Computerviren und Virenschutz

Computerviren und Virenschutz

COMPUTERVIREN ALLGEMEIN:

Ein Computervirus ist nichts anderes als ein Programm, das der Sabotage in der EDV dienen soll. Als solches kann es nur Schäden an der Software bzw. an Datenbeständen anrichten. Der Name Virus, der manchmal zur falschen Vorstellung von organischen Lebewesen führt, wurde nur aufgrund der Ahnlichkeit der Wirkungsweise von biologischen und Computerviren gewählt.

Um als Virus bezeichnet werden zu können, muß ein Programm in der Lage sein, einerseits eine Sabotage bzw. Manipulation durchzuführen und andererseits Kopien von sich selbst in andere Programme einzuschleusen. Werden nun diese infizierten/verseuchten Programme ausgeführt, beginnt mit der darin enthaltenen Kopie des Virus der Kreislauf erneut.

Der "klassische" Virus war dazu gedacht, ein Unternehmen gezielt über dessen EDV zu schädigen. Die Vorteile, die ein Virus dafür bietet, liegen auf der Hand: Es ist möglich, an sonst unzugängliche Daten heranzukommen, der Täter bleibt mit sehr großer Sicherheit unerkannt und die Zerstörung ist sogar effizienter als eine Löschung der Daten, da eventuell vorhandene Sicherungskopien bei deren Einsatz ebenfalls verseucht werden. Darüber hinaus kann sich ein Virus sehr schnell verbreiten: Selbst wenn eine verseuchte Datei jeweils nur eine Kopie erstellt, wächst die Anzahl der verseuchten Dateien exponentiell.

Die heute im Umlauf befindlichen Viren stammen hauptsächlich aus den Vereinigten Staaten, den Ländern der ehemaligen Sowjetunion, Deutschland und überraschenderweise oft aus Bulgarien und Polen. Sie sind kaum auf die Manipulation eines bestimmten Datenbestandes ausgerichtet; meist geht es dem/den Programmierer(n) darum, ihr Können unter Beweis zu stellen und die oft sehr große Schutz- und Wehrlosigkeit des Anwenders aufzuzeigen. Doch auch wenn ein Virus gezielt auf die Schädigung eines Anwenders ausgerichtet ist, breitet er sich sehr schnell unkontrollierbar aus. Der Schaden, der durch Viren entsteht, beträgt allein in Österreich jährlich etwa 100 Mio. Schilling.

Obwohl große Netzwerke (vor allem das Internet) immer wieder als Hauptüberträger von Viren genannt werden, wird die Gefahr, die von ihnen ausgeht, meist überschätzt. Der Großteil aller auftretenden Viren wird durch die Weitergabe von Datenträgern, vor allem Disketten, die sehr oft Raubkopien enthalten, übertragen. Durch CD-ROMs können, da sie nicht beschreibbar sind, keine Viren übertragen werden. Es ist jedoch möglich, daß sowohl kommerzielle CD-ROMs als auch andere WORM-Medien[1] beim einmaligen Beschreiben verseucht werden und so den Virus unauslöschlich in sich tragen. Die zunehmende Vernetzung trägt allerdings dazu bei, daß es auch für Laien immer einfacher wird, an - durchaus sehr gefährliche - Sourcecodes von Viren heranzukommen. Das hat zur Folge, daß die Zahl der in Umlauf befindlichen Viren stark ansteigt. Derzeit sind etwa 8000 Viren verbreitet, wobei sich diese Zahl allerdings alle 8 Monate verdoppelt.

Die Manipulation, die Viren durchzuführen haben, kann auf unterschiedliche Art und Weise geschehen:

Altere, zur gezielten Sabotage geschriebene Viren, bedienten sich der direkten Manipulation von Daten, etwa dem Austausch von Ziffern, Namen, in Dateien. Man kann sich zum Beispiel vorstellen, was allein das Ersetzen aller "8" durch "9" in den Datenbeständen einer Finanzbuchhaltung verursacht. Neuere Viren gehen ähnlich vor, zielen jedoch nicht auf spezifische Datenbestände ab, sondern greifen z.B. auf überall vorhandene Systemdateien zu.

Relativ harmlos sind - aufgrund von geänderten Interruptvektoren entstandene - simulierte Fehler, also grundlos ausgegebene Fehlermeldungen.

Die wahrscheinlich folgenschwerste Art der Manipulation ist das Verursachen eines "Software-Crashs". Dies kann beispielsweise eine völlige Unterbindung aller Eingaben (auch STRG-ALT-ENTF) sein, aber auch ein Formatieren der Festplatte oder, als elegantere Version davon, ein Löschen der FAT[2].

Obwohl Viren grundsätzlich nur auf die Software bzw. auf Datenbestände wirken, ist es in einigen seltenen Fällen möglich, daß Viren auch die Hardware beschädigen. So verklemmt sich bei manchen Diskettenlaufwerken der Lesekopf, wenn (absichtlich) über die innerste Spur hinausgelesen wurde. Eine andere Möglichkeit ist es, die Bildwiederholfrequenz der Grafikkarte über der des Monitors anzusetzen, was langfristig zu einer Beschädigung des Monitors führen kann.

