Quickinfo Definition Geschichte Herkunft Verbreitung Folgen Virenarten Vorsorge und Schutzmaßnahmen Anhand welcher Merkmale könnte ein Virenbefall vorliegen? Virenbefall festgestellt - Was ist zu tun? Ein Bootsektor-Virus liegt vor Nachsorge
Fachzeitschriften, Fernsehen und sonstige Medien geben immer wieder Horrormeldungen über Computer-Viren heraus. - Es ist schon richtig, dass jeden Monat zwischen 150-250 neue Viren auf dem "Markt" kommen. Hierbei sei jedoch erwähnt: nicht alle Viren gelangen in der Tat in die "freie Wildbahn". Die grösste Anzahl der Virenprogrammierer ist gar nicht darauf aus, ihre Viren auf die "Computerwelt" loszulassen. - Diese Viren werden lediglich in Bulletin Boards oder WWW-Seiten zum Download/Tausch angeboten. Sehr häufig werden diese Viren auch den Herstellern von Anti-Viren-Programmen zugespielt. Nicht umsonst besitzen die Anti-Viren-Software-Hersteller die grössten Virendatenbanken weltweit. Erstaunlich ist, dass die meissten Viren, die sich in "freier Wildbahn" befinden, selbst von recht alten Anti-Viren-Programmen gefunden und beseitigt werden. In letzter Zeit sorgten jedoch Virenmeldungen - z. B. über den Melissa-/CIH Virus - für Furore und versetzten viele User in Angst und Schrecken. Zur Zeit ist zu beobachten, dass sich vor allem viele Trojanische Pferde im Umlauf befinden. Siehe hierzu jedoch unter der Trojaner-Rubrik.
Was sind Computerviren? In der Umgangssprache wird meistens nur das Wort Virus genannt, wenn man an Programme mit schädlichen Wirkungen denkt. Hiermit sind Viren im eigentlichen Sinne, Trojanische Pferde, logische Bomben, Internetwürmer oder auch Hoaxe gemeint. Der Fachmann nennt derartige Programme/Dateien "Malicious" (böswillige Software), kurz gesagt wird jedoch meist von "Malware" gesprochen. In dieser Rubrik sind jedoch hauptsächlich Informationen zu Computerviren zu lesen. Viren sind Codefragmente, die sich an andere Daten anhängen und sich bei der Ausführung oder weiteren Bearbeitung vermehren. Die Daten, die befallen werden, können nicht nur Programme, sondern auch Dokumente, Bootsektoren und sogar in manchen Fällen Bilddateien (betrifft jedoch nicht alle Formate) sein. In der Regel kann sich ein Virus im herkömmlichen Sinne nicht selber verbreiten. Sich selber verbreitende Viren sind als Würmer oder Trojanische Pferde zu bezeichnen. Somit kann man die Verbreitung mit Krankheitsviren im normalen Leben mit Computerviren bezüglich ihrer Verbreitung durchaus vergleichen. - Ein Grippevirus wird auch meist von Mensch zu Mensch übertragen... Geschichte Jedoch ging die Weiterentwicklung zu "fortschrittlicheren" Viren erst 1989 so richtig voran. So wurden nun auch Viren vorgestellt, die nicht mehr zu reinen Vorführeffekten dienten, sondern zu mehr in der Lage waren. Auch die Anwender wurden jetzt geweckt und wurden auf die Gefahren aufmerksam, die von einem Virus ausgehen können; ebenso natürlich Unternehmen und Softwareentwickler. Damit brach die Ära der Antiviren-Programme an. 1991 kam Norton Antivirus auf dem Markt. Andere Hersteller folgten innerhalb kürzester Zeit. 1992 hat es bereits schon 2.000 Viren gebeben. Genau in diesem Jahr wurde auch die breite Öffentlichkeit auf die Virenproblematik erstmals aufmerksam. Denn ein Virus mit dem Namen "Michelangelo" sorgte für Aufsehen, der am 06. März alle infizierten System herunterfahren sollte. Früher wurden Computerviren ausschließlich durch infizierte Disketten auf Systeme eingeschleust. Diese Art der Virenverbreitung ist zwar auch heute noch vorhanden und ebenfalls möglich. Jedoch im Zeitalter des weltweiten Datenaustausches (Internet) werden Viren heute meist durch Dateianhänge von E-Mails und versteckten Viren in Dateien, die zum Download angeboten werden (auf Seiten unbekannter Herkunft etc.) verbreitet. Wo kommt Malware (Viren etc.) her? Malware bzw. Viren werden von Spezialisten gezielt programmiert. Der Programmierer muss schon über hohe Sachkenntnis und das zugrundeliegende Betriebssystem verfügen, wenn er einen völlig neuen "überlebensfähigen" Virus, Wurm etc. programmieren möchte. Daher gibt es scheinbar nur wenige dieser Spezialisten, die aus "eigener Kraft" ein solches Programm entwickeln können. Viele Viren bzw. Maleware sind quasi lediglich abgeänderte Viren, die geändere Botschaften, Aktionen usw. beinhalten. - Dazu kommen die zahlreichen Viren, die mit Hilfe sogenannter Virengeneratoren erstellt werden (auch für wenig erfahrene Anwender recht einfach) und zahlreich auf einschlägigen Internetseiten zu finden sind. Diese Viren aus den "Generatoren" bereiten den Virenscannern jedoch in der Regel keine allzu großen Probleme, da diese als recht primitiv einzustufen sind. Diese Variante der "Mutationen" tritt in der Virenwelt am häufigsten auf. Völlig von Grund auf neue Viren treten weniger auf, als es viele Anwender vermuten. Jedoch bereiten auch diese Mutationen den Virenforschern so manche Probleme, da diese wiederum nicht durch Ihre AntiVirenSoftware erkannt werden. Dagegen sind Makroviren recht einfach zu programmieren - für jemanden, der sich ein wenig mit der Makroprogrammierung beschäftigt. - Diese Viren werden in leicht verständlichen "Hochsprachen" programmiert. - Daher sind gerade Makroviren ein grosses Problem aufgrund ihrer hohen Verbreitung und leichten Programmierung geworden. Trojanische Pferde und logische Bomben sind auch vergleichsweise einfach zu erstellen, da man böswillige Aktionen lediglich in andere beliebige Source-Codes einfügen muss. Die Motivation Malware zu schreiben/programmieren hat viele Gründe, welche manchmal gar nicht nachvollziehbar sind. In den meisten Fällen geht es sicherlich um Abenteuerlust und/oder Geltungsdrang in gewissen Kreisen der Online-Welt. Bei dem sogenannten "Israel-Virus" wird vermutet, dass dieser aus PLO-Kreisen stammen könnte um israelische Computer lahmzulegen. Der "Stoned-Virus" verbreitet die Botschaft Marihuana zu legalisieren. Oder das neuere Beispiel des Internet-Worms "VBS.Monopoly" zielt auf die Firma Microsoft, die in der Computerwelt von sehr großer Bedeutung geworden ist. Hier soll die Botschaft vermittelt werden, dass Bill Gates das Monopol auf der Welt in seinen Geschäftsbereichen erzielen möchte bzw. dieses schon hat. Jedoch sind auch einige Fälle bekannt, wo sich Forschungsobjekte verselbstständigt haben. Wie infiziert ein Virus eine Datei Es gibt verschiedene Wege, wie sich ein Virus in einem Programm bzw. einer Datei festsetzt. Die "klassischen" Viren hängen sich (also ihren Programmcode) am Ende einer ausführbaren Datei. - Dazu wird ein Zeiger am Anfang des zu infizierenden Programmes gesetzt. Dieses hat zur Folge: Wird das infizierte Programm gestartet, springt zunächst der Zeiger an das Ende des Programms (somit an den Anfang des Viruscodes), führt diesen Virus aus und springt blitzschnell wieder an die Anfangsstelle zurück. Danach wird das eigentlich zu startende Programm ausgeführt. Also noch mal: Bei Programmstart wird zuerst der Virus gestartet, dann das eigentliche Programm. Bei leistungsschwachen alten Systemen KANN so ein Virus insofern auffallen, indem der Anwender bemerkt, dass sein Programm oder die Programme langsamer als vor dem Virenbefall gestartet werden. Jedoch fällt dieses Merkmal immer weniger ins Gewicht, da es "von Monat zu Monat" immer schneller Systeme auf dem Markt gibt. Jedoch möchte ich darauf hinweisen, diese Zeitverögerungen sind ohnehin sehr minimal und kaum ein Anwender würde sich darüber Gedanken machen. Bei jedem Start des infizierten Programmes startet also zuerst der Virus. Ab diesem Moment versucht dieser Virus auch andere Dateien zu infizieren. Diese Art der Infektion richtet in der Regel keine bleibenden Schäden an, da diese recht leicht durch AntiVirenProgramme bereinigt werden können. Andere Viren gehen wiederum ganz anders vor, indem einfach so viel von einer zu infizierenden Datei überschrieben wird. Nämlich so viel, wie der Virus benötigt. In der Regel geschieht dieser Vorgang recht unauffällig, wenn das Wirtprogramm (Wirtprogramm = Programm, welches infziert wird oder schon ist...) entweder gleich oder größer als der Virus selber ist. Sollte das Wirtprogramm kleiner sein, wird das komplette Programm durch den Virus überschrieben und hängt den zusätzlichen Platz, welcher darüber hinaus benötigt wird, hinten dran. Andere Viren verschieben den Original-Bootsektor einer Festplatte, schreibt das eigene Programm in den Bootsrap (Routinge, welche das Bios auffordert, das Betriebssystem zu starten/laden) und versteckt sich dann selber irendwo auf der Festplatte. Wird ein Betriebssystem nur gestartet, passiert im Prinzip Ähnliches wie ich zu Anfang dieser Seite die Infizierung von Programmen beschrieben habe. Es wird auf den Bootsektor bei jedem Systemstart zugegriffen, jedoch startet zunächst der Virus-Lader den auf der Festplatten befindlichen Viren und leitet den Zugriff auf den verplanzten Original-Bootstrap um. DasBetriebssystem wird normal gestartet wie oben beschrieben ein Programm. Nur mit dem Unterschied, dass dieser Virus nun sofort im Hintergrund des Systemes aktiv ist, statt erst beim Start von infizierten Programmen. Mit dieser Methode kann sich ein Virus auch auf Disketten verbreiten, die keine Programme enthalten. - Denn JEDE Diskette enthält einen winzigen Bootsector. Wenn also von einer Diskette gebootet, die keinerlei Programme ect. enthält, erscheint lediglich auf dem Bildschirm "keine Systemdiskette...", wie es sicherlich schon vielen Anwender passiert ist. Jedoch reicht das schon aus, um mit Hilfe dieser infizierten Diskette (im Bootsektor) einen Virus zu starten. Andere Viren überschreiben einfach die Informationen, welche in der FAT über ein Verzeichnis enthalten sind. Dazu wird als "Adresse" das Virenprogramm für jedes Programm auf der Festplatte angegeben. Der Virus selber "verwaltet" die Original-Adressen der Programme und leitet die Zugriffe an die richtigen Adressen weiter. Das bedeutet: Das Programm "fragt" NICHT an der Originaladresse bei Zugriff, sondern quasi beim Virus "als Vermittler" an. Zu den hier genannten Infektionswegen sei noch erwähnt, dass diese in verschieden Varianten auftreten. Auch die Kombinationen verschiedener Infektionswege in einem einzigen Virus kommen nicht selten vor. Daher wird es zunehmend immer schwieriger, diese Viren überhaupt zu klassifizieren. Welche Computer und Betriebssysteme sind bedroht? Grundsätzlich kann Malware auf jedem Betriebssystem denkbar sein. Je mehr ein Betriebssystem jedoch seine Ressourcen kontrolliert, desto weniger Schaden kann angerichtet werden. Am meisten betroffen sind Einzel-Desktopsysteme wie z.B. OS/2, MS-DOS, Amiga, Atari und MacIntosh.Windows 3.X / 95 /98 sind nur grafische Benutzeroberflächen von MS-DOS und haben auf Funktionen systemnaher Malware kaum Einfluss. Lediglich greifen hier Makro-Viren für Excel und Word, welche die Makrosprache der Systeme sich zu Nutze machen. Systemnahe Malware ist auf UNIX, Windows NT oder VMS weniger bekannt. Lediglich treten hier in letzter Zeit vermehrt Internet-Würmer, Makroviren (unter NT) und Trojanische Pferde auf. Wozu sind Viren in der Lage? Die meisten Viren sind zum Glück gar nicht so gefährlich, wie Computerviren in der Öffentlichkeit sehr häufig dargestellt werden. Viele Viren geben lediglich von Zeit zu Zeit z.B. eine Meldung auf den Bildschirm, der entweder irgendeine Botschaft vermittelt und anzeigt, dass ein System mit dem Virus "xyz" infiziert ist. Diese Meldungen sind breit gefächert, die bis hin zu "Scherzmeldungen" reichen können. Oft haben sich Virenprogrammierer lediglich zum Ziel gesetzt, dass "Ihr" Virus schnell und weit verbreitet wird. Die echten "Datenkiller" machen laut Schätzungen von Experten ungefähr 5% aus. Aber auch eigentlich "harmlose" Viren können schwerste Schäden auf einem System erzeugen. - Entweder weil dieser Virus schlecht programmiert wurde, oder aufgrund von Panikreaktionen seitens des Anwenders. - Meldet ein AntiVirenProgramm einen Virus, löscht nicht selten der Anwender sofort seine gesamten Datenbestände und richtet sein System neu ein. Die Daten sind damit für immer verloren. Bei einem Virenbefall braucht jedoch nur selten ein ganzes System neu eingerichtet werden. - Gute Hilfe bietet die AntiVirenSoftware. - Sollte