Kurz und Knapp

Um Ihren Computer vor Malware (Viren, Trojaner etc.) zu schützen sollten Sie dieses Produkt installieren: "F-Secure Internet Security" oder von bitdefender.de.

Bitdefender Total Security 2013

Firewall ist ebenso wichtig!

Eine Firewall ist zusätzlich Pflicht um Ihren Computer zu schützen, dazu empfehlen wir "ZoneAlarm Pro Firewall".

ZoneAlarm Pro hier herunterladen

Der richtige Browser

Der Standard Internet Browser ist leider der Internet Explorer von Mircosoft, dieser wird von Microsoft nicht aktuell gehalten und hat eine Menge Fehler. Bessere und schnellere Alternativen sind Google Chrome, Mozilla Firefox oder Opera. Sie sollten einen dieser Browser installieren und als Standardbrowser verwenden. Den Internet Explorer sollten Sie in Zukunft auf keinen Fall mehr benutzen!

Und zu guter Letzt

Öffnen Sie keine E-Mails von Unbekannten. Hinterfragen Sie und überlegen Sie ob die E-Mail authentisch ist. Banken, Firmen und Behörden fragen Sie niemals nach TAN, Passwort, Kreditkartennummern oder ähnliches per E-Mail!

Der Virus: Datei-Viren, Makro-Viren, Bootsektor-Viren

Viren sind klassische Computerschädlinge, die ihre Kopien auf Ressourcen eines lokalen Rechners verbreiten, indem sie Malware bei bestimmten Aktionen des Users ausführen. Dabei beabsichtigen Viren gleichzeitig ein weiteres Eindringen in andere Ressourcen.

Ein Virus gelangt immer dann in ein System, wenn das infizierte Objekt aus Gründen aktiviert wird, die nicht direkt mit dem Virus im Zusammenhang stehen. Folgende Szenarien wären denkbar:

  • Während der Infizierung des zugänglichen Festplattenbereiches dringt der Virus in Dateien ein, die auf einer Netzwerkressource gespeichert sind.
  • Der Virus repliziert sich selbstständig auf einen Wechseldatenträger oder infiziert auf ihm gespeicherte Dateien.
  • Ein User versendet eine E-Mail, in deren Anhang sich eine infizierte Datei befindet.

Viren werden somit “passiv“ durch die Weitergabe infizierter Dateien verbreitet. Sie benötigen hierzu immer eine Datei, die ihnen als “Wirt“ dient. Sie werden immer dann aktiv, wenn ein von ihnen befallenes Programm ausgeführt oder eine infizierte Datei aufgerufen wird. In diesem Moment repliziert sich der Virus in einen Speicher und wartet im Hintergrund auf weitere Möglichkeiten, sich zu vermehren.

Klassische Viren unterscheidet man einerseits nach ihrer Umgebung und andererseits nach ihrer Infektionsmethode:

Datei-Viren

Datei-Viren nutzen nur den Dateibereich aus, der auch dem Betriebssystem zur Verfügung steht. Durch ihre unterschiedlichen Infektionsmethoden muss man Datei-Viren jedoch noch genauer unterscheiden. Manche Datei-Viren überschreiben den ursprünglichen Code mit ihrem eigenen. Das geänderte Programm funktioniert darauf hin nicht mehr und kann auch nicht wieder hergestellt werden.

Andere Datei-Viren hingegen, wie z.B. parasitäre Viren, fügen ihren Code am Anfang oder in der Mitte eines fremden Programmcodes ein. Dazu verschieben sie den ursprünglichen Code nach hinten, oder verschieben zu mindestens einen Teil davon, an das Ende des Ursprungsprogrammes, und ersetzen den freigewordenen Speicherraum mit ihrem eigenen Code. Das veränderte Programm bleibt dabei meist vollständig, oder zu mindestens halbwegs, funktionstüchtig.

Eine weitere Kategorie von Datei-Viren verändert das Wirts-Programm überhaupt nicht, sondern erstellt lediglich eine Kopie dessen und ersetzt den kompletten Code durch seinen eigenen. Hier spricht man dann von Compagnons-Viren. Die Ursprungsdatei wird dabei in einem dem Virus bekannten Namen umbenannt. Wird die verkehrte Datei nun ausgeführt, erhält zuerst der Virus die Kontrolle. Nach der Ausführung des Schadcodes wird dann das Originalprogramm gestartet.

