zurück zum eigentlichen Programm. Solche Viren kann man entfernen. Solche Viren kann man entfernen.
Anlagender Virus:
Virus hängt sich ans Wirtsprogrammende Virus hängt sich ans Wirtsprogrammende setzt an den Programmanfang eine Sprung auf den Virencode. setzt an den Programmanfang eine Sprung auf den Virencode. Am Ende des Virus geht es wieder mit einem Sprung zum Programm zurück. Am Ende des Virus geht es wieder mit einem Sprung zum Programm zurück.
Begleitender- oder Companion-Virus:Begleitender- oder Companion-Virus:
Sie sind ein komplettes, ausführbares Programm. Sie sind ein komplettes, ausführbares Programm. Nutzen eine Eigenart von DOS aus: Wenn COM- und EXE-Dateien vorliegen Nutzen eine Eigenart von DOS aus: Wenn COM- und EXE-Dateien vorliegen
werden Com-Dateien zuerst gestartet. werden Com-Dateien zuerst gestartet. Virus kann nur angreifen wenn die EXE-Datei nicht ausgeführt wirdVirus kann nur angreifen wenn die EXE-Datei nicht ausgeführt wird Infizieren nur Exe-DateienInfizieren nur Exe-Dateien Virus erstellt eine COM-Datei die den Virus beinhaltetVirus erstellt eine COM-Datei die den Virus beinhaltet Dieser startet dann die nicht infizierte EXE-DateiDieser startet dann die nicht infizierte EXE-Datei
Längentreuer Virus:Längentreuer Virus:
Lagert Code des Wirtsprogrammes in eine externe Datei aus, die dann Lagert Code des Wirtsprogrammes in eine externe Datei aus, die dann versteckt wird.versteckt wird.
Der Virus kopiert sich in das Wirtsprogramm. Der Virus kopiert sich in das Wirtsprogramm. Die Länge der Datei bleibt gleich. Die Länge der Datei bleibt gleich. Der Virus sorgt bei der Abarbeitung noch dafür, dass das ausgelagerte Der Virus sorgt bei der Abarbeitung noch dafür, dass das ausgelagerte
Programmstück richtig eingebunden wird.Programmstück richtig eingebunden wird. Geht das ausgelagerte Stück des Programms verloren, stürzt das Geht das ausgelagerte Stück des Programms verloren, stürzt das
Wirtsprogramm ab.Wirtsprogramm ab.
Computerviren
Dateiviren Residente Viren
Residente Viren:Residente Viren:
Effektivere Fortpflanzungsmethode als bei Effektivere Fortpflanzungsmethode als bei den Linkviren. den Linkviren.
Wird ein infiziertes Programm aufgerufen Wird ein infiziertes Programm aufgerufen => ladet sich der speicherresidente Virus => ladet sich der speicherresidente Virus in den Arbeitsspeicher. in den Arbeitsspeicher.
Kann, wenn das eigentliche Programm Kann, wenn das eigentliche Programm beendet wird, aktiv bleiben und seinen beendet wird, aktiv bleiben und seinen Auftrag ausführen.Auftrag ausführen.
Computerviren
Dateiviren Residente Viren Systemviren
Systemviren:Systemviren:
Systemviren benutzen Bestandteile des Betriebssystems als Wirte. Systemviren benutzen Bestandteile des Betriebssystems als Wirte. Wenn ein Virus im Bootsektor zuschlägt, steht das nachher geladene Wenn ein Virus im Bootsektor zuschlägt, steht das nachher geladene
Betriebssystem unter dessen Kontrolle. Betriebssystem unter dessen Kontrolle. Solche Viren werden auch Bootsektorviren benannt. Solche Viren werden auch Bootsektorviren benannt. Sie gibt verschiedene Methoden um den Bootsektor zu infizieren:Sie gibt verschiedene Methoden um den Bootsektor zu infizieren:
Der Bootsektor wird einfach in einen anderen Sektor verschoben (dort befindliche Der Bootsektor wird einfach in einen anderen Sektor verschoben (dort befindliche Daten zerstört) und der Virencode in den Bootsektor kopiert. Beim nächsten Start Daten zerstört) und der Virencode in den Bootsektor kopiert. Beim nächsten Start wird nun zuerst der Virus abgearbeitet und dann zum eigentlichen Bootsektor wird nun zuerst der Virus abgearbeitet und dann zum eigentlichen Bootsektor verzweigt. verzweigt.