das Programm nicht in der Lage sein, den Virus zu beseitigen, kann immer noch der Kundensupport des Herstellers eingeschaltet werden. - Mir ist kein Hersteller von AntiViren Programmen bekannt, der seinen Kunden bei einem Virenbefall nicht mit Rat und Tat zur Seite steht. Nur kurz und in Stichpunkten möchte ich darauf eingehen, wozu ein Virus heute in der Lage sein könnte: Formatierung von Festplatten BIOS-Chip überschreiben (CIH-Virus) - SEHR FATAL !! Systemleistung bremsen (verlangsamen) Löschung einzelner Anwendungen/Dateien etc. Mittels eines E-Mail-Programms selbständig verbreiten (zählt eigentlich schon zur Kategorie "Würmer". Dieses war nur ein kleiner Ausschnitt, was in den schlimmsten Fällen geschehen kann, wenn ein Virenbefall vorliegt. Für zahlreiche Viren-Programmierer ist jedoch die Verbreitung/Vermehrungs-Routine eines Virus weitaus interessanter. Das häufigste Motiv einen Virus zu programmieren, ist der Geltungsdrang in bestimmten Computer/Internetkreisen. Der Programmierer möchte von sich Reden machen und möglichst einen bekannten Namen tragen. Die Möglichkeiten/Funktionen der Viren ist so vielfältig und verschieden, dass diese hier bei weitem nicht aufgeführt werden können. - Heutzutage kann ein Virus zu fast allem in der Lage sein, was sich ein Anwender nur vorstellen kann. Beschreibung einiger Viren-Arten Hierbei sei jedoch erwähnt, viele Viren können NICHT nur einer der genannten Kategorien zugeordnet werden. - Diese Viren könnte man als eine Mischform verschiedener Virentypen bezeichnen. Ausserdem tagen manche Viren auch verschiedene Bezeichnungen. Sehen wir die Auflistung also eher als eine Begriffserklärung an. ANSI-Bomben Es handelt sich hier um Sequenzen, welche in normale Texte eingebunden wurde. Bei der Anzeige des Textes wird die Tastaturbelegung verändert. Zunächst ein einfaches Beispiel: Betätigt der Anwender die Taste "g", erscheint "z" auf dem Bildschirm. Jedoch kann auch eine Taste mit "Format C:" + "Return" auf eine Taste (z.B. "a") gesetzt werden. ANSI-Bomben benötigen jedoch den ANSI.SYS Treiber um aktiv werden zu können. Construction Kits Construction Kits sind keine Viren, sondern Programme (Generatoren), mit deren Hilfe auch ein "normaler" Anwender "eigene" Viren erzeugen bzw. generieren kann. Jedoch gelten diese Viren als recht primitiv und werden zuverlässig durch Virenscanner erkannt. Trotzdem kommen ständig neuen Viren aus solchen Generatoren in den Umlauf und stellen lediglich für User eine Gefahr da, die keinen Virenscanner auf ihrem System verwenden. CMOS Als CMOS bezeichnet man den externen Speicher eines Rechners, der mit Strom über eine extra Batterie versorgt wird. Hier werden wichtige Informationen wie Uhrzeit, Datum, Größe des DOS-RAM, Festplattenwerte etc. gespeichert. Ein Virus kann sich in diesem Bereich nicht aktiv speichern oder starten. Jedoch gibt es Viren, die das CMOS löschen oder manipulieren. Dieses hat Systemabstürze zur Folge oder es wird verhindert, dass ein infiziertes System von einer "sauberen" Diskette gestartet werden kann. Diese Art von Viren nennt man auch "CMOS-Viren", die als sehr gefährlich einzustufen sind. Companion-Viren (Split-Viren) Diese Viren machen sich die DOS-Eigenschaft zu nutze, dass Programme mit der Endung.com stets vor einem gleichnamigen Programm mit der Endung .exe gestartet werden. Meist fallen diese .com-Dateien insofern nicht auf, da diese als Hidden oder System-Dateiattribute gesetzt werden. Diese Dateien werden in der Regel nicht angezeigt. Diese Viren können einfach entfernt werden, da man diese COM-Dateien nur zu löschen braucht. - HINWEIS: Programme mit der Endung ".com" müssen keine Viren sein! Jedoch gibt es noch mehr Möglichkeiten, wie ein Companion-Virus seine Dateien verstecken kann. Hier z.B. in Pfaden oder Original-Dateien werden einfach umbenannt und die neue, infizierte in den Original-Namen. Auch ist die Erzeugung einer BAT-Datei möglich, die zunächst den Virus und dann die ursprüngliche Datei aufgruft. (z.B. Honecker Virus). Dateiviren Diese Viren befallen ausführbare Dateien. Meist befindet sich am Anfang einer infizierten Datei ein Zeiger (Sprunganweisung). - Wird die infizierte Datei nun ausführt, springt zunächst der Zeiger blitzschnell an den Anfang des Viruscodes (der sich in der Regel am Ende der infizierten Datei befindet) führt diesen aus, springt zurück zum Anfang des eigentlichen Programmes. Danach erst startet das normale Programm. Meist geht jedoch dieser Vorgang so schnell von statt, dass es dem Anwender kaum auffallen wird (lediglich evtl. eine minimale Verzögerung des Programmstarts). Viele dieser Viren hängen ihren Code einfach hinten an das zu infizierende Programm. - Einige löschen jedoch auch "alten Programmcode" und hängen sich dann an diese Datei. Dropper / Partitions-oder Bootsektorvirusstarter Bootsektorviren können normalerweise nicht in ein System über Programm eindringen. Der Virus versteckt sich in einem speziellen Programm, welches die Aufgabe hat, diesen Virus in der Partition zu installieren. Somit ist das besagte Programm NICHT infiziert, enthält jedoch den Virus, der erst bei Aufruf des Programms auf dem Datenträger (Festplatte, Diskette) installiert wird. Der Virus ist dann installiert, jedoch erst aktiv, wenn das System neu gestartet wird. Auch gibt es solche Dropper für Dateiviren. Hier wurde der Virus versteckt, damit dieser durch Virenscanner nicht erkannt wird. Direct Action-Viren Diese Art von Viren sind/werden nicht speicherresident (laufen also nicht ständig im Hintergrund eines Systemes mit). Wird ein solcher Virus aktiviert, sucht er sofort nach anderen Programmen, die er infizieren kann. Einige suchen nur nach Dateien im gleichen Verzeichnis, besser programmierte auch in anderen Verzeichnissen oder über Path angegebene Verzeichnisstrukturen. Diese Art von Viren erfordern nicht allzu hohe Fachkenntnisse. Daher ist auch eine hohe Anzahl dieser Viren zu verzeichnen, die aber trotzdem wenig verbreitet sind. DIR-Viren / Verzeichnis-Viren Dieser Typ von Virus manipuliert direkt die DOS-Verzeichnisse und keine Sektoren oder Dateien. Diese Vorgehensweise hat zur Folge, dass diese Viren sich rasend schnell ausbreiten, da schon ein DIR-Befehl ausreicht, dieses Verzeichnis komplett zu infizieren. Bootet man von einer sauberen Diskette, sind alle infizierten Datei querverbunden, da alle Dateien auf denselben Cluster zeigen. Fast Infector Schon beim öffnen bzw. schliessen einer Datei, werden diese durch Fast Infector Viren infiziert. - Startet der Anwender einen Virenscanner, während sich ein solcher Virus aktiv im System befindet, können nach dem Scannvorgang nahezu alle Datei auf einem System infiziert sein. Fast Infectors verbreiten sich somit wie ein Lauffeuer auf einem betroffenden System. Jedoch wird hierdurch auch das befallende System ziemlich stark abgebremst und der Anwender wird dieses bemerken. Header-Viren Dieser Viren-Typ infiziert Programme über direkte Sektormanipulationen mittels INT13h. Also nicht wie sonst üblich über den INT21h. Jedoch werden nur EXE-Dateien infiziert, die einen "leeren" Programmkopf besitzen und kleiner als 64 KB sind. Da solche Dateien recht selten sind, hat haben Header-Viren heutzutage wenig Chancen sich überhaupt zu verbreiten. Ausserdem sind diese Viren sehr häufig "Fast Infectors" und können Programme auf DBLSPACE, RAMDRIVES und anderen logischen Laufwerken nicht infizieren. HLL-Viren In diese Kategorie fallen alle Viren, welche mit Hochsprachen erzeugt wurden. Hier unterscheidet man unter HLLT (Trojan), HLLP (Parasitic), HLLC (Companion) und HLLO (Overwriting) -Viren. HLLO-Viren treten recht häufig auf, da diese einfach zu programmieren sind. HLLP-Viren dagegen sind sehr selten, da die notwendigen Codes in Hochsprache schwer zu programmieren sind. Hoaxe Darunter versteht man Meldungen über Malware (Sammelbegriff für schädliche Programme wie Trojaner, Viren etc.), die es gar nicht gibt. Immer wieder werden Mailboxen mit solcherlei Meldungen verstopft. Besonders beliebt sind Meldungen, dass eine Mail mit einem bestimmten Betreff in keinem Fall geöffnet werden darf. Wer dieses jedoch macht, infiziert sein System sofort mit einem Virus oder einem Trojanischen Pferd. Den einzigen Schaden, den solche Meldungen verursachen, ist, dass sie das Mailsystem verstopfen und ahnungslose Leute in Panik versetzen. Das klassische Beispiel für solche Hoaxe sind Meldungen über einen Virus mit dem Namen "Good Times" und "Penpal". HTML-Viren Was lange Zeit kaum denkbar war, wurde im Oktober 1998 Wirklichkeit. Der erste HTML-Virus tauchte auf. - Dieser Virus versteckt sich in Form eines VB-Scripts in einer HTML-Datei und kann auch andere Datei infizieren, indem er sich ebenfalls als Script in der Datei versteckt. Der Virus arbeitet vom Prinzip her wie die Script-Viren und funktionieren nur auf Windows 98 - Systemen bzw. wenn der Windows Scripting Host auf dem System installiert ist. Jedoch können nicht nur HTML-Dateien, sondern auch HTA-,VBS und DOC-Dateien infiziert werden. Dieses hängt jedoch von dem jeweiligen Virus ab und kann somit zugleich auch unter die Kategorei Makroviren fallen. In the wild (ITW) - Viren in freier Wildbahn Unter diesen Begriff fallen Viren, die immer wieder in "freier Wildbahn" anzutreffen ist. Das bedeutet: Auf infizierten System sind immer wieder diese Viren anzutreffen. Es gibt zwar viele, viele tausende von Viren, jedoch wird der größte Teil davon so gut wie nie auf einem infiziertem System gefunden. Oft handelt es sich auch um Viren, die gar nicht mal so neu oder trickreich sind. Viele dieser Viren werden selbst durch ältere Anti Viren Programmen erkannt. Trotzdem sind diese Viren (aus welchen Gründen auch immer) kaum auszurotten. Java Viren Der erste Java-Virus nennt sich "Strange-Brew". Jedoch geht von diesem Virus keine Bedrohung aus, da der Virus zu inkompatibel ist und somit auf fast keiner Java-Implentierung läuft. Auch ist noch kein ernsthafter Java-Virus zu erwarten, da die ganze Strukur von Java sehr umfpangreich und nicht leicht erlernbar ist. Kernel-Viren Diese Sorte von Viren infizieren zuerst bestimmt Programme eines Betriebssystemes. Unter DOS somit "IO.SYS" oder "MSDOS.SYS". Es soll von dieser Virensorte bisher nur ein Exemplar bekannt sein. Ansich ist es eine Mischung aus DIR- u. Bootsektorviren. Denn auf Festplatten wird durch die direkte Veränderung des Verzeichniseintrages "IO.SYS" infiziert. Auf Disketten der Bootsektor. Killerprogramme Unter Killerprogramme versteht man Viren, welche nach einer bestimmten Anzahl von Infektionen eine Aktion auslösen. - Der "interne Zähler" dieser Viren zählt von einem festgelegten Wert runter bis auf "null". Nachdem das geschehen ist, kommt es auf den jeweiligen Virus an, was nun passiert. Jedenfall werden die Daten eines Systemes gelöscht oder unbrauchbar gemacht. Es kan z.B. ein Befehl "Format" aufgerufen und durch den Virus bestätigt werden. Andere Viren löschen ohne Nachfrage "nur" die Daten. Die noch gemeinere Variante ändert die FAT-Einträger einer Festplatte. Die Daten sind zwar noch alle auf der Festplatte enthalten, jedoch sind diese weder les- noch verwendbar. Laborviren / Research-Viren Darunter versteht man die Viren, welche in der "freien Wildbahn" quasi nie anzutreffen sind. Diese Viren wurden Virenforschern zugespielt und befinden sich nur in deren Laboren. Somit befinden sich diese lediglich in deren Sammlungen. Im übrigen ist der größte Teil aller Viren als Laborviren zu bezeichnen. Makro Viren Makro-Viren gibt es noch nicht so lange wie die "herkömmlichen" Virenarten. Viele Textverarbeitungsprogramme wie z.B. Word nutzen zur Automatisierung von Aufgaben die an Basic angelehnte Makrosprache. Diese Programmiersprache ist recht einfach erlernbar. Diese Tatsache hatte zur Folge, dass Makroviren heute weitaus öfter anzutreffen sind, als andere Virenarten. Vom Prinzip her sind Makroviren ebenfalls Dateiviren (Erklärung siehe unter "Dateiviren"). Lediglich werden hier nur Dokumenter infiziert und KEINE Programme. Jedoch gibt es nicht nur Makroviren, die Word-Dokumente (also .doc-Dateien) infizieren, sondern z.B. auch Excel-Viren. Die Makrosprache erlaubt recht mächtige Funktionen bzw. kann automatisch zahlreiche Aufgaben