PZT-vir-hlp.txt Version 2
Diese Datei enthält Hinweise und Auszüge aus unseren WWW-Seiten und darf frei kopiert und verbreitet werden. Die Autoren erheben keinerlei Anspruch auf Vollständigkeit und Richtigkeit der Informationen und übernehmen keine Verantwortung für den Gebrauch dieser Informationen.
ALLE ANGABEN OHNE GEWÄHR !

Was ist ein Virus

Ein Virus ist ein Mikroorganismus, der auf Träger von Genmaterial der lebenden Wirtszellen angewiesen ist und diese zur eigenen Vermehrung benutzt (Infektion, Replikation). Nach einer bestimmten Zeit wirkt sich die Aktivität des Virus schädlich auf das Zellsystem des Wirtes aus und die Krankheit bricht aus.

Ein Computervirus ist eine Befehlsfolge, deren Ausführung, einen Speicherbereich verändert, in dem es eine Kopie von sich in diesen Speicherbereich hineinkopiert (Infektion, Replikation). 
Der Speicherbereich kann eine ausführbare Datei oder ein Programm auf Diskette, Festplatte etc. oder im RAM sein.

Trojanischen Pferde (Trojaner) können sich im Gegensatz zu Viren und Würmern nicht replizieren. Es sind Programme, die nützlich aussehen, aber tatsächlich gefährlich sind (z.B Formatieren der HD, Veränderung der FAT)

Logische Bomben sind spezielle Varianten der Trojaner, die ihr zerstörerisches Werk erst dann beginnen, wenn eine bestimmte Bedingung erfüllt ist (z.B Datum, 100.Aufruf eines Programms etc.). Auch bestimmte Viren können auf die Erfüllung derartiger Bedingungen warten und somit als logische Bomben wirken.

Würmer sind Programme, welche sich in Netzwerken replizieren und durch Prozeßgabelung Rechenzeit abzweigen. 

Wie erkenne ich einen Virus ?

1. Langsamere Verarbeitung
Die Rechenleistung des Rechners nimmt plötzlich spürbar ab

2. Ungewöhnliche Zugriffe
Anwendungsprogramme greifen ungewöhnlich häufig oder aus unersichtlichen Gründen auf Festplatte oder Diskette zu

3. Längere Programm-Ladezeiten
Zumeist bei com-Datei Infizierung (schwer bemerkbar)

4. Plötzlicher Hauptspeichermangel
Geladene Programme passen nicht mehr in den Hauptspeicher

5. Programmvergrößerung
Programmdateien werden verlängert und der Speicherplatz auf den Datenträgern wird geringer

6. Probleme mit speicherresidenter Software
TSR-Programme bereiten plötzlich Probleme, ohne daß neue Programme installiert wurden

7. Programmfehler
Programme melden plötzlich unbekannte oder unerwartete Fehlermeldungen und/oder Stürzen beim Programmstart ab.

8. Änderung des VOLUME LABEL
Der Datenträgerkennsatz wurde ohne erkennbaren Grund geändert.

9. Datei Manipulation
Datendateien wurden gezielt verändert oder durch unlesbare Informationen verlängert

10. Defekte Sektoren
Die Zahl der als physikalisch unbrauchbar markierten Sektoren nimmt zu


Welche Virenarten gibt es ?

1. Bootsektor und Partition Table Viren
	Viren ersterer  Art verwenden den DOS-Bootsektor als Wirt. Er ist der erste logische Sektor auf einer 	Diskette oder Festplatte (bzw. jeder Partititon) und enthält ein kurzes Programm, anhand dessen das 	Betriebssystem geladen werden kann. Viren, die den ersten physikalischen Sektor (Master Boot 	Record, MBR, Partition Table), verändern
	Beispiele: Michelangelo, Pakistani Brain, Stoned

2. Companion Viren
	Companion Viren infizieren Wirtsprogramme indirekt, in dem sie eine eigenständige Datei erzeugen 	(z.B gleichnamige com-Datei), die dann vor dem Programmstart den Virus und erst dann das 	Programm aufruft. Die Detektion dieser Viren ist z.B für Prüfsummenprogramme schwierig, da das 	Originalprogramm (Wirt) unangetastet bleibt !
	Beispiele: Little Brother

3. File oder Link Viren
	Viren dieses Typus sind am häufigsten und infizieren ausführbare Dateien (com, exe). Die		sogenannten Overwrite-Viren überschreiben ihre Opfer, so daß das Programm nicht mehr lauffähig 	ist. Append Viren hängen sich an ihre Wirtsprogramme und vergrößern so die Dateilänge des 	Programms (was der Benutzer i.A. aber nicht bemerkt). Das Programm wird zumeist so verändert, daß 	zuerst der Virus und danach das Programm ausgeführt wird. Desweiteren gibt es noch die 	sogenannten Slack Area Viren, die ihren Code in den Bereich hinter das Programm kopieren (Slack 	Area). Bei einer Sektorgröße von z.B 2048 Bytes benötigt ein 2049 Bytes langes Programm 2 	Sektoren, wobei das letzte Byte in den zweiten Sektor geschrieben wird. Die restlichen 2047 Bytes sind 	Slack Area
	Beispiele: Jerusalem, Yankee Doodle, Vienna

4. Filesystem Viren
	Ein derartiger Viren nistet sich beim ersten Aufruf getarnt als TSR des Betriebssystem resident in den 	Speicher ein und schreibet sich auf eine freie Stelle auf der Festplatte. Beim Aufruf ausführbarer 	Dateien verschlüsselt er deren Einträge in der FAT in einer virtuellen FAT, wobei der Originaleintrag 	auf den Virus gelinkt wird. Ruft der Benutzer nun ein Programm auf, so wird zuerst der Virus 	aufgerufen. Dieser startet dann anhand seiner virtuellen FAT das gewünschte Programm. Der Virus 	befindet sich nun im Speicher und kann sogar bei bloßen Lesezugriffen nicht schreibgeschützte 	Disketten infizieren.

