Startseite   |  Site map   |  A-Z artikel   |  Artikel einreichen   |   Kontakt   |  
  


informatik artikel (Interpretation und charakterisierung)

Technologie

Programm

Viren

Viren

Computerviren --


1. Java
2. Viren

Inhalt: 1) Computerviren allgemein /> 2) Virenarten

3) Genereller Aufbau
4) Funktionsweise von Viren

5) Virenschutz
6) Virenbeispiele

1) Computerviren allgemein:

a) Definition eines Computervirus:
Ein Computervirus ist ein Programm, daß in der Lage ist, Kopien von sich selbst herzustellen und in andere Programme einzupflanzen (infizieren). Der Virus kann eine genau definierte Aufgabe ausfüllen. Programme die infiziert wurden sind ihrerseits wiederum Viren.

c) Ziel und Zweck eines Computervirus:
Viren richten im allgemeinen nur Schaden an. Zu Forschungszwecken werden auch Viren eingesetzt die sich nur reproduzieren und keine Veränderungen an Programmen vornehmen.

Mögliche Schäden:
-) Harmlose aber störende Bildschirmanimationen
-) Daten- bzw. Dateizerstörung durch Löschen oder Überschreiben
-) Zerstörung von gesamten Disketten- bzw. Festplatteninhalten durch Formatieren
-) Manipulation von Daten durch z.B.: *)Ersetzen bestimmter Zeichenketten

*)Verfälschung der Tastatureingaben
-) Beschädigung von Hardware durch z.B.: *) Die Erhöhung der Bildschirmfrequenz
mittels der Grafikkarte hat manchmal ein Verschmoren der Leuchtschicht an der Bildschirminnenseite zur Folge.
*) Bei manchen Diskettenlaufwerken verklemmt sich der Lese/Schreibkopf wenn versucht wird über die innerste Spur hinauszulesen.
*) Die Überbeanspruchung eines elektronischen Bauteils wie z.B. des Co-Prozessors kann zu dessen Beschädigung führen.
-) Blockierung von Speicherplatz durch z.B.: *) das Schreiben riesiger Dateien mit sinnlosem Inhalt auf die Festplatte oder Diskette.
*) das Laden sinnloser Programme in den Arbeitsspeicher.
-) Reduzierung der Systemleistung durch z.B.: *) Verkleinerung des Arbeitsspeichers (siehe oben)
*) Beanspruchung der Prozessorleistung für sinnlose Berechnungen.
-) Blockierung von Programmen durch Aufforderung zur Eingabe eines Paßwortes ohne dessen ein Programm nicht gestartet werden kann.

-) Nichts


c) Woher kommen Viren:
Viren werden meistens von Privatpersonen mit destruktiver Veranlagung, still und heimlich im einsamen Kämmerlein programmiert. Der "klassische" Computervirus hatte meistens das Ziel bestimmte Unternehmen und Firmen durch Datenmanipulation- oder Zerstörung zu schaden. Vorteile eines Virus:
-) Die Herkunft eines Virus nur selten feststellbar ist
-) Viren an Daten herankommen, die vor direkten
Zugriffen geschützt sind
-) Viren sehr schnell verbreitet werden können, da die Vermehrung exponentiell verläuft.

Die häufigsten Herkunftsländer (nach Bedeutung geordnet):
1) USA

2) Rußland
3) Deutschland

4) Bulgarien
5) Polen

In Österreich, beispielsweise, verursachen Computervirenschäden jährlich einen Schaden von ca. 100 Mio. S
Derzeit sind ca. 8000 Viren bekannt. Täglich kommen 2-3 neue dazu. Durch flächendeckenden Einsatz von Virenbekämpfungsmaßnahmen wurden aber schon viele Viren praktisch total unschädlich gemacht.


c) Rechtslage:
In Österreich und Deutschland ist die Rechtslage bezüglich Computerviren sehr ungenau definiert. Das Programmieren von Computerviren ist demnach nicht ausdrücklich verboten, sehr wohl aber deren - auch nur versuchte - Anwendung und vor allem die daraus resultierende Veränderung von Daten. Strafbar ist die Anwendung jedes Virus, auch wenn er keinen Schaden anrichtet, da in jedem Fall durch das Kopieren des Virusprogramms eine Veränderung von Datenbeständen erfolgt. Es gibt aber keine wirklich genauen Verbote für die indirekte Verbreitung von Viren, etwa für das Einschleusen in Netzwerke anstatt durch direkte Infektion des zu manipulierenden Computers. In der Schweiz hingegen sind alle Schritte, vom Programmieren bis zur Verbreitung, sowie der Anstiftung dazu, mit einer Freiheitsstrafe von bis zu 5 Jahren belegt. Sowohl in der Schweiz als auch in Österreich und Deutschland ist allerdings mit weitreichenden Schadenersatzforderungen sowie einer Bestrafung für andere, durch den Vireneinsatz begangene Delikte, etwa Betrug durch einen Virus, der Bankguthaben verschiebt, zu rechnen.
Immer wieder wird der Einsatz von Viren als Schutz vor Raubkopien diskutiert, d.h. ein illegal benütztes Programm setzt einen Virus frei. Dies ist allerdings rechtlich nur so weit gedeckt, als nur das betroffene Programm - und kein Byte mehr - in Mitleidenschaft gezogen wird.




