Die DEUTSCHEN Trojaner-Seiten

Wie infiziert ein Virus eine Datei...

Es gibt verschiedene Wege, wie sich ein Virus in einem Programm bzw. einer Datei festsetzt. Die "Klassischen" Viren hängen sich (also ihren Programmcode) am Ende einer ausführbaren Datei. - Dazu wird ein Zeiger am Anfang des zu infizierenden Programmes gesetzt. Dieses hat zur Folge: Wird das infizierte Programm gestartet, springt zunächst der Zeiger an das Ende des Programmes (somit an den Anfang des Viruscodes), führt diesen Virus aus und springt blitzschnell wieder an die Anfangsstelle zurück. Danach wird das eigentlich zu startende Programm ausgeführt. Also noch mal: Bei Programmstart wird zuerst der Virus gestartet, dann das eigentliche Programm. Bei leistungsschwachen alten System KANN so ein Virus insofern auffallen, indem der Anwender bemerkt , dass sein Programm oder die Programme langsamer als vor dem Virenbefall gestartet werden. Jedoch fällt dieses Merkmal immer weniger ins Gewicht, da es "von Monat zu Monat" immer schneller Systeme auf dem Markt gibt. Jedoch möchte ich darauf hinweisen, diese Zeitverögerungen sind ohnehin sehr minimal und kaum ein Anwender würde sich darüber Gedanken machen.

Bei jedem Start des infizierten Programmes startet somit zuerst der Virus. Ab diesem Moment versucht dieser Virus auch andere Dateien zu infizieren.
Diese Art der Infektion richtet in der Regel keine bleibenden Schäden an, da diese recht leicht durch AntiVirenProgramme bereinigt werden können.

Andere Viren gehen wiederum ganz anders vor, indem einfach so viel von einer zu infizierenden Datei überschrieben wird. Nämlich so viel, wie der Virus benötigt. In der Regel geschieht dieser Vorgang recht unauffällig, wenn das Wirtsprogramm (Wirtsprogramm = Programm, welches infziert wird oder schon ist...) entweder gleich oder größer als der Virus selber ist. Sollte das Wirtsprogramm kleiner sein, wird das komplette Programm durch den Virus überschrieben und hängt den zusätzlichen Platz, welcher darüber hinaus benötigt wird, hinten dran.

Andere Viren verschieben den Original-Bootsektor einer Festplatte, schreibt das eigene Programm in den Bootsrap (Routinge, welche das Bios auffordert, dass Betriebssystem zu starten/laden) und versteckt sich dann selber irendwo auf der Festplatte. Wir ein Betriebssystem nur gestartet, passiert im Prinzip Ähnliches wie ich zu Anfang dieser Seite die Infizierung von Programmen beschrieben habe. Es wird auf den Bootsektor bei jedem Systemstart zugegriffen, jedoch startet zunächst der Virus-Lader den auf der Festplatten befindlichen Viren und leitet den Zugriff auf den verplanzten Original-Bootstrap um. DasBetriebssystem wird normal gestartet wie oben beschrieben ein Programm. Nur mit dem Unterschied, dass dieser Virus nun sofort im Hintergrund des Systemes aktiv ist, statt erst beim Start von infizierten Programmen.

Mit dieser Methode kann sich ein Virus auch auf Disketten verbreiten, die keine Programme enthalten. - Denn JEDE Diskette enthält einen winzigen Bootsector.

Wenn also von einer Diskette gebootet, die keinerlei Programme ect. enthält, erscheint lediglich auf dem Bildschirm "keine Systemdiskette...", wie es sicherlich schon vielen Anwender passiert ist. Jedoch reicht das schon aus, um mit Hilfe dieser infizierten Diskette (im Bootsektor) einen Virus zu starten.

Andere Viren überschreiben einfach die Informationen, welche in der FAT über ein Verzeichnis enthalten sind. Dazu wird als "Adresse" das Virenprogramm für jedes Programm auf der Festplatte angegeben. Der Virus selber "verwaltet" die Original-Adressen der Programme und leitet die Zugriffe an die richtigen Adressen weiter. Das bedeutet: Das Programm "fragt" NICHT an der Originaladresse bei Zugriff, sondern quasi beim Virus "als Vermittler" an.

Zu den hier genannten Infektionswegen sei noch erwähnt, dass diese in verschieden Varianten auftreten. Auch die Kombinationen verschiedener Infektionswege in einem einzigen Virus kommen nicht selten vor. Daher wird es zunehmend immer schwieriger, diese Viren überhaupt zu klassifizieren.

Welche Computer und Betriebssysteme sind bedroht ?

Grundsätzlich kann Malware auf jedem Betriebssystem denkbar sein. Je mehr ein Betriebssystem jedoch seine Ressourcen kontrolliert, desto weniger Schaden kann angerichtet werden.

Am meissten betroffen sind Einzel-Desktopsysteme wie z.B. OS/2, MS-DOS, Amiga, Atari und MacIntosh.Windows 3.X / 95 /98 sind nur grafische Benutzeroberflächen von MS-DOS und haben auf Funktionen systemnaher Malware kaum Einfluss. Lediglich greifen hier Makro-Viren für Excel und Word, welche die Makrosprache der Systeme sich zu Nutze machen.

Systemnahe Malware ist auf UNIX, Windows NT oder VMS weniger bekannt. Lediglich treten hier in letzter Zeit vermehrt Internet-Würmer, Makroviren (unter NT) und Trojanische Pferde auf.

(tt)