| |
Tappi
Dabei seit: 21.05.2006
Beiträge: 4519
Guthaben: 649.523 FeuerMark
Aktienbestand: 15 Stück
Realer Name: Stefan Herkunft: Steinhagen
|
|
Einleitung - Computerviren Teil1
Was ist eigentlich ein Computervirus? Wie funktioniert er? Als Antwort versuche ich einen Vergleich mit der Biologie. Man stelle sich einen biologischen Virus vor, etwa einen, der uns im Winter eine böse Virusgrippe beschert. Im menschl. Körper dringen die winzigen Viren in Wirtszellen ein und verfälschen deren Informationen so, dass diese Zellen nun auch den Virus produzieren, ihn also vermehren.So ganz nebenbei verursachen sie auch noch heftigen Schaden: Man wird krank, bekommt die Grippe und steckt seine Mitmenschen fleißig weiter an. Werden erkrankte Personen nicht frühzeitig behandelt oder gar geimpft, ist eine Epidemie unvermeidlich.
Bei Computerviren passiert Ähnliches. Es handelt sich um kleine, absichtlich erzeugte Programme, die von ihrem Programmierer irgendwann einmal in ein beliebiges Wirtsprogramm eingesetzt wurden. Beim Aufruf dieses Wirts, z.B. einer Textverarbeitung, wird der Virus aktiv und sucht sich mindestens ein weiteres Programm, das er noch nicht befallen hat und infiziert auch dieses. Viren sind selbstreproduzierend. Ein Computervirus ist also ein Programm, das speziell entwickelt und geschrieben wurde, um Ihren Computer ohne Ihr Wissen oder Ihre Erlaubnis zu beeinflussen und zu manipulieren und sich dabei noch selber zu vervielfältigen. Etwas technischer ausgedrückt ist ein Computervirus ein Programm, das sich selbst reproduziert, indem es sich an andere Programme anhängt oder diese sogar überschreibt (und damit zerstört). Er vervielfältigt sich dadurch nicht nur auf Ihrem System, sondern auch in Netzwerken oder über Disketten, also generell über Datenträger. Wird ein infiziertes Programm aktiviert oder - bei Bootviren - der Computer neu gestartet, wird der eigentliche Virus mit aktiviert und kann sich weiterverbreiten. Oft wartet ein Virus einfach nur im Speicher des Computers auf den Start eines Programms oder auf einen Festplattenzugriff, in den er sich dann einhängt und so seine Aktionen versteckt. Computerviren entstehen also nicht zufällig durch irgendeinen Fehler im System (zumindest ist die Wahrscheinlichkeit, dass solches passiert vernachlässigbar gering), sondern sie müssen absichtlich von jemandem mit einem bestimmten Ziel erzeugt (entwickelt und geschrieben) werden.
Doch das ist nicht alles. Die Verbreitung allein wäre ja an sich nichts Schlimmes, sieht man einmal von den verbratenen Rechnerressourcen wie Prozessorzeit und Speicherplatz ab. Leider haben fast alle Viren neben dem Vervielfältigungsteil noch einen anderen Programmteil, die sog. Schadensroutine (engl.: Payload). Dies ist der Programmteil des Virus, der dem Anwender oft den größten Schaden zufügt. Meistens wird diese Schadensroutine mit dem Eintreten eines bestimmten Ereignisses, des sogenannten Triggers (engl.: Abzug, Auslöser), ausgelöst. Das kann eine bestimmte Uhrzeit oder ein Datum, eine bestimmte Tastenkombination, der Start eines bestimmten Programms oder etwas anderes sein. Die Schadensroutine kann dabei alle per Programm möglichen Aktionen ausführen. Die Spanne reicht hier von einfachen Bildschirmausgaben über Computerabstürze und schleichende oder sofortige Datenzerstörung bis hin zur Zerstörung des sog. Flash-BIOS neuerer Computersysteme. Durch diese Schadensroutinen werden Viren zu Zeitbomben: Ist der Auslösezeitpunkt erreicht, kommt der Moment, an dem der Anwender die Infektion in der Regel erst bemerkt, denn der Virus beginnt mit seinen sichtbaren Aktionen.
Man kann Viren nach der Art ihrer Schadensroutine in "gutartige" und "bösartige" Viren einteilen. Gutartige Viren wurden eigentlich nur zu dem Zweck entwickelt, Sie ein bisschen zu ärgern und nicht, um Ihren Computer zu beschädigen. Meistens verbreiten sie sich nur und geben unter Umständen nervende Meldungen oder Bildchen auf dem Bildschirm aus.
Bösartige Viren hingegen fügen dem Wirtsrechner Schaden zu, der aber nicht unbedingt bewusst angerichtet wird. Eine große Anzahl dieser Viren verursacht nur durch interne Programmierfehler irgendwelche Schäden. Diese Art von Viren ist aber oft auch für absichtliche Datenzerstörung verantwortlich, sei es, wenn einzelne Dateien gelöscht oder zerstört werden, oder gleich der ganze Computer nicht mehr lauffähig ist.
