Home » Home » Informationen » Glossar » Computervirus

 

Computervirus

Computervirus


Ein Computervirus (Singular: das/der Computervirus; Plural: die Computerviren) ist ein sich selbst verbreitendes Computerprogramm, welches sich in andere Computerprogramme einschleust und sich damit reproduziert. Die Klassifizierung als Virus bezieht sich hierbei auf die Verbreitungs- und Infektionsfunktion.

Einmal gestartet, kann es vom Anwender nicht kontrollierbare Veränderungen am Status der Hardware (zum Beispiel Netzwerkverbindungen), am Betriebssystem oder an der Software vornehmen (Schadfunktion). Computerviren können durch vom Ersteller gewünschte oder nicht gewünschte Funktionen die Computersicherheit beeinträchtigen und zählen zur Malware.

Der Ausdruck Computervirus wird auch umgangssprachlich für Computerwürmer und Trojanische Pferde genutzt, da der Übergang inzwischen fließend und für Anwender oft nicht zu erkennen ist.

 

Funktionsweise 

Wie sein biologisches Vorbild benutzt ein Computervirus die Ressourcen seines Wirtes und schadet ihm dabei häufig. Auch vermehrt es sich meist unkontrolliert. Durch vom Virenautor eingebaute Schadfunktionen oder auch durch Fehler im Virus kann das Virus das Wirtssystem bzw. dessen Programme auf verschiedene Weisen beeinträchtigen, von harmloseren Störungen bis hin zu Datenverlust.

Viren brauchen, im Gegensatz zu Computerwürmern, einen Wirt um ihren Schadcode auszuführen. Viren haben keine eigenständigen Verbreitungsroutinen, d. h. ein Computervirus kann nur durch ein infiziertes Wirtsprogramm verbreitet werden. Wird dieses Wirtsprogramm aufgerufen, wird – je nach Virentyp früher oder später – das Virus ausgeführt, das sich dann selbst in noch nicht infizierte Programme weiterverbreiten oder seine eventuell vorhandene Schadwirkung ausführen kann.

Heutzutage sind Computerviren fast vollständig von Würmern verdrängt worden, da fast jeder Rechner an Rechnernetze (lokale Netze und das Internet) angeschlossen ist und die aktive Verbreitungsstrategie der Würmer in kürzerer Zeit eine größere Verbreitung ermöglicht. Viren sind nur noch in neuen Nischen von Bedeutung.

 

Unterschied Virus/Wurm

Computerviren und -Würmer verbreiten sich beide auf Rechnersystemen, doch basieren sie zum Teil auf vollkommen verschiedenen Konzepten und Techniken.

Ein Virus verbreitet sich, indem es sich selbst in noch nicht infizierte Dateien kopiert und diese ggf. so anpasst, dass das Virus mit ausgeführt wird, wenn das Wirtsprogramm gestartet wird. Zu den infizierbaren Dateien zählen normale Programmdateien, Programmbibliotheken, Skripte, Dokumente mit Makros oder anderen ausführbaren Inhalten sowie Bootsektoren (auch wenn Letztere normalerweise vom Betriebssystem nicht als Datei repräsentiert werden).

Die Verbreitung auf neue Systeme erfolgt durch versehentliches (gelegentlich auch absichtliches) Kopieren einer infizierten Wirtsdatei auf das neue System durch einen Anwender. Dabei ist es unerheblich, auf welchem Weg diese Wirtsdatei kopiert wird: Früher waren die Hauptverbreitungswege Wechselmedien wie Disketten, heute sind es Rechnernetze (z. B. via E-Mail zugesandt, von FTP-Servern, Web-Servern oder aus Tauschbörsen heruntergeladen). Es existieren auch Viren, die Dateien in freigegebenen Ordnern in LAN-Netzwerken infizieren, wenn sie entsprechende Rechte besitzen.

Im Gegensatz zu Viren warten Würmer nicht passiv darauf, von einem Anwender auf einem neuen System verbreitet zu werden, sondern versuchen, aktiv in neue Systeme einzudringen. Sie nutzen dazu Sicherheitsprobleme auf dem Zielsystem aus, wie z. B.:

  • Netzwerk-Dienste, die Standardpasswörter oder gar kein Passwort benutzen
  • Design- und Programmierfehler in Netzwerk-Diensten
  • Design- und Programmierfehler in Anwenderprogrammen, die Netzwerkdienste benutzen (z. B. E-Mail-Clients)

Ein Wurm kann sich dann wie ein Virus in eine andere Programmdatei einfügen; meistens versucht er sich jedoch nur an einer unauffälligen Stelle im System mit einem unauffälligen Namen zu verbergen und verändert das Zielsystem so, dass beim Systemstart der Wurm aufgerufen wird (wie etwa die Autostart-Funktion in Microsoft-Windows-Systemen).

