|
Allgemeines
Computer-Viren gehören zu
den Programmen mit Schadensfunktionen. Als Schaden ist hier
insbesondere der Verlust oder die Verfälschung von Daten
oder Programmen von größter Tragweite. Solche Funktionen
von Programmen können sowohl unbeabsichtigt als auch bewußt
gesteuert auftreten.
Die Definition eines Computer-Virus bezieht
sich nicht unmittelbar auf eine möglicherweise programmierte
Schadensfunktion:
Ein Computer-Virus ist eine nicht selbstständige
Programmroutine, die sich selbst reproduziert und dadurch
vom Anwender nicht kontrollierbare Manipulationen in Systembereichen,
an anderen Programmen oder deren Umgebung vornimmt.
Die Eigenschaft der Reproduktion führte
in Analogie zum biologischen Vorbild zu der Bezeichnung
"Virus". Die Möglichkeiten der Manipulation sind
sehr vielfältig.
Besonders häufig sind das Überschreiben
oder das Anlagern des Virus-Codes an andere Programme und
Bereiche des Betriebssystems, wobei dies immer so geschieht,
daß zunächst der Virus-Code und dann erst das ursprüngliche
Programm ausgeführt wird.
Obwohl Computer-Viren prinzipiell bei jedem
Computertyp und Betriebssystem denkbar sind, erlangten sie
bei IBM-kompatiblen Personalcomputern (PC) die größte Bedeutung.
Bei den am meisten verbreiteten Betriebssystemen
(MS-DOS, PC-DOS, DRDOS, NOVELL DOS etc.) wurden Ende 1999
weltweit rund 45000 Viren (einschließlich Varianten) gezählt.
Entsprechend vielfältig sind weitere Merkmale und Eigenschaften.
Die Grundtypen von Computer-Viren
sind:
Boot-Virus
Der Virus befindet sich im Boot-Sektor
einer Diskette bzw. Festplatte oder im Partition-Record
(auch Master-Boot-Record oder Partition-Sektor genannt)
einer Festplatte. Der Virus wird durch einen Kalt- oder
Warm-Start (bzw. bei Daten-Disketten auch erfolglosem Boot-Versuch)
aktiviert.
File-Virus
Der Virus ist in einem Programm (Wirtsprogramm)
enthalten und wird durch Aufruf dieses Programms aktiviert.
Makro-Virus
Während sich die vorgenannten Viren anstelle
von Programmcode einnisten, benutzen Makro-Viren Steuersequenzen
von Daten-Dateien als Wirt. Moderne Programme erlauben es,
häufig benötigte Steuerinformationen, z.B. zum Layout von
Texten, mittels einfach erlernbarer Programmiersprachen
zu erstellen. Dies kann zur Programmierung von Computer-Viren
mißbraucht werden, die beim Arbeiten mit den Daten-Dateien
automatisch ablaufen. Sofern die Hauptprogramme auch für
andere Betriebssysteme als MS-DOS angeboten werden, können
auch die damit programmierten Viren plattformübergreifend
arbeiten. Makro-Viren haben in den letzten Monaten starke
Verbreitung gefunden.
Schäden durch Computer-Viren
Computer-Viren verursachen in der Bundesrepublik
Deutschland jährlich Schäden in dreistelliger Millionenhöhe
- mit steigender Tendenz.
Die Schäden lassen sich verschiedenen Bereichen
zuordnen:
 Beabsichtigte,
programmierte zerstörerische Schadensfunktionen.
Unbeabsichtigte
Seiteneffekte bei angeblich harmlosen "Scherz-Viren".
Inanspruchnahme
von Speicherplatz im Haupt-speicher und auf Datenträgern.
Materieller
und personeller Aufwand beim Suchen und Entfernen.
Zusätzlich
zu ergreifende organisatorische Ab-wehr-Maßnahmen.
Panik-Reaktionen
von Anwendern.
Verunsicherung
der Anwender.
Quellen der Viren-Verbreitung
In Werbeanzeigen von Software-Herstellern
und auch in sonstigen Veröffentlichungen wird als Hauptquelle
der Computer-Viren immer wieder die Raubkopie angegeben.
Eine Analyse der beim Bundesamt für Sicherheit in der Informationstechnik
eingehenden Meldungen zeigt hingegen, daß andere Quellen
viel häufiger sind:
Original-Software,
vorinstallierte
Geräte,
Wartungs-
und Service-Personal,
Anwender.
Vorbeugende Maßnahmen
Regelmäßig
Datensicherung durchführen.
Sicherheitskopien
von Datenträgern sicher aufbewahren.