Klassifikation von Viren:
Eigentlich sollte zwischen reinrassigen Viren und Störprogrammen unterschieden werden:
Logische Bomben:
oder kurz Bombe. Dieser Schädlingstyp ist eine Abart der Trojanischen Pferde. Es handelt sich hierbei um Programmteile, die in nützliche Programme eingebettet sind und aus einem Auslöser (Trigger) und einer Schadensroutine (Payload) bestehen. Die Schadensroutine wird dabei im Normalfall nicht aufgerufen. Erst bei Erreichen der Trigger-Bedingung "explodiert" die Bombe und verrichtet ihr zerstörerisches Werk, d.h. die Schadensroutine wird aufgerufen.
Trojanische Pferde:
werden auch kurz Trojaner genannt und sind in letzter Zeit recht häufig anzutreffen. Als Trojaner bezeichnet man Programme, die vorgeben, eine bestimmte Funktion zu haben, nach ihrem Start aber ihr wahres Gesicht zeigen und irgendeine andere Funktion ausführen, die zumeist zerstörerisch ist. Trojanische Pferde können sich nicht selber vermehren, was sie von Viren und Würmern unterscheidet. Die meisten Trojaner haben einen interessanten Namen (STARTME.EXE oder SEX.EXE), der den Anwender zur Ausführung des Trojaners verleiten soll. Unmittelbar nach der Ausführung werden diese dann aktiv und formatieren z.B. die Festplatte. Eine spezielle Art eines Trojaners ist ein Dropper, der Viren "droppt", d.h. in das Computersystem einpflanzt.
Verbreitungswege von Viren:
Computerviren können sich über vielfältige Arten verbreiten und vermehren:
· Disketten und Wechselplatten: Auf Disketten gelangen fast alle Virentypen einfach von einem Opfer zum nächsten. Die auf einer Diskette oder Wechselplatte befindlichen Programme oder Dokumente sowie der entsprechende Bootsektor sind bevorzugtes Ziel eines jeden Virus, da dieser Datenträger sehr häufig mit anderen Benutzern ausgetauscht wird.
· Netzwerke: Der Datenaustausch erfolgt immer mehr über lokale und globale Netzwerke. Vielen der modernen Viren bereitet es keine Probleme, sich beim Daten- und Programmaustausch selber weiter auszubreiten. Hierbei sind die Programme und Dokumente die bevorzugten Träger der Viren.
· Email: Im Text einer normalen Email kann sich (noch) kein Virus verstecken, sehr wohl aber im Anhang (Attachment). Dieser Anhang kann - je nach Typ - alle möglichen Arten von Viren enthalten.
· Internet-Downloads: Hier gilt das gleiche wie bei den Netzwerken. In jeder weitergegebenen oder geladenen Datei unbekannter Herkunft kann sich ein Virus verbergen.
· Internet: In jüngster Zeit tauchen vermehrt Schädlinge direkt in den HTML-Seiten des World-Wide-Web auf. VB-Script, Java und vor allem Active-X sind hierbei die Angriffsziele der Virenschreiber. Speziell der MS-Internet-Explorer ist durch seine Ausbaufähigkeit mit VB-Script und Active-X anfällig gegen solche Virentypen. Diverse Programmfehler und Sicherheitslücken fördern dies noch weiter.
Was sind Computerviren? Teil2
Computerviren erkennen,schützen und entfernen!
Computerviren lassen sich durch verschiedene Methoden entdecken. Eine sichere Methode, alle Computerviren aufzuspüren, existiert nicht. Normalerweise wird eine Mischung aus verschiedenen Technologien eingesetzt:
Um nach einem bestimmten (normalen) Virus schnell und einfach suchen zu können, verwendet ein Antivirenprogramm einen sog. Suchstring. Das ist nichts anderes als eine eindeutige Zeichenfolge innerhalb des Virus, ca. zwischen 25 und 100 Bytes lang. Man könnte dies mit einem Fingerabdruck beim Menschen vergleichen. Wird dieser Suchstring in einer Datei erkannt, ist auch der Virus vorhanden. Leider kann es ab und zu bei der riesigen Menge an Daten und Programmen vorkommen, dass der gleiche Suchstring auch in sauberen Codes oder Daten gefunden wird. Dies wird dann eine Fehlmeldung oder engl. "False Positive" genannt. Bei ca. 60.000 bekannten Viren erklärt dies auch den relativ großen Speicherbedarf von Antivirenprogrammen, da alle diese Suchstrings zusammen mit dem Programmcode und weiteren Daten im Speicher gehalten werden müssen. Um nach so vielen Zeichenketten gleichzeitig schnell und zuverlässig suchen zu können, werden sog. Hashverfahren verwendet, die bei entsprechender Implementation eine hohe Suchgeschwindigkeit ermöglichen.
