Grundtypen von Computer- Viren - Bundesamt für Sicherheit in der ...
Grundtypen von Computer- Viren - Bundesamt für Sicherheit in der ...
Grundtypen von Computer- Viren - Bundesamt für Sicherheit in der ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Computer</strong>-<strong>Viren</strong><br />
Def<strong>in</strong>ition und Wirkungsweise<br />
<strong>Computer</strong>-<strong>Viren</strong> gehören zu den Programmen<br />
mit Schadensfunktionen. Als Schaden ist <strong>in</strong>sbeson<strong>der</strong>e<br />
<strong>der</strong> Verlust o<strong>der</strong> die Verfälschung <strong>von</strong><br />
Daten o<strong>der</strong> Programmen anzusehen. Solche Programmfunktionen<br />
können sowohl unbeabsichtigt<br />
als auch bewusst gesteuert auftreten.<br />
Die Def<strong>in</strong>ition e<strong>in</strong>es <strong>Computer</strong>-Virus bezieht sich<br />
aber nicht unmittelbar auf e<strong>in</strong>e möglicherweise<br />
programmierte Schadensfunktion:<br />
E<strong>in</strong> <strong>Computer</strong>-Virus ist e<strong>in</strong>e nicht selbstständige<br />
Programmrout<strong>in</strong>e, die sich selbst<br />
reproduziert und dadurch vom Anwen<strong>der</strong><br />
nicht kontrollierbare Manipulationen <strong>in</strong><br />
Systembereichen, an an<strong>der</strong>en Programmen<br />
o<strong>der</strong> <strong>der</strong>en Umgebung vornimmt.<br />
E<strong>in</strong>e nicht selbstständige Programmrout<strong>in</strong>e bedeutet,<br />
dass <strong>der</strong> Virus e<strong>in</strong> Wirtsprogramm benötigt.<br />
Diese Eigenschaft und se<strong>in</strong>e Befähigung zur<br />
Reproduktion führte <strong>in</strong> Analogie zum biologischen<br />
Vorbild zu <strong>der</strong> Bezeichnung "Virus".<br />
Die Möglichkeiten <strong>der</strong> Manipulation s<strong>in</strong>d sehr<br />
vielfältig: Beson<strong>der</strong>s häufig ist das Überschreiben<br />
o<strong>der</strong> das Anlagern des Virus-Codes an an<strong>der</strong>e<br />
Programme und Bereiche des Betriebssystems.<br />
Dabei wird zunächst <strong>der</strong> Virus-Code und<br />
dann erst das ursprüngliche Programm<br />
ausgeführt.<br />
Obwohl <strong>Computer</strong>-<strong>Viren</strong> pr<strong>in</strong>zipiell bei jedem<br />
<strong>Computer</strong>typ und Betriebssystem denkbar s<strong>in</strong>d,<br />
erlangten sie bei IBM-kompatiblen Personalcomputern<br />
(PC), <strong>in</strong>sbeson<strong>der</strong>e bei den weit verbreiteten<br />
W<strong>in</strong>dows-Betriebssystemen, die größte Bedeutung.<br />
Hierbei wurden bis Ende 2002 weltweit rund<br />
70.000 <strong>Viren</strong> (e<strong>in</strong>schließlich Varianten) gezählt.<br />
Entsprechend vielfältig s<strong>in</strong>d weitere Merkmale<br />
und Eigenschaften.<br />
<strong>Grundtypen</strong> <strong>von</strong> <strong>Computer</strong>-<br />
<strong>Viren</strong><br />
Boot-Virus<br />
Der Virus bef<strong>in</strong>det sich im Boot-Sektor e<strong>in</strong>er<br />
Diskette bzw. Festplatte o<strong>der</strong> im Partition-Record<br />
(auch Master-Boot-Record o<strong>der</strong> Partition-Sektor<br />
genannt) e<strong>in</strong>er Festplatte. Der Virus wird durch<br />