erledigen. - Wer jedoch z.B. kein Word auf seinem System installiert hat, braucht nicht unbedingt etwas zu befürchten, wenn er von einem solchen Virus heimgesucht wird (bezogen auf Makroviren, die .doc-Dateien infizieren). Partitionsviren Diese Viren verändern die Partition direkt oder die Angaben des ersten logische Sektors und werden bei jedem Systemstart sofort aktiv. Einen solchen Virus kann man NICHT durch das Formatieren einer Festplatte entfernen. meist reicht schon ein Aufruf von "FDISK/MBR" von einer sauberen Bootdiskette aus um den Virus zu entfernen. Polymorphe Viren Früher reichte es den Herstellern von Anti-Viren-Programmen, wenn der Code (bzw. die Bytefolge) eines Virus analysiert und als Virendefinition in einer Datenbank des Virenscanners als "Vergleichliste" für Scannvorgänge abgelegt wurde. Die Erkennungraten der Virenscanner konnte als sehr hoch eingestuft werden, da diese Datenbanken ständig aktualisiert wurden. Jedoch haben die Virenprogrammierer die Zeichen der Zeit leider auch nicht verschlafen und entwickelten neue Methoden, damit "ihr" Virus gar nicht oder nur schwer durch Virenscanner erkannt wird. In Polymorphen Viren werden Codeveränderung oder Codeverschlüsselungen verwendet. Diese Viren verschlüsseln dabei den eigentlichen Code mit einem veränderlichen Schlüssel. Die Entschlüsselungsroutine bleibt jedoch unverschlüsselt im Viruscode. Damit Virenscanner nun nicht einen Virus anhand ihrer Entschlüsselungsroutinge identifizieren, werden diese Routinen automatisch bei jeder Infektion soweit verändert, dass anhand der Bytefolge keine Identifizierung mehr möglich ist. Die Funktion der Verschhlüsselungsroutinge wird dadurch natürlich nicht beeinträchtigt. Viele Virenprogrammierer bedienen sich zur Verschlüsselung ihrer Codes an sogenannten Codegeneratoren, welche diesen Teil der Programmierarbeit übernehmen. Es gibt Generatoren, die als sehr leistungsfähig bis fast unbrauchbar einzustufen sind. Viele dieser Generatoren kommen aus Osteuropa oder Taiwan. Trotzdem gelingt es den Softwareherstellern von Virenscannern immer wieder, auch diese verschlüsselten Viren zu identifizieren. - Auch wenn dieses manchmal recht aufwendig ist. Jedoch brauchen Virenprogrammierer nicht glauben, dass Virenforschern Codegeneratoren nicht bekannt sind... Retroviren Dieser "Virenspezie" ist darauf aus AntiVirenProgramme anzugreifen. Dieses reicht von völlig ausser Gefecht setzen bis zur Manipulation der Software. Programmierer dieser Sorte Viren untersuchen genaustens "Byte für Byte" die Anti Viren Programme nach Schwachstellen. Retroviren können z.B. einen Virenscanner dahingehend verändern, dass dieses Programm zwar noch einen Scannvorgang vollzieht, jedoch an sich gar nicht mehr nach Viren sucht. - Das würde somit bedeuten: Das System könnte "durch und durch" mit Viren verseucht sein, der Scanner meldet jedoch, dass alles in Ordnung sei. Manche Scanner legen sogeannten Prüfsummen an, die ein Retrovirus zu seinen Gunsten nutzen kann. Diese Prüfsummen werden einfach entsprechend manipuliert. Hierbei möchte ich jedoch erwähnen, dass viele andere Viren auch Retroviren sind, um sich vor einer Entdeckung zu schützen. Wenn man es genauer betrachtet, würde es für den Virenprogrammierer wenig Sinn machen, einen reinen Retrovirus zu programmieren.... Residente Viren Diese Viren belegen Speicher und hängen sich in den Interrupt 21h und/oder 13h. Über den INT21h werden allen internen DOS-Funktionen (Programme starten, öffnen, kopieren, löschen etc.) abgewickelt. Damit bekommt der Virus Programme von "erster Quelle" geliefert, um diese zu infizieren. Der INT 13h ist für Festplatten- u. Diskettenzugriffe zuständig und wird durch Sektor- und Multipartite-Viren belegt. Die Arbeitsweise dieser Viren ist als Recht kompliziert zu betrachten. Diese hier zu Beschreiben würde den Rahmen der Rubrik sprengen. Kurz gesagt: Dieser Virus arbeitet ständig im Hintergrund um nach zu infizierenden Dateien "Ausschau" zu halten. In einigen Fällen erweist es sich als schwierig, einen solchen Plagegeist entgültig loszuwerden. Nur ein Formatieren der Festplatte reicht in der Regel nicht aus. Script-Viren Diese Virenart ist noch recht neu und seit Oktober 1998 erstmalig in den Umlauf geraten. Der erste dieser Art von Viren heisst: "Winscript Rabbit" und bedient sich der Script-Sprache "VB-Script aus dem Hause Microsoft. Neuere Versionen infizieren nicht nur VB-Scripts, sondern auch Netscape kompatible Java Scripts. Befindet sich ein solcher Virus einmal auf dem System werden alle Script-Dateien im Browser-Cache infiziert und kopiert sich sogar auf dem Desktop. Der erstaunte Anwender bekommt z.B. lustige Icons auf seinem Bildschirm zu Gesicht. Script-Viren funktionieren allerdings nur unter Windows 98 bzw. auf Rechnern, wo der Windows Scripting Host installiert wurde. Im übrigen kann man bei einer Win 98 Neuinstallation auch den Scripting-Host ausschliessen. Slack Viren Der Slack-Bereich ist der Platz auf einem Cluster, der durch eine Datei nicht ausgefüllt wurde. Nehmen wir an ein Cluster ist 8192 Bytes gross, die Datei jedoch nur 7000 Bytes, bleiben noch 1192 als Slack übrig. Genau diesen freien Platz nutzen sogenannte Slack-Viren, um sich unauffällig einzunisten. Dadurch wird verhindert, dass sich die Grösse einer Datei verändert und dem Anwender auffällt. Diese Viren sind jedoch recht selten anzutreffen. Anwender, die hin und wieder ihre Festplatte defragmentieren, werden spätestens damit diesen Virus entfernen. Slow Infector-Viren Vom Prinzip her das Gegenteil von "Fast Infector-Viren", da diese sich (wie der Name bereits vermuten laesst) nur langsam verbreiten. Diese Art von Viren infiziert lediglich beim Erstellen oder Schreiben von Programmen diese Dateien. Diese Technik hat den Hintergrund, Prüfsummenprogramme und residente Wächterprogrammen auszutricksen. Da die Datei erst erstellt wird, liegt somit auch keine Prüfsumme vor. Diese Viren sind jedoch relativ selten. Fast Infector-Viren treten dagegen sehr häufig in Erscheinung. Stealthviren / Tarnkappenviren Hier unterscheidet man zwischen Semi- und Vollstealth-Viren. Vollstealth-Viren verbergen die Tatsache, dass infiziert Dateien oder Sektoren verlänger/verändert wurden. Somit können Virensuchprogramme und Prüfsummenchecker getäuscht werden. Semistealth-Viren unterscheiden sich im Gegensatz zu Vollstealth-Viren darin, dass lediglich die Dateiverlängerungen verborgen werden und nicht die Dateiveränderungen. Der Begriff "Stealth" wird immer wieder für alle möglichen Viren-Tricks (raffiniert programmierte Viren etc.) benutzt, welches jedoch nicht den eigentlich Begriff wie hier beschrieben definiert. TSR-Dateiviren Diese Viren-Art ist besonders häufig anzutreffen. In der Regel werden .com und .exe - Dateien befallen, jedoch gibt es auch einige dieser Viren, die Gerätetreiber und Überlagerungsdateien infizieren. Desweiteren müssen die Programme nicht unbedingt die Erweiterung ".com" oder ".exe" haben, obwohl dieses natürlich in den allermeisten Fällen (99%) zutrifft. Ein TSR-Virus verbreitet sich auf einem System, indem ein infiziertes Programm (sei es durch Download aus dem Internet, Disketten/CD´s von Bekannten oder woher auch immer) ausgeführt wird. Der Virus wird dann speicherresident (d. h. er befindet sich im Arbeitsspeicher bzw. läuft im Hintergrund es Systemes mit) und wartet darauf, dass der Anwender ein bisher nicht infiziertes Programm öffnet. Geschieht dieses, wird auch dieses Programm infiziert. Das geht praktisch so lange, bis alle Programme auf einem System infiziert sind. Die Dateien werden also somit schon nur beim öffnen einer Datei infiziert. Somit kann bei einer eventuellen Datensicherung (wo gegebenfalls jedes Programm geöffnet wird) ALLES infiziert werden. Jedoch möchte ich noch erwähnen, dass sich die Infektionsroutinen auch durchaus unterscheiden. Es kann auch nur durch einen "DIR-Befehl" alle somit angezeigten Programme infiziert werden. Die Auslösung der Infektionsroutine erfolgt somit schon bei Vorgängen, wo bestimmt wird, welche Dateien auf einem System/Ordner etc. vorhanden sind. Auch wurden noch andere Infektionsroutingen bekannt, jedoch sind diese recht selten anzutreffen. Diese Art der Viren könnte man somit auch durchaus zur Gruppe der Fast Infector-Viren zählen. Update-Viren Eigentlich sagt hier auch schon die Bezeichnung "Update" eine Menge aus, welches sich auch in der Art des Virus wiederspiegelt. Update-Viren sind in der Regel einer ganzen Familie zuzuordnen. meist werden diese von einem einzigen Programmierer oder einer Gruppe erstellt. Neben ihrer eigentlich Funktion als Virus sind hier noch Update-Routinen zu finden. Diese überprüft ob der Virus schon vertreten ist und wenn ja in welcher Version. Ist die vorhandene Version älter, wird dieser durch die neue Version ersetzt. Falls die vorhandene Version schon neuer ist, wird diese Datei nicht noch einmal infiziert. Überschreibende Viren (Overwriting) Overwriting-Viren sind in ihrer Struktur in der Regel die einfachste Virenart. Jedoch ist gerade diese Art von Viren besonders gefährlich, da diese immer Daten zerstört, indem diese entweder ganz oder zum Teil überschrieben werden. Es gibt winzige solche Viren, die gerade mal 23 Byte lang sind. Diese Viren sind nicht resident und suchen normaler Weise nur im aktuellen Verzeichnis nach Opfern. Zeitzünder Es handelt sich hier um spezielle Auslösemechanisment, die eine Routine im eigentlichen Virus enthalten. In der Regel wird hierbei die Systemzeit (Uhrzeit, Datum etc.) abgefragt bzw. überwacht. Tritt der festgelegte Wert (z.B. ein Datum) ein, tritt der Virus in Aktion. Viele dieser Viren geben zu diesem Zeitpunkt eine Meldung auf den Bildschirm aus und verabschieden sich dann wieder. Jüngstes Beispiel für so einen Zeitzünder ist der CIH-Virus, welcher am 26. eines Monats in Aktion tritt und Daten aus dem Bios-Chip überschreibt. Jedoch kann die Auswahl bzw. Bedingungen eines Zeitzünders umbegrenzt sein. Dazu kann ein Datum, eine Uhrzeit oder nach dem nächsten Einschalten des Rechner usw., usw. gehören. Theoretisch ist es somit möglich,k einen Virus über Monate oder sogar Jahre auf einem System zu haben, ohne jegliche Reaktionen seitens des Virus. Der Auslösemechanismus kann durchaus auch erst zu einem Jahreswechsel auftreten. Aufgrund der hohen Anzahl völlig unterschiedlicher Viren können auf dieser Seite lediglich allgemeine Tipps und Ratschläge erteilt werden. Vorsorge und Schutzmaßnahmen Bekanntlich ist Vorsicht immer besser als Nachsicht! Daher hier einige Hinweise und Anregungen: Unbedingt eine AntiViren Software installieren. Eine Liste von Herstellern findet sich auf www.trojaner-info.de. Viele Hersteller halten sogenannte zeitbegrenzte Testversion auf ihren Webseiten zum Download bereit. Somit kann jeder Anwender für sich entscheiden, welche Software ihm am besten liegt. Einen Virenscanner immer so konfigurieren, dass bei Scanvorgängen lediglich ein Bericht am Ende angezeigt wird. KEINE automatische Entfernung ohne Rückfrage einstellen ! Grund: Einigen Virenscannern bereitet die Entfernung mancher Viren oder sonstiger Malware erhebliche Probleme. Arbeitet die Software fehlerhaft, können unter Umständen so erhebliche Schäden am System auftreten, dass darauf nicht mehr zugegriffen werden kann. Eine eventuell erforderliche Datensicherung ist nicht mehr möglich. Denn merke: Eine virenverseuchte Datensicherung kann immer noch besser sein als gar keine. Vorausgesetzt, es liegen keine aktuellen BackUp Dateien vor. Fast alle Virenscanner besitzen eine sogenannte Monitorfunktion. Diese Funktion erlaubt die ständige Virenkontrolle im Hintergrund des Systemes. Je nach Software erfolgt die Monitorfunktion in Form verschiedener Techniken, wie z.B. bei Zugriff auf ein Verzeichnis, einer Datei, beim Download von Dateien aus dem Internet, E-Mail, ständiger Virenscan im Hintergrund/während ein Bildschirmschoner aktiviert wurde etc. Diese Funktion sollte aktiviert werden. Jedoch ist bei der Installation mehrerer AntiViren Programme zu empfehlen NUR EINER Software diese Funktion zu überlassen. Einige Virenscanner "vertragen" sich in manchen Fällen nicht und es kann zu starken Beeinträchtigungen im Bezug der Stabilität des Betriebssystems kommen. Ausserdem