Für sog. polymorphe Viren kann dieses Verfahren allerdings nicht verwendet werden, da diese ihren "Fingerabdruck" ständig ändern. Eine Erkennung dieser Viren ist nur über einen algorithmischen Ansatz oder über eine sog. Generic Decryption Engine (GDE) möglich. Der algorithmische Ansatz versucht dabei, für diesen Virus typische Aktionen im Programmcode einer Datei zu finden. Durch einige Anti-Antivirenprogramm-Tricks der Virenprogrammierer ist dieser Ansatz aber sehr oft mit enorm hohem Aufwand verbunden: die Suchgeschwindigkeit verringert sich erheblich. Eine GDE verfolgt einen ganz anderen Ansatz. Hierbei spielt das Antivirenprogramm selber "Computer" und simuliert (!) die Ausführung des Virus. Dieser wird nun solange simuliert ausgeführt, bis er sich selber wieder in seine Urform gebracht hat. Nun kann er mit einem herkömmlichen Suchstring gefunden werden. Man demaskiert den Virus (oder besser: man lässt ihn die Maske sich selber abnehmen), um ihn zu enttarnen. Leider benötigt auch dieses Verfahren leistungsstarke Rechner, da die Simulation eines Prozessors (CPU) sehr aufwendig ist. Makroviren werden wiederum mit einer anderem Methode gesucht. Hierbei ist es zuerst notwendig, die internen OLE-Streams (unter Windows) eines Dokuments auszulesen, um an die Makros zu kommen. Diese werden dann anhand ihrer Befehlskennungen (Tokens) verrechnet und mit einer Signatur verglichen. Leider sind aufgrund polymorpher Makroviren auch hier inzwischen erweiterte Verfahren notwendig geworden. Ein weiteres Problem für die Hersteller von Antivirensoftware besteht darin, dass die internen Dateiformate der Dokumente oft nicht bekannt sind oder vom Hersteller nicht veröffentlicht werden. Diese internen Strukturen müssen vom Entwickler der Antivirensoftware sehr aufwändig analysiert werden, falls das überhaupt möglich ist.
Unbekannte Viren wiederum können mit Hilfe heuristischer Methoden oder mit Hilfe der künstlichen Intelligenz zumindest zum Teil entdeckt werden. Heuristik bedeutet, dass das Antivirenprogramm versucht, mit algorithmischen Methoden im Programm- oder Makrocode einer Anwendung virentypische Merkmale herauszufiltern. Man könnte das mit einem potenziellen Einbrecher vergleichen: Er verhält sich möglicherweise verdächtig, beobachtet das Haus, hat spezielle Werkzeuge bei sich etc. Man versucht also, im Programmcode zu analysieren, was dieser bei der Ausführung der Tat anstellen wird. Die Methoden der künstlichen Intelligenz werden dagegen noch sehr selten eingesetzt. Ein sog. neuronales Netzwerk, eine Art selbstlernender, dem menschlichen Gehirn ähnlicher Programmteil versucht auch hierbei, den Programmcode einer Datei zu analysieren und verdächtige Aktionen zu finden. Durch die "Trainierbarkeit" kann das System seine eigene Trefferquote mit der Zeit immer weiter erhöhen - zumindest theoretisch. Leider haben alle Ansätze, neue, unbekannte Viren zu finden, ein paar generelle Probleme: Diese Verfahren sind sehr aufwändig und verlangsamen die Suchgeschwindigkeit und - da sie immer nur aus bestimmten Verhaltensmustern Rückschlüsse auf das Vorhandensein ein Virus ziehen können - sind Fehlmeldungen (engl. False Positives) leider an der Tagesordnung. Antivirensoftware kann nie alle Viren erkennen, schon gar nicht die neuen und unbekannten. Durch heuristische Methoden können zwar mögliche Viren gemeldet werden, leider schlüpfen aber auch allzu oft neue Viren durch die Maschen der Überwachung, oder die Software verursacht Fehlmeldungen. Der Anwender selber kann aber mit einiger Aufmerksamkeit durchaus die Anwesenheit eines Virus erkennen oder vermuten, indem er auf bestimmte Symptome achtet.
Arten der Viren:
Würmer:
Als Wurm wird ein Programm bezeichnet, das sich selber vervielfältigt, jedoch keinen Wirt infiziert. Würmer können also nicht Bestandteil anderer Programmabläufe werden. Würmer bieten auf Systemen mit restriktiveren Sicherheitsvorkehrungen oft die einzige Möglichkeit, irgendwelche Schadensprogramme einzuschleusen.
Applikations- oder Makroviren:
Makroviren gehören zu einer neueren Generation von Computerviren, den Dokumentviren. Sie sind in der Makrosprache einer Applikation (z.B. WinWord, Excel, Access, AmiPro, WordPerfect, StarOffice) geschrieben und können sich (mit Ausnahmen) auch nur dann verbreiten, wenn die entsprechende Applikation aktiv ist. Die Verbreitung erfolgt im Normalfall über die Dokumente der Applikation. Diese Viren können unter Umständen auch plattformübergreifend "arbeiten", nämlich dann, wenn der entsprechende Dokumenttyp im gleichen Format auf anderen Plattformen verwendet wird. Als Beispiel seien hier MS Word Makroviren genannt, die sich sowohl auf Windows-PC's wie auch auf dem Apple MacIntosh verbreiten können.