Eine wichtige noch zu unterscheidende Art von Datei-Viren sind die sogenannten Skript- Viren. Sie werden in den unterschiedlichsten (Skript-) Sprachen geschrieben. Das besondere an Ihnen zeichnet sich dadurch aus, das Skript-Viren auch Dateien von anderen Formaten infizieren können. Hierzu ist es lediglich wichtig, dass diese das Ausführen von Skript-Programmen erlauben.

Makro-Viren

Makro-Viren infizieren keine Betriebssysteme oder Hardwarekomponenten. Das Merkmal von Makro-Viren besteht darin, dass sie nur Daten-Dateien, die gleichfalls die Möglichkeit bieten, Makros zu verarbeiten, infizieren. Sie verbreiten sich somit nur in Makroprogrammierumgebungen. Zu diesen zählen am häufigsten die Office-Programme von Microsoft. Das liegt vor allem an der Tatsache, dass diese Office-Programme die Makrosprache nicht von ihrer eigenen Befehlsinfrastruktur trennen können. Während der Infektion gehen Makro-Viren meist nach folgenden Schemen vor: Entweder ist in ihnen ein Auto-Makro eingebunden, die die Office-Programme „automatisch“ starten, oder sie nutzen ein undefiniertes System-Makro, das mit einem der Menüpunkte verbunden ist. Während das Makro-Virus ausgeführt wird, überträgt er seinen Code in weitere Dateien, wobei dies meistens nur solche sind, die der User zum gleichen Zeitpunkt bearbeitet.

Bootsektor-Viren

Bootsektor-Viren infizieren den Master-Boot-Record oder den DOS-Boot-Record von Wechseldatenträgern und Festplatten. Der Mechanismus von diesen Viren beruht auf ganz bestimmte Algorithmen, die zum Beispiel bei dem Start des Betriebssystems oder bei einem Neustart ablaufen. Die Infektion geht im allgemeinem folgendermaßen von statten: Der Virus verschiebt zu aller erst den Boot-Block des Datenträgers an eine andere Stelle. Dann überschreibt er den vorherigen Bootsektor mit seinem eigenen Code. Wird daraufhin dieser Datenträger gebootet startet als Erstes der Virencode. Damit erhält der Virus eine Möglichkeit, sich zum Beispiel im Arbeitsspeicher zu vermehren. Ist dieses dann geschafft, wird der originale Boot-Block gestartet.

Der Aufbau ist immer gleich

Aber egal, um welche Art eines Virus es sich auch handelt, der Aufbau ist im Prinzip immer ähnlich: Im Grunde besteht dieser aus drei unterschiedlichen Bereichen. Je nach Indizierungsmethode kommt noch ein vierter Teil hinzu.

Im ersten Teil befindet sich das sogenannte „Hex-Pattern“, eine Art Kennung des Virus. Mit dessen Hilfe kann der Virus überprüfen, ob eine bestimmte Datei, oder ein bestimmter Bereich, bereits infiziert wurde.

Der zweite Teil besteht aus der eigentlichen Infektionsroutine. Dieses Unterprogramm sucht nach einer noch nicht infizierten Datei. Findet er diese, kopiert er seinen eigenen Programmcode hinein. Diese Datei wird dabei meist so „umgebaut“, das das Virus bei jedem Aufruf des Programmes, oder der Datei, aktiv wird.

Der dritte Teil ist der entscheidende. Hier wird die Schadroutine untergebracht. Sie entscheidet, ob „nur“ ein harmloses Bild an Tag X auf dem infizierten Rechner erscheinen soll oder im schlimmsten Fall die Festplatte bei einem Neustart formatiert wird.

Im vierten Teil wird jene Routine untergebracht, die das manipulierte Programm anweist, nun wieder dorthin zurück zu kehren, an der das Virus den eigentlichen Ablauf unterbrochen hat. Das Programm arbeitet somit wie bisher, ohne das der User etwas bemerkt.