kann die gesamte Systemleistung damit in Mitleidenschaft gezogen werden. Dateianhänge eingehender E-Mails immer skeptisch begegnen und diese in keinem Fall so ohne weiteres öffnen. Die Datei kann auch dann mit einem Virus verseucht sein, wenn die Mail einen für den Empfänger bekannten und vertrauenswürdigen Absender trägt. Das System des Absenders kann ohne sein Wissen mit einem Virus infiziert sein bzw. wurde die Datei durch einen virenartigen Worm (z.B. Melissa, VBS_Loveletter, Klez etc.) selbstständig weitverschickt. Grundsätzlich sollte der Austausch von Dateien per E-Mail vorab abgesprochen werden. Soweit erforderlich Mailprogramme so einstellen, dass beim öffnen von E-Mails Dateianhänge nicht ebenfalls gleich automatisch geöffnet werden. Aufgrund der hohen Verbreitung von Mailwürmern kann der PC sich schnell zu einer wahren "Virenschleuder" entwickeln und man trägt zur Verbreitung von Würmern ebenfalls bei. Bevor Dateianhänge eingehender E-Mails geöffnet werden, diese zunächst in einem Verzeichnis speichern und nochmal mittels eines Virenscanners überprüfen. Im Bios das System so einstellen, dass beim Start des Systemes nicht mehr zunächst von einem Diskettenlaufwerk gebootet wird. Hin und wieder werden Disketten im Laufwerk "vergessen" und deren Bootsektor bei einem Systemstart ausgeführt. Somit wird verhindert, dass von einer virenverseuchten Diskette gebootet und das System infiziert wird (Bootsektorviren). Disketten sind heutzutage nicht mehr so DAS Thema, aber es sollte schon darauf geachtet werden. Eine Bootdiskette erstellen, die garantiert virenfrei ist. So eine Diskette kann bei einem evtl. späteren Virenbefall eine grosse Hilfe sein! Oftmals übernimmt diese Arbeit auch die installierte AntiViren Software. Unbedingt die Diskette MECHANISCH mit Schreibschutz versehen. Softwarebasierender Schreibschutz wird durch sehr viele Viren einfach umgangen. Jede Diskette im Archiv mit Schreibschutz (auch hier MECHANISCH) versehen. Bei Zugriff auf eine Diskette kann diese (je nach Art des Virus) durch ein bereits infiziertes System ebenfalls befallen werden. Wenn nicht unbedingt benötigt, den Windows Scripting Host deinstallieren. Die Einstellungen des Browsers "Internet Explorer" auf "hoch" setzen und Funktionen wie Java, JavaScript und ActiveX (Steuerelemente) deaktivieren. Wer jedoch nicht auf alle Funktionen der neuen Webtechnologie verzichten möchte, sollte zumindest ActiveX unterbinden (wobei jedoch auch Einschränkungen beim Besuch diverser Webseiten gegeben sein werden). Da einige sehr schädliche Viren auch versuchen die Festplatte unter Hilfenahme bereits installierter Programme zu formatieren, hilft in viele Fällen ein ganz einfacher Trick, dem Virus derartige Funktionen zu verwehren: Die Dateien Debug.exe, Format.com und Deltree.exe in einen anderen Namen umbenennen, jedoch die Dateiendung so belassen. Die Funktionen der genannten Programme werden bei Aufruf nicht beeinträchtigt. Jedoch sollte der Anwender sich die neuen Dateinamen gut merken, falls er diese später mal benötigt. Hinweis: Die drei Programme braucht Windows nicht zur einwandfreien Funktion. Anhand welcher Merkmale könnte ein Virenbefall vorliegen? Der Virus meldet sich selber in Form einer Aktion (z.B. Anzeigen einer Meldung, Grafik etc). Das System bootet / läuft langsamer als gewohnt. Nach dem Bootvorgang über eine virenfreie Diskette wird keine Festplatte mehr gefunden. Hier könnte ein verschlüsselter Bootsektor-Virus vorliegen. Dokumente werden unter Word als ".dot" (Dokumentenvorlage) abgespeichert (dahinter kann sich ein Makrovirus verbergen). Dateien sind plötzlich ohne Einfluss seitens des Anwenders grösser oder tragen einen völlig anderen Namen. Auch Dateien mit doppelte Dateiendung könnten ein Anzeichen für eine Infektion sein. Der TOM-Wert (TopOfMemory - Speicherobergrenze für den konventionellen DOS-Speicher) ist kleiner als 640 KB. So ermittelt man den TOM-Wert: In der DOS-Eingabeaufforderung den Befehl "MEM" eingeben. Sehr viele Viren benötigen einen kleinen Teil (meisst 1 bis 2 KB) des Speichers, insbesondere Bootsektorviren. Da "fortschrittlichere" Stealth-Viren ihre Existenz verbergen können, empfhielt es sich, zunächst von einer virenfreien Diskette zu booten und dann den TOM-Wert zu überprüfen. Häufige Systemabstürze. Undefinierbare (Fehler-) Meldungen auf dem Desktop während der Arbeit (z.B. unleserliche Zeichenfolge in einem Hinweisfenster). Festplatte(n) arbeitet ohne ersichtlichen Grund (Anwender nutzt System zu diesem Zeitpunkt gar nicht). Dateien, Programme, Systemuhr zeigen ein verändertes Datum, wie z.B. 100 Jahre im voraus oder zurück. Die Auflistung beinhaltet keine vollständige Liste. SEHR WICHTIG ! ! ! Sollte ein Merkmal oder auch mehrere festgestellt worden sein, heisst es jedoch noch lange nicht, dass ein Virus vorliegt. Bei Systemproblemen muss kein Virus daran schuld sein. Sehr oft führen derartige Fehler auf Soft- und Hardwareprobleme zurück oder Fehlbedienungen durch den Anwender. Virenbefall festgestellt - Was ist zu tun? Die Antiviren-Software hat einen Virenbefall gemeldet. Meistens fragt die Software, ob der Virus gleich automatisch entfernt werden soll. Diese Frage mit NEIN beantworten. Klingt im ersten Moment etwas unlogisch. Doch je nach Art des Virus kann es schon mal vorkommen, dass ein Antivirus Programm den Virus so rabiat oder unzureichend löscht, dass dabei das gesamte Betriebssystem in einen unbrauchbaren Zustand versetzt wird. Daher sollte man zunächst einmal davon Abstand nehmen. In jedem Fall sollte man jetzt erst einmal die Ruhe bewahren. Gerade falsche Reaktionen lösen in sehr viele Fällen die grössten Schäden an. Viele Schäden halten sich durchaus in Grenzen (wenn überhaupt), wenn der Anwender richtig reagiert, sobald ein Virenbefall festgestellt worden ist. Oftmals werden aus der Paniksituation heraus ganze Festplatten formatiert oder irgendetwas gelöscht und alle Daten gehen für immer verloren. Diese Vorgehensweise ist jedoch seltener erforderlich, als oftmals angenommen wird. Wobei natürlich auch erwähnt sein sollte, dass Daten aus einer formatierten Festplatte in den meisten Fällen wiederhergestellt werden können. Manchmal mit Hilfe eigens dafür entwickelter Software oder durch entsprechende Spezialisten/Labore. Die letzte Methode erweist sich jedoch als sehr teuer und dürfte für Privatanwender aus diesem Grund von weniger Interesse sein. Hier die einzelnen Schritte, die beherzigt werden sollten: Virenscanner meldet Virenbefall, Virus NICHT durch die Software entfernen lassen! (Grund: siehe weiter oben auf dieser Seite) System AUF KEINEN FALL neu booten. Alle Daten sichern, die noch zu sichern sind (auf Disketten oder anderen Datenträgern). Eine virenverseuchte Datensicherung ist immer noch besser als gar keine. Beachte: Zu diesem Zeitpunkt kann es sein, dass du unter Umständen zum letzten mal Zugriff auf deine Daten hast. Das hängt jedoch von dem jeweiligen Virus ab, der das System befällt. Nun erneut mittels des Virenscanners alle Dateien scannen lassen und den Virus ruhig durch die Software entfernen lassen. Nachdem der Virenscanner seinen Dienst erledigt hat, nochmals das System scannen lassen. Noch besser: Einen zweiten Virenscanner heranziehen, ob der Virus auch wirklich entfernt oder unschädlich gemacht wurde. Ebenso könnte ein weiterer Virenbefall durch einen anderen Virus in den gleichen Dateien vorliegen, der zuvor nicht gefunden wurde. Einige Virenscanner habe Probleme mehrere Viren in einer verseuchten Datei zu finden. - So viel zum Hintergrund. Wenn alles in Ordnung ist, System erneut starten und noch einmal alles scannen lassen. Je nach Virentyp könnte es nämlich sein, dass der Virus zunächst zwar entfernt worden ist, sich jedoch nach einem erneuten Systemstart wieder "eingeschlichen" hat. Kann der Virenscanner den Virus nicht entfernen, sollte man sich keinesweges scheuen, den Support der jeweiligen AntiViren Software in Anspruch zu nehmen. In vielen Fällen kann hier noch geholfen werden, ohne gleich alle Daten auf der Festplatte zu löschen. Sollte ein Bootsektorvirus vorliegen, ist der Support auch gerne bereit, bei der Entfernung "von Hand" Hilfestellung zu leissten. Falls nicht, in dieser Rubrik weiterlesen, da diese Schritte zur Entfernung noch behandelt wird. Viren "von Hand" zu löschen ist nicht zu empfehlen, da hier entweder oft fatale Fehler seitens des Anwenders verursacht werden bzw. es praktisch gar nicht möglich ist. Eine kleine Ausnahme sind lediglich ein Teil reiner Bootsektorviren, die durchaus ohne Hilfe eines Virenscanners entfernt werden können. Ein Bootsektor-Virus liegt vor Bei vielen Anwendern ist der Befehl unter DOS: fdisk /mbr bekannt. Mit diesem Befehl wird das Masterbootprogramm auf den Masterbootsektor der Festplatte neu geschrieben. Allgemein betrachtet ist diese Regel auch durchaus richtig und vernichtet diese Viren auch ein für alle mal. Jedoch gibt es auch einige Viren, die den Original MBR in verschlüsselter Form auf der Festplatte lagern. Wird eine derartiger Virus auch mit dem Befehl "fdisk /mbr" gelöscht, wurde leider auch die Entschlüsselungsroutine für den "echten" MBR entfernt. Die Konsequenz: Es werden keinerlei Daten mehr auf der Festplatte angezeigt, kein Zugriff ist mehr auf die vom Prinzip her vorhandenen Daten möglich. Mitunter kann ein Virus (z.B. "One_Half") sogar die ganze Festplatte verschlüsseln und nichts wird mehr helfen, ausser die Formatierung der Festplatte oder die Hilfe einer Spezialfirma für Datenrettung (jedoch eine recht teure Alternative, die nur bei sehr wichtigen Daten Sinn ergibt). Ob es sich um einen Bootsektor-Virus handelt, der die Daten nach der Virenreinigung "unbrauchbar" macht, kann mit einem recht einfachen Mittel herausgefunden werden: Einfach von einer virenfreien Diskette das System booten. Wird die Festplatte mit allen eventuell angelegten Partitionen noch angezeigt, kann der Virus mit dem DOS-Befehl "fdisk /mbr" ohne Gefahr entfernt werden. Sollte dieses jedoch nicht der Fall sein, sollte man diese Arbeit dem Virenscanner überlassen. Gegebenfalls weitere AntiViren Programme zu Rate ziehen. Wenn auch dieser Versuch nicht gelingen sollte, so hilft in der Regel nur noch die Formatierung der Festplatte. Danach jedoch trotzdem nicht den benannten DOS-Befehl vergessen, sonst wird der Virus die ganze Aktion überleben. Ausserdem sollte vor der Neuinstallation des Betriebssystemes ein Kaltstart erfolgen. Das ist sehr wichtig, also PC einmal ausschalten, kurz warten und wieder einschalten. Daher noch mal eindringlich: Von der Funktion (soweit diese vorhanden ist) des Virenscanners unbedingt Gebrauch machen, wenn die Erstellung von Rettungsdisketten möglich ist. Hier wird auch in der Regel der MBR abgespeichert und kann später zurückgeschrieben werden. Nachsorge Bevor mit dem gereinigten System weitergearbeitet wird (vorausgesetzt, der Virenscanner konnte den Virus entfernen und das System bleibt in seiner Ursprungsform erhalten), sollten ALLE CD-ROMs, Disketten und sonstige Speichermedien auf Viren überprüft werden. Ebenso gegebenfalls auch Archive (ZIP, RAR, ARJ etc.). So kann festgestellt werden, woher der Virus eingeschleppt wurde. Eventuell angelegte BackUps nach Feststellung einer Vireninfektion unbedingt durch die AntiViren Software bereinigen lassen. Gegebenenfalls auch hier eine weitere entsprechende Software zu Rate ziehen. Aufgrund der hohen Anzahl verschiedener Viren (-Typen) sind die zusammengetragenen Informationen (wenn nicht anders angegeben) auf dieser Seite als allgemeine Tipps zu betrachten. Wir übernehmen keinerlei Haftung für eventuelle Schäden, die aufgrund der hier vorgestellten Informationen zurückzuführen sind. Weniger erfahrene Anwender sollten sich gegebenenfalls den Rat eines Fachmanns in ihre unmittelbaren Nähe einholen. Viren richten nicht selten viel mehr Schaden aus dem Grund an, da der Anwender falsch reagiert hat.
Und auch bei diesem Beitrag hoffe ich das er vielen Leuten was bringt=)! Gruß: Floyd __________ MfG.: Floyd
Um auf dieses Thema zu ANTWORTEN bitte erst » hier kostenlos registrieren!!
Quickinfo
Definition
Geschichte
Herkunft
Verbreitung
Folgen
Virenarten
Vorsorge und Schutzmaßnahmen
Anhand welcher Merkmale könnte ein Virenbefall vorliegen?