Computerviren lassen sich auch nach den Techniken klassifizieren, die sie benutzen:
Nicht residente Viren werden nur bei der Ausführung des infizierten Programms aktiv und infizieren dann weitere Programme. Sobald das Programm beendet wird, wird der Virus ebenfalls deaktiviert.
Stealth-Viren: sind immer auch speicherresident und versuchen, über spezielle Tricks ihre Anwesenheit im System zu verschleiern. Dazu überwachen und manipulieren sie z.B. Zugriffe auf Programmdateien und das Inhaltsverzeichnis, um so einem Antivirenprogramm oder dem Anwender ein sauberes System vorzugaukeln. Versucht das Betriebssystem, z.B. beim Befehl DIR, die Größe einer infizierten Programmdatei zu ermitteln, subtrahiert der Stealth-Virus von der tatsächlichen Dateilänge die Länge des Viruscodes und täuscht so eine korrekte Programmlänge vor. Wird eine Programmdatei nicht ausgeführt, sondern nur gelesen, z.B. von einem Virenscanner, entfernt der Virus aus der zu lesenden Datei den Viruscode, so dass der Virenscanner den Virus nicht in der Programmdatei finden kann.
Speicherresidente Viren: Einige Viren nisten sich resident im Hauptspeicher ein, um jederzeit das System kontrollieren zu können. Unter anderem werden Festplattenzugriffe, Tastatureingaben, Druckerausgaben etc. vom Virus überwacht und ggf. manipuliert. Residente Viren bleiben also nach der Ausführung aktiv und können eine Schadensroutine zu späteren Zeitpunkten ausführen. Der Benutzer wird zwischen der Ausführung des infizierten Programms und einem Schaden, der nach Beendigung des infizierten Programms auftritt, keinen Zusammenhang erkennen. Ein residenter Virus kann vom Zeitpunkt seiner Aktivierung an zu jeder Zeit neue Programmdateien infizieren. Schon das DOS-Kommando DIR führt bei einigen residenten Viren zu einer Infektion. Da es unter Windows (9x und NT) keine eigentlichen residenten Programme (TSR's) mehr gibt, verwenden die Viren sog. Dienste oder VxD's, um eine permanente Kontrolle über das System zu erlangen. Dienste oder VxD's sind Programme, die wie TSR's resident im Speicher verankert sind und ihre Arbeit im Hintergrund verrichten. Residenz ist die Voraussetzung für einige weitere Techniken (siehe Stealth-Viren). Residente Viren können (im Normalfall) im Speicher des Computers mit einem normalen Suchstring erkannt werden.
Polymorphe Viren: Diese Art von Viren "mutiert" dadurch, dass Sie ihren eigenen Programmcode manipulieren und so bei jeder Infektion ihr "Aussehen" verändern. Hierbei werden z.B. bestimmte Befehle auf unterschiedliche Art und Weise codiert. Polymorphe Viren sind meistens auch noch verschlüsselt. Ein polymorpher Virus kann u.U. mehrere Milliarden verschiedene Mutationen erzeugen und so die Erkennung mit herkömmlichen Suchmethoden (Suchstring) unmöglich machen.
Slow Viren: führen ihre Schadensroutine nicht sofort aus, sondern verändern Daten minimal. Sie versuchen dadurch, möglichst lange Zeit unentdeckt zu bleiben. Werden Datenmanipulationen über einen längeren Zeitraum nicht entdeckt oder nicht auf einen Virus zurückgeführt, wird ein Benutzer Datensicherungen durchführen. Diese Datensicherungen enthalten aber schon die manipulierten bzw. verfälschten Daten und sind somit im Falle einer Datenrestaurierung wertlos. Solche langsamen, zerstörerischen Viren können erheblichen Schaden anrichten.
Verschlüsselte Viren: Mit dieser Technik versuchen einige Viren, sich vor Antivirenprogrammen zu verstecken, indem Sie ihren eigenen Programmcode transformieren. Der Virus konvertiert sich dabei selber in verschlüsselte, unleserliche Zeichen, die vom Antivirenprogramm nicht erkannt werden. Um sich allerdings weiter verbreiten zu können und ausgeführt zu werden, muss sich der Virus wieder decodieren und kann dann entdeckt werden.
Dateiviren: Dies sind Viren, die sich an bestehende Programmdateien auf Diskette bzw. Festplatte anhängen, wobei das bestehende Programm (der Wirt) um den Virus erweitert oder der Wirt ganz oder teilweise überschrieben wird. Startet der Anwender solch ein infiziertes Programm, so wird vor der Ausführung des eigentlichen Programms der Virus aktiviert, der seinerseits dann den Wirt aktiviert. Programmviren kommen also (meistens) erst beim Starten von Programmdateien zur Ausführung.
