Wissen Heute - Deutsche Telekom Training GmbH - Telekom
Wissen Heute - Deutsche Telekom Training GmbH - Telekom
Wissen Heute - Deutsche Telekom Training GmbH - Telekom
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Reproduktions-Routine<br />
Die wichtigsten Bestandteile einer Virusprogrammierung<br />
(Virus-Codes) sind die Reproduktions-Routine<br />
und die Payload-Routine.<br />
Fehlt die Reproduktions-Routine, dann ist<br />
das Programm kein Virus. Entgegen der vorherrschenden<br />
Meinung müssen Viren nicht<br />
über eine Payload-Routine verfügen. Die Reproduktions-Routine<br />
ist für Viren besonders<br />
wichtig. Dieser Code-Teil lokalisiert geeignete<br />
Objekte, um den Virus anzuhängen und ihn<br />
zu kopieren. Zunächst sucht der Virus nach<br />
brauchbaren Transport-Objekten wie einer<br />
Programmdatei oder einem Textdokument.<br />
Dabei muss die Reproduktions-Routine in<br />
der Lage sein, Objekte des richtigen Typs zu<br />
finden. Der Virenautor kann den Code so<br />
programmiert haben, dass der Virus den infizierten<br />
Rechner Datei für Datei durchsucht.<br />
Das ist jedoch ineffizient und nimmt viel Systemleistung<br />
in Anspruch. Ein anderer Weg<br />
ist es, wenn der Virus im Speicher bleibt und<br />
die Systemaktivitäten beobachtet. Das versetzt<br />
ihn in die Lage, Dateien zu infizieren,<br />
sobald sie genutzt werden. Die Leistungsbeeinträchtigung<br />
bei der Infizierung einer<br />
einzigen Datei ist so gering, dass der Anwender<br />
es nicht bemerkt. Dieses Verfahren verbessert<br />
auch die Verbreitungschancen des<br />
Virus, weil Dateien, auf die erst kürzlich zugegriffen<br />
wurde, mit höherer Wahrscheinlichkeit<br />
an ein anderes System gesendet werden<br />
als andere.<br />
Das nächste Problem, das die Reproduktions-<br />
Routine lösen muss, ist das Anhängen des<br />
Virus an das Transport-Objekt. Verschiedene<br />
Viren setzen hierfür unterschiedliche Techniken<br />
ein, jedoch gilt für alle, dass der Viren-<br />
Code ausgeführt wird, wenn das Objekt genutzt<br />
wird. Viren, die ein Programm infizieren,<br />
hängen den Viren-Code am Anfang oder Ende<br />
der Programmdatei an und sorgen dafür,<br />
dass – wenn das Programm gestartet wird –<br />
der Viren-Code zuerst ausgeführt wird. Wenn<br />
er seine Aufgaben beendet hat, gibt der Virus<br />
die Kontrolle wieder an das Originalprogramm<br />
ab. Auf diese Weise wird sichergestellt, dass<br />
das Originalprogramm weiter arbeitet und<br />
der Virus seine Entdeckung möglicherweise<br />
umgehen kann. Andere Arten von Transportobjekten<br />
wie Microsoft Word-Dokumente ver-<br />
fügen über Funktionen, um Makros in die<br />
Dokument-Dateien einzubetten. Das erleichtert<br />
es der Reproduktions-Routine des Virus,<br />
sich anzuhängen.<br />
Payload-Routine<br />
Im Unterschied zur Reproduktions-Routine<br />
ist die Payload-Routine kein zwingender Bestandteil<br />
eines Virus. Sie führt auf infizierten<br />
Computern etwas aus, das der Virenautor<br />
möchte. Bösartige Payloads können z. B.<br />
Dateien löschen, Daten modifizieren, so genannte<br />
Backdoors in Systeme einpflanzen<br />
oder vertrauliche Daten stehlen. Zur Gruppe<br />
der nicht bösartigen Payloads gehören<br />
Musikstücke, die abgespielt werden, oder<br />
Bilder und Animationen, die gezeigt werden.<br />
Die Payload eines Virus kann die Hardware<br />
eines Rechners normalerweise nicht beschädigen.<br />
Doch es gibt Ausnahmen: Ein Hardware-beschädigender<br />
Virus war beispielsweise<br />