In der Umgangssprache werden Computerwürmer wie „I Love You“ oft als Viren bezeichnet, da der Unterschied für Anwender oft nicht ersichtlich ist.

Ein anderer Unterschied besteht darin, dass ein Computervirus in einem System zwar Schäden anrichtet, sobald er aber "getötet" wurde, besteht keine Gefahr mehr. Im Gegensatz zu seinem Kamikaze-Bruder verbreitet sich der Wurm selbstständig, die Anzahl seinesgleichen nimmt also exponentiell zu.

 

Gefährdungsgrad

Das verwendete Betriebssystem hat großen Einfluss darauf, wie hoch die Wahrscheinlichkeit einer Virusinfektion ist bzw. wie hoch die Wahrscheinlichkeit für eine systemweite Infektion ist.

Grundsätzlich sind alle Betriebssysteme anfällig, die einem Programm erlauben, eine andere Datei zu manipulieren. Ob Sicherheitssysteme wie z. B. Benutzerrechte-Systeme vorhanden sind (und auch benutzt werden), beeinflusst, in wie weit sich ein Virus auf einem System ausbreiten kann.

Betriebssysteme ohne jegliche Rechtesysteme wie z. B. MS-DOS, Windows 9x oder Amiga-Systeme sind die anfälligsten Systeme. Wenn der Benutzer ausschließlich als Administrator arbeitet und somit das Rechtesystem nicht eingreifen kann, sind jedoch auch Unix und Unix-ähnliche Systeme wie Linux und Mac OS X theoretisch genauso anfällig. Genau das ist auch das Hauptproblem von aktuellen Microsoft-Windows-Systemen, die über ein gutes Benutzerrechtesystem verfügen, dieses aber normalerweise eine systemweite Virusverbreitung nicht verhindern kann, da die meisten Anwender aus verschiedenen Gründen als Administrator arbeiten oder ihr Benutzerkonto Administratorrechte besitzt. Ein Grund dafür ist, dass nach der Installation von Windows das automatisch eingerichtete Benutzerkonto Administratorenrechte besitzt und weitere Konten erst vom Benutzer eingerichtet werden müssen. Die meisten Linux-Distributionen richten bei der Installation ein Nutzerkonto mit eingeschränkten Rechten ein, so dass beim ersten Start zunächst nur beschränkte Rechte zur Verfügung stehen und der so genannte Root-Nutzer, der Administratorenrechte besitzt, erst gezielt gestartet werden muss.

Wenn ein Anwender mit einem Benutzerkonto mit eingeschränkten Rechten arbeitet, kann ein Virus sich nur auf Dateien verbreiten, auf die der Benutzer die entsprechenden Rechte zur Manipulation besitzt. Das heißt in der Regel, dass Systemdateien vom Virus nicht infiziert werden können, solange der Administrator oder mit Administratorrechten versehene Systemdienste nicht Dateien des infizierten Benutzers aufrufen. Eventuell auf dem gleichen System arbeitende Benutzer können meist ebenfalls nicht infiziert werden, so lange sie nicht eine infizierte Datei des infizierten Benutzers ausführen oder die Rechte des infizierten Benutzers erlauben, die Dateien von anderen Benutzern zu verändern.

Da Windows-Systeme heute die weiteste Verbreitung haben, sind sie derzeit das Hauptziel von Virenautoren. Die Tatsache, dass sehr viele Windows-Anwender mit Konten arbeiten, die Administratorrechte haben, sowie die Unkenntnis von Sicherheitspraktiken bei der relativ hohen Zahl unerfahrener Privatanwender macht Windows-Systeme noch lohnender als Ziel von Virenautoren.

Während für Windows-Systeme über 60.000 Viren bekannt sind, liegt die Zahl der bekannten Viren für Linux und dem klassischen Mac OS jeweils bei etwa 50, für das seit einiger Zeit aktuelle (auf dem Unix-Subsystem Darwin basierende) Mac OS X sind bisher unter 10 Viren bekannt (aktuell zwei im Februar 2006). In „freier Wildbahn“ werden allerdings weitaus weniger verschiedene Viren beobachtet als theoretisch bekannt sind. Das erste Virus für Apples Mac-OS-X-Betriebssystem wurde am 13. Februar 2006 im Forum einer US-amerikanischen Gerüchteseite veröffentlicht. Bis dahin galt das Betriebssystem der Macintosh Computer als gänzlich von Viren und Würmern unbelastet. Der Hersteller von Windows Antivirenprogrammen Sophos stellt in seinem Security Report 2006' öffentlich fest, dass Mac OS X sicherer ist als Windows.[1]

Die meist kommerzielle Nutzung von Apple- und Unix-Computern allgemein führt unter anderem auch dazu, dass der Sicherheitsstandard höher ist, weil professionell betreute Computersysteme oft gut geschützt werden. Außerdem macht die geringe Verbreitung von Macintosh-Rechnern die Virenentwicklung weniger lohnend.

