Ein Virus ist ein Softwareprogramm, das geschrieben wurde, um einen Computer negativ zu beeinflussen, indem es ohne Wissen des Benutzers die Arbeitsweise des Computers verändert. Technisch gesehen ist ein Virus ein Programmcodesegment, das sich selbst in andere ausführbare Programmdateien hinein kopiert und sich systematisch von einer Datei zur anderen ausbreitet. Computerviren entstehen nicht spontan. Sie werden programmiert und haben einen bestimmten Zweck. Gewöhnlich hat ein Virus zwei unterschiedliche Funktionen:
Ein harmloser Virus ist einer, der keinen wirklichen Schaden auf Ihrem Computer anrichtet. Ein Virus, z.B., der bis zu einem bestimmten Datum verborgen bleibt und dann nichts weiter macht, als eine Meldung auf dem Bildschirm anzuzeigen, ist als harmlos anzusehen.
Ein gefährlicher Virus ist einer, der versucht, Ihrem Computer Schaden zuzufügen, obwohl ein solcher Schaden nicht unbedingt beabsichtigt sein muß. Es gibt eine große Anzahl von Viren, die Schaden verursachen, weil sie schlecht programmiert und fehlerhaft sind. Ein gefährlicher Virus kann Programme so verändern, daß sie nicht mehr einwandfrei arbeiten. Das infizierte Programm wird u.U. unvorhergesehen beendet oder schreibt falsche Informationen in Ihre Dokumente. Oder der Virus ändert die Verzeichnisinformationen in einem Ihrer Systembereiche. Dadurch kann möglicherweise eine Partition nicht eingebunden werden, Programme können nicht gestartet werden oder Dokumente sind nicht mehr zu finden.
Einige der bekannten Viren sind harmlos, ein hoher Prozentsatz jedoch ist sehr gefährlich. Einige dieser bösartigen Viren können Dateien oder sogar Ihre gesamte Festplatte löschen.
Es ist nicht übertrieben, zu sagen, daß Viren den freien Informationsfluß, der in den letzten zehn Jahren durch den Personalcomputer aufgebaut wurde, unterbrechen können. In der Tat hat die weite Verbreitung von Viren eine neue Ära des sicheren Computers eingeläutet, in der diejenigen, die sich nicht an die Sicherheitsrichtlinien halten, ein großes Risiko eingehen. Angesichts der drastischen Warnungen vor den Gefahren -- und der bereits bekannten Vorfälle -- ist es verwunderlich, daß es immer noch Leute in der Computerbranche gibt, die behaupten, die Berichterstattung über Viren sei übertrieben.
Das Nationale Zentrum für Daten zur Computerkriminalität (National Center for Computer Crime Data) in Los Angeles schätzt, daß amerikanische Unternehmen jährlich Verluste in Höhe von 550 Mio. Dollar durch unbefugten Computerzugriff haben. Die Arbeitszeitverluste sind dabei kaum zu ermessen.
Das Problem wird als so schwerwiegend angesehen, daß die Regierung der Vereinigten Staaten die Bildung eines Sondereinsatzteams, des Computer Emergency Response Team, gefördert hat. Die Aufgabe dieses Teams besteht darin, die Gefährdung der Sicherheit in wichtigen Computernetzwerken in ganzen Land zu untersuchen. Die Software Publishers Association hat ebenfalls bestimmte Maßnahmen getroffen, um das Problem zu bewältigen.
Darüber hinaus haben im vergangenen Jahr viele Firmen der Fortune-Liste der größten Unternehmen damit begonnen, Computerrichtlinien in bezug auf Viren aufzustellen. In vielen Fällen gehört zu den neuen Verfahrensweisen, daß alle Software auf Viren geprüft wird, bevor sie im Netzwerk installiert wird, und daß Beschränkungen für das Herunterladen von Software von Online-Diensten erlassen werden. Niemand, der mit Computern arbeitet -- weder die Regierung noch die Polizei noch Ihre örtliche Bankfiliale --, ist immun gegen Computerviren.
Man stelle sich nur vor, was passieren kann, wenn ein Space Shuttle von einem virenverseuchten Programm gesteuert wird, ein Fluglotse falsche Informationen von einem infizierten System erhält oder die Finanzdaten Ihrer Firma gelöscht oder dauerhaft geändert werden.