e<strong>in</strong>en Kalt- o<strong>der</strong> Warm-Start (bzw. bei Daten-<br />
Disketten auch erfolglosem Bootversuch) aktiviert.<br />
Diese Form <strong>der</strong> <strong>Viren</strong> ist weitestgehend<br />
ausgestorben, da ihr Hauptverbreitungsweg -<br />
die Diskette - kaum noch e<strong>in</strong>gesetzt wird.<br />
File-Virus<br />
Der Virus ist <strong>in</strong> e<strong>in</strong>em Programm (Wirtsprogramm)<br />
enthalten und wird durch Aufruf dieses<br />
Programms aktiviert.<br />
Makro-Virus (siehe auch „Faltblatt Makro-<strong>Viren</strong>“)<br />
Während sich die bereits genannten <strong>Viren</strong> anstelle<br />
<strong>von</strong> Programmcode e<strong>in</strong>nisten, benutzen<br />
Makro-<strong>Viren</strong> Steuersequenzen <strong>in</strong> Daten-Dateien.<br />
Mo<strong>der</strong>ne Programme erlauben es, häufig benötigte<br />
Steuer<strong>in</strong>formationen mittels e<strong>in</strong>fach erlernbarer<br />
Programmiersprachen zu erstellen.<br />
Innerhalb <strong>der</strong> Textformatierung beispielsweise<br />
ist diese Funktion nützlich und <strong>für</strong> den Anwen<strong>der</strong><br />
sehr komfortabel. Allerd<strong>in</strong>gs geht <strong>der</strong> damit<br />
gewonnene Komfort zu Lasten <strong>der</strong> <strong>Sicherheit</strong>.<br />
Denn dies kann zur Programmierung <strong>von</strong><br />
Makro-<strong>Viren</strong> missbraucht werden, die beim<br />
Arbeiten mit den Daten-Dateien automatisch<br />
ablaufen. Sofern die Hauptprogramme nicht nur<br />
<strong>für</strong> e<strong>in</strong> spezielles Betriebssystem angeboten<br />
werden, können auch die damit programmierten<br />
<strong>Viren</strong> plattformübergreifend arbeiten.<br />
Makro-<strong>Viren</strong> haben <strong>in</strong> den letzten Jahren deshalb<br />
starke Verbreitung gefunden.
Schäden durch <strong>Computer</strong>-<strong>Viren</strong><br />
<strong>Computer</strong>-<strong>Viren</strong> verursachen alle<strong>in</strong> <strong>in</strong> <strong>der</strong><br />
Bundesrepublik Deutschland jährlich Schäden <strong>in</strong><br />
dreistelliger Millionenhöhe - mit steigen<strong>der</strong><br />
Tendenz.<br />
Die Schäden lassen sich verschiedenen<br />
Bereichen zuordnen:<br />
► Beabsichtigte, programmierte zerstörerische<br />
Schadensfunktionen.<br />
► Unbeabsichtigte Seiteneffekte bei angeblich<br />
harmlosen "Scherz-<strong>Viren</strong>".<br />
► Inanspruchnahme <strong>von</strong> Speicherplatz im<br />
Hauptspeicher und auf Datenträgern.<br />
► Materieller und personeller Aufwand beim<br />
Suchen und Entfernen.<br />
► Zusätzlich zu ergreifende organisatorische<br />
Abwehr-Maßnahmen.<br />
► Panik-Reaktionen <strong>von</strong> Anwen<strong>der</strong>n.<br />
► Verunsicherung <strong>der</strong> Anwen<strong>der</strong>.<br />
Quellen <strong>der</strong> <strong>Viren</strong>-Verbreitung<br />
Bis Mitte 2000 wurden <strong>Viren</strong> hauptsächlich über<br />
folgende Wege verbreitet.<br />
► Orig<strong>in</strong>al-Software,<br />
► vor<strong>in</strong>stallierte Geräte,<br />
► Wartungs- und Service-Personal,<br />
► Anwen<strong>der</strong>.<br />
Durch die weltweit zunehmende Vernetzung<br />