EINTEILUNG VON COMPUTERVIREN:

logische Viren: Sehr einfache und auffällige Form, ein Virenprogramm tritt an die Stelle eines Anwendungsprogramms. Der selbe Effekt ist praktisch auch mit dem DOS-Befehl RENAME erreichbar.

Dateiinfektoren: klassische Form eines Virus, "befällt" ausführbare Dateien (*.COM, *.EXE). Grundsätzlich kann dies auf drei Arten geschehen:

- Teile des ursprünglichen Programms werden überschrieben: sehr plumpe und auffällige Methode, da das Programm funktionsunfähig wird

- Virus wird an einer bestimmten Stelle (oft am Anfang) in das Programm eingefügt: Infektion kann bemerkt werden, da sich Dateigröße ändert

- "Call-Viren": im Programm ist nur ein kurzer Aufrufbefehl zu finden, Virusprogramm ist als Hidden File[3], im Arbeitsspeicher oder am günstigsten als eigener Interrupt abgelegt

Bootsektorviren: Diese Viren schreiben ihren Code in den Bootsektor von Disketten bzw. Festplatten, wo er nicht nur schwer zu entdecken ist, sondern auch bei jedem Bootvorgang von einem infizierten Datenträger in den Speicher geladen wird und dort meist resident bleibt. Daher werden viele Bootsektorviren bei nahezu jedem Schreibvorgang auf einem verseuchten System übertragen.

Schlafende Viren, Trigger Viren: Bleiben lange unbemerkt, da sie erst zu einem bestimmten Zeitpunkt (als sehr beliebt hat sich Freitag, der 13. erwiesen) mit ihrer Manipulation beginnen.

Trojanische Pferde: Scheinbar nützliche Programme (oft Spiele), die während des normalen Ablaufes im Hintergrund die von vornherein programmierte Virenfunktion erledigen.

Polymorphe (evolutionäre) Viren: Diese Art von Viren ändert ihren Code[4] in jeder neuen Generation, d.h. sie kopieren einen mehr oder weniger stark veränderte Version weiter. Manchmal wird auch die Wirkungsweise des Virus modifiziert. Sie sind die am schwersten zu erkennende Art von Viren.

Stealth Viren: Tarnen sich, indem sie Aufzeichnungen des Zustandes (zum Beispiel den Eintrag über die Größe einer infizierten Datei) vor der Infektion manipulieren und sind daher kaum - oder nur sehr schwer - zu erkennen.

Macro-Viren: Sie sind die bislang jüngste Form von Viren und benutzen die Makrosprache einer Textverarbeitung (meist MS Word) oder Tabellenkalkulation, um ihre Manipulationsaufgabe auszuführen. Ihre Gefahr liegt darin, daß sie mit jeder im entsprechenden Programm erstellten Datei und nicht nur mit ausführbaren Programmen weitergegeben werden können, daß sie eher unauffällig ablaufen (viele Festplattenzugriffe sind bei Standardsoftware zur Gewohnheit geworden) und daß es derzeit kaum Programme gibt, die in der Lage sind, Macro-Viren zu erkennen oder zu vernichten.

Worms[5] werden manchmal als eigene Gruppe von Viren angeführt, sind aber in eigentlichem Sinne keine Viren, da keine Infektion einer Datei stattfindet, sondern lediglich ein Manipulationsprogramm, das als solches selbständig erhalten bleibt, weiterkopiert wird.

RECHTSLAGE:

Die Rechtslage im Bereich von Computerviren ist in Österreich und Deutschland sehr ungenau. Das Programmieren von Computerviren ist demnach nicht ausdrücklich verboten, sehr wohl aber deren - auch nur versuchte - Anwendung und vor allem die daraus resultierende Veränderung von Daten. Strafbar ist die Anwendung jedes Virus, auch wenn er keinen Schaden anrichtet, da in jedem Fall durch das Kopieren des Virusprogramms eine Veränderung von Datenbeständen erfolgt, wenngleich es keine wirklich genauen Bestimmungen zur indirekten Verbreitung von Viren, etwa durch Einschleusen in Netzwerke anstatt durch direkten Einsatz an einem zu manipulierenden Computer, gibt. In der Schweiz hingegen sind alle Schritte, vom Programmieren bis zur Verbreitung, sowie der Anstiftung dazu, mit einer Freiheitsstrafe von bis zu 5 Jahren belegt. Sowohl in der Schweiz als auch in Österreich und Deutschland ist allerdings mit weitreichenden Schadenersatzforderungen sowie einer Bestrafung für andere, durch den Vireneinsatz begangene Delikte, etwa Betrug durch einen Virus, der Bankguthaben verschiebt, zu rechnen.

Immer wieder wird der Einsatz von Viren als Schutz vor Raubkopien diskutiert, d.h. ein illegal benütztes Programm setzt einen Virus frei. Dies ist allerdings rechtlich nur so weit gedeckt, als nur das betroffene Programm - und kein Byte mehr - in Mitleidenschaft gezogen wird.