Direct-Action-Viren: infizieren bei der Ausführung des infizierten Programms sofort weitere Programmdateien und führen eine eventuell vorhandene Schadensroutine sofort aus (u.U. nur bei Eintreten bestimmter Bedingungen wie Zeit/Datum, Zähler etc.). Nach der Ausführung übergibt der Virus die Kontrolle an das ursprüngliche Programm und entfernt sich damit aus dem Hauptspeicher. Der Virus führt seine Aktionen direkt nach dem Programmstart aus.
Bootviren: Diese Art von Computerviren befällt die Systembereiche von Disketten oder Festplatten. Bei diesen Systembereichen handelt es sich um den sogenannten Bootsektor bzw. Master-Bootsektor (Partitionstabelle). Dieser enthält Programmteile, die schon beim Start des Computers (Booten) ausgeführt werden. Infiziert ein Computervirus einen solchen Bereich, wird der Virus aktiviert, sobald der Computer eingeschaltet wird.
Tunnelnde Viren: Sind Viren, die nach den originalen Interrupt-Handlern für DOS und das BIOS suchen und diese dann direkt aufrufen. Hierdurch werden eventuelle Wächterprogramme unter DOS umgangen, die sich gerade in diese Interrupts eingeklinkt haben, um Virenaktivitäten erkennen zu können.
VB-Script-Viren: Auch Visual Basic (VB) - Script kann dazu verwendet werden, Programmcode von einem Web-Server auf den Arbeitsplatzrechner zu übertragen und auszuführen. Viren dieses Typs sind im Umlauf. Das reine Ansehen einer Homepage im Internet genügt, um den eigenen Rechner zu infizieren. Allerdings ist wieder nur der MS Internet-Explorer bei abgeschalteten Sicherheitsvorkehrungen betroffen.
Dropper: Ein Dropper ist ein Programm, das einen richtigen Virus im Zielsystem installiert. Der Virencode ist dabei normalerweise in einer Art und Weise im Dropper enthalten, die es Antivirenprogrammen unmöglich macht, den Virus als solchen im Dropper zu erkennen.
Active-X-Viren: Bei Active-X handelt es sich um eine Microsoft-spezifische Art, reinen Programmcode von einem (Net-)Server auf den Arbeitsplatzrechner zu übertragen und dort auszuführen. Viren können dies ausnutzen und sich problemlos weiter verbreiten. Unseres Wissens existiert aber bis auf sog. Malware, also reine Trojaner, heute noch kein funktionierender Virus dieses Typs. Diese Viren sind (derzeit) nur auf dem Betriebssystem MS Windows und dem dort eingesetzten MS Internet-Explorer funktionsfähig.
__________________
Erst wenn das letzte Feuerwehrfahrzeug eingespart,
der letzte Arbeitsplatz am Ort ins Ausland abgewandert ist,
werdet ihr euch bewusst werden,
dass man mit Geld allein ein Feuer nicht löschen kann.
|
|
01.03.2007 21:38 |
|
|
Tappi
Dabei seit: 21.05.2006
Beiträge: 4519
Guthaben: 649.523 FeuerMark
Aktienbestand: 15 Stück
Realer Name: Stefan Herkunft: Steinhagen
Themenstarter
|
|
Was sind Computerviren? - Teil2 |
|
Einleitung - Computerviren Teil2
Arten der Viren: Fortsetzung
Java Viren: Im Gegensatz zu Java-Applets, die häufig in Browsern zur Animation oder Steuerung bestimmter Dinge verwendet werden, können reine Java-Programme auch sicherheitskritische Operationen ausführen, z.B. auf Festplatte schreiben, usw. Die ersten Viren dieser Machart sind bereits aufgetaucht, mit weiteren ist zu rechnen.
Netzwerkviren: Ist vielleicht das Kapitel, das als erstes umgeschrieben werden muss. Wenn heute gesagt wird, dass es keine Netzwerkviren gibt, dann heißt das, dass uns bis heute kein Virus bekannt ist, der die Schutzmechanismen der meistinstallierten Netzwerke umgehen kann.
Viren in Textdateien: Nur im Labor vorhanden, nicht öffentlich aufgetreten. Hier sollte man aber zwischen den als Textdateien getarnten Programmen, den von Viren überschriebenen Textdateien und den ANSI-Sequenzen in Textdateien unterscheiden.
Als Textdateien getarnte Programme sind keine Textdateien, sondern Programme. Ein normales Auto kann man auch als "Kleinlaster" in das Schaufenster stellen, es ändert sich aber nichts an der Tatsache, dass es ein Auto ist.
Ein jeder hatte vermutlich zu DOS-Zeiten (oder auch heute noch unter Windows 9x) den ANSI-Treiber durch seine CONFIG.SYS geladen. Mittels bestimmter ANSI-Sequenzen ist es jedoch möglich, beliebige Tasten neu zu definieren. Ein Beispiel hierfür wäre, eine Sequenz zum Löschen bestimmter Dateien auf die <ENTER>-Taste zu legen. Abgesehen von der Notwendigkeit, diese Sequenz erst einmal ungefiltert an das Betriebssystem senden zu müssen, haben diese Sequenzen keine längere Überlebenschance.