Der Virus baut nur eine kleine Laderoutine in den Bootsektor ein. Er selbst liegt in Der Virus baut nur eine kleine Laderoutine in den Bootsektor ein. Er selbst liegt in einem "bad" Cluster, einen von ihm selbst erzeugten defekten Sektor, versteckt. einem "bad" Cluster, einen von ihm selbst erzeugten defekten Sektor, versteckt. Sie werden nur schwer entdeckt da diese Sektoren als Speicherbereich nicht Sie werden nur schwer entdeckt da diese Sektoren als Speicherbereich nicht berücksichtigt werden. berücksichtigt werden.
Partition Table Virus:Partition Table Virus:Der Virus nistet sich im Partition Table (Sektor 0) der Festplatte ein und infiziert Der Virus nistet sich im Partition Table (Sektor 0) der Festplatte ein und infiziert von dort aus den Bootsektor. Selbst beim Formatieren der Festplatte oder löschen von dort aus den Bootsektor. Selbst beim Formatieren der Festplatte oder löschen des Bootsektors bleibt der Virus erhalten.des Bootsektors bleibt der Virus erhalten.
Neben den bereits erwähnten Viren gibt es auch einige Neben den bereits erwähnten Viren gibt es auch einige Exoten:Exoten:
Call-Viren:Call-Viren: Diese Viren liegen irgendwo versteckt als Programme vor. Oft benutzen Diese Viren liegen irgendwo versteckt als Programme vor. Oft benutzen
siesie auch selbst angelegte "bad" Cluster, die vom Betriebssystem nicht auch selbst angelegte "bad" Cluster, die vom Betriebssystem nicht berücksichtigt werden, da sie ja als defekt markiert sind. Sie infizieren dieberücksichtigt werden, da sie ja als defekt markiert sind. Sie infizieren die Datei nur mit einem CALL-Befehl, durch welchen der Virus aufgerufen Datei nur mit einem CALL-Befehl, durch welchen der Virus aufgerufen
wird. wird. Fehlt das Programm (=Virus) kommt es zum Absturz oder einer Fehlt das Programm (=Virus) kommt es zum Absturz oder einer
Fehlermeldung. Fehlermeldung.
Source-Code Viren:Source-Code Viren: Hier liegt der Computervirus nicht als ausführbarer Programmcode vor, Hier liegt der Computervirus nicht als ausführbarer Programmcode vor,
sondern als Quellcode einer Programmiersprache sondern als Quellcode einer Programmiersprache Da ein fremder Code in einem Programm auffällt, infiziert der Virus Da ein fremder Code in einem Programm auffällt, infiziert der Virus
Programmbibliotheken, die meist nicht kontrolliert werden.Programmbibliotheken, die meist nicht kontrolliert werden. Startet man das Programm, wird irgendwann auch die Startet man das Programm, wird irgendwann auch die
Programmbibliothek benötigt und der Virus kann somit aktiv werden. Er Programmbibliothek benötigt und der Virus kann somit aktiv werden. Er sucht dann wiederum nach anderen Bibliotheken und infiziert diese. sucht dann wiederum nach anderen Bibliotheken und infiziert diese.