Virenbefall festgestellt - Was ist zu tun?
Ein Bootsektor-Virus liegt vor
Nachsorge
Fachzeitschriften, Fernsehen und sonstige Medien geben immer wieder Horrormeldungen über Computer-Viren heraus. - Es ist schon richtig, dass jeden Monat zwischen 150-250 neue Viren auf dem "Markt" kommen. Hierbei sei jedoch erwähnt: nicht alle Viren gelangen in der Tat in die "freie Wildbahn". Die grösste Anzahl der Virenprogrammierer ist gar nicht darauf aus, ihre Viren auf die "Computerwelt" loszulassen. - Diese Viren werden lediglich in Bulletin Boards oder WWW-Seiten zum Download/Tausch angeboten. Sehr häufig werden diese Viren auch den Herstellern von Anti-Viren-Programmen zugespielt. Nicht umsonst besitzen die Anti-Viren-Software-Hersteller die grössten Virendatenbanken weltweit. Erstaunlich ist, dass die meissten Viren, die sich in "freier Wildbahn" befinden, selbst von recht alten Anti-Viren-Programmen gefunden und beseitigt werden.
In letzter Zeit sorgten jedoch Virenmeldungen - z. B. über den Melissa-/CIH Virus - für Furore und versetzten viele User in Angst und Schrecken. Zur Zeit ist zu beobachten, dass sich vor allem viele Trojanische Pferde im Umlauf befinden. Siehe hierzu jedoch unter der Trojaner-Rubrik.
Was sind Computerviren?
In der Umgangssprache wird meistens nur das Wort Virus genannt, wenn man an Programme mit schädlichen Wirkungen denkt. Hiermit sind Viren im eigentlichen Sinne, Trojanische Pferde, logische Bomben, Internetwürmer oder auch Hoaxe gemeint. Der Fachmann nennt derartige Programme/Dateien "Malicious" (böswillige Software), kurz gesagt wird jedoch meist von "Malware" gesprochen. In dieser Rubrik sind jedoch hauptsächlich Informationen zu Computerviren zu lesen.
Viren sind Codefragmente, die sich an andere Daten anhängen und sich bei der Ausführung oder weiteren Bearbeitung vermehren. Die Daten, die befallen werden, können nicht nur Programme, sondern auch Dokumente, Bootsektoren und sogar in manchen Fällen Bilddateien (betrifft jedoch nicht alle Formate) sein.
In der Regel kann sich ein Virus im herkömmlichen Sinne nicht selber verbreiten. Sich selber verbreitende Viren sind als Würmer oder Trojanische Pferde zu bezeichnen. Somit kann man die Verbreitung mit Krankheitsviren im normalen Leben mit Computerviren bezüglich ihrer Verbreitung durchaus vergleichen. - Ein Grippevirus wird auch meist von Mensch zu Mensch übertragen...
Geschichte
Jedoch ging die Weiterentwicklung zu "fortschrittlicheren" Viren erst 1989 so richtig voran. So wurden nun auch Viren vorgestellt, die nicht mehr zu reinen Vorführeffekten dienten, sondern zu mehr in der Lage waren. Auch die Anwender wurden jetzt geweckt und wurden auf die Gefahren aufmerksam, die von einem Virus ausgehen können; ebenso natürlich Unternehmen und Softwareentwickler. Damit brach die Ära der Antiviren-Programme an. 1991 kam Norton Antivirus auf dem Markt. Andere Hersteller folgten innerhalb kürzester Zeit.
1992 hat es bereits schon 2.000 Viren gebeben. Genau in diesem Jahr wurde auch die breite Öffentlichkeit auf die Virenproblematik erstmals aufmerksam. Denn ein Virus mit dem Namen "Michelangelo" sorgte für Aufsehen, der am 06. März alle infizierten System herunterfahren sollte. Früher wurden Computerviren ausschließlich durch infizierte Disketten auf Systeme eingeschleust. Diese Art der Virenverbreitung ist zwar auch heute noch vorhanden und ebenfalls möglich. Jedoch im Zeitalter des weltweiten Datenaustausches (Internet) werden Viren heute meist durch Dateianhänge von E-Mails und versteckten Viren in Dateien, die zum Download angeboten werden (auf Seiten unbekannter Herkunft etc.) verbreitet.
Wo kommt Malware (Viren etc.) her?
Malware bzw. Viren werden von Spezialisten gezielt programmiert. Der Programmierer muss schon über hohe Sachkenntnis und das zugrundeliegende Betriebssystem verfügen, wenn er einen völlig neuen "überlebensfähigen" Virus, Wurm etc. programmieren möchte. Daher gibt es scheinbar nur wenige dieser Spezialisten, die aus "eigener Kraft" ein solches Programm entwickeln können. Viele Viren bzw. Maleware sind quasi lediglich abgeänderte Viren, die geändere Botschaften, Aktionen usw. beinhalten. - Dazu kommen die zahlreichen Viren, die mit Hilfe sogenannter Virengeneratoren erstellt werden (auch für wenig erfahrene Anwender recht einfach) und zahlreich auf einschlägigen Internetseiten zu finden sind. Diese Viren aus den "Generatoren" bereiten den Virenscannern jedoch in der Regel keine allzu großen Probleme, da diese als recht primitiv einzustufen sind. Diese Variante der "Mutationen" tritt in der Virenwelt am häufigsten auf. Völlig von Grund auf neue Viren treten weniger auf, als es viele Anwender vermuten. Jedoch bereiten auch diese Mutationen den Virenforschern so manche Probleme, da diese wiederum nicht durch Ihre AntiVirenSoftware erkannt werden.
Dagegen sind Makroviren recht einfach zu programmieren - für jemanden, der sich ein wenig mit der Makroprogrammierung beschäftigt. - Diese Viren werden in leicht verständlichen "Hochsprachen" programmiert. - Daher sind gerade Makroviren ein grosses Problem aufgrund ihrer hohen Verbreitung und leichten Programmierung geworden. Trojanische Pferde und logische Bomben sind auch vergleichsweise einfach zu erstellen, da man böswillige Aktionen lediglich in andere beliebige Source-Codes einfügen muss.
Die Motivation Malware zu schreiben/programmieren hat viele Gründe, welche manchmal gar nicht nachvollziehbar sind. In den meisten Fällen geht es sicherlich um Abenteuerlust und/oder Geltungsdrang in gewissen Kreisen der Online-Welt. Bei dem sogenannten "Israel-Virus" wird vermutet, dass dieser aus PLO-Kreisen stammen könnte um israelische Computer lahmzulegen. Der "Stoned-Virus" verbreitet die Botschaft Marihuana zu legalisieren. Oder das neuere Beispiel des Internet-Worms "VBS.Monopoly" zielt auf die Firma Microsoft, die in der Computerwelt von sehr großer Bedeutung geworden ist. Hier soll die Botschaft vermittelt werden, dass Bill Gates das Monopol auf der Welt in seinen Geschäftsbereichen erzielen möchte bzw. dieses schon hat. Jedoch sind auch einige Fälle bekannt, wo sich Forschungsobjekte verselbstständigt haben.
Wie infiziert ein Virus eine Datei
Es gibt verschiedene Wege, wie sich ein Virus in einem Programm bzw. einer Datei festsetzt. Die "klassischen" Viren hängen sich (also ihren Programmcode) am Ende einer ausführbaren Datei. - Dazu wird ein Zeiger am Anfang des zu infizierenden Programmes gesetzt. Dieses hat zur Folge: Wird das infizierte Programm gestartet, springt zunächst der Zeiger an das Ende des Programms (somit an den Anfang des Viruscodes), führt diesen Virus aus und springt blitzschnell wieder an die Anfangsstelle zurück. Danach wird das eigentlich zu startende Programm ausgeführt. Also noch mal: Bei Programmstart wird zuerst der Virus gestartet, dann das eigentliche Programm. Bei leistungsschwachen alten Systemen KANN so ein Virus insofern auffallen, indem der Anwender bemerkt, dass sein Programm oder die Programme langsamer als vor dem Virenbefall gestartet werden. Jedoch fällt dieses Merkmal immer weniger ins Gewicht, da es "von Monat zu Monat" immer schneller Systeme auf dem Markt gibt. Jedoch möchte ich darauf hinweisen, diese Zeitverögerungen sind ohnehin sehr minimal und kaum ein Anwender würde sich darüber Gedanken machen. Bei jedem Start des infizierten Programmes startet also zuerst der Virus. Ab diesem Moment versucht dieser Virus auch andere Dateien zu infizieren. Diese Art der Infektion richtet in der Regel keine bleibenden Schäden an, da diese recht leicht durch AntiVirenProgramme bereinigt werden können.
Andere Viren gehen wiederum ganz anders vor, indem einfach so viel von einer zu infizierenden Datei überschrieben wird. Nämlich so viel, wie der Virus benötigt. In der Regel geschieht dieser Vorgang recht unauffällig, wenn das Wirtprogramm (Wirtprogramm = Programm, welches infziert wird oder schon ist...) entweder gleich oder größer als der Virus selber ist. Sollte das Wirtprogramm kleiner sein, wird das komplette Programm durch den Virus überschrieben und hängt den zusätzlichen Platz, welcher darüber hinaus benötigt wird, hinten dran.
Andere Viren verschieben den Original-Bootsektor einer Festplatte, schreibt das eigene Programm in den Bootsrap (Routinge, welche das Bios auffordert, das Betriebssystem zu starten/laden) und versteckt sich dann selber irendwo auf der Festplatte. Wird ein Betriebssystem nur gestartet, passiert im Prinzip Ähnliches wie ich zu Anfang dieser Seite die Infizierung von Programmen beschrieben habe. Es wird auf den Bootsektor bei jedem Systemstart zugegriffen, jedoch startet zunächst der Virus-Lader den auf der Festplatten befindlichen Viren und leitet den Zugriff auf den verplanzten Original-Bootstrap um. DasBetriebssystem wird normal gestartet wie oben beschrieben ein Programm. Nur mit dem Unterschied, dass dieser Virus nun sofort im Hintergrund des Systemes aktiv ist, statt erst beim Start von infizierten Programmen.
Mit dieser Methode kann sich ein Virus auch auf Disketten verbreiten, die keine Programme enthalten. - Denn JEDE Diskette enthält einen winzigen Bootsector. Wenn also von einer Diskette gebootet, die keinerlei Programme ect. enthält, erscheint lediglich auf dem Bildschirm "keine Systemdiskette...", wie es sicherlich schon vielen Anwender passiert ist. Jedoch reicht das schon aus, um mit Hilfe dieser infizierten Diskette (im Bootsektor) einen Virus zu starten.
Andere Viren überschreiben einfach die Informationen, welche in der FAT über ein Verzeichnis enthalten sind. Dazu wird als "Adresse" das Virenprogramm für jedes Programm auf der Festplatte angegeben. Der Virus selber "verwaltet" die Original-Adressen der Programme und leitet die Zugriffe an die richtigen Adressen weiter. Das bedeutet: Das Programm "fragt" NICHT an der Originaladresse bei Zugriff, sondern quasi beim Virus "als Vermittler" an.
Zu den hier genannten Infektionswegen sei noch erwähnt, dass diese in verschieden Varianten auftreten. Auch die Kombinationen verschiedener Infektionswege in einem einzigen Virus kommen nicht selten vor. Daher wird es zunehmend immer schwieriger, diese Viren überhaupt zu klassifizieren.
Welche Computer und Betriebssysteme sind bedroht?
Grundsätzlich kann Malware auf jedem Betriebssystem denkbar sein. Je mehr ein Betriebssystem jedoch seine Ressourcen kontrolliert, desto weniger Schaden kann angerichtet werden. Am meisten betroffen sind Einzel-Desktopsysteme wie z.B. OS/2, MS-DOS, Amiga, Atari und MacIntosh.Windows 3.X / 95 /98 sind nur grafische Benutzeroberflächen von MS-DOS und haben auf Funktionen systemnaher Malware kaum Einfluss. Lediglich greifen hier Makro-Viren für Excel und Word, welche die Makrosprache der Systeme sich zu Nutze machen. Systemnahe Malware ist auf UNIX, Windows NT oder VMS weniger bekannt. Lediglich treten hier in letzter Zeit vermehrt Internet-Würmer, Makroviren (unter NT) und Trojanische Pferde auf.
Wozu sind Viren in der Lage?
Die meisten Viren sind zum Glück gar nicht so gefährlich, wie Computerviren in der Öffentlichkeit sehr häufig dargestellt werden. Viele Viren geben lediglich von Zeit zu Zeit z.B. eine Meldung auf den Bildschirm, der entweder irgendeine Botschaft vermittelt und anzeigt, dass ein System mit dem Virus "xyz" infiziert ist. Diese Meldungen sind breit gefächert, die bis hin zu "Scherzmeldungen" reichen können. Oft haben sich Virenprogrammierer lediglich zum Ziel gesetzt, dass "Ihr" Virus schnell und weit verbreitet wird.
Die echten "Datenkiller" machen laut Schätzungen von Experten ungefähr 5% aus. Aber auch eigentlich "harmlose" Viren können schwerste Schäden auf einem System erzeugen. - Entweder weil dieser Virus schlecht programmiert wurde, oder aufgrund von Panikreaktionen seitens des Anwenders. - Meldet ein AntiVirenProgramm einen Virus, löscht nicht selten der Anwender sofort seine gesamten Datenbestände und richtet sein System neu ein. Die Daten sind damit für immer verloren.
Bei einem Virenbefall braucht jedoch nur selten ein ganzes System neu eingerichtet werden. - Gute Hilfe bietet die AntiVirenSoftware. - Sollte das Programm nicht in der Lage sein, den Virus zu beseitigen, kann immer noch der Kundensupport des Herstellers eingeschaltet werden. - Mir ist kein Hersteller von AntiViren Programmen bekannt, der seinen Kunden bei einem Virenbefall nicht mit Rat und Tat zur Seite steht.