Dies sind nicht nur Utopien dessen, was uns bevorstehen könnte. Eine Vielzahl von Systemen wurden bereits von Computerviren befallen, darunter Unternehmen, die zu den Fortune 500 gehören, Regierungsstellen, große Universitäten, Zeitungen und große Netzwerke, die zahlreiche Computer verbinden und ungeheure Datenmengen umfassen.
Ein Computervirus ist ein Programm, daß darauf ausgerichtet ist, sich selbst zu vervielfältigen und auszubreiten, ohne daß der Computerbenutzer davon etwas merkt. Computerviren breiten sich aus, indem sie sich selbst an andere Programme anhängen (z.B. ein Textverarbeitungs- oder Tabellenkalkulationsprogramm) oder sich in den Bootsektor einer Diskette oder Festplatte schreiben. Wenn eine infizierte Datei ausgeführt wird oder der Computer von einer infizierten Diskette gestartet wird, wird der Virus ausgeführt. Oft lauert er im Speicher und wartet darauf, weitere Programme zu infizieren, die gestartet werden, oder sich in den Bootsektor einer anderen Diskette zu schreiben, auf die zugegriffen wird. Außerdem lösen viele Viren auch Aktionen aus, z.B. die Anzeige einer Meldung an einem bestimmten Tag oder das Löschen von Dateien, nachdem ein infiziertes Programm eine bestimmte Anzahl von Malen ausgeführt wurde. Einige dieser Ereignisse sind harmlos (wie etwa das Anzeigen von Meldungen), andere haben jedoch zerstörerische Wirkung. Die Mehrzahl der Viren ist harmlos, zeigt Meldungen oder Bilder an oder tut nichts weiter als sich selbst zu reproduzieren. Andere Viren sind lästig, verlangsamen das System oder bewirken geringfügige Änderungen der Bildschirmanzeige. Einige Viren stellen jedoch eine wirkliche Bedrohung dar, da sie Systemabstürze verursachen, Dateien beschädigen und zu Datenverlusten führen.
Dies sind Viren, die sich selbst an .COM- und .EXE-Dateien anhängen (oder Teile davon ersetzen). In einigen Fällen werden auch Dateien mit den Erweiterungen .SYS, .DRV, .BIN, .OVL und .OVY befallen. Diese Virenart infiziert Programme in der Regel, wenn sie ausgeführt werden, während sich der Virus im Arbeitsspeicher befindet. In anderen Fällen werden Dateien infiziert, wenn sie geöffnet werden (z.B. mit dem DOS-Befehl DIR), oder der Virus infiziert einfach alle Dateien in dem Verzeichnis, aus dem er gestartet wurde (Direktinfektion).
Jedes logische Laufwerk, sowohl Festplatte als auch Diskette, enthält einen Bootsektor. Das gilt auch für Datenträger, die nicht startfähig sind. Der Bootsektor enthält spezielle Informationen über die Formatierung des Datenträgers und die darauf gespeicherten Daten. Er enthält außerdem eine kleines Programm, das Startprogramm, das die Systemdateien lädt. Dieses Startprogramm zeigt auch die geläufige Meldung "Non-system Disk or Disk Error" (Keine Systemdiskette oder Diskettenfehler), wenn die DOS-Systemdateien nicht auf dem Datenträger vorhanden sind. Dieses Programm wird von den Bootsektorviren infiziert. Ein Bootsektorvirus wird übertragen, wenn eine infizierte Diskette im Laufwerk liegt, wenn der Computer gestartet wird. Bei der Ausführung des Startprogramms wird der Virus in den Arbeitsspeicher geladen und infiziert Ihre Festplatte. Da, wie erwähnt, jede Diskette einen Bootsektor hat, ist es möglich (und nicht selten), daß ein Computer durch eine reine Datendiskette infiziert wird. HINWEIS: Sowohl Disketten als auch Festplatten haben einen Bootsektor.