Macro Viren:Macro Viren: Ein Macro ist eine Zusammenfassung einer Abfolge von Befehlen. Sie Ein Macro ist eine Zusammenfassung einer Abfolge von Befehlen. Sie
werden zur Arbeitserleichterung in Programmen wie MS-Word eingesetzt. werden zur Arbeitserleichterung in Programmen wie MS-Word eingesetzt. Macroviren sind die neueste Generation von Computerviren und sehr Macroviren sind die neueste Generation von Computerviren und sehr effektiv, da Makros an normale Dokumentdateien gebunden sind und effektiv, da Makros an normale Dokumentdateien gebunden sind und somit leicht verbreitet werden. somit leicht verbreitet werden.
Folgende Virenarten sind Spezialformen :Folgende Virenarten sind Spezialformen :
Cavity Viren:Cavity Viren: Cavity Viren verändern die Größe der infizierten Datei nicht.Cavity Viren verändern die Größe der infizierten Datei nicht. Sie suchen in der Zieldatei eine Stelle mit einer Reihe an identischen Zeichen, Sie suchen in der Zieldatei eine Stelle mit einer Reihe an identischen Zeichen,
die mindestens so groß wie der Virus selbst istdie mindestens so groß wie der Virus selbst ist Diese Viren komprimieren diese Zeichenkette und fügen sich in die Diese Viren komprimieren diese Zeichenkette und fügen sich in die
entstandene Lücke ein.entstandene Lücke ein. Greift das Programm auf die Zeichenkette zu, wird der Virus ausgeführt, der Greift das Programm auf die Zeichenkette zu, wird der Virus ausgeführt, der
nach Erfüllung seiner Aufgabe die Zeichenkette dekomprimiert und das nach Erfüllung seiner Aufgabe die Zeichenkette dekomprimiert und das Programm kann normal weiterlaufen.Programm kann normal weiterlaufen.
Bsp. einer Infektion:Bsp. einer Infektion: Programm vorher: AJF3JS20000000000000000000000000000DNFJAKSF289aProgramm vorher: AJF3JS20000000000000000000000000000DNFJAKSF289a Programm nach Infektion: Programm nach Infektion:
AJF3JS2=>VIRUSCODE+12*0<=00000000DNFJAKSF289aAJF3JS2=>VIRUSCODE+12*0<=00000000DNFJAKSF289a
Stealth-Viren:Stealth-Viren: Stealth Viren versuchen dem Benutzer vorzugaukeln, sie wären gar nicht im Stealth Viren versuchen dem Benutzer vorzugaukeln, sie wären gar nicht im
System. Sie tarnen sich dadurch, daß sie die Zugriffe auf die infizierten System. Sie tarnen sich dadurch, daß sie die Zugriffe auf die infizierten Dateien überwachen. Will z.B. der DOS-Befehl DIR die Größe einer infizierten Dateien überwachen. Will z.B. der DOS-Befehl DIR die Größe einer infizierten Datei anzeigen, subtrahiert der Virus von diesem Wert seine Codegröße und Datei anzeigen, subtrahiert der Virus von diesem Wert seine Codegröße und täuscht somit eine "gesunde" Datei vor. täuscht somit eine "gesunde" Datei vor.
Durchsucht ein Antivirusprogramm die Festplatte, desinfizieren manche Durchsucht ein Antivirusprogramm die Festplatte, desinfizieren manche Stealthviren die infizierten Dateien und kopieren sich in den Arbeitsspeicher. Stealthviren die infizierten Dateien und kopieren sich in den Arbeitsspeicher. Nach der Beendigung des Antivirenprogrammes werden die Dateien wieder Nach der Beendigung des Antivirenprogrammes werden die Dateien wieder infiziert.infiziert.
Polymorphe Viren:Polymorphe Viren: Antivirusprogramme suchen nach fixen Viruszeichenketten.Antivirusprogramme suchen nach fixen Viruszeichenketten.
Polymorphe Viren beinhalten Zeichenketten, die sich ständig,Polymorphe Viren beinhalten Zeichenketten, die sich ständig, verändern und eine gezielte Suche erschweren.verändern und eine gezielte Suche erschweren.