Nur kurz und in Stichpunkten möchte ich darauf eingehen, wozu ein Virus heute in der Lage sein könnte:
Formatierung von Festplatten
BIOS-Chip überschreiben (CIH-Virus) - SEHR FATAL !!
Systemleistung bremsen (verlangsamen)
Löschung einzelner Anwendungen/Dateien etc.
Mittels eines E-Mail-Programms selbständig verbreiten (zählt eigentlich schon zur Kategorie "Würmer".
Dieses war nur ein kleiner Ausschnitt, was in den schlimmsten Fällen geschehen kann, wenn ein Virenbefall vorliegt. Für zahlreiche Viren-Programmierer ist jedoch die Verbreitung/Vermehrungs-Routine eines Virus weitaus interessanter. Das häufigste Motiv einen Virus zu programmieren, ist der Geltungsdrang in bestimmten Computer/Internetkreisen. Der Programmierer möchte von sich Reden machen und möglichst einen bekannten Namen tragen. Die Möglichkeiten/Funktionen der Viren ist so vielfältig und verschieden, dass diese hier bei weitem nicht aufgeführt werden können. - Heutzutage kann ein Virus zu fast allem in der Lage sein, was sich ein Anwender nur vorstellen kann.
Beschreibung einiger Viren-Arten
Hierbei sei jedoch erwähnt, viele Viren können NICHT nur einer der genannten Kategorien zugeordnet werden. - Diese Viren könnte man als eine Mischform verschiedener Virentypen bezeichnen. Ausserdem tagen manche Viren auch verschiedene Bezeichnungen. Sehen wir die Auflistung also eher als eine Begriffserklärung an.
ANSI-Bomben
Es handelt sich hier um Sequenzen, welche in normale Texte eingebunden wurde. Bei der Anzeige des Textes wird die Tastaturbelegung verändert. Zunächst ein einfaches Beispiel: Betätigt der Anwender die Taste "g", erscheint "z" auf dem Bildschirm. Jedoch kann auch eine Taste mit "Format C:" + "Return" auf eine Taste (z.B. "a") gesetzt werden. ANSI-Bomben benötigen jedoch den ANSI.SYS Treiber um aktiv werden zu können.
Construction Kits
Construction Kits sind keine Viren, sondern Programme (Generatoren), mit deren Hilfe auch ein "normaler" Anwender "eigene" Viren erzeugen bzw. generieren kann. Jedoch gelten diese Viren als recht primitiv und werden zuverlässig durch Virenscanner erkannt. Trotzdem kommen ständig neuen Viren aus solchen Generatoren in den Umlauf und stellen lediglich für User eine Gefahr da, die keinen Virenscanner auf ihrem System verwenden.
CMOS
Als CMOS bezeichnet man den externen Speicher eines Rechners, der mit Strom über eine extra Batterie versorgt wird. Hier werden wichtige Informationen wie Uhrzeit, Datum, Größe des DOS-RAM, Festplattenwerte etc. gespeichert. Ein Virus kann sich in diesem Bereich nicht aktiv speichern oder starten. Jedoch gibt es Viren, die das CMOS löschen oder manipulieren. Dieses hat Systemabstürze zur Folge oder es wird verhindert, dass ein infiziertes System von einer "sauberen" Diskette gestartet werden kann. Diese Art von Viren nennt man auch "CMOS-Viren", die als sehr gefährlich einzustufen sind.
Companion-Viren (Split-Viren)
Diese Viren machen sich die DOS-Eigenschaft zu nutze, dass Programme mit der Endung.com stets vor einem gleichnamigen Programm mit der Endung .exe gestartet werden. Meist fallen diese .com-Dateien insofern nicht auf, da diese als Hidden oder System-Dateiattribute gesetzt werden. Diese Dateien werden in der Regel nicht angezeigt. Diese Viren können einfach entfernt werden, da man diese COM-Dateien nur zu löschen braucht. - HINWEIS: Programme mit der Endung ".com" müssen keine Viren sein! Jedoch gibt es noch mehr Möglichkeiten, wie ein Companion-Virus seine Dateien verstecken kann. Hier z.B. in Pfaden oder Original-Dateien werden einfach umbenannt und die neue, infizierte in den Original-Namen. Auch ist die Erzeugung einer BAT-Datei möglich, die zunächst den Virus und dann die ursprüngliche Datei aufgruft. (z.B. Honecker Virus).
Dateiviren
Diese Viren befallen ausführbare Dateien. Meist befindet sich am Anfang einer infizierten Datei ein Zeiger (Sprunganweisung). - Wird die infizierte Datei nun ausführt, springt zunächst der Zeiger blitzschnell an den Anfang des Viruscodes (der sich in der Regel am Ende der infizierten Datei befindet) führt diesen aus, springt zurück zum Anfang des eigentlichen Programmes. Danach erst startet das normale Programm. Meist geht jedoch dieser Vorgang so schnell von statt, dass es dem Anwender kaum auffallen wird (lediglich evtl. eine minimale Verzögerung des Programmstarts). Viele dieser Viren hängen ihren Code einfach hinten an das zu infizierende Programm. - Einige löschen jedoch auch "alten Programmcode" und hängen sich dann an diese Datei.
Dropper / Partitions-oder Bootsektorvirusstarter
Bootsektorviren können normalerweise nicht in ein System über Programm eindringen. Der Virus versteckt sich in einem speziellen Programm, welches die Aufgabe hat, diesen Virus in der Partition zu installieren. Somit ist das besagte Programm NICHT infiziert, enthält jedoch den Virus, der erst bei Aufruf des Programms auf dem Datenträger (Festplatte, Diskette) installiert wird. Der Virus ist dann installiert, jedoch erst aktiv, wenn das System neu gestartet wird. Auch gibt es solche Dropper für Dateiviren. Hier wurde der Virus versteckt, damit dieser durch Virenscanner nicht erkannt wird.
Direct Action-Viren
Diese Art von Viren sind/werden nicht speicherresident (laufen also nicht ständig im Hintergrund eines Systemes mit). Wird ein solcher Virus aktiviert, sucht er sofort nach anderen Programmen, die er infizieren kann. Einige suchen nur nach Dateien im gleichen Verzeichnis, besser programmierte auch in anderen Verzeichnissen oder über Path angegebene Verzeichnisstrukturen. Diese Art von Viren erfordern nicht allzu hohe Fachkenntnisse. Daher ist auch eine hohe Anzahl dieser Viren zu verzeichnen, die aber trotzdem wenig verbreitet sind.
DIR-Viren / Verzeichnis-Viren
Dieser Typ von Virus manipuliert direkt die DOS-Verzeichnisse und keine Sektoren oder Dateien. Diese Vorgehensweise hat zur Folge, dass diese Viren sich rasend schnell ausbreiten, da schon ein DIR-Befehl ausreicht, dieses Verzeichnis komplett zu infizieren. Bootet man von einer sauberen Diskette, sind alle infizierten Datei querverbunden, da alle Dateien auf denselben Cluster zeigen.
Fast Infector
Schon beim öffnen bzw. schliessen einer Datei, werden diese durch Fast Infector Viren infiziert. - Startet der Anwender einen Virenscanner, während sich ein solcher Virus aktiv im System befindet, können nach dem Scannvorgang nahezu alle Datei auf einem System infiziert sein. Fast Infectors verbreiten sich somit wie ein Lauffeuer auf einem betroffenden System. Jedoch wird hierdurch auch das befallende System ziemlich stark abgebremst und der Anwender wird dieses bemerken.
Header-Viren
Dieser Viren-Typ infiziert Programme über direkte Sektormanipulationen mittels INT13h. Also nicht wie sonst üblich über den INT21h. Jedoch werden nur EXE-Dateien infiziert, die einen "leeren" Programmkopf besitzen und kleiner als 64 KB sind. Da solche Dateien recht selten sind, hat haben Header-Viren heutzutage wenig Chancen sich überhaupt zu verbreiten. Ausserdem sind diese Viren sehr häufig "Fast Infectors" und können Programme auf DBLSPACE, RAMDRIVES und anderen logischen Laufwerken nicht infizieren.
HLL-Viren
In diese Kategorie fallen alle Viren, welche mit Hochsprachen erzeugt wurden. Hier unterscheidet man unter HLLT (Trojan), HLLP (Parasitic), HLLC (Companion) und HLLO (Overwriting) -Viren. HLLO-Viren treten recht häufig auf, da diese einfach zu programmieren sind. HLLP-Viren dagegen sind sehr selten, da die notwendigen Codes in Hochsprache schwer zu programmieren sind.
Hoaxe
Darunter versteht man Meldungen über Malware (Sammelbegriff für schädliche Programme wie Trojaner, Viren etc.), die es gar nicht gibt. Immer wieder werden Mailboxen mit solcherlei Meldungen verstopft. Besonders beliebt sind Meldungen, dass eine Mail mit einem bestimmten Betreff in keinem Fall geöffnet werden darf. Wer dieses jedoch macht, infiziert sein System sofort mit einem Virus oder einem Trojanischen Pferd. Den einzigen Schaden, den solche Meldungen verursachen, ist, dass sie das Mailsystem verstopfen und ahnungslose Leute in Panik versetzen. Das klassische Beispiel für solche Hoaxe sind Meldungen über einen Virus mit dem Namen "Good Times" und "Penpal".
HTML-Viren
Was lange Zeit kaum denkbar war, wurde im Oktober 1998 Wirklichkeit. Der erste HTML-Virus tauchte auf. - Dieser Virus versteckt sich in Form eines VB-Scripts in einer HTML-Datei und kann auch andere Datei infizieren, indem er sich ebenfalls als Script in der Datei versteckt. Der Virus arbeitet vom Prinzip her wie die Script-Viren und funktionieren nur auf Windows 98 - Systemen bzw. wenn der Windows Scripting Host auf dem System installiert ist. Jedoch können nicht nur HTML-Dateien, sondern auch HTA-,VBS und DOC-Dateien infiziert werden. Dieses hängt jedoch von dem jeweiligen Virus ab und kann somit zugleich auch unter die Kategorei Makroviren fallen.
In the wild (ITW) - Viren in freier Wildbahn
Unter diesen Begriff fallen Viren, die immer wieder in "freier Wildbahn" anzutreffen ist. Das bedeutet: Auf infizierten System sind immer wieder diese Viren anzutreffen. Es gibt zwar viele, viele tausende von Viren, jedoch wird der größte Teil davon so gut wie nie auf einem infiziertem System gefunden. Oft handelt es sich auch um Viren, die gar nicht mal so neu oder trickreich sind. Viele dieser Viren werden selbst durch ältere Anti Viren Programmen erkannt. Trotzdem sind diese Viren (aus welchen Gründen auch immer) kaum auszurotten.
Java Viren
Der erste Java-Virus nennt sich "Strange-Brew". Jedoch geht von diesem Virus keine Bedrohung aus, da der Virus zu inkompatibel ist und somit auf fast keiner Java-Implentierung läuft. Auch ist noch kein ernsthafter Java-Virus zu erwarten, da die ganze Strukur von Java sehr umfpangreich und nicht leicht erlernbar ist.
Kernel-Viren
Diese Sorte von Viren infizieren zuerst bestimmt Programme eines Betriebssystemes. Unter DOS somit "IO.SYS" oder "MSDOS.SYS". Es soll von dieser Virensorte bisher nur ein Exemplar bekannt sein. Ansich ist es eine Mischung aus DIR- u. Bootsektorviren. Denn auf Festplatten wird durch die direkte Veränderung des Verzeichniseintrages "IO.SYS" infiziert. Auf Disketten der Bootsektor.
Killerprogramme
Unter Killerprogramme versteht man Viren, welche nach einer bestimmten Anzahl von Infektionen eine Aktion auslösen. - Der "interne Zähler" dieser Viren zählt von einem festgelegten Wert runter bis auf "null". Nachdem das geschehen ist, kommt es auf den jeweiligen Virus an, was nun passiert. Jedenfall werden die Daten eines Systemes gelöscht oder unbrauchbar gemacht. Es kan z.B. ein Befehl "Format" aufgerufen und durch den Virus bestätigt werden. Andere Viren löschen ohne Nachfrage "nur" die Daten. Die noch gemeinere Variante ändert die FAT-Einträger einer Festplatte. Die Daten sind zwar noch alle auf der Festplatte enthalten, jedoch sind diese weder les- noch verwendbar.
Laborviren / Research-Viren
Darunter versteht man die Viren, welche in der "freien Wildbahn" quasi nie anzutreffen sind. Diese Viren wurden Virenforschern zugespielt und befinden sich nur in deren Laboren. Somit befinden sich diese lediglich in deren Sammlungen. Im übrigen ist der größte Teil aller Viren als Laborviren zu bezeichnen.
Makro Viren
Makro-Viren gibt es noch nicht so lange wie die "herkömmlichen" Virenarten. Viele Textverarbeitungsprogramme wie z.B. Word nutzen zur Automatisierung von Aufgaben die an Basic angelehnte Makrosprache. Diese Programmiersprache ist recht einfach erlernbar. Diese Tatsache hatte zur Folge, dass Makroviren heute weitaus öfter anzutreffen sind, als andere Virenarten. Vom Prinzip her sind Makroviren ebenfalls Dateiviren (Erklärung siehe unter "Dateiviren"). Lediglich werden hier nur Dokumenter infiziert und KEINE Programme. Jedoch gibt es nicht nur Makroviren, die Word-Dokumente (also .doc-Dateien) infizieren, sondern z.B. auch Excel-Viren. Die Makrosprache erlaubt recht mächtige Funktionen bzw. kann automatisch zahlreiche Aufgaben erledigen. - Wer jedoch z.B. kein Word auf seinem System installiert hat, braucht nicht unbedingt etwas zu befürchten, wenn er von einem solchen Virus heimgesucht wird (bezogen auf Makroviren, die .doc-Dateien infizieren).