<strong>der</strong> Rechner sowie die steigende Bedeutung <strong>der</strong><br />
Kommunikation über E-Mails werden <strong>in</strong>zwischen<br />
Schadprogramme fast ausschließlich über<br />
den Anwen<strong>der</strong> verbreitet.<br />
Vorbeugende Maßnahmen<br />
Regelmäßig Datensicherung durchführen.<br />
♦<br />
<strong>Sicherheit</strong>skopien <strong>von</strong> Datenträgern<br />
sicher aufbewahren.<br />
♦<br />
Schreibschutz bei allen Disketten setzen,<br />
auf die nicht geschrieben werden muss<br />
(dies gilt <strong>in</strong>sbeson<strong>der</strong>e <strong>für</strong> die meisten<br />
Programm-Disketten).<br />
♦<br />
Aktuelle <strong>Viren</strong>-Schutzsoftware verwenden.<br />
♦<br />
Alle e<strong>in</strong>- und ausgehenden Datenträger auf<br />
<strong>Viren</strong> überprüfen. Ausgehende Datenträger mit<br />
Schreibschutz versehen.<br />
♦<br />
Vor<strong>in</strong>stallierte Neugeräte und gewartete Geräte<br />
auf <strong>Viren</strong> überprüfen. Ebenso Programme über<br />
an<strong>der</strong>e Datenkanäle bei E<strong>in</strong>- und Ausgang auf<br />
<strong>Viren</strong> überprüfen. (z. B. E-Mail, Downloads aus<br />
dem Internet)<br />
♦<br />
Notfalldiskette erstellen.<br />
♦<br />
Boot-Reihenfolge im CMOS-RAM auf<br />
"C:, A:" e<strong>in</strong>stellen ("Erweitertes Setup").<br />
♦<br />
Mehrere Partitionen (logische Laufwerke)<br />
im Rechner e<strong>in</strong>richten.<br />
♦<br />
<strong>Computer</strong> und Datenträger vor<br />
unbefugter Benutzung schützen.<br />
♦<br />
Mitarbeiter über <strong>Computer</strong>-<strong>Viren</strong> schulen.<br />
♦<br />
Verfahrensweise bei Verdacht des<br />
<strong>Viren</strong>-Befalls vorher klären.<br />
Verhalten bei Befall<br />
Bei Verdacht auf Virus-Befall<br />
Arbeit wie gewohnt aber unverzüglich beenden<br />
.<br />
Ke<strong>in</strong>e Panik!<br />
<strong>Computer</strong> ausschalten.<br />
Unerfahrene Anwen<strong>der</strong> sollten e<strong>in</strong>en Fachmann<br />
h<strong>in</strong>zuziehen, z. B. Benutzerdienst.<br />
Von virenfreier, schreibgeschützter<br />
System-Diskette booten.<br />
Mit aktuellem <strong>Viren</strong>-Suchprogramm die<br />
Festplatte untersuchen; dabei e<strong>in</strong> Protokoll<br />
erzeugen.<br />
Datensicherung durchführen<br />
(falls nicht vorhanden).<br />
Virus <strong>von</strong> Festplatte entfernen.<br />
Mit <strong>Viren</strong>-Suchprogramm die Festplatte<br />
erneut überprüfen.<br />
Alle an<strong>der</strong>en Datenträger<br />
(Disketten, CD-ROM, Wechselplatten)<br />
auf <strong>Viren</strong>-Befall untersuchen und <strong>Viren</strong><br />
entfernen.<br />
Wenn die Quelle <strong>der</strong> <strong>Viren</strong>-Infektion<br />
feststellbar ist :<br />
bei Programm-Disketten und CD-ROM: Hersteller<br />
und<br />
BSI <strong>in</strong>formieren.<br />
bei Daten-Disketten: Ersteller des Datenträgers<br />
<strong>in</strong>formieren.<br />
bei kommerziellen Datenträgern: auch das BSI<br />
An<strong>der</strong>e Benutzer warnen<br />
(wenn Daten- und E-Mail-Austausch <strong>von</strong><br />
<strong>in</strong>fiziertem Rechner erfolgte)<br />
Virus-Meldung ausfüllen und an das BSI<br />
senden.