Bounty Hunter Viren:Bounty Hunter Viren: suchen nach Antivirussoftware und verändern diese oder suchen nach Antivirussoftware und verändern diese oder
machen sie unschädlich. machen sie unschädlich.
Doppelviren Doppelviren (Hybridviren):(Hybridviren): Diese Viren infizieren Dateien (Linkviren) und Systembereiche Diese Viren infizieren Dateien (Linkviren) und Systembereiche
(Systemviren). (Systemviren). Vorteil: hat ein Systemvirus das System infiziert, wird er bei Vorteil: hat ein Systemvirus das System infiziert, wird er bei
jedem Start geladen. Durch Booten einer (sauberen!) Diskette jedem Start geladen. Durch Booten einer (sauberen!) Diskette wird das Laden umgangen. wird das Laden umgangen.
Hybridviren werden beim Start nicht geladen, aber ein Aufruf Hybridviren werden beim Start nicht geladen, aber ein Aufruf eines infizierten Programmes führt zur Virusverbreitung. eines infizierten Programmes führt zur Virusverbreitung. Geschieht dies auf der Diskette, so wird auch diese infiziert. Geschieht dies auf der Diskette, so wird auch diese infiziert. Doppelte AbsicherungDoppelte Absicherung
HoaxesHoaxes
Hoaxes sind keine Viren, sondern Ketten-E-Mails, die vorgeben, vor Hoaxes sind keine Viren, sondern Ketten-E-Mails, die vorgeben, vor Viren zu warnen. Viren zu warnen.
Woran erkenne ich den Unterschied zwischen Hoax und echtem Virus?Woran erkenne ich den Unterschied zwischen Hoax und echtem Virus? Bei echte Viren gibt es keine Vorwarnung Bei echte Viren gibt es keine Vorwarnung Hoaxes erhalten in der Betreffzeile den Begriff "Vorsicht Virus" oder Hoaxes erhalten in der Betreffzeile den Begriff "Vorsicht Virus" oder
"Virenwarnung"."Virenwarnung". Als Quelle der Virenwarnung wird gerne eine namhafte Firma genanntAls Quelle der Virenwarnung wird gerne eine namhafte Firma genannt Das Schadenspotenzial des Virus wird immer sehr drastisch und als noch Das Schadenspotenzial des Virus wird immer sehr drastisch und als noch
nie dagewesen formuliert.nie dagewesen formuliert.
Solche Warnmeldungen sollte man nicht weiterleiten, sondern löschen. Solche Warnmeldungen sollte man nicht weiterleiten, sondern löschen.
Subject: Good Times! Subject: Good Times!
Here is some important information. Beware of a file called "Good Here is some important information. Beware of a file called "Good Times". Be careful out there. There is a virus on the Internet Times". Be careful out there. There is a virus on the Internet being sent by e-mail. If you get anything called "Good Times", being sent by e-mail. If you get anything called "Good Times", DON'T read it or download it. It is a virus that will erase your DON'T read it or download it. It is a virus that will erase your hard drive. Forward this warning to all your friends. It may help hard drive. Forward this warning to all your friends. It may help them a lot. them a lot.
Virenverbreitung:Virenverbreitung:
Heute befallen Viren jährlich über eine Million PCs. Heute befallen Viren jährlich über eine Million PCs. Viren verbreiten sich durch den Zugriff auf einen infizierten Speicher. Viren verbreiten sich durch den Zugriff auf einen infizierten Speicher. DisketteDiskette InternetInternet NetzwerkNetzwerk
Antivirenprogramme (AV):Antivirenprogramme (AV):
Kein 100%iger SchutzKein 100%iger Schutz Können auch falschen Alarm geben (sog. False Positives) Können auch falschen Alarm geben (sog. False Positives)
Es gibt mehrere verschiedene Arten von AVsEs gibt mehrere verschiedene Arten von AVs::
1. Monitor-Programme:1. Monitor-Programme:
sind speicherresidente Programme. sind speicherresidente Programme. Sie warten auf virentypische Aktivitäten wie z.B.: Sie warten auf virentypische Aktivitäten wie z.B.:
Veränderung von ausführbaren DateienVeränderung von ausführbaren Dateien Verbiegen von Interrupt VektorenVerbiegen von Interrupt Vektoren Formatieren von Sektoren usw.Formatieren von Sektoren usw.