Partitionsviren
Diese Viren verändern die Partition direkt oder die Angaben des ersten logische Sektors und werden bei jedem Systemstart sofort aktiv. Einen solchen Virus kann man NICHT durch das Formatieren einer Festplatte entfernen. meist reicht schon ein Aufruf von "FDISK/MBR" von einer sauberen Bootdiskette aus um den Virus zu entfernen.
Polymorphe Viren
Früher reichte es den Herstellern von Anti-Viren-Programmen, wenn der Code (bzw. die Bytefolge) eines Virus analysiert und als Virendefinition in einer Datenbank des Virenscanners als "Vergleichliste" für Scannvorgänge abgelegt wurde. Die Erkennungraten der Virenscanner konnte als sehr hoch eingestuft werden, da diese Datenbanken ständig aktualisiert wurden. Jedoch haben die Virenprogrammierer die Zeichen der Zeit leider auch nicht verschlafen und entwickelten neue Methoden, damit "ihr" Virus gar nicht oder nur schwer durch Virenscanner erkannt wird. In Polymorphen Viren werden Codeveränderung oder Codeverschlüsselungen verwendet. Diese Viren verschlüsseln dabei den eigentlichen Code mit einem veränderlichen Schlüssel. Die Entschlüsselungsroutine bleibt jedoch unverschlüsselt im Viruscode. Damit Virenscanner nun nicht einen Virus anhand ihrer Entschlüsselungsroutinge identifizieren, werden diese Routinen automatisch bei jeder Infektion soweit verändert, dass anhand der Bytefolge keine Identifizierung mehr möglich ist. Die Funktion der Verschhlüsselungsroutinge wird dadurch natürlich nicht beeinträchtigt. Viele Virenprogrammierer bedienen sich zur Verschlüsselung ihrer Codes an sogenannten Codegeneratoren, welche diesen Teil der Programmierarbeit übernehmen. Es gibt Generatoren, die als sehr leistungsfähig bis fast unbrauchbar einzustufen sind. Viele dieser Generatoren kommen aus Osteuropa oder Taiwan. Trotzdem gelingt es den Softwareherstellern von Virenscannern immer wieder, auch diese verschlüsselten Viren zu identifizieren. - Auch wenn dieses manchmal recht aufwendig ist. Jedoch brauchen Virenprogrammierer nicht glauben, dass Virenforschern Codegeneratoren nicht bekannt sind...
Retroviren
Dieser "Virenspezie" ist darauf aus AntiVirenProgramme anzugreifen. Dieses reicht von völlig ausser Gefecht setzen bis zur Manipulation der Software. Programmierer dieser Sorte Viren untersuchen genaustens "Byte für Byte" die Anti Viren Programme nach Schwachstellen. Retroviren können z.B. einen Virenscanner dahingehend verändern, dass dieses Programm zwar noch einen Scannvorgang vollzieht, jedoch an sich gar nicht mehr nach Viren sucht. - Das würde somit bedeuten: Das System könnte "durch und durch" mit Viren verseucht sein, der Scanner meldet jedoch, dass alles in Ordnung sei. Manche Scanner legen sogeannten Prüfsummen an, die ein Retrovirus zu seinen Gunsten nutzen kann. Diese Prüfsummen werden einfach entsprechend manipuliert. Hierbei möchte ich jedoch erwähnen, dass viele andere Viren auch Retroviren sind, um sich vor einer Entdeckung zu schützen. Wenn man es genauer betrachtet, würde es für den Virenprogrammierer wenig Sinn machen, einen reinen Retrovirus zu programmieren....
Residente Viren
Diese Viren belegen Speicher und hängen sich in den Interrupt 21h und/oder 13h. Über den INT21h werden allen internen DOS-Funktionen (Programme starten, öffnen, kopieren, löschen etc.) abgewickelt. Damit bekommt der Virus Programme von "erster Quelle" geliefert, um diese zu infizieren. Der INT 13h ist für Festplatten- u. Diskettenzugriffe zuständig und wird durch Sektor- und Multipartite-Viren belegt. Die Arbeitsweise dieser Viren ist als Recht kompliziert zu betrachten. Diese hier zu Beschreiben würde den Rahmen der Rubrik sprengen. Kurz gesagt: Dieser Virus arbeitet ständig im Hintergrund um nach zu infizierenden Dateien "Ausschau" zu halten. In einigen Fällen erweist es sich als schwierig, einen solchen Plagegeist entgültig loszuwerden. Nur ein Formatieren der Festplatte reicht in der Regel nicht aus.
Script-Viren
Diese Virenart ist noch recht neu und seit Oktober 1998 erstmalig in den Umlauf geraten. Der erste dieser Art von Viren heisst: "Winscript Rabbit" und bedient sich der Script-Sprache "VB-Script aus dem Hause Microsoft. Neuere Versionen infizieren nicht nur VB-Scripts, sondern auch Netscape kompatible Java Scripts. Befindet sich ein solcher Virus einmal auf dem System werden alle Script-Dateien im Browser-Cache infiziert und kopiert sich sogar auf dem Desktop. Der erstaunte Anwender bekommt z.B. lustige Icons auf seinem Bildschirm zu Gesicht. Script-Viren funktionieren allerdings nur unter Windows 98 bzw. auf Rechnern, wo der Windows Scripting Host installiert wurde. Im übrigen kann man bei einer Win 98 Neuinstallation auch den Scripting-Host ausschliessen.
Slack Viren
Der Slack-Bereich ist der Platz auf einem Cluster, der durch eine Datei nicht ausgefüllt wurde. Nehmen wir an ein Cluster ist 8192 Bytes gross, die Datei jedoch nur 7000 Bytes, bleiben noch 1192 als Slack übrig. Genau diesen freien Platz nutzen sogenannte Slack-Viren, um sich unauffällig einzunisten. Dadurch wird verhindert, dass sich die Grösse einer Datei verändert und dem Anwender auffällt. Diese Viren sind jedoch recht selten anzutreffen. Anwender, die hin und wieder ihre Festplatte defragmentieren, werden spätestens damit diesen Virus entfernen.
Slow Infector-Viren
Vom Prinzip her das Gegenteil von "Fast Infector-Viren", da diese sich (wie der Name bereits vermuten laesst) nur langsam verbreiten. Diese Art von Viren infiziert lediglich beim Erstellen oder Schreiben von Programmen diese Dateien. Diese Technik hat den Hintergrund, Prüfsummenprogramme und residente Wächterprogrammen auszutricksen. Da die Datei erst erstellt wird, liegt somit auch keine Prüfsumme vor. Diese Viren sind jedoch relativ selten. Fast Infector-Viren treten dagegen sehr häufig in Erscheinung.
Stealthviren / Tarnkappenviren
Hier unterscheidet man zwischen Semi- und Vollstealth-Viren. Vollstealth-Viren verbergen die Tatsache, dass infiziert Dateien oder Sektoren verlänger/verändert wurden. Somit können Virensuchprogramme und Prüfsummenchecker getäuscht werden. Semistealth-Viren unterscheiden sich im Gegensatz zu Vollstealth-Viren darin, dass lediglich die Dateiverlängerungen verborgen werden und nicht die Dateiveränderungen. Der Begriff "Stealth" wird immer wieder für alle möglichen Viren-Tricks (raffiniert programmierte Viren etc.) benutzt, welches jedoch nicht den eigentlich Begriff wie hier beschrieben definiert.
TSR-Dateiviren
Diese Viren-Art ist besonders häufig anzutreffen. In der Regel werden .com und .exe - Dateien befallen, jedoch gibt es auch einige dieser Viren, die Gerätetreiber und Überlagerungsdateien infizieren. Desweiteren müssen die Programme nicht unbedingt die Erweiterung ".com" oder ".exe" haben, obwohl dieses natürlich in den allermeisten Fällen (99%) zutrifft. Ein TSR-Virus verbreitet sich auf einem System, indem ein infiziertes Programm (sei es durch Download aus dem Internet, Disketten/CD´s von Bekannten oder woher auch immer) ausgeführt wird. Der Virus wird dann speicherresident (d. h. er befindet sich im Arbeitsspeicher bzw. läuft im Hintergrund es Systemes mit) und wartet darauf, dass der Anwender ein bisher nicht infiziertes Programm öffnet. Geschieht dieses, wird auch dieses Programm infiziert. Das geht praktisch so lange, bis alle Programme auf einem System infiziert sind. Die Dateien werden also somit schon nur beim öffnen einer Datei infiziert. Somit kann bei einer eventuellen Datensicherung (wo gegebenfalls jedes Programm geöffnet wird) ALLES infiziert werden. Jedoch möchte ich noch erwähnen, dass sich die Infektionsroutinen auch durchaus unterscheiden. Es kann auch nur durch einen "DIR-Befehl" alle somit angezeigten Programme infiziert werden. Die Auslösung der Infektionsroutine erfolgt somit schon bei Vorgängen, wo bestimmt wird, welche Dateien auf einem System/Ordner etc. vorhanden sind. Auch wurden noch andere Infektionsroutingen bekannt, jedoch sind diese recht selten anzutreffen. Diese Art der Viren könnte man somit auch durchaus zur Gruppe der Fast Infector-Viren zählen.
Update-Viren
Eigentlich sagt hier auch schon die Bezeichnung "Update" eine Menge aus, welches sich auch in der Art des Virus wiederspiegelt. Update-Viren sind in der Regel einer ganzen Familie zuzuordnen. meist werden diese von einem einzigen Programmierer oder einer Gruppe erstellt. Neben ihrer eigentlich Funktion als Virus sind hier noch Update-Routinen zu finden. Diese überprüft ob der Virus schon vertreten ist und wenn ja in welcher Version. Ist die vorhandene Version älter, wird dieser durch die neue Version ersetzt. Falls die vorhandene Version schon neuer ist, wird diese Datei nicht noch einmal infiziert.
Überschreibende Viren (Overwriting)
Overwriting-Viren sind in ihrer Struktur in der Regel die einfachste Virenart. Jedoch ist gerade diese Art von Viren besonders gefährlich, da diese immer Daten zerstört, indem diese entweder ganz oder zum Teil überschrieben werden. Es gibt winzige solche Viren, die gerade mal 23 Byte lang sind. Diese Viren sind nicht resident und suchen normaler Weise nur im aktuellen Verzeichnis nach Opfern.
Zeitzünder
Es handelt sich hier um spezielle Auslösemechanisment, die eine Routine im eigentlichen Virus enthalten. In der Regel wird hierbei die Systemzeit (Uhrzeit, Datum etc.) abgefragt bzw. überwacht. Tritt der festgelegte Wert (z.B. ein Datum) ein, tritt der Virus in Aktion. Viele dieser Viren geben zu diesem Zeitpunkt eine Meldung auf den Bildschirm aus und verabschieden sich dann wieder. Jüngstes Beispiel für so einen Zeitzünder ist der CIH-Virus, welcher am 26. eines Monats in Aktion tritt und Daten aus dem Bios-Chip überschreibt. Jedoch kann die Auswahl bzw. Bedingungen eines Zeitzünders umbegrenzt sein. Dazu kann ein Datum, eine Uhrzeit oder nach dem nächsten Einschalten des Rechner usw., usw. gehören. Theoretisch ist es somit möglich,k einen Virus über Monate oder sogar Jahre auf einem System zu haben, ohne jegliche Reaktionen seitens des Virus. Der Auslösemechanismus kann durchaus auch erst zu einem Jahreswechsel auftreten.
Aufgrund der hohen Anzahl völlig unterschiedlicher Viren können auf dieser Seite lediglich allgemeine Tipps und Ratschläge erteilt werden.
Vorsorge und Schutzmaßnahmen
Bekanntlich ist Vorsicht immer besser als Nachsicht! Daher hier einige Hinweise und Anregungen:
Unbedingt eine AntiViren Software installieren. Eine Liste von Herstellern findet sich auf www.trojaner-info.de. Viele Hersteller halten sogenannte zeitbegrenzte Testversion auf ihren Webseiten zum Download bereit. Somit kann jeder Anwender für sich entscheiden, welche Software ihm am besten liegt.
Einen Virenscanner immer so konfigurieren, dass bei Scanvorgängen lediglich ein Bericht am Ende angezeigt wird. KEINE automatische Entfernung ohne Rückfrage einstellen ! Grund: Einigen Virenscannern bereitet die Entfernung mancher Viren oder sonstiger Malware erhebliche Probleme. Arbeitet die Software fehlerhaft, können unter Umständen so erhebliche Schäden am System auftreten, dass darauf nicht mehr zugegriffen werden kann. Eine eventuell erforderliche Datensicherung ist nicht mehr möglich. Denn merke: Eine virenverseuchte Datensicherung kann immer noch besser sein als gar keine. Vorausgesetzt, es liegen keine aktuellen BackUp Dateien vor.
Fast alle Virenscanner besitzen eine sogenannte Monitorfunktion. Diese Funktion erlaubt die ständige Virenkontrolle im Hintergrund des Systemes. Je nach Software erfolgt die Monitorfunktion in Form verschiedener Techniken, wie z.B. bei Zugriff auf ein Verzeichnis, einer Datei, beim Download von Dateien aus dem Internet, E-Mail, ständiger Virenscan im Hintergrund/während ein Bildschirmschoner aktiviert wurde etc. Diese Funktion sollte aktiviert werden. Jedoch ist bei der Installation mehrerer AntiViren Programme zu empfehlen NUR EINER Software diese Funktion zu überlassen. Einige Virenscanner "vertragen" sich in manchen Fällen nicht und es kann zu starken Beeinträchtigungen im Bezug der Stabilität des Betriebssystems kommen. Ausserdem kann die gesamte Systemleistung damit in Mitleidenschaft gezogen werden.
