|
Begleitvirus
Ein Begleitvirus nennt entweder sich selbst oder die Zieldatei um, damit der Anwender anstatt eines Programms den Virus startet. So nennt z. B. ein Begleitvirus, der die Datei GAME.EXE infiziert, die Zieldatei in GAME.EX um, erstellt eine Kopie von sich und nennt sich selbst GAME.EXE. Er kann sich auch einfach in GAME.COM umbenennen und sich darauf verlassen, dass der Anwender "GAME" über eine Befehlseingabe aufruft, da das Betriebssystem dann erst GAME.COM startet und nicht GAME.EXE. [zurück zum Anfang]
Boot-Viren
Als "Booten" bezeichnet man das Laden des Betriebssystems. Hierbei werden u. a. Programmteile ausgeführt, die zwar eigenständig sind, sich aber in sonst nicht zugänglichen und im Inhaltsverzeichnis der Disketten und Festplatten nicht sichtbaren Sektoren befinden. Boot-Viren überschreiben diese mit ihrem Programm. Der originale Inhalt wird an eine andere Stelle auf dem Datenträger verlagert und dann beim Start des Computers anschliessend an den Viruscode ausgeführt. Dadurch startet der Computer scheinbar wie gewohnt. Der Boot-Virus gelangt jedoch bereits vor dem Laden des Betriebssystems in den Arbeitsspeicher des Computers und verbleibt dort während der gesamten Betriebszeit. Er kann deshalb den Boot-Sektor jeder nicht schreibgeschützten Diskette infizieren, die während des Rechnerbetriebs benutzt wird. Boot-Viren können sich nur durch Booten oder einen Bootversuch mit einer infizierten Diskette auf andere Computer übertragen. [zurück zum Anfang]
CMOS-Viren
Unter CMOS-Viren versteht man Viren, die sich im CMOS-Speicher des Systems einnisten. Sie können durch die Batteriepufferung monatelang im Rechner erhalten [zurück zum Anfang]
Companion-Virus
Companion-Viren sind eine Besonderheit, die nur unter DOS auftritt. Da DOS verschiedene Arten von ausführbaren Programmen kennt (COM, EXE, BAT) und es zulässig ist, eine Datei nur über ihren Namen (ohne Angabe der Dateiendung) aufzurufen, muss es eine Reihenfolge geben, nach welcher die Dateiendung zur Vervollständigung des Aufrufs angehängt wird. Hierbei sucht DOS zuerst nach einer COM-Datei, dann nach einer EXE-Datei und dann nach einer BAT-Datei. Da die meisten Programme aufgrund der Längenbeschränkung von COM-Dateien (max. 64 KB Länge) EXE-Dateien sind, werden Companion-Viren stets als COM-Programm realisiert. Sie verändern an der Originaldatei nicht ein Bit. Ruft nun der Anwender eine durch einen Companion-Virus infizierte Datei ohne Angabe der Dateiendung auf, so führt DOS zuerst die COM-Datei, also den Virus, aus. Dieser installiert sich resident im Speicher und führt dann die eigentlich aufgerufene EXE-Datei aus. [zurück zum Anfang]
Dateiviren / File Viren / TSR-Viren
Dateiviren befallen ausführbare Dateien. Sie verbreiten sich selbständig auf dem eigenen Rechner und durch die Weitergabe infizierter Programme. [zurück zum Anfang]
Directory Virus