Glossar<br />
Polymorpher Virus: Virus, dessen Code durch<br />
unterschiedliche Reihenfolge und Verwendung<br />
<strong>von</strong> Masch<strong>in</strong>enbefehlen (bei gleicher Wirkung)<br />
gekennzeichnet ist.<br />
Programm mit Schadensfunktionen:<br />
(malicious software, malware) Alle Arten <strong>von</strong><br />
Programmen, die verdeckte Funktionen enthalten<br />
und damit durch Löschen, Überschreiben<br />
o<strong>der</strong> sonstige Verän<strong>der</strong>ungen unkontrollierbare<br />
Schäden an Programmen und Daten bewirken<br />
und somit zusätzliche Arbeit und Kosten verursachen<br />
o<strong>der</strong> Vertraulichkeit und Verfügbarkeit<br />
<strong>von</strong> Daten o<strong>der</strong> Programmen negativ bee<strong>in</strong>flussen.<br />
Residenter Virus: Virus, <strong>der</strong> nach Aktivierung<br />
bis zum Ausschalten des Rechners im Hauptspeicher<br />
aktiv bleibt.<br />
Selbstverschlüsseln<strong>der</strong> Virus: Virus verschlüsselt<br />
(kryptiert) se<strong>in</strong>en Code mit festem o<strong>der</strong><br />
wechselndem Schlüssel.<br />
Tarnkappen-Virus (Stealth-Virus): Residenter<br />
Virus, <strong>der</strong> se<strong>in</strong>e Anwesenheit im <strong>in</strong>fizierten<br />
System durch Manipulation des Betriebssystems<br />
zu verbergen versucht.<br />
Trojanisches Pferd (siehe auch geson<strong>der</strong>tes<br />
Faltblatt): Selbständiges Programm mit e<strong>in</strong>er<br />
verdeckten Schadensfunktion, ohne<br />
Selbstreproduktion.<br />
<strong>Viren</strong>-Suchprogramm (Scanner): Programm, das<br />
resident (im H<strong>in</strong>tergrund) o<strong>der</strong> bei Aufruf Datenträger,<br />
Systembereiche, Unterverzeichnisse o<strong>der</strong><br />
Dateigruppen und e<strong>in</strong>zelne Dateien nach bekannten<br />
<strong>Viren</strong> durchsucht. Dies geschieht entwe<strong>der</strong><br />
mittels fester Zeichenfolgen (Signaturen),<br />
spezieller Algorithmen o<strong>der</strong> heuristischer Verfahren.<br />
Wurm: Selbstständiges, selbstreproduzierendes<br />
Programm, das sich <strong>in</strong> e<strong>in</strong>em System (vor allem<br />
<strong>in</strong> Netzen) ausbreitet.<br />
Notfall-Adresse des BSI:<br />
Bei Problemen mit <strong>Computer</strong>-<strong>Viren</strong>, können Sie<br />
sich direkt an das BSI wenden:<br />
<strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong><br />
<strong>in</strong> <strong>der</strong> Informationstechnik<br />
Referat 124<br />
Postfach 20 03 63<br />
53133 Bonn<br />
Tel.: +49 (0) 1805 274100<br />
0,14 EUR (<strong>in</strong>kl. Ust.)/ M<strong>in</strong>. aus dem deutschen Festnetz<br />
Mobilfunkhöchstpreis: 0,42 EUR (<strong>in</strong>kl. Ust.)/ M<strong>in</strong>ute<br />
Fax: +49 (0) 3018 9582-5400<br />
E-Mail: antivir@bsi.bund.de<br />
Weitere Informationen zu <strong>Computer</strong>-<strong>Viren</strong><br />
f<strong>in</strong>den Sie auf den Internetseiten des BSI unter:<br />
https://www.bsi-fuer-buerger.de/Schadprogramme