VIRENSCHUTZ:

Mitte der 80er Jahre waren Viren und der Schaden, den sie anrichten, zu einem ernstzunehmenden Problem geworden, sodaß über Maßnahmen zum Virenschutz diskutiert wurde. Da zu dieser Zeit noch die direkte Sabotage vorherrschend war, genügten vorerst Zugangskontrollen zu den Rechnern, etwa durch Magnetkarten für die autorisierten Benutzer, das Aufbewahren virenfreier Backups, sowie das Setzen des Dateiattributs "Schreibgeschützt".

All das reicht jedoch als Schutz vor den heutigen Viren schon lange nicht mehr. Das Schreibschutzattribut kann problemlos gelöscht (und zum Verwischen der Spuren nach der Manipulation wieder gesetzt) werden und da viele Viren zunächst keine sichtbaren Lebenszeichen von sich geben, kann nicht garantiert werden, daß die angelegten Backups fehlerfrei sind.

Die einzige, einigermaßen sichere Variante, sich vor Viren zu schützen, ist, keinen Datenaustausch durchzuführen, d.h. auf jeglichen Zugang zu Netzwerken verzichten und keine in anderen Computern beschriebenen Datenträger (Disketten, Streamerbänder, ) zu verwenden. Allerdings gibt es keine 100%ige Garantie, daß die installierte Software, wenn auch original, virenfrei ist.

Das Aufbewahren von Backups ist ebenfalls keine 100%ig sichere, dennoch aber empfehlenswerte Maßnahme, ebenso wie das regelmäßige Ordnen (und Defragmentieren) der Festplatte, um Anderungen im Dateibestand oder augenfällige Größenänderungen rechtzeitig zu erkennen. Einen nützlichen - wenn auch begrenzten - Schutz bietet der Schreibschutzschalter der 3,5" Diskette.

Der wahrscheinlich beste - wenngleich nicht absolut sichere - Schutz ist der Einsatz eines Anti-Virus Programms, das sehr oft auch als Shareware erhältlich ist. Das Grundprinzip von AV-Programmen ist, daß sie möglichst viele Viren - und deren Code bzw. alle Varianten davon - kennen, und den Dateibestand auf bekannte Strukturen überprüfen und im entsprechenden Fall korrigieren. Altere Programme analysieren dabei nur die Struktur des möglichen Virus, neuere führen ihn in einer abgesicherten Simulation des Systems aus. Diese Methode ist zwar gegen häufig verbreitete und ältere Viren sehr effizient, hat aber den Nachteil, daß neue Viren, oder neue Generationen polymorpher Viren oft nicht erkannt werden.

Um dem abzuhelfen, werden hauptsächlich drei Methoden verwendet:

Speicherresidente Überwachung: Das Anti-Virus Programm wird beim Booten geladen und prüft potentielle Infektionsquellen, beispielsweise Dateien, die von einer Diskette auf die Festplatte kopiert werden und einen Virus einschleppen könnten.

Prüfsummenmethode: Dabei werden die Dateigrößen innerhalb eines Verzeichnis in einer eigenen Datei gespeichert und immer wieder mit der aktuellen Größe verglichen. Eine Abweichung könnte auf eine Infektion hindeuten. Der Nachteil dieser Methode ist, daß das Anti-Virus Programm relativ oft Fehlalarm schlägt, wenn eine Datei absichtlich verändert wurde.

Fuzzy Logic[6]: Durch Einsatz der Fuzzy Logic in der Virenerkennung ist es möglich, alle - oder zumindest sehr viele - Abarten eines polymorphen Virus zu erkennen, da weitere, unbekannte Abarten fast immer einen ähnlichen Code aufweisen wie bekannte. Bei gänzlich neuen Viren ist die Erfolgsquote wesentlich niedriger, wenngleich Viren, die einem schon bekannten Virus ähnlich sind, erkannt werden können.

Sehr oft werden Prüfsummenmethode und Fuzzy Logic auch bei der speicherresidenten Überwachung verwendet.

Der Einsatz von Anti-Virus Programmen ist selbstverständlich nur dann erfolgreich, wenn die Überprüfung der Festplatte regelmäßig erfolgt und neu hinzukommende Daten (etwa von Disketten) konsequent überprüft werden.

Ein weiteres Problem beim Einsatz von Anti-Virus Programmen stellt der Wechsel des Betriebssystems dar, da für DOS oder Windows konzipierte Virenkiller nicht immer unter OS/2 bzw. insbesondere Windows95 funktionieren und neue Anti-Virus Software für diese Systeme erst nach und nach auf den Markt kommt.

Als die am häufigsten auf DOS/Windows Systemen eingesetzen Anti-Virus Programme sind zu nennen: Das in neueren DOS-Versionen enthaltene und eher wirkungslose Microsoft Anti-Virus, IBM AntiVirus/DOS, Central Point Anti Virus bzw. Norton Anti Virus, McAfee Scan/Clean, ThunderByte AntiVirus, FProt sowie Dr. Solomon's Anti Virus Toolkit. Für Windows95 sind bislang McAfee und Norton AntiVirus95 erhältlich, für OS/2 IBM AntiVirus/2.