Der erste physische Sektor jeder Festplatte (Seite Ø, Spur Ø, Sektor 1) enthält den Master Boot Record (Hauptstartbereich) und die Partitionstabelle. Der Master Boot Record enthält das Hauptstartprogramm, das in der Partitionstabelle die Werte für den Startbereich der startfähigen Partition ermittelt und das System anweist, dorthin zu gehen und den dort vorgefundenen Code auszuführen. Bei einer korrekt eingerichteten Festplatte befindet sich an dieser Stelle (Seite 1, Spur Ø, Sektor 1) ein gültiger Bootsektor. Auf Disketten infizieren diese Viren den Bootsektor.
Ein MBR-Virus wird auf dieselbe Weise übertragen wie ein Bootsektorvirus -- durch Starten des Computers mit einer infizierten Diskette im Laufwerk. Wenn das Startprogramm gelesen und ausgeführt wird, gelangt der Virus in den Arbeitsspeicher und infiziert den MBR Ihrer Festplatte. Auch hier kann die Infektion von einer reinen Datendiskette übertragen werden, da ja jede Diskette einen Bootsektor hat.
Mehrteilige Viren sind eine Kombination aus den bisher vorgestellten Virenarten. Sie infizieren sowohl Dateien als auch Bootsektoren bzw. MBRs. Diese Virenart ist noch ziemlich selten, aber die Anzahl der Vorkommnisse wächst ständig.
Einige Viren sind gezielt so programmiert, daß sie Daten auf Ihrem Computer beschädigen, indem sie Programme unbrauchbar machen und Dateien oder Ihre gesamte Festplatte löschen. Viele der derzeit bekannten Macintosh-Viren sind nicht darauf ausgelegt, Schaden anzurichten. Allerdings kann das infizierte System sich aufgrund von Bugs (Programmierfehlern) in einem Virus ungewöhnlich verhalten.
Computerviren können keine Dateien auf schreibgeschützten Datenträgern infizieren und befallen in der Regel keine Dokumente -- mit Ausnahme der Word-Makroviren, die Dokumente und Vorlagen angreifen, die in Word ab Version 6.0 erstellt wurden. Viren infizieren auch keine komprimierten Dateien. Es ist jedoch möglich, daß Anwendungsprogramme in einer komprimierten Datei schon infiziert waren, bevor sie komprimiert wurden. Viren infizieren keine Hardware wie Monitore oder Computer-Chips, sondern ausschließlich Software.
Außerdem infizieren Macintosh-Viren keine Software auf DOS-Computern und umgekehrt. Der berüchtigte Michelangelo-Virus z.B. infiziert keine Macintosh-Anwendungen. Auch hier stellen wiederum die Makroviren in Word und Excel eine Ausnahme dar, da sie Arbeitsblätter, Dokumente und Vorlagen infizieren, die sowohl auf Windows- als auch auf Macintosh-Computern geöffnet werden können.
Viren breiten sich aus, wenn Sie eine infizierte Anwendung starten oder den Computer von einer Diskette starten, deren Systemdateien infiziert sind. Wenn beispielsweise eine Textverarbeitung einen Virus enthält, wird dieser aktiviert, sobald Sie das Programm ausführen. Ist der Virus einmal im Arbeitsspeicher, infiziert er normalerweise jedes Programm, das Sie ausführen, einschließlich Netzwerkanwendungen (sofern Sie Schreibzugriff auf Ordner und Laufwerke im Netzwerk haben).
Viren verhalten sich unterschiedlich. Einige Viren bleiben im Arbeitsspeicher aktiv, bis Sie Ihren Computer ausschalten. Andere bleiben so lange aktiv, wie das infizierte Anwendungsprogramm läuft. Durch Ausschalten des Computers oder Beenden der Anwendung wird der Virus zwar aus dem Arbeitsspeicher entfernt, ist jedoch in der infizierten Datei auf dem Datenträger nach wie vor vorhanden. Wenn der Virus sich in einer Systemdatei befindet, wird er wieder aktiviert, sobald Sie den Computer das nächste Mal von dem infizierten Datenträger starten. Wenn er sich in einem Anwendungsprogramm befindet, wird er beim nächsten Start des Programms wieder aktiv.
Quelle: Symantec Antivirus Research Center
Stand Mitte 2003