Sie können von manchen Viren problemlos übergangen werden.Sie können von manchen Viren problemlos übergangen werden.
2. Scanner:2. Scanner:
sind die meistverwendeten AVs. sind die meistverwendeten AVs. Die älteren Programme suchen nach virenspezifischen Die älteren Programme suchen nach virenspezifischen
Zeichenketten oder nach sog. JokerzeichenZeichenketten oder nach sog. Jokerzeichen Virus muss bekannt und analysiert worden sein. Virus muss bekannt und analysiert worden sein. Sind gegen polymorphe Viren hilflosSind gegen polymorphe Viren hilflos Moderne Scanner verwenden Ansätze von künstlicher Moderne Scanner verwenden Ansätze von künstlicher
Intelligenz und heuristische Methoden. Man erhält keine Intelligenz und heuristische Methoden. Man erhält keine Information über den Virus nur über die Symptome Information über den Virus nur über die Symptome
Um ein System wirkungsvoll zu schützen sollte man Um ein System wirkungsvoll zu schützen sollte man mindestens 2 verschiedene Scanner alle 2 Wochen benützen.mindestens 2 verschiedene Scanner alle 2 Wochen benützen.
3. Speicherresidente Scanner:3. Speicherresidente Scanner:
sind eine spezielle Form der herkömmlichen Scanprogramme. sind eine spezielle Form der herkömmlichen Scanprogramme. Sie werden bei einem Programmstart oder Dateizugriff aktiv Sie werden bei einem Programmstart oder Dateizugriff aktiv
und scannen die betroffenen Files. und scannen die betroffenen Files.
4. Integrity-Checker oder Checksummenprogramme:4. Integrity-Checker oder Checksummenprogramme:
sind Programme, die von Datenabschnitten Checksummen erstellen. sind Programme, die von Datenabschnitten Checksummen erstellen. Diese Checksummen werden mit den, von Zeit zu Zeit neu erstellten, Diese Checksummen werden mit den, von Zeit zu Zeit neu erstellten,
verglichen. verglichen. Gute Integrity-Checker erkennen Sicherheitslücken und spüren Gute Integrity-Checker erkennen Sicherheitslücken und spüren
Companion-Viren auf.Companion-Viren auf. Weisen auf nicht durch Viren manipulierte Dateien hin und bemerken Weisen auf nicht durch Viren manipulierte Dateien hin und bemerken
DatenverlusteDatenverluste
5. Heuristische Scanner:5. Heuristische Scanner:
arbeiten nach dem Prinzip der Fuzzy-Logic (Berechnungen erfolgen Pi mal arbeiten nach dem Prinzip der Fuzzy-Logic (Berechnungen erfolgen Pi mal Daumen). Sie analysieren Programme auf Funktion und Aufbau. Daumen). Sie analysieren Programme auf Funktion und Aufbau.
