Grundtypen von Computer- Viren - Bundesamt für Sicherheit in der ...

Computer-Viren
Definition und Wirkungsweise
Computer-Viren gehören zu den Programmen
mit Schadensfunktionen. Als Schaden ist insbesondere
der Verlust oder die Verfälschung von
Daten oder Programmen anzusehen. Solche Programmfunktionen
können sowohl unbeabsichtigt
als auch bewusst gesteuert auftreten.
Die Definition eines Computer-Virus bezieht sich
aber nicht unmittelbar auf eine möglicherweise
programmierte Schadensfunktion:
Ein Computer-Virus ist eine nicht selbstständige
Programmroutine, die sich selbst
reproduziert und dadurch vom Anwender
nicht kontrollierbare Manipulationen in
Systembereichen, an anderen Programmen
oder deren Umgebung vornimmt.
Eine nicht selbstständige Programmroutine bedeutet,
dass der Virus ein Wirtsprogramm benötigt.
Diese Eigenschaft und seine Befähigung zur
Reproduktion führte in Analogie zum biologischen
Vorbild zu der Bezeichnung "Virus".
Die Möglichkeiten der Manipulation sind sehr
vielfältig: Besonders häufig ist das Überschreiben
oder das Anlagern des Virus-Codes an andere
Programme und Bereiche des Betriebssystems.
Dabei wird zunächst der Virus-Code und
dann erst das ursprüngliche Programm
ausgeführt.
Obwohl Computer-Viren prinzipiell bei jedem
Computertyp und Betriebssystem denkbar sind,
erlangten sie bei IBM-kompatiblen Personalcomputern
(PC), insbesondere bei den weit verbreiteten
Windows-Betriebssystemen, die größte Bedeutung.
Hierbei wurden bis Ende 2002 weltweit rund
70.000 Viren (einschließlich Varianten) gezählt.
Entsprechend vielfältig sind weitere Merkmale
und Eigenschaften.
Grundtypen von Computer-
Viren
Boot-Virus
Der Virus befindet sich im Boot-Sektor einer
Diskette bzw. Festplatte oder im Partition-Record
(auch Master-Boot-Record oder Partition-Sektor
genannt) einer Festplatte. Der Virus wird durch
einen Kalt- oder Warm-Start (bzw. bei Daten-
Disketten auch erfolglosem Bootversuch) aktiviert.
Diese Form der Viren ist weitestgehend
ausgestorben, da ihr Hauptverbreitungsweg -
die Diskette - kaum noch eingesetzt wird.
File-Virus
Der Virus ist in einem Programm (Wirtsprogramm)
enthalten und wird durch Aufruf dieses
Programms aktiviert.
Makro-Virus (siehe auch „Faltblatt Makro-Viren“)
Während sich die bereits genannten Viren anstelle
von Programmcode einnisten, benutzen
Makro-Viren Steuersequenzen in Daten-Dateien.
Moderne Programme erlauben es, häufig benötigte
Steuerinformationen mittels einfach erlernbarer
Programmiersprachen zu erstellen.
Innerhalb der Textformatierung beispielsweise
ist diese Funktion nützlich und für den Anwender
sehr komfortabel. Allerdings geht der damit
gewonnene Komfort zu Lasten der Sicherheit.
Denn dies kann zur Programmierung von
Makro-Viren missbraucht werden, die beim
Arbeiten mit den Daten-Dateien automatisch
ablaufen. Sofern die Hauptprogramme nicht nur
für ein spezielles Betriebssystem angeboten
werden, können auch die damit programmierten
Viren plattformübergreifend arbeiten.
Makro-Viren haben in den letzten Jahren deshalb
starke Verbreitung gefunden.