2) Computervirenarten:


a) Programmvirus
Programmviren befallen Dateien die in ausführbarem Programmcode vorliegen. Zumeist sind diese .EXE, .COM und oft auch .SYS Dateien. Diese Programme bestehen aus 3 Teilen: Start - Eigentliches Programm - Ende




Programmviren gliedern sich wiederum in 2 Bereiche:


) Nichtüberschreibende Viren:
Der Virus kopiert sich entweder

*) an das Programmende. Dabei verschiebt er auch den Startteil des
Wirtprogrammes an das Ende und fügt einen Verweis auf den Viruscode am
Anfang der Datei ein. (siehe Grafik) Beim Aufruf der Datei springt der DOS
Loader (=Leseroutine) zum Virus und führt ihn aus. Die ursprüngliche
Startanweisung zeigt auf den normalen Programmcode, der dann gestartet
wird. Danach wird das Programm beendet.
Der Anwender merkt davon nichts, da Viren meist nur winzig klein sind und in einem Bruchteil einer Sekunde ihre Arbeit erledigt haben. Die Länge des Ursprungsprogrammes wird erweitert obwohl es nach außenhin normal abläuft. So bleiben Infektionen oft lange unbemerkt




*) an den Programmanfang. Zunächst wird der 1. Teil des Wirtprogrammes in der Größe des Viruscodes herausgeschnitten, mit Hilfe einer Verschieberoutine (VR) markiert und am Ende der Datei eingefügt. Der Virus wird an den Dateianfang kopiert.
Beim Start des infizierten Programmes wird der Virus ausgeführt und dann die VR gestartet, die den verschobenen ersten Programmteil in seine Ursprungsposition, über den Viruscode, rückt. Das Programm ist wiederhergestellt und kann normal gestartet und beendet werden. Da das Ausführen eines Programmes im Arbeitsspeicher erfolgt, bleibt die Datei auf der Festplatte unverändert und somit noch immer infiziert.



) Überschreibende Viren
Bei der Fortpflanzung eines Virus dieses Typs, überschreibt dieser einfach den Anfang des Wirtprogrammes. Dieses wird aber dadurch fehlerhaft und funktionsunfähig.

Vorteile:

*) Einfach zu programmierender Virus
*) Da die Dateigröße nicht verändert wird, können manche Antivirenprogramme den Virus nicht aufspüren.

Nachteil:
*) Durch das fehlerhafte Programm bemerkt der Benützer den Virus sehr schnell, vielleicht bevor dieser sich ausreichend vermehren konnte.

b) Speicherresidente Viren:
haben eine etwas effektivere Fortpflanzungsmethode als die Vorhergenannten. Wird nämlich ein infiziertes Programm aufgerufen, laden sich der speicherresidente Virus in den Arbeitsspeicher. So kann er auch wenn das eigentliche Programm beendet wird aktiv bleiben und seinen "Auftrag" ausführen.


Und das geht so:
Die Computerviren überwachen bestimmte DOS- oder BIOS- Interrupts in der Interrupt-Vektor-Tabelle. Benötigt ein Programm nun eine Systemfunktion (z.B. eine Tastatureingabe) so fordert sie diese über einen Interrupt an. Was bei dem Ausführen eines Interrupts geschieht, steht in der Interrupt-Vektor-Tabelle. Da diese Tabelle im Arbeitsspeicher liegt, kann der Virus hier verändernd eingreifen und der angeforderte Interrupt führt anstatt der ursprünglichen Interruptfunktion, die Virusfortpflanzungsroutine aus. Das aktive Programm wird infiziert.