Verdächtige Funktionen sind z.B.: Verdächtige Funktionen sind z.B.: Schreiben in ausführbare DateienSchreiben in ausführbare Dateien Modifizieren von DateiattributenModifizieren von Dateiattributen Undokumentierte InterruptzugriffeUndokumentierte Interruptzugriffe Suchen nach beliebigen ausführbaren DateienSuchen nach beliebigen ausführbaren Dateien
6. Viren Cleaner:6. Viren Cleaner:
Enthalten Viren-EntfernungsfunktionenEnthalten Viren-Entfernungsfunktionen Diese funktionieren nur, wenn eine exakte Beschreibung des Virus Diese funktionieren nur, wenn eine exakte Beschreibung des Virus
vorliegt vorliegt
VirenbeispieleVirenbeispiele
1. Form Virus:1. Form Virus:
Charakteristik:Charakteristik: Der Form-Virus ist eine Mischung aus Bootsektorvirus und speicherresidenten Virus. Der Form-Virus ist eine Mischung aus Bootsektorvirus und speicherresidenten Virus. Er infiziert einen Teil des High DOS Memory, den Bootsektor und die letzten zwei Sektoren der Er infiziert einen Teil des High DOS Memory, den Bootsektor und die letzten zwei Sektoren der
Festplatte. Dateien bleiben von ihm unberührt.Festplatte. Dateien bleiben von ihm unberührt. Bei der Infektion kopiert er sich selbst in den Bootsektor und verschiebt die Originaldaten und setzt Bei der Infektion kopiert er sich selbst in den Bootsektor und verschiebt die Originaldaten und setzt
einen Link in die letzten 2 Sektoren. einen Link in die letzten 2 Sektoren. Er infiziert auch Disketten.Er infiziert auch Disketten.
Indikatoren einer Infektion:Indikatoren einer Infektion: Bei jedem Tastendruck an dem 18. Tag eines jeden Monats ertönt ein Klickgeräusch.Bei jedem Tastendruck an dem 18. Tag eines jeden Monats ertönt ein Klickgeräusch. Das System kann durch einen nicht geglückten Festplattenzugriff abstürzen.Das System kann durch einen nicht geglückten Festplattenzugriff abstürzen. Der Form-Virus benötigt 2 kByte an Arbeitsspeicher. Dies läßt sich durch den DOS-Befehl MEM Der Form-Virus benötigt 2 kByte an Arbeitsspeicher. Dies läßt sich durch den DOS-Befehl MEM
feststellen.feststellen. Der DOS-Befehl CHKDSK stellt außerdem 1,024 Bytes an zerstörten Sektoren fest, in denen der Der DOS-Befehl CHKDSK stellt außerdem 1,024 Bytes an zerstörten Sektoren fest, in denen der
Originalbootsektor gespeichert ist.Originalbootsektor gespeichert ist. Im Viruscode steht folgender Text :The FORM-Virus sends greetings to everyone who's reading this Im Viruscode steht folgender Text :The FORM-Virus sends greetings to everyone who's reading this
text. FORM doesn't destroy data! Don't panic! (Expletive) go to Corrine.text. FORM doesn't destroy data! Don't panic! (Expletive) go to Corrine.
Methode der Infektion:Methode der Infektion: Ein System kann nur durch das Booten von einer infizierten Diskette befallen werden. Auch wenn Ein System kann nur durch das Booten von einer infizierten Diskette befallen werden. Auch wenn
die Diskette nicht bootable ist und er DOS-Text: "Non-system disk or disk error" erscheint ist der die Diskette nicht bootable ist und er DOS-Text: "Non-system disk or disk error" erscheint ist der Bootsektor der Festplatte bereits infiziert.Bootsektor der Festplatte bereits infiziert.
Bei jedem folgenden Systemstart wird der Virus in den Arbeitsspeicher geladen und kann bei jedem Bei jedem folgenden Systemstart wird der Virus in den Arbeitsspeicher geladen und kann bei jedem Floppy-Disk-Zugriff deren Bootsektor infizieren und sich so verbreiten.Floppy-Disk-Zugriff deren Bootsektor infizieren und sich so verbreiten.