Dateianhänge eingehender E-Mails immer skeptisch begegnen und diese in keinem Fall so ohne weiteres öffnen. Die Datei kann auch dann mit einem Virus verseucht sein, wenn die Mail einen für den Empfänger bekannten und vertrauenswürdigen Absender trägt. Das System des Absenders kann ohne sein Wissen mit einem Virus infiziert sein bzw. wurde die Datei durch einen virenartigen Worm (z.B. Melissa, VBS_Loveletter, Klez etc.) selbstständig weitverschickt. Grundsätzlich sollte der Austausch von Dateien per E-Mail vorab abgesprochen werden.
Soweit erforderlich Mailprogramme so einstellen, dass beim öffnen von E-Mails Dateianhänge nicht ebenfalls gleich automatisch geöffnet werden. Aufgrund der hohen Verbreitung von Mailwürmern kann der PC sich schnell zu einer wahren "Virenschleuder" entwickeln und man trägt zur Verbreitung von Würmern ebenfalls bei.
Bevor Dateianhänge eingehender E-Mails geöffnet werden, diese zunächst in einem Verzeichnis speichern und nochmal mittels eines Virenscanners überprüfen.
Im Bios das System so einstellen, dass beim Start des Systemes nicht mehr zunächst von einem Diskettenlaufwerk gebootet wird. Hin und wieder werden Disketten im Laufwerk "vergessen" und deren Bootsektor bei einem Systemstart ausgeführt. Somit wird verhindert, dass von einer virenverseuchten Diskette gebootet und das System infiziert wird (Bootsektorviren). Disketten sind heutzutage nicht mehr so DAS Thema, aber es sollte schon darauf geachtet werden.
Eine Bootdiskette erstellen, die garantiert virenfrei ist. So eine Diskette kann bei einem evtl. späteren Virenbefall eine grosse Hilfe sein! Oftmals übernimmt diese Arbeit auch die installierte AntiViren Software. Unbedingt die Diskette MECHANISCH mit Schreibschutz versehen. Softwarebasierender Schreibschutz wird durch sehr viele Viren einfach umgangen.
Jede Diskette im Archiv mit Schreibschutz (auch hier MECHANISCH) versehen. Bei Zugriff auf eine Diskette kann diese (je nach Art des Virus) durch ein bereits infiziertes System ebenfalls befallen werden.
Wenn nicht unbedingt benötigt, den Windows Scripting Host deinstallieren.
Die Einstellungen des Browsers "Internet Explorer" auf "hoch" setzen und Funktionen wie Java, JavaScript und ActiveX (Steuerelemente) deaktivieren. Wer jedoch nicht auf alle Funktionen der neuen Webtechnologie verzichten möchte, sollte zumindest ActiveX unterbinden (wobei jedoch auch Einschränkungen beim Besuch diverser Webseiten gegeben sein werden).
Da einige sehr schädliche Viren auch versuchen die Festplatte unter Hilfenahme bereits installierter Programme zu formatieren, hilft in viele Fällen ein ganz einfacher Trick, dem Virus derartige Funktionen zu verwehren: Die Dateien Debug.exe, Format.com und Deltree.exe in einen anderen Namen umbenennen, jedoch die Dateiendung so belassen. Die Funktionen der genannten Programme werden bei Aufruf nicht beeinträchtigt. Jedoch sollte der Anwender sich die neuen Dateinamen gut merken, falls er diese später mal benötigt. Hinweis: Die drei Programme braucht Windows nicht zur einwandfreien Funktion.
Anhand welcher Merkmale könnte ein Virenbefall vorliegen?
Der Virus meldet sich selber in Form einer Aktion (z.B. Anzeigen einer Meldung, Grafik etc).
Das System bootet / läuft langsamer als gewohnt.
Nach dem Bootvorgang über eine virenfreie Diskette wird keine Festplatte mehr gefunden. Hier könnte ein verschlüsselter Bootsektor-Virus vorliegen.
Dokumente werden unter Word als ".dot" (Dokumentenvorlage) abgespeichert (dahinter kann sich ein Makrovirus verbergen).
Dateien sind plötzlich ohne Einfluss seitens des Anwenders grösser oder tragen einen völlig anderen Namen. Auch Dateien mit doppelte Dateiendung könnten ein Anzeichen für eine Infektion sein.
Der TOM-Wert (TopOfMemory - Speicherobergrenze für den konventionellen DOS-Speicher) ist kleiner als 640 KB. So ermittelt man den TOM-Wert: In der DOS-Eingabeaufforderung den Befehl "MEM" eingeben. Sehr viele Viren benötigen einen kleinen Teil (meisst 1 bis 2 KB) des Speichers, insbesondere Bootsektorviren. Da "fortschrittlichere" Stealth-Viren ihre Existenz verbergen können, empfhielt es sich, zunächst von einer virenfreien Diskette zu booten und dann den TOM-Wert zu überprüfen.
Häufige Systemabstürze.
Undefinierbare (Fehler-) Meldungen auf dem Desktop während der Arbeit (z.B. unleserliche Zeichenfolge in einem Hinweisfenster).
Festplatte(n) arbeitet ohne ersichtlichen Grund (Anwender nutzt System zu diesem Zeitpunkt gar nicht).
Dateien, Programme, Systemuhr zeigen ein verändertes Datum, wie z.B. 100 Jahre im voraus oder zurück.
Die Auflistung beinhaltet keine vollständige Liste. SEHR WICHTIG ! ! ! Sollte ein Merkmal oder auch mehrere festgestellt worden sein, heisst es jedoch noch lange nicht, dass ein Virus vorliegt. Bei Systemproblemen muss kein Virus daran schuld sein. Sehr oft führen derartige Fehler auf Soft- und Hardwareprobleme zurück oder Fehlbedienungen durch den Anwender.
Virenbefall festgestellt - Was ist zu tun?
Die Antiviren-Software hat einen Virenbefall gemeldet. Meistens fragt die Software, ob der Virus gleich automatisch entfernt werden soll. Diese Frage mit NEIN beantworten. Klingt im ersten Moment etwas unlogisch. Doch je nach Art des Virus kann es schon mal vorkommen, dass ein Antivirus Programm den Virus so rabiat oder unzureichend löscht, dass dabei das gesamte Betriebssystem in einen unbrauchbaren Zustand versetzt wird. Daher sollte man zunächst einmal davon Abstand nehmen.
In jedem Fall sollte man jetzt erst einmal die Ruhe bewahren. Gerade falsche Reaktionen lösen in sehr viele Fällen die grössten Schäden an. Viele Schäden halten sich durchaus in Grenzen (wenn überhaupt), wenn der Anwender richtig reagiert, sobald ein Virenbefall festgestellt worden ist. Oftmals werden aus der Paniksituation heraus ganze Festplatten formatiert oder irgendetwas gelöscht und alle Daten gehen für immer verloren. Diese Vorgehensweise ist jedoch seltener erforderlich, als oftmals angenommen wird. Wobei natürlich auch erwähnt sein sollte, dass Daten aus einer formatierten Festplatte in den meisten Fällen wiederhergestellt werden können. Manchmal mit Hilfe eigens dafür entwickelter Software oder durch entsprechende Spezialisten/Labore. Die letzte Methode erweist sich jedoch als sehr teuer und dürfte für Privatanwender aus diesem Grund von weniger Interesse sein.
Hier die einzelnen Schritte, die beherzigt werden sollten:
Virenscanner meldet Virenbefall, Virus NICHT durch die Software entfernen lassen! (Grund: siehe weiter oben auf dieser Seite)
System AUF KEINEN FALL neu booten.
Alle Daten sichern, die noch zu sichern sind (auf Disketten oder anderen Datenträgern). Eine virenverseuchte Datensicherung ist immer noch besser als gar keine. Beachte: Zu diesem Zeitpunkt kann es sein, dass du unter Umständen zum letzten mal Zugriff auf deine Daten hast. Das hängt jedoch von dem jeweiligen Virus ab, der das System befällt.
Nun erneut mittels des Virenscanners alle Dateien scannen lassen und den Virus ruhig durch die Software entfernen lassen.
Nachdem der Virenscanner seinen Dienst erledigt hat, nochmals das System scannen lassen. Noch besser: Einen zweiten Virenscanner heranziehen, ob der Virus auch wirklich entfernt oder unschädlich gemacht wurde. Ebenso könnte ein weiterer Virenbefall durch einen anderen Virus in den gleichen Dateien vorliegen, der zuvor nicht gefunden wurde. Einige Virenscanner habe Probleme mehrere Viren in einer verseuchten Datei zu finden. - So viel zum Hintergrund. Wenn alles in Ordnung ist, System erneut starten und noch einmal alles scannen lassen. Je nach Virentyp könnte es nämlich sein, dass der Virus zunächst zwar entfernt worden ist, sich jedoch nach einem erneuten Systemstart wieder "eingeschlichen" hat.
Kann der Virenscanner den Virus nicht entfernen, sollte man sich keinesweges scheuen, den Support der jeweiligen AntiViren Software in Anspruch zu nehmen. In vielen Fällen kann hier noch geholfen werden, ohne gleich alle Daten auf der Festplatte zu löschen. Sollte ein Bootsektorvirus vorliegen, ist der Support auch gerne bereit, bei der Entfernung "von Hand" Hilfestellung zu leissten. Falls nicht, in dieser Rubrik weiterlesen, da diese Schritte zur Entfernung noch behandelt wird.
Viren "von Hand" zu löschen ist nicht zu empfehlen, da hier entweder oft fatale Fehler seitens des Anwenders verursacht werden bzw. es praktisch gar nicht möglich ist. Eine kleine Ausnahme sind lediglich ein Teil reiner Bootsektorviren, die durchaus ohne Hilfe eines Virenscanners entfernt werden können.
Ein Bootsektor-Virus liegt vor
Bei vielen Anwendern ist der Befehl unter DOS: fdisk /mbr bekannt. Mit diesem Befehl wird das Masterbootprogramm auf den Masterbootsektor der Festplatte neu geschrieben. Allgemein betrachtet ist diese Regel auch durchaus richtig und vernichtet diese Viren auch ein für alle mal. Jedoch gibt es auch einige Viren, die den Original MBR in verschlüsselter Form auf der Festplatte lagern. Wird eine derartiger Virus auch mit dem Befehl "fdisk /mbr" gelöscht, wurde leider auch die Entschlüsselungsroutine für den "echten" MBR entfernt. Die Konsequenz: Es werden keinerlei Daten mehr auf der Festplatte angezeigt, kein Zugriff ist mehr auf die vom Prinzip her vorhandenen Daten möglich. Mitunter kann ein Virus (z.B. "One_Half") sogar die ganze Festplatte verschlüsseln und nichts wird mehr helfen, ausser die Formatierung der Festplatte oder die Hilfe einer Spezialfirma für Datenrettung (jedoch eine recht teure Alternative, die nur bei sehr wichtigen Daten Sinn ergibt).
Ob es sich um einen Bootsektor-Virus handelt, der die Daten nach der Virenreinigung "unbrauchbar" macht, kann mit einem recht einfachen Mittel herausgefunden werden:
Einfach von einer virenfreien Diskette das System booten. Wird die Festplatte mit allen eventuell angelegten Partitionen noch angezeigt, kann der Virus mit dem DOS-Befehl "fdisk /mbr" ohne Gefahr entfernt werden. Sollte dieses jedoch nicht der Fall sein, sollte man diese Arbeit dem Virenscanner überlassen. Gegebenfalls weitere AntiViren Programme zu Rate ziehen. Wenn auch dieser Versuch nicht gelingen sollte, so hilft in der Regel nur noch die Formatierung der Festplatte. Danach jedoch trotzdem nicht den benannten DOS-Befehl vergessen, sonst wird der Virus die ganze Aktion überleben. Ausserdem sollte vor der Neuinstallation des Betriebssystemes ein Kaltstart erfolgen. Das ist sehr wichtig, also PC einmal ausschalten, kurz warten und wieder einschalten.
Daher noch mal eindringlich: Von der Funktion (soweit diese vorhanden ist) des Virenscanners unbedingt Gebrauch machen, wenn die Erstellung von Rettungsdisketten möglich ist. Hier wird auch in der Regel der MBR abgespeichert und kann später zurückgeschrieben werden.
Nachsorge
Bevor mit dem gereinigten System weitergearbeitet wird (vorausgesetzt, der Virenscanner konnte den Virus entfernen und das System bleibt in seiner Ursprungsform erhalten), sollten ALLE CD-ROMs, Disketten und sonstige Speichermedien auf Viren überprüft werden. Ebenso gegebenfalls auch Archive (ZIP, RAR, ARJ etc.). So kann festgestellt werden, woher der Virus eingeschleppt wurde.
Eventuell angelegte BackUps nach Feststellung einer Vireninfektion unbedingt durch die AntiViren Software bereinigen lassen. Gegebenenfalls auch hier eine weitere entsprechende Software zu Rate ziehen.
Aufgrund der hohen Anzahl verschiedener Viren (-Typen) sind die zusammengetragenen Informationen (wenn nicht anders angegeben) auf dieser Seite als allgemeine Tipps zu betrachten. Wir übernehmen keinerlei Haftung für eventuelle Schäden, die aufgrund der hier vorgestellten Informationen zurückzuführen sind. Weniger erfahrene Anwender sollten sich gegebenenfalls den Rat eines Fachmanns in ihre unmittelbaren Nähe einholen. Viren richten nicht selten viel mehr Schaden aus dem Grund an, da der Anwender falsch reagiert hat.
Und auch bei diesem Beitrag hoffe ich das er vielen Leuten was bringt=)!
Gruß:
Floyd
__________
MfG.:
Floyd