Computervirus

Aus Palita

Ein Computervirus ist eine Befehlssequenz mit Schadensteil ohne eigene Ausführbarkeit. Er benötigt ein Wirtsprogramm und besitzt die Fähigkeit zur Reproduktion. Viren verbreiten sich durch verschiedenste Medien, etwa über das Internet, LANs, Speichermedien (CD, DVD, USB-Stick, ext. Festplatte usw.), Emailanhänge und über JavaScript in Webseiten.

Inhaltsverzeichnis 1 Aufbau eines Virus 1.1 Virenkennung 1.2 Infektionsteil 1.3 Schadteil 1.4 Sprungteil 2 Virentypen 2.1 Erste Generation 2.1.1 Untertypen 2.2 Zweite Generation 2.2.1 Untertypen 2.3 Retro-Viren 3 Gegenmaßnahmen 3.1 Präventive Maßnahmen 3.1.1 Identifikation von gefährdeten Rechnern 3.1.2 Minimierung der Benutzerrechte 3.1.3 Einsatz von Host-Basierte IDS 3.1.4 Verschlüsselung von ausführbaren Programmen 3.2 Antivirenmanagement 4 Siehe auch

Aufbau eines Virus

Ein Virus besteht in der Regel aus vier Teilen

Virenkennung

Zur Vermeidung doppelter Infektion

Infektionsteil

Kopie in neuen Speicherbereich

• Ausführbare Datei im Hauptspeicher
• Datei eines ausführbaren Programms auf Festplatte (mit Anpassung der Verwaltungsinformationen wie Länge, Checksumme u. Einsprungadressen)

Schadteil

Funktionen, um Wirtssystem zu schädigen

• Auslöser: Durch Nutzerverhalten oder fest in Virus programmiert (z.B. am 11.11.)

Sprungteil

Rücksprung zur regulären Ausführung des Wirtsprogramms

Virentypen

Erste Generation

Viren der ersten Generation sind in der Zeitspanne von Post-Mainframe bis Prä-Internet zu finden, d.h. 1980er bis Anfang 1990er Jahre). Sie verfolgen ein meist destruktives Ziel. Die Verbreitung fand ausschließlich über Wechselmedien wie Disketten statt.

Untertypen

• Programm-Viren: Kopie in ausführbarem Programm
• Boot-Viren: Kopie in Bootsektor der Festplatte.

Zweite Generation

Viren der ersten Generation sind seit Mitte der 1990er Jahre zu finden. Zu ihren Zielen gehört die Gewinnung von Informationen (z.B. Passwörter, Firmengeheimnisse und die Vorbereitung von Angriffen). Die Verbreitung findet über E-Mail-Anhänge, Java-Applets oder Elektronische Dokumente (.doc, .xls, .ps, .vbs) statt. Die Unterschiede zwischen Viren, Würmern und Trojanischen Pferden beginnen zu verschwinden.

Untertypen

• Makro-Viren: Zum Beispiel in Makros in Word
• Daten-Viren: Zum Beispiel in Postscript-Dateien

Retro-Viren

Retro-Viren richten sich gegen Virenscanner, die auf dem infizierten Rechner installiert sind, indem sie den Virenscanner deaktivieren oder die Konfigurationsdateien verändern.

Gegenmaßnahmen

Es gibt zwei Klassen von Gegenmaßnahmen: Präventive Maßnahmen und Antivirenmanagement

Präventive Maßnahmen

Identifikation von gefährdeten Rechnern

• Computer mit Internetzugang
• Computer mit Windows

Minimierung der Benutzerrechte

• Keine Schreibrechte auf installierte Programme
• Benutzer darf keine Programme selbst installieren
• Programminstallation nur in geschützten Umgebungen (z.B. Sandbox oder virtuelle Maschine); gilt insbesondere für Makros
• Programme haben lediglich Schreibberechtigung auf temporäre Datenverzeichnisse

Einsatz von Host-Basierte IDS

• Berechnung von Hashwerten/Signaturen über unverfälschte Speicherbereiche (z.B. Programm, Systemverzeichnisse, ...)
• Speicherung der Hashwerte/Signaturen auf externem Medium
• Veränderung der Verzeichnisse werden erkannt

Verschlüsselung von ausführbaren Programmen

• Änderungen von Executables durch Viren nach der Verschlüsselung machen entschlüsseltes Ergebnis nicht mehr sinnvoll
• Schlüssel sollten extern gespeichert werden

Antivirenmanagement

Einsatz von Virenscannern. Ein Virenscanner durchsucht Dateien nach bekannten Mustern:

• Virensignaturen
• festgelegte Dateitypen (z.B. exe, doc, ...)

Ein Scanner kann nur bekannte Viren finden. Er versucht an Hand bekannter Muster auch unbekannte Viren zu finden. Dafür sind regelmäßige Updates der Virensignaturen notwendig.

Siehe auch

• Malware
• Computerwurm
• Trojanisches Pferd