5. Makro Viren
	Eine relativ neue Art der Viren die sich in Word-Makros kopieren und bei deren Ausführung ihr 	zerstörerisches Werk beginnen

6. Multipartite Viren
	Viren, die mehrere Techniken ausnutzen werden multipartit genannt. So befallen einige dieser Viren 	sowohl den MBR (Bootsektor Virus) als auch exe-Files (File Virus)
	Beispiel: Tequila

7. Selbstverschlüsselnde oder mutierende Viren
	Viren dieser Kategorie verändern ihren virulenten Teil bei jeder Kopie so, daß der Virus lauffähig 	bleibt, die Kopie jedoch eine andere Zusammensetzung hat und somit kein charakteristischer 	Virenstring von herkömmlichen Virenscannern gefunden wird. Kompliziert wird die Suche durch die 	sogenannte MtE (Mutation Engine), welche ein Virenprogrammierer in seinen Code einbinden kann 	und die bei einer Kopie nicht nur den Virus mit Billionen von Varianten verschlüsseln kann, sodern 	auch die Instruktionen innerhalb des Entschlüsselungsmechanismus verändert.
 	Beispiele: Dedicated, Fear, Pogue, Coffee Shop

8. Stealth Viren
	Ein Stealth Virus registriert Zugriffe auf eine von ihm befallene Datei und täuscht dem zugreifenden 	Programm eine nicht infizierte Datei (oder Bootsektor) vor. Diese Viren sind sehr gefährlich, da 	Virenscanner sie zumeist nur erkennen, wenn sie sich im Speicher befinden !


Wie kann ich mich gegen Viren schützen ?

1. Mindestens zwei Virenscanner verschiedener Firmen auf in lauffähiger Version (nicht als Archiv) auf Diskette kopieren. Anschließend Schreibschutz der Disketten aktivieren ! Virenscanner zusätzlich auch auf Festplatte installieren.

2. Notfalldiskette erstellen. Diese muß das Betriebssystem enthalten. Sinnvoll sind auch einige Utility-Programme (z.B scandisk, defrag, fdisk etc.)

3. Sofern genügend RAM-Speicher vorhanden ist, ein virtuelles Laufwerk einrichten (z.B ramdrive)

4. Speicherresidentes (TSR) Anti-Virus Programm installieren (z.B vshield)

5. Disketten, mit denen auf fremden Rechnern gearbeitet wurde vor Gebrauch auf Viren überprüfen. Enthalten die Disketten Archive (arj, lzh, rar, zip etc.), diese auf das virtuelle Laufwerk kopieren, auspacken und auf Viren überprüfen.

6. Zusätzlich je nach Nutzung die Festplatte auf Viren überprüfen (z.B alle 14 Tage)

7. Virenscanner häufig aktualisieren (z.B alle 3 Monate)

8. In geeigneten Abständen Sicherung wichtiger Daten vornehmen (Backup), Sicherungskopien der verwendeten Programme und Originalsoftware erstellen.

9. Programmdateien können auch durch Verschlüsselung geschützt werden. Wenn ein Virus nach bestimmten Kennzeichen in einem Programm such, wird er durch die Verschlüsselung nicht fündig, falls er die verschlüsselte Datei infiziert, wird er beim Entschlüsseln zerstört.


Was ist zu tun, wenn ein Virus gefunden wurde ?

Die folgenden Tips sind eine Erste Hilfe, wenn auf einer Festplatte Viren gefunden wurden. Bevor die Festplatte neu formatiert wird und dadurch mehr Schaden entsteht, als durch den Virus, sollten folgende Punkte ausgeführt werden:

1. Ruhe bewahren ! Nicht jeder gemeldete Virus ist auch tatsächlich ein Virus.

2. Befallene Datei mit vollem Pfadnamen notieren, auf Diskette kopieren (Beweismaterial !) und Diskette mit Warnhinweis versehen (z.B Virus !).

3. Computer ausschalten.

4. System mit eingelegter, schreibgeschützter Notfalldiskette oder Original-Betriebssystem Diskette starten.

5. Wichtige Daten sichern (Disketten kennzeichnen: z.B Virus-verdächtig).

6. Bekannte, mit denen in letzter Zeit Daten ausgetauscht wurden benachrichtigen !

7. Festplatte mit Virenscanner von schreibgeschützter Diskette auf Viren überprüfen. Falls mit Virenscanner möglich, befallene Datei desinfizieren oder besser löschen. Festplatte nochmals von schreibgeschützter Diskette scannen.

8. Falls der Virus immer noch vorhanden ist, Fachmann befragen.


Weitere Literatur:
FAQ der FidoNet-Area VIRUS.GER, Malte Eppert, Martin Rösler
K.Jamin Computerviren - Merkmale und Gegenmittel (Rohwohlt, 1992 - ISBN 3-499-19215-2)
Textfiles von Antivirenscannern

Alle im Text erwähnten Produkt- und Firmennamen sind eingetragene Warenzeichen der jeweiligen Eigentümer.