der Virus W32/CIH, der 1998 bis 1999<br />
sehr weit verbreitet war. Er enthält eine Payload,<br />
die den BIOS-Chip eines Rechners jedes<br />
Jahr am 26. April löscht. Der BIOS-Chip<br />
ist notwendig, um einen Rechner hochzufahren.<br />
Wenn der Chip gelöscht ist, ist der PC<br />
unbrauchbar und kann nicht einmal mehr<br />
mit Hilfe einer Diskette gestartet werden. Bei<br />
vielen Rechnern kann der Chip neu programmiert<br />
werden. Dafür muss er aber aus dem<br />
Motherboard des PC ausgebaut werden. Die<br />
Löttechnik einiger moderner Rechner, insbesondere<br />
Laptops, macht es aber unmöglich,<br />
den Chip zu entfernen. In diesem Fall muss<br />
das gesamte Motherboard ersetzt werden.<br />
Virenautoren programmieren die Payload-<br />
Routine so, dass bestimmte Kriterien eintreffen<br />
müssen, ehe die Payload aktiviert wird.<br />
Dahinter verbirgt sich die Absicht, den Virus<br />
für einige Zeit versteckt zu halten, damit er<br />
genügend Zeit hat, sich zu verbreiten. Ein<br />
Virus, der sich sofort aktiviert, wird entdeckt<br />
und entfernt, bevor er die Chance hat, sich<br />
zu reproduzieren. Die populärsten Aktivierungs-Methoden<br />
sind, das System-Datum zu<br />
prüfen und die Payload zu einem bestimmten<br />
Datum oder nach einer zuvor festgelegten<br />
Anzahl von Tagen, die seit der Infizierung verstrichen<br />
sind, zu aktivieren. Die Aktivierung<br />
<strong>Wissen</strong><strong>Heute</strong> Jg. 57 8/2004<br />
kann daneben auch durch eine vorab festgelegte<br />
Anzahl von Ereignissen im System<br />
erfolgen, z. B. durch den wiederholten Gebrauch<br />
einer bestimmten Anwendung.<br />
Virentypen<br />
Im Folgenden werden verschiedene Virentypen<br />
beschrieben:<br />
■ Bootsektor-Viren<br />
■ Datei-Viren<br />
■ Dokument- und Makro-Viren<br />
■ 32-Bit-Datei-Viren<br />
■ Würmer und Mischformen<br />
■ Phishing Mails<br />
■ weitere Malware-Arten 3 (Trojanisches<br />
Pferd, Backdoor Trojaner, Joke-Programme,<br />
Hoaxes)<br />
Bootsektor-Viren<br />
Ein Bootsektor-Virus infiziert den Bootsektor<br />
von Disketten oder Festplatten. Im Bootsektor<br />
befindet sich ein Programm zum Start des<br />
Rechners. Wird der Rechner eingeschaltet,<br />
startet die Hardware automatisch das Bootsektorprogramm,<br />
das das Betriebssystem in<br />
den Speicher lädt. Ein Virus kann das System<br />
infizieren, indem er den Bootsektor ersetzt<br />
oder sich an diesen anhängt. Diese Virenart<br />
reproduziert sich sehr langsam, weil sie nur<br />
per Diskette von Rechner zu Rechner wandern<br />
kann. Zusätzlich muss auf dem Zielrechner<br />
ein Boot-Versuch mit der infizierten Diskette<br />
gestartet werden, ehe der Virus den Rechner<br />
infizieren kann. Der Virus kann auf der Diskette<br />
verbleiben und andere Rechner infizieren,<br />
auch wenn dort kein Betriebssystem vorhanden<br />
ist. Disketten als Medien zum Datenaustausch<br />
sind heute jedoch überwiegend durch<br />
Netzwerkkommunikation ersetzt. Auch Software<br />
wird eher über Netzwerke oder CD-<br />
ROMs als mit Hilfe von Disketten verbreitet.<br />
Bootsektor-Viren sind daher fast völlig „ausgestorben“.<br />
Zwar befinden sich nach wie<br />
vor einige Bootsektor-Viren auf archivierten<br />
Disketten, doch diese werden kaum aktiviert<br />
und die Viren funktionieren unter modernen<br />
3 Malware: Von „malicious“ (engl. böswillig) und „Software“<br />
abgeleiteter Oberbegriff für Viren und Störprogramme, die<br />
ursprünglich in „böswilliger“ Absicht programmiert wurden.<br />
423