Wenn Textdateien durch Viren überschrieben wurden, kann das Betriebssystem diese Dateien zwar ausführen, jedoch nicht mehr als Textdatei. Erst nach Umbenennung ist dies wieder möglich. Es gibt Viren, die nicht nur die ausführbaren Programme befallen: Sie infizieren Dateien immer dann, wenn diese infolge von Dateinamenserweiterungen eine bestimmte Quersumme von ASCII-Zeichen aufweisen. Dem sollte man keinesfalls dadurch zu begegnen versuchen, dass man Textdateien auf COM oder EXE umbenennt und anschließend diese „Textdatei“ auch noch aufruft.
Viren im CMOS: Gibt es nicht. Viren können zwar die im CMOS-Ram abgelegten Daten ändern, doch nicht darin überleben. Es wäre demnach wenig sinnvoll, z.B. die Uhr abzuklemmen oder auszulöten.
Viren im BIOS-ROM: Vor Jahren galt das BIOS-ROM eines Rechners als unveränderlich, wenn man nicht gerade einen neuen EPROM-Chip in den Sockel steckte. Heute werden allerdings die meisten Rechner mit einem Flash-BIOS ausgeliefert. Dies ist eine Art Speicher, der beim Abschalten des Stroms seinen Inhalt behält, jedoch durch "Neubrennen" direkt per Programm geändert werden kann. Es ist so z.B. möglich, das BIOS seines Rechners durch Laden und Starten einer einfachen Software upzudaten. Bei diesem Vorgang wird ein neuer Programmcode von einem externen Datenträger in das ROM geschrieben. Theoretisch wären hier also Viren durchaus überlebensfähig! Im Sommer 1998 gab es dann tatsächlich den ersten Virus (W95/CIH), der sich diese Beschreibbarkeit des Flash-ROMs zunutze machte. Er verwendete dies aber nicht zur Weiterverbreitung, sondern nur für seine Schadensroutine: Bei Erreichen seiner Triggerbedingung überschrieb er das BIOS seines Wirtsrechners mit Datenmüll. Hier könnte man sich natürlich auch einen Virus vorstellen, der nicht irgendwelchen Datenmüll, sondern seinen eigenen Programmcode in das Flash-ROM schreibt und sich so seine Aktivierung sofort beim Einschalten des Rechners Start sichert.
Viren im Drucker: Märchen? Mehr Ja als Nein. Heutzutage besitzen Drucker fast alle einen Prozessor, Hauptspeicher sowie EEProms zur dynamischen Neukonfiguration und zur Aufbereitung der Druckseiten. Diese Speicherbereiche werden bis auf den Inhalt des EEPROMS nicht ausgeführt, ein Virus kann deshalb keinen Programmcode installieren. Anders sieht es mit den Seitenbeschreibungssprachen der Drucker aus. Besonders PostScript, eine Seitenbeschreibungssprache, die interpretativ arbeitet, hat Kommandos, mit deren Hilfe Passwörter oder wichtige Systemparameter im Drucker auch dauerhaft geändert werden können. Aber dann wäre ja der Virus kein Virus im Drucker, sondern die Veränderung ist nur der Ausdruck seiner Anwesenheit.
Viren im Unterträger: von Modems: Gehören ins Reich der Fabel verbannt, oder haben Sie schon mal gehört, dass beim Fernsehen "Big Macs" und Coca-Cola mit auf der Leitung übertragen werden?
Un-Viren: Was sind Un-Viren? Ganz einfach: Un-Viren sind Viren, die es einfach unseres Wissens derzeit nicht in "freier Wildbahn" gibt, die aber theoretisch denkbar wären.
Computerviren erkennen,schützen und entfernen!
Wie können Computerviren erkannt werden?
Computerviren lassen sich durch verschiedene Methoden entdecken. Eine sichere Methode, alle Computerviren aufzuspüren, existiert nicht. Normalerweise wird eine Mischung aus verschiedenen Technologien eingesetzt:
Um nach einem bestimmten (normalen) Virus schnell und einfach suchen zu können, verwendet ein Antivirenprogramm einen sog. Suchstring. Das ist nichts anderes als eine eindeutige Zeichenfolge innerhalb des Virus, ca. zwischen 25 und 100 Bytes lang. Man könnte dies mit einem Fingerabdruck beim Menschen vergleichen. Wird dieser Suchstring in einer Datei erkannt, ist auch der Virus vorhanden. Leider kann es ab und zu bei der riesigen Menge an Daten und Programmen vorkommen, dass der gleiche Suchstring auch in sauberen Codes oder Daten gefunden wird. Dies wird dann eine Fehlmeldung oder engl. "False Positive" genannt. Bei ca. 60.000 bekannten Viren erklärt dies auch den relativ großen Speicherbedarf von Antivirenprogrammen, da alle diese Suchstrings zusammen mit dem Programmcode und weiteren Daten im Speicher gehalten werden müssen. Um nach so vielen Zeichenketten gleichzeitig schnell und zuverlässig suchen zu können, werden sog. Hashverfahren verwendet, die bei entsprechender Implementation eine hohe Suchgeschwindigkeit ermöglichen.