Bei Unix- und Linux-Systemen sorgen die höheren Sicherheitsstandards und die noch nicht so hohe Verbreitung dieser Systeme bei Endanwendern dafür, dass sie für Virenautoren momentan kein lohnendes Ziel darstellen und Viren „in freier Wildbahn“ praktisch nicht vorkommen. Anders sieht es bei Computerwürmern aus. Unix-/Linux-Systeme sind wegen der hohen Marktanteile bei Internet-Servern mittlerweile ein häufiges Ziel von Wurmautoren.

Der Quellcode von Linux sowie der meisten anderen Unix-Betriebssysteme liegt offen und ist frei verfügbar, was die erfolgreiche Virenentwicklung für diese Betriebssysteme erschwert, da Sicherheitslücken meist sehr schnell geschlossen werden, nachdem sie entdeckt wurden.

 

Antivirensoftware

Antivirenprogramme schützen (mit Ausnahmen) nur vor bekannten Viren. Daher ist es bei der Benutzung eines solchen Programms wichtig, regelmäßig die von den Herstellern bereitgestellten aktualisierten Virensignaturen einzuspielen. Viren der nächsten Generation (Tarnkappenviren) können von Antivirensoftware fast nicht mehr erkannt werden[3] (siehe auch Rootkit).

Mit Hilfe dieser Programme werden Festplatte und Arbeitsspeicher nach schädlichen Programmen durchsucht. Antivirenprogramme bieten meist zwei Betriebsmodi: einen manuellen, bei dem das Antivirenprogramm erst auf Aufforderung des Benutzers alle Dateien einmalig überprüft (on demand) und einen automatischen, bei dem alle Schreib- und Lesezugriffe auf die Festplatte (teilweise auch auf den Arbeitsspeicher) und damit auch E-Mail-Anhänge und sonstige Downloads überprüft werden (on access). Es gibt Antivirenprogramme, die mehrere (für das Scannen nach Viren verantwortliche) „Engines“ nutzen. Wenn diese unabhängig voneinander suchen, steigt die Erkennungswahrscheinlichkeit.

Antivirenprogramme bieten nie vollständigen Schutz, da die Erkennungsrate selbst bei bekannten Viren nicht bei 100% liegt. Unbekannte Viren können von den meisten dieser Programme anhand ihres Verhaltens entdeckt werden („Heuristik“); diese Funktionen arbeiten jedoch sehr unzuverlässig. Auch entdecken Antivirenprogramme Viren oft erst nach der Infektion und können das Virus unter Umständen nicht im normalen Betrieb entfernen.

Besteht der berechtigte Verdacht einer Infektion, sollten nacheinander mehrere On-Demand-Programme eingesetzt werden. Dabei ist es sinnvoll, darauf zu achten, dass die Programme unterschiedliche „Engines“ nutzen, damit die Erkennungsrate steigt. Es gibt Antivirenprogramme verschiedener Hersteller, welche die gleichen Scan-Methoden anwenden, also im Grunde eine ähnlich hohe Erkennungswahrscheinlichkeit haben und damit auch ein ähnliches Risiko, bestimmte Viren zu übersehen. Verschiedene On-Access-Antivirenprogramme („Wächter“, „Guard“, „Shield“, etc.) sollten nie gleichzeitig installiert werden, weil das zu Fehlfunktionen des PC führen kann: Da viele dieser On-Access-Scanner bereits beim Hochfahren des Betriebssystems nach Bootsektorviren suchen, werden sie quasi gleichzeitig gestartet und versuchen einen alleinigen und ersten Zugriff auf jede zu lesende Datei zu erlangen, was naturgemäß unmöglich ist und daher zu schweren Systemstörungen führen kann bzw. muss.

Werden mehrere On-Demand-Scanner installiert und – auch unabhängig, also nicht gleichzeitig – gestartet und ausgeführt, sind falsche Virenfunde häufig, bei denen das eine Programm die Virensignaturen des anderen auf der Festplatte oder im Arbeitsspeicher als Virus erkennt bzw. schon gesicherte Virendateien im so genannten „Quarantäne-Ordner“ des anderen Programms findet. Auch ein On-Access-Scanner kann deshalb bei einem zusätzlich gestarteten On-Demand-Scanvorgang eines anderen Virensuchprogramms im Konkurrenzprodukt also fälschlich eine oder mehrere Viren finden.

Grundsätzlich sollte gelegentlich, aber regelmäßig der gesamte PC on demand auf Viren untersucht werden, da – mit Hilfe neuer Virensignaturen – alte, früher nicht erkannte Virendateien entdeckt werden können und darüber hinaus auch die „Wächtermodule“ ein und desselben Herstellers manchmal anders suchen und erkennen als der zugehörige On-Demand-Scanner.

 

 

Zurück