Schäden durch Computer-Viren
Computer-Viren verursachen allein in der
Bundesrepublik Deutschland jährlich Schäden in
dreistelliger Millionenhöhe - mit steigender
Tendenz.
Die Schäden lassen sich verschiedenen
Bereichen zuordnen:
► Beabsichtigte, programmierte zerstörerische
Schadensfunktionen.
► Unbeabsichtigte Seiteneffekte bei angeblich
harmlosen "Scherz-Viren".
► Inanspruchnahme von Speicherplatz im
Hauptspeicher und auf Datenträgern.
► Materieller und personeller Aufwand beim
Suchen und Entfernen.
► Zusätzlich zu ergreifende organisatorische
Abwehr-Maßnahmen.
► Panik-Reaktionen von Anwendern.
► Verunsicherung der Anwender.
Quellen der Viren-Verbreitung
Bis Mitte 2000 wurden Viren hauptsächlich über
folgende Wege verbreitet.
► Original-Software,
► vorinstallierte Geräte,
► Wartungs- und Service-Personal,
► Anwender.
Durch die weltweit zunehmende Vernetzung
der Rechner sowie die steigende Bedeutung der
Kommunikation über E-Mails werden inzwischen
Schadprogramme fast ausschließlich über
den Anwender verbreitet.
Vorbeugende Maßnahmen
Regelmäßig Datensicherung durchführen.
♦
Sicherheitskopien von Datenträgern
sicher aufbewahren.
♦
Schreibschutz bei allen Disketten setzen,
auf die nicht geschrieben werden muss
(dies gilt insbesondere für die meisten
Programm-Disketten).
♦
Aktuelle Viren-Schutzsoftware verwenden.
♦
Alle ein- und ausgehenden Datenträger auf
Viren überprüfen. Ausgehende Datenträger mit
Schreibschutz versehen.
♦
Vorinstallierte Neugeräte und gewartete Geräte
auf Viren überprüfen. Ebenso Programme über
andere Datenkanäle bei Ein- und Ausgang auf
Viren überprüfen. (z. B. E-Mail, Downloads aus
dem Internet)
♦
Notfalldiskette erstellen.
♦
Boot-Reihenfolge im CMOS-RAM auf
"C:, A:" einstellen ("Erweitertes Setup").
♦
Mehrere Partitionen (logische Laufwerke)
im Rechner einrichten.
♦
Computer und Datenträger vor
unbefugter Benutzung schützen.
♦
Mitarbeiter über Computer-Viren schulen.
♦
Verfahrensweise bei Verdacht des
Viren-Befalls vorher klären.
Verhalten bei Befall
Bei Verdacht auf Virus-Befall
Arbeit wie gewohnt aber unverzüglich beenden
.
Keine Panik!
Computer ausschalten.
Unerfahrene Anwender sollten einen Fachmann
hinzuziehen, z. B. Benutzerdienst.
Von virenfreier, schreibgeschützter
System-Diskette booten.
Mit aktuellem Viren-Suchprogramm die
Festplatte untersuchen; dabei ein Protokoll
erzeugen.
Datensicherung durchführen
(falls nicht vorhanden).
Virus von Festplatte entfernen.
Mit Viren-Suchprogramm die Festplatte
erneut überprüfen.
Alle anderen Datenträger
(Disketten, CD-ROM, Wechselplatten)
auf Viren-Befall untersuchen und Viren
entfernen.
Wenn die Quelle der Viren-Infektion
feststellbar ist :
bei Programm-Disketten und CD-ROM: Hersteller
und
BSI informieren.
bei Daten-Disketten: Ersteller des Datenträgers
informieren.
bei kommerziellen Datenträgern: auch das BSI
Andere Benutzer warnen
(wenn Daten- und E-Mail-Austausch von
infiziertem Rechner erfolgte)
Virus-Meldung ausfüllen und an das BSI
senden.

Glossar
Polymorpher Virus: Virus, dessen Code durch
unterschiedliche Reihenfolge und Verwendung
von Maschinenbefehlen (bei gleicher Wirkung)
gekennzeichnet ist.
Programm mit Schadensfunktionen:
(malicious software, malware) Alle Arten von
Programmen, die verdeckte Funktionen enthalten
und damit durch Löschen, Überschreiben
oder sonstige Veränderungen unkontrollierbare
Schäden an Programmen und Daten bewirken
und somit zusätzliche Arbeit und Kosten verursachen
oder Vertraulichkeit und Verfügbarkeit
von Daten oder Programmen negativ beeinflussen.
Residenter Virus: Virus, der nach Aktivierung
bis zum Ausschalten des Rechners im Hauptspeicher
aktiv bleibt.
Selbstverschlüsselnder Virus: Virus verschlüsselt
(kryptiert) seinen Code mit festem oder
wechselndem Schlüssel.
Tarnkappen-Virus (Stealth-Virus): Residenter
Virus, der seine Anwesenheit im infizierten
System durch Manipulation des Betriebssystems
zu verbergen versucht.
Trojanisches Pferd (siehe auch gesondertes
Faltblatt): Selbständiges Programm mit einer
verdeckten Schadensfunktion, ohne
Selbstreproduktion.
Viren-Suchprogramm (Scanner): Programm, das
resident (im Hintergrund) oder bei Aufruf Datenträger,
Systembereiche, Unterverzeichnisse oder
Dateigruppen und einzelne Dateien nach bekannten
Viren durchsucht. Dies geschieht entweder
mittels fester Zeichenfolgen (Signaturen),
spezieller Algorithmen oder heuristischer Verfahren.
Wurm: Selbstständiges, selbstreproduzierendes
Programm, das sich in einem System (vor allem
in Netzen) ausbreitet.
Notfall-Adresse des BSI:
Bei Problemen mit Computer-Viren, können Sie
sich direkt an das BSI wenden:
Bundesamt für Sicherheit
in der Informationstechnik
Referat 124
Postfach 20 03 63
53133 Bonn
Tel.: +49 (0) 1805 274100
0,14 EUR (inkl. Ust.)/ Min. aus dem deutschen Festnetz
Mobilfunkhöchstpreis: 0,42 EUR (inkl. Ust.)/ Minute
Fax: +49 (0) 3018 9582-5400
E-Mail: antivir@bsi.bund.de
Weitere Informationen zu Computer-Viren
finden Sie auf den Internetseiten des BSI unter:
https://www.bsi-fuer-buerger.de/Schadprogramme