Für sog. polymorphe Viren kann dieses Verfahren allerdings nicht verwendet werden, da diese ihren "Fingerabdruck" ständig ändern. Eine Erkennung dieser Viren ist nur über einen algorithmischen Ansatz oder über eine sog. Generic Decryption Engine (GDE) möglich. Der algorithmische Ansatz versucht dabei, für diesen Virus typische Aktionen im Programmcode einer Datei zu finden. Durch einige Anti-Antivirenprogramm-Tricks der Virenprogrammierer ist dieser Ansatz aber sehr oft mit enorm hohem Aufwand verbunden: die Suchgeschwindigkeit verringert sich erheblich. Eine GDE verfolgt einen ganz anderen Ansatz. Hierbei spielt das Antivirenprogramm selber "Computer" und simuliert (!) die Ausführung des Virus. Dieser wird nun solange simuliert ausgeführt, bis er sich selber wieder in seine Urform gebracht hat. Nun kann er mit einem herkömmlichen Suchstring gefunden werden. Man demaskiert den Virus (oder besser: man lässt ihn die Maske sich selber abnehmen), um ihn zu enttarnen. Leider benötigt auch dieses Verfahren leistungsstarke Rechner, da die Simulation eines Prozessors (CPU) sehr aufwendig ist. Makroviren werden wiederum mit einer anderem Methode gesucht. Hierbei ist es zuerst notwendig, die internen OLE-Streams (unter Windows) eines Dokuments auszulesen, um an die Makros zu kommen. Diese werden dann anhand ihrer Befehlskennungen (Tokens) verrechnet und mit einer Signatur verglichen. Leider sind aufgrund polymorpher Makroviren auch hier inzwischen erweiterte Verfahren notwendig geworden. Ein weiteres Problem für die Hersteller von Antivirensoftware besteht darin, dass die internen Dateiformate der Dokumente oft nicht bekannt sind oder vom Hersteller nicht veröffentlicht werden. Diese internen Strukturen müssen vom Entwickler der Antivirensoftware sehr aufwändig analysiert werden, falls das überhaupt möglich ist.
Unbekannte Viren wiederum können mit Hilfe heuristischer Methoden oder mit Hilfe der künstlichen Intelligenz zumindest zum Teil entdeckt werden. Heuristik bedeutet, dass das Antivirenprogramm versucht, mit algorithmischen Methoden im Programm-oder Makrocode einer Anwendung virentypische Merkmale herauszufiltern. Man könnte das mit einem potenziellen Einbrecher vergleichen: Er verhält sich möglicherweise verdächtig, beobachtet das Haus, hat spezielle Werkzeuge bei sich etc. Man versucht also, im Programmcode zu analysieren, was dieser bei der Ausführung der Tat anstellen wird. Die Methoden der künstlichen Intelligenz werden dagegen noch sehr selten eingesetzt. Ein sog. neuronales Netzwerk, eine Art selbstlernender, dem menschlichen Gehirn ähnlicher Programmteil versucht auch hierbei, den Programmcode einer Datei zu analysieren und verdächtige Aktionen zu finden. Durch die "Trainierbarkeit" kann das System seine eigene Trefferquote mit der Zeit immer weiter erhöhen - zumindest theoretisch. Leider haben alle Ansätze, neue, unbekannte Viren zu finden, ein paar generelle Probleme: Diese Verfahren sind sehr aufwändig und verlangsamen die Suchgeschwindigkeit und - da sie immer nur aus bestimmten Verhaltensmustern Rückschlüsse auf das Vorhandensein ein Virus ziehen können - sind Fehlmeldungen (engl. False Positives) leider an der Tagesordnung. Antivirensoftware kann nie alle Viren erkennen, schon gar nicht die neuen und unbekannten. Durch heuristische Methoden können zwar mögliche Viren gemeldet werden, leider schlüpfen aber auch allzu oft neue Viren durch die Maschen der Überwachung, oder die Software verursacht Fehlmeldungen. Der Anwender selber kann aber mit einiger Aufmerksamkeit durchaus die Anwesenheit eines Virus erkennen oder vermuten, indem er auf bestimmte Symptome achtet.
Zu den häufigsten Symptomen gehören:
Programme benötigen plötzlich deutlich länger, bis sie vollständig geladen sind.
Die Dateigröße eines Programms verändert sich.
Der freie Platz auf der Festplatte wird schnell sehr klein.
CHKDSK.EXE zeigt unter DOS keine freien 655360 Bytes mehr an.
Die Dateien haben seltsame oder unrealistische Datums-/Zeitangaben.
Windows gibt 32-Bit Zugriffsfehler aus.
Die Festplatte zeigt ohne Ihr Zutun häufige Aktivitäten.