Directory Viren umgehen das Dateiverwaltungssystem eines Rechners derart, dass beim Anlegen einer Datei im Inhaltsverzeichnis des Datenträgers der Zeiger auf den Anfangssektor der von der Datei belegten Sektoren auf einen als unbrauchbar markierten Sektor zeigt. In diesem Sektor legt der Virus seinen Code ab. Falls die Datei aufgerufen wird, so wird zuerst der verseuchte Sektorbereich ausgeführt, und damit der Virus aktiv, bevor das eigentliche Programm ausgeführt wird. [zurück zum Anfang]
Experimentelle Viren
Diese Virenart tritt wenn überhaupt nur im Bereich der LISP-Programmierung auf und infizieren dabei den Quellcode; sie sind allerdings sehr schwer zu programmieren. [zurück zum Anfang]
File-Viren
Siehe Datei-Viren. [zurück zum Anfang]
Geisterviren
Man spricht von Geisterviren, wenn gefundene Scancodes auf einen aktiven Virus hindeuten, dieser aber nur in Teilen bzw. nicht referenziert (also nicht aktiviert) vorliegt. [zurück zum Anfang]
Hybridviren
Hybridviren stellen eine Kombination von Boot- und Dateiviren dar. [zurück zum Anfang]
Linkviren
Diese Virenart manipuliert die Verzeichnistabellen der Festplatte. Dies führt dann dazu, dass für das Betriebssystem alles normal aussieht, obwohl jeder Zugriff auf eine Datei zuerst den Virus aktiviert. [zurück zum Anfang]
Makroviren / Dokumenten-Viren
Als Makroviren bezeichnet man Viren, die mit einer Makrosprache erstellt wurden. Während herkömmliche Viren nur ausführbare Dateien infizieren, befallen diese Makroviren keine Programme, sondern meist Datendateien, zum Beispiel MS-Office-Dokumente, die neben Daten auch Programmcode (Makros) enthalten können.
Makro- oder Dokumentviren können sich theoretisch in je der Benutzerdatei verbergen, die mit einer makrofähigen Büroanwendung erstellt wurde. Betroffen sind derzeit in der Praxis jedoch insbesondere Winword-Texte.
Als besonderes Problem erweisen sich verschlüsselte Makroviren, die dem Anwender den Blick in den Makrocode vorenthalten. Da der Betroffene nicht kontrolliert werden kann, was der Virus im einzelnen auf dem Rechner angestellt hat. Es reicht meist nicht aus, solche Makroviren nur zu löschen. Eingriffe in das System, die eventuell bereits geschehen sind, lassen sich danach nämlich nicht mehr rückgängig machen. [zurück zum Anfang]
Multipartite-Virus
Virus, der sich über verschiedene Ausprägungen seines Wirtes verbreiten kann (z.B. sowohl als Boot-Virus als auch als File-Virus). [zurück zum Anfang]
Polymorphe Viren
Polymorphe Viren verändern sich, um nicht gefunden zu werden. Sie besitzen eine "Mutation Engine", die die Reihenfolge der Befehle austauscht. [zurück zum Anfang]
Programmierviren
Programmviren fügen sich selbst an Programme an, sie werden auch ausführbare Dateien genannt. Wenn ein Benutzer ein Programm startet, das einen Programmvirus enthält, wird der Virus heimlich zuerst gestartet. Um dem Benutzer seine Existenz zu verbergen, lässt der Virus das Originalprogramm starten.