Schreibschutz
bei allen Disketten setzen, auf die nicht geschrieben
werden muß (dies gilt insbesondere für die meisten Programm-Disketten).
Aktuelle
Viren-Schutzsoftware verwenden.
Alle
ein- und ausgehenden Datenträger auf Viren überprüfen.
Ausgehende
Datenträger mit Schreibschutz versehen.
Vorinstallierte
Neugeräte und gewartete Geräte auf Viren überprüfen. Ebenso
Programme über andere Datenkanäle bei Ein- und Ausgang
auf Viren überprüfen.
(z.B. Mailbox oder internationale Computernetze)
Notfall-Diskette
erstellen.
Boot-Reihenfolge
im CMOS-RAM auf "C:,A:" einstellen ("Erweitertes
Setup").
Mehrere
Partitionen (logische Laufwerke) im Rechner einrichten.
Computer
und Datenträger vor unbefugter Benutzung schützen.
Mitarbeiter
über Computer-Viren schulen.
Verfahrensweise
bei Verdacht des Viren-Befalls vorher klären.
Verhalten bei Befall
Bei
Verdacht auf Virus-Befall Arbeit wie gewohnt beenden.
Keine
Panik!
Computer
ausschalten.
Unerfahrene
Anwender sollten einen Fachmann zu Rate ziehen, z. B.
Benutzerdienst.
Von
virenfreier, schreibgeschützter System-Diskette booten.
Mit
aktuellem Viren-Suchprogramm die Festplatte untersuchen;
dabei ein Protokoll erzeugen.
Datensicherung
durchführen (falls nicht vorhanden).
Virus
von Festplatte entfernen.
Mit
Viren-Suchprogramm die Festplatte erneut überprüfen.
Alle
anderen Datenträger (Disketten, CD-ROM, Wechselplatten)
auf Viren-Befall untersuchen und Viren entfernen.
Versuchen,
die Quelle der Viren-Infektion festzustellen - wenn erfolgreich,
anschließend:
bei
Programm-Disketten: Hersteller und BSI informieren.
bei
Daten-Disketten: Ersteller der Diskette informieren.
Andere
Benutzer warnen (wenn Disketten-Austausch von infiziertem
Rechner erfolgte).
Glossar:
Programm mit Schadensfunktionen ( malicious
software )
Alle Arten von Programmen, die verdeckte
Funktionen enthalten und damit durch Löschen, Überschreiben
oder sonstige Veränderungen unkontrollierbare Schäden an
Programmen und Daten bewirken und somit zusätzliche Arbeit
und Kosten verursachen oder Vertraulichkeit und Verfügbarkeit
von Daten oder Programmen negativ beeinflussen.
Trojanisches Pferd
Selbständiges Programm mit einer verdeckten
Schadensfunktion, ohne Selbstreproduktion.
Wurm
Selbständiges, selbstreproduzierendes Programm,
das sich in einem System (vor allem in Netzen) ausbreitet.
Residenter Virus
Virus, der nach Aktivierung bis zum Ausschalten
des Rechners im Hauptspeicher aktiv bleibt.
Selbstverschlüsselnder Virus
Virus verschlüsselt (kryptiert) seinen
Code mit festem oder wechselndem Schlüssel.
Tarnkappen-Virus (Stealth-Virus)
Residenter Virus, der seine Anwesenheit
im infizierten System durch Manipulation des Betriebssystems
zu verbergen versucht.
Viren-Suchprogramm (Scanner)
Programm, das bei Aufruf Datenträger, Systembereiche,
Unterverzeichnisse oder Dateigruppen und einzelne Dateien
nach bekannten Viren durchsucht. Dies geschieht entweder
mittels fester Zeichenfolgen (Signaturen), spezieller Algorithmen
oder heuristischer Verfahren.
Polymorpher Virus
Virus, dessen Code durch unterschiedliche
Reihenfolge und Verwendung von Maschinenbefehlen (bei gleicher
Wirkung) gekennzeichnet ist.
Prüfsumme
Die Veränderung von Programmen oder Systembereichen
kann entdeckt werden, indem nach speziellen mathematischen
Verfahren (Der übliche Begriff "Summe" ist nicht
ganz korrekt) die Anordnung und der Inhalt der gespeicherten
Befehle in einer wesentlich kürzeren Form als im Programm
selbst in einer Datei erfaß und periodisch, z.B. bei jedem
Aufruf des Programmes, mit den gespeicherten Werten verglichen
wird. Auf diese Weise kann man Veränderungen finden, die
z.B. von neuen Viren herrühren, allerdings erst nach einer
Infektion.
Quelle: Bundesministerium
für Sicherheit in der Informationstechnik (BSI)
|
eBusiness & Security / allgemeine Vireninfo