Nach dem Booten von Diskette kann auf die Festplatte nicht mehr zugegriffen werden.
Es erscheinen neue, unbekannte Dateien auf der Festplatte.
Dateien haben merkwürdige, unbekannte Namen.
Aus dem Lautsprecher kommt bei jedem Tastendruck ein seltsames Geräusch (Klick).
Die Bildschirmausgaben verändern sich ohne Ihr Zutun.
Der Computer verliert seine Einstellungen im CMOS-RAM, obwohl Akku oder Batterie o.k. sind.
Dokumente zeigen häufig Rechtschreibfehler bzw. werden verändert.
Die beste Methode , einen Virus zu entdecken, bietet aber immer noch ein gutes und - ganz wichtig - aktuelles Antivirenprogramm. Übrigens: Zwei Augen sehen mehr als eins, d.h. mit mehreren Antivirenprogrammen nacheinander zu suchen, erhöht die Sicherheit beträchtlich. Zur Erkennung von Computerviren können auch Prüf-/ Checksummenprogramme eingesetzt werden, die oft in die Antivirenprogramme integriert sind. Diese Programme errechnen für jede Programmdatei eine Prüfsumme und speichern sie in einer Datei. Infiziert ein Computervirus eine Programmdatei, ändert sich (fast immer) die Prüfsumme der Programmdatei, was durch erneutes Prüfen herausgefunden werden kann.
Wie kann man sich vor Computerviren schützen?
Computerviren verbreiten sich über Datenträger. Wird auf einem Computer niemals eine "fremde" Diskette eingelegt und wird stets nur Originalsoftware installiert, haben Viren wenig Chancen. Wird dagegen ab und zu neue Software von "guten Bekannten" ausprobiert, steigt die Wahrscheinlichkeit einer Infektion. Viele Viren verbreiten sich über den Bootsektor von Disketten oder anderen Wechselmedien (auch Datendisketten haben einen Bootsektor). Bei neueren Systemplatinen hängt es hierbei von der Startreihenfolge (engl. Boot Sequence) im sog. BIOS-Setup ab, ob versucht wird, von Diskette oder CD-ROM zu starten, oder gleich von der Festplatte. Ist bei entsprechender Startreihenfolge eine Diskette im Laufwerk A:, wird der Bootsektor dieser Diskette geladen und ausgeführt. Ein Bootsektor-Virus auf einer Diskette wird dabei sofort aktiviert. Aus diesem Grund sollten Sie die Startreihenfolge Ihres PC's, wenn möglich, von
umstellen. Auf jeden Fall also so, dass immer zuerst versucht wird, von der Festplatte zu starten. Beim Schutz vor Dokumentviren gilt: Verwenden Sie eine gute und aktuelle Antivirensoftware. Weiter sollten Sie - sofern vorhanden - die Schutzmechanismen der eingesetzten Applikation aktivieren. Melden diese Schutzfunktionen Makros, wo keine vorhanden sein sollten, ist höchste Vorsicht angebracht.
In Computernetzwerken sollten die Zugriffsrechte für alle Benutzer auf das minimal notwendige Maß reduziert werden. Für Programmdateien sollte nur "Leserecht" existieren. Bei einer eventuellen Infektion kann sich der Virus hierdurch nicht allzu einfach verbreiten. Verwenden Sie Administrator- oder Supervisor-Rechte beim Zugriff auf den Server nur, wenn Sie sie unbedingt benötigen. Erteilen Sie den Benutzern im Login-Verzeichnis keine Schreibrechte, damit die dort liegenden Programme nicht infiziert werden können. Installieren Sie - wenn möglich - eine gute Antivirensoftware auf Ihrem Server.
An dieser Stelle will ich keine Werbung für
Software machen, weil jeder anders über diese Produkte denkt.
Wie lassen sich Computerviren entfernen?
Computerviren in Programmdateien lassen sich nur durch Löschen der infizierten Programmdatei sicher entfernen. Viele Benutzer scheuen aber eine Neuinstallation gelöschter Programmdateien und versuchen, den Virus mit Antivirenprogrammen zu entfernen. Wichtig ist dabei, dass im Normalfall nur bekannte Viren entfernt werden können. Beim Entfernen eines Virus aus einer infizierten Programmdatei versucht das Antivirenprogramm die ursprüngliche Programmdatei wiederherzustellen, was durchaus möglich ist, solange der Virus seinen Wirt nicht bereits bei der Infektion zerstört hat.
__________________
Erst wenn das letzte Feuerwehrfahrzeug eingespart,
der letzte Arbeitsplatz am Ort ins Ausland abgewandert ist,
werdet ihr euch bewusst werden,
dass man mit Geld allein ein Feuer nicht löschen kann.
|
|
01.03.2007 21:45 |
|
|
|
Views heute: 109.347 | Views gestern: 236.925 | Views gesamt: 184.208.095
www.retter-radio.de
Musik nicht nur für Alltagsretter
Wir retten Euch aus dem Alltag und löschen Eure schlechte Laune
Impressum
|
|