Virus Daten:Virus Daten: Datum der Entdeckung: Juni 1990Datum der Entdeckung: Juni 1990 Herkunftsland: SchweizHerkunftsland: Schweiz Länge: 512 BytesLänge: 512 Bytes Typ: Bootsektorvirus, speicherresidenter VirusTyp: Bootsektorvirus, speicherresidenter Virus Häufigkeit: oft, weit verbreitetHäufigkeit: oft, weit verbreitet
2. "Friday 13th" Virus:2. "Friday 13th" Virus:
Charakteristik:Charakteristik: Der Friday 13th Virus ist ein Programmvirus. Er infiziert COM-Dateien außer Der Friday 13th Virus ist ein Programmvirus. Er infiziert COM-Dateien außer
der COMMAND.COM. Bei jedem Start des Virus werden 2 neue .COM der COMMAND.COM. Bei jedem Start des Virus werden 2 neue .COM Dateien auf der Festplatte und eine neue auf dem A: Laufwerk gesucht und Dateien auf der Festplatte und eine neue auf dem A: Laufwerk gesucht und falls vorhanden infiziert.falls vorhanden infiziert.
Indikatoren der Infektion:Indikatoren der Infektion: Das Leuchten des Diskettenzugriffslämpchen im Floppy-Disklaufwerk, Das Leuchten des Diskettenzugriffslämpchen im Floppy-Disklaufwerk,
hervorgerufen durch die Suche des Virus nach neuen Wirtdateien auf dem hervorgerufen durch die Suche des Virus nach neuen Wirtdateien auf dem A: Laufwerk, ist der einzige Indikator der Infektion.A: Laufwerk, ist der einzige Indikator der Infektion.
Bei einem Computerstart an einem Freitag 13. wird die COMMAND.COM Bei einem Computerstart an einem Freitag 13. wird die COMMAND.COM gelöscht.gelöscht.
Methode der Infektion:Methode der Infektion: Durch das Ausführen einer infizierten Datei wird der Virus gestartet und Durch das Ausführen einer infizierten Datei wird der Virus gestartet und
verbreitet.verbreitet.
Virus Daten:Virus Daten: Datum der Entdeckung: November 1987Datum der Entdeckung: November 1987 Herkunftsland: Rep. SüdafrikaHerkunftsland: Rep. Südafrika Länge: 512 BytesLänge: 512 Bytes Typ: ProgrammvirusTyp: Programmvirus Häufigkeit: seltenHäufigkeit: selten
3. "Cascade" Virus:3. "Cascade" Virus:
Charakteristik:Charakteristik: Der Cascade Virus ist ein überschreibender Programmvirus und Der Cascade Virus ist ein überschreibender Programmvirus und
speicherresident. Er infiziert COM-Dateien.speicherresident. Er infiziert COM-Dateien.
Indikatoren der Infektion:Indikatoren der Infektion: Zwischen dem 1. und 31. Oktober 1988 führte der Cascade Virus seine Zwischen dem 1. und 31. Oktober 1988 führte der Cascade Virus seine
Aufgabe aus. Diese gestaltete sich so, dass, kurz nach dem Start des Aufgabe aus. Diese gestaltete sich so, dass, kurz nach dem Start des infizierten Programmes, alle Buchstaben auf dem Bildschirm auf den infizierten Programmes, alle Buchstaben auf dem Bildschirm auf den unteren Bildschirmrand fallen und dort einen Haufen bilden.unteren Bildschirmrand fallen und dort einen Haufen bilden.
Methode der Infektion:Methode der Infektion: Durch das Ausführen einer infizierten Datei wird der Virus gestartet und Durch das Ausführen einer infizierten Datei wird der Virus gestartet und
verbreitet.verbreitet.
Virus Daten:Virus Daten: Datum der Entdeckung: Oktober 1987Datum der Entdeckung: Oktober 1987 Herkunftsland: DeutschlandHerkunftsland: Deutschland Länge: 1701 oder 1704 BytesLänge: 1701 oder 1704 Bytes Typ: Programmvirus, speicherresidentTyp: Programmvirus, speicherresident Häufigkeit: oft, weit verbreitetHäufigkeit: oft, weit verbreitet