c) Source-Code Viren:
Hier liegt der Computervirus nicht als ausführbarer Programmcode vor, sondern als Quellcode einer Programmiersprache wie z.B.: Pascal, C, usw.
Da ein plötzlich auftauchender fremder Code in einem Programm sehr verdächtig sein würde, infiziert der Virus bevorzugt Programmbibliotheken, die meist nicht kontrolliert werden.
Compiliert und startet man nun das Programm, wird irgendwann auch die Programmbibliothek benötigt und der Virus kann somit aktiv werden. Er sucht dann wiederum nach anderen Bibliotheken und infiziert diese. Das funktioniert aber nur wenn noch der Quellcode des Virus in der uncompilierten Datei vorliegt.




d) Call Viren:
Call Viren versuchen Auffälligkeiten wie die Veränderung der Dateigröße oder Zerstörung des Wirtprogrammes zu vermeiden. Deshalb liegt der Virus als versteckte Datei irgendwo auf dem Datenträger vor. Nur ein Link, der ggf. so angebracht werden kann, daß das infizierte Programm nicht verlängert wird, ruft den Virus vom Wirtsprogramm aus auf.



e) Bootsektorviren:
Der Bootsektor ist der Sektor einer Festplatte der beim Systemstart als erster gelesen wird und der dem Rechner mitteilt, was er nach dem Einschalten machen soll. Ein Bootsektorvirus überschreibt diesen Sektor mit dem eigenen Programmcode und verweist, nach der Erfüllung seiner Aufgabe, auf eine zuvor angelegte Kopie des originalen Bootsektors auf der Festplatte.











f) Partition Table Virus:
Der Virus nistet sich im Partition Table (Sektor 0) der Festplatte ein und infiziert von dort aus den Bootsektor. Selbst beim Formatieren der Festplatte oder löschen des Bootsektors bleibt der Virus erhalten. Weitere Strategie des Virus siehe e).

g) Companion Viren:
Der Virus liegt in Form einer .COM Datei vor, die den selben Namen hat wie die infizierte .EXE Datei. Da DOS immer die .COM Dateien zuerst startet, kann hier der Virus aufgerufen werden, der nach dem Ausführen seines Programmes die ursprüngliche .EXE Datei startet.


h) Macro Viren:
Ein Macro ist eine Zusammenfassung einer Abfolge von Befehlen. Sie werden zur Arbeitserleichterung in Programmen wie MS-Word eingesetzt. Macroviren sind die neueste Generation von Computerviren und sehr effektiv, da Makros an normale Dokumentdateien gebunden sind und somit leicht verbreitet werden. So ist es z.B.: möglich von Word aus unbemerkt die Festplatte zu formatieren.


Folgende Virenarten sind Spezialformen der oben von a)-h) genannten:


i) Cavity Viren:
Cavity Viren versuchen die Größe der infizierten Datei nicht zu verändern um sog. Check- Summen Programmen zu entgehen. Sie suchen in der Zieldatei eine Stelle mit einer Reihe an identischen Zeichen die mindestens so groß wie der Virus selbst sein muß. Dieser komprimiert dann diese Zeichenkette und fügt sich in die entstandene Lücke ein.
Greift das Programm auf die vermeintliche Zeichenkette zu, wird der Virus ausgeführt, der nach Erfüllung seiner Aufgabe die Zeichenkette dekomprimiert und das Programm kann normal weiterlaufen.


Bsp. einer Infektion:
Programm vorher: AJF3JS20000000000000000000000000000DNFJAKSF289a
Programm nach Infektion: AJF3JS2=>VIRUSCODE+12*0

 
 

Datenschutz
Top Themen / Analyse
indicator Arbeitsmethoden
indicator Computer Education at schools:
indicator CSMA - Protokolle (Carrier Sense Multiple Access)
indicator Zukunft des Internet
indicator Datenbankentwurf
indicator CYCLE STEALING
indicator Linux--
indicator Asymmetrische Verschlüsselung
indicator Das Transport Control Protokoll
indicator Thermosublimationsplotter


Datenschutz
Zum selben thema
icon Netzwerk
icon Software
icon Entwicklung
icon Windows
icon Programm
icon Unix
icon Games
icon Sicherheit
icon Disk
icon Technologie
icon Bildung
icon Mp3
icon Cd
icon Suche
icon Grafik
icon Zahlung
icon Html
icon Internet
icon Hardware
icon Cpu
icon Firewall
icon Speicher
icon Mail
icon Banking
icon Video
icon Hacker
icon Design
icon Sprache
icon Dvd
icon Drucker
icon Elektronisches
icon Geschichte
icon Fehler
icon Website
icon Linux
icon Computer
A-Z informatik artikel:
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #

Copyright © 2008 - : ARTIKEL32 | Alle rechte vorbehalten.
Vervielfältigung im Ganzen oder teilweise das Material auf dieser Website gegen das Urheberrecht und wird bestraft, nach dem Gesetz.
dsolution