Der Programmvirus hat die gleichen Rechte wie das Programm, an das er angefügt ist, da das Betriebssystem ihn als Teil dieses Programms versteht. Diese Rechte erlauben es dem Virus, sich zu replizieren, sich im Speicher zu installieren oder sein Payload zu starten. Wenn keine Antivirensoftware vorhanden ist, ist es nur das Payload, das den Verdacht auf einen Virus wecken kann. Ein bekannter Programmvirus namens Jerusalem hat ein Payload, das die Geschwindigkeit des Systems drosselt und möglicherweise jedes Programm löscht, das der Benutzer starten will. [zurück zum Anfang]
Registrierungsviren
Registrierungsviren versuchen, den Inhalt der Registrierung zu ändern. [zurück zum Anfang]
Residenter Virus
Virus, der nach Aktivierung bis zum Ausschalten des Rechners im Hauptspeicher aktiv bleibt. [zurück zum Anfang]
Selbstverschlüsselnder Virus (selbstkryptierender Virus)
Virus verschlüsselt (kryptiert) seinen Code mit festem oder wechselndem Schlüssel. [zurück zum Anfang]
Slow-Viren
Slow-Viren sind Viren, die lange Zeit unentdeckt bleiben, weil sie die Daten nur geringfügig manipulieren. Damit wird es wahrscheinlich, dass sie auch auf Sicherungsdatenträger übertragen werden, so dass der Benutzer keine virenfreien Duplikate oder älteren Versionen mehr zur Verfügung hat. [zurück zum Anfang]
Stealth Viren / Tarnkappen-Viren
Stealth Viren werden auch Tarnkappen-Viren genannt. Sie passen auf, wann ein Virensucher aktiv wird und entfernen sich selbsttätig aus den befallenen Dateien. Später infizieren sie diese wieder. [zurück zum Anfang]
TSR-Dateiviren
Die zweithäufigste Art von Viren ist der TSR-Dateivirus. Wie der Name schon sagt, werden von Viren dieser Art Dateien befallen. Dabei handelt es sich in der Regel um COM- und EXE-Dateien; es gibt aber auch ein paar Gerätetreiberviren, und einige Viren infizieren Überlagerungsdateien, ausserdem müssen ausführbare Programme nicht unbedingt die Namenserweiterung COM oder EXE haben, obwohl dies in 99 % der Fälle zutrifft. Damit sich ein TSR-Virus verbreiten kann, muss jemand ein infiziertes Programm ausführen. Der Virus wird Speicherresident, und prüft in der Regel jedes nach ihm ausgeführte Programm, um es ebenfalls zu infizieren, falls es noch nicht infiziert ist. Einige Viren werden als "schnell infizierende Viren" bezeichnet. Solche Viren infizieren eine Datei bereits, wenn Sie diese nur öffnen (zum Beispiel wird bei einer Datensicherung unter Umständen jede auf einem Laufwerk enthaltene Datei geöffnet). Der erste schnell infizierende Virus war Dark Avenger. Die Infektionsroutine des Green Caterpillar dagegen wird durch jeden Vorgang ausgelöst, mit dem bestimmt wird, welche Dateien vorhanden sind (z. B. durch den DIR-Befehl). Es wurden auch noch andere Infektionsauslöser verwendet, aber in den meisten Fällen wird ein Programm infiziert, sobald es ausgeführt wird. Siehe auch Datei-Viren. [zurück zum Anfang]
Update - Viren
Update-Viren sind eine besonders ausgeklügelte Virenart. Sie sind nach Familien gegliedert und werden meist von einem einzigen Programmierer oder einer Gruppe entwickelt. Neben ihrem Hex-Pattern enthalten diese Viren nicht nur eine Versionsnummer, sondern auch eine Update-Routine, die überprüft, ob der Virus bereits in einer Version vertreten ist. Aber damit nicht genug: Die Routine untersucht ausserdem, ob die Datei bereits eine ältere Version des Virus enthalten. Ist das der Fall, wird diese ersetzt. Ist eine neuere Version installiert, wird diese nicht noch einmal infiziert. [zurück zum Anfang]
Virus
" Virus ", dieser Begriff wird korrekterweise im engeren Sinne verwandt und beschreibt dann einen Spezialfall der allgemein als Computervirus bezeichneten Programme. Ein Virus ist dann ein nicht eigenständig lauffähiger Programmteil mit Reproduktions- und Schadenscode, der eine Kopie seiner selbst heimlich an vorhandene fehlerlose Programme anhängt. Die Einnistung kann innerhalb oder im
Anschluss an alle ausführbaren Programme/Programmteile geschehen. Die Befehlsfolge kann aus Maschinensprache, Assembler, Hochsprachen oder Kommandosprachbefehlen bestehen. [zurück zum Anfang]
W16-Dateivirus
Spezieller Dateivirus, der nur unter 16-Bit-Windowsbetriebssystemen (Win 3.0 und Win 3.1) auftritt. [zurück zum Anfang]
W32-Dateivirus
Spezieller Dateivirus, der nur 32-Bit-Windowsbetriebssystem (Win 95/98/ME und Win nt/2k/XP) auftritt. [zurück zum Anfang]
|
