VIREN: Definition und Wirkungsweise

Dies ist tatsächlich nur eine Definition! Wie Sie sich vor Viren schützen können, lesen Sie in unserem ausführlichen Insider-Artikel über diese Plagegeister (neue Seite).

Eigentlich ist zwischen vier Arten von "Viren" zu unterscheiden:

Viren, Würmer, Trojaner und Hoaxes.

Im allgemeinen Sprachgebrauch wird jedoch für alle Arten meist nur der Begriff "Viren" verwendet. Und in der Praxis sind sie oft auch gar nicht leicht zu unterscheiden, da sie tatsächlich vielfältig kombiniert auftreten können.

Viren, Würmer und Trojaner enthalten ein mehr oder weniger großes Schadenspotential für den befallenen Computer, Hoaxes dagegen sind eher "Scherz-Viren", obwohl es ein ziemlich schlechter Scherz ist, wenn Arbeitszeit vergeudet und Leitungskapazität in den Telefonnetzen vernichtet wird, oder wenn gar Dateien gelöscht werden, die zum Betriebssystem gehören.
Mit Hoaxes befassen wir uns hier nicht mehr näher, alles Wissenswerte über sie finden Sie in unserem Insider-Artikel über Viren (neue Seite).

Die ersten Viren entstanden schon 1983 und gaben der ganzen Gruppe ihren Namen.
Wir unterscheiden drei Arten von "echten" Viren:

Boot-Viren befinden sich im Bootsektor einer Diskette oder Festplatte und werden beim Hochfahren des Computers aktiviert.
File-Viren (Datei- oder Programm-Viren) sind in einem Wirtsprogramm versteckt und werden durch Aufruf des infizierten Programmes aktiviert.
Makro-Viren befallen Dateien oder Mustervorlagen, die mit bestimmten Programmen erstellt wurden: Zumeist WORD, viel seltener EXCEL, ACCESS und POWERPOINT; darüber hinaus aber auch alle Anwendungen, die die Scriptsprachen Visual Basic for Applications (VBA) und Visual Basic Script (VBS) unterstützen, z. B. CorelDraw und AutoCAD.
Sie werden aktiviert, wenn die betreffende Datei gestartet wird - und infizieren dann auch gleich das gesamte Programm.
Bei WORD wird beispielsweise die globale Vorlage des Programmes, die Datei NORMAL.DOT infiziert, welche bei jedem Start des Programmes automatisch ausgeführt wird.

Eine "nicht selbständige Programmroutine" bedeutet, dass ein Virus nicht als eigene Datei auf der Festplatte existiert, sondern sich bei einem anderen Programm "einschleichen" und dieses dadurch infizieren muss.
Dieses "Wirtsprogramm" muss in jedem Fall ausführbar (= executable) sein, kann also vom Betriebssystem oder vom Anwender gestartet werden. Neben Dateien mit der Dateinamenserweiterung *.exe sind dies in erster Linie noch *.com- und *.bat - Dateien. (Weitere potentiell gefährdete Dateien siehe Viren-Insider-Artikel!)
Ein Virus existiert also gar nicht als eigene Datei auf der Festplatte und kann daher auch nicht direkt aufgerufen (und natürlich auch nicht gelöscht) werden. Er muss vielmehr warten, bis das Wirtsprogramm, an das er sich gehängt hat, geöffnet wird.

Der Name "Virus" beruht auf der Fähigkeit der Programmroutine, sich nach einem Aufruf seines Wirtsprogrammes im Arbeitsspeicher des Computers einzunisten und von nun an auch alle weiteren ausführbaren Programme, die vom Anwender gestartet werden, anzustecken - also für seine eigene Reproduktion zu sorgen. So wie eben auch ein an Grippe erkrankter Mensch zahlreiche weitere Menschen anstecken kann.

Computer-Viren richten auf dem befallenen Rechner bestimmte Schäden an, deren Ausmaß eine ungeheure Bandbreite aufweisen kann: Von harmlosen (aber mit der Zeit äußerst nervenden) Scherz-Meldungen oder den Verlust einzelner Dateien über das Nicht-mehr-Funktionieren von Programmen oder des gesamten Betriebssystems bis hin zum völligen Löschen aller Daten auf der Festplatte - alles ist möglich! Hundsgemein sind auch solche Boot-Viren, die ein Hochfahren des Computers von der Festplatte aus unmöglich machen.
Die Zahl der existierenden Viren ist ungeheuer groß - an die 100.000 werden es schon sein. Viele von ihnen sind allerdings "nur" Modifikationen anderer Viren, viele weitere waren so schlecht programmiert, dass sie kaum eine nennenswerte Verbreitung fanden.

Die Verbreitung neuer Viren ist seit einigen Jahren stark rückläufig, an ihrer Stelle sind die Würmer und Trojaner stark im Vormarsch.

Viren befallen einen Computer und auf diesem dann möglichst viele ausführbare Dateien.
So weit, - so schlecht.
Würmer dagegen sind unersättlich in ihrem Bemühen, nicht nur das lokale Computersystem, sondern gleich auch alle anderen Computer, die sie in irgendeiner Weise erreichen können (Netzwerke, Internet, E-Mail), ebenfalls zu infizieren und sich lawinenartig über ganze Kontinente auszubreiten (oft in nur wenigen Stunden)!
Würmer benötigen kein Wirtsprogramm, sondern existieren selbstständig als Datei(en) auf der Festplatte. Im Gegensatz zu den Viren, die darauf warten müssen, bis ihr Wirtsprogramm aufgerufen wird, rufen sich Würmer in der Regel bei jedem Start des Computers (durch einen entsprechenden Eintrag in der Windows-Registrierung) selber auf; und sie sorgen auch selber für ihre Verbreitung in Netzwerken, über das Internet und hauptsächlich über Beilagen in E-Mails (attachments).

Würmer können gleiches Schadenspotential wie Viren beinhalten und dem Computer schweren Schaden zufügen, aber das tun mittlerweile immer weniger. Denn das würde dem Betroffenen ja sofort auffallen. Nein - der infizierte Computer soll (anscheinend) funktionieren wie immer, denn nur dann ist er für die gewünschte weitere Ausbreitung des Wurmes nützlich.
Wohl aber bringen Würmer immer öfter Trojanische Pferde und Backdoors mit und installieren sie auf den befallenen Rechnern.

Sie kennen sicherlich die Geschichte vom Trojanischen Pferd, mit dessen Hilfe es im 12. Jahrhundert v. Ch. den Griechen gelungen sein soll, die Stadt Troja zu erobern. Solche Trojanischen Pferde versuchen sich auch auf unseren Comptuern einzunisten; und so wie es den Griechen gelang, die Trojaner dazu zu bewegen, das Holzpferd in ihre Stadt zu bringen, muss es auch diesen Viren erst gelingen, unser Interesse zu erwecken und uns dazu zu bringen, ein kleines Programm zu installieren, einen E-Mail-Anhang zu öffnen oder einem Link in einem Mail oder auf einer Internetseite zu folgen; - und dann ist es "in unserer Stadt", das "böse Pferd", und wartet auf seine Chance, seine destruktiven Tätigkeiten in Angriff nehmen zu können!

Am häufigsten fängt man sich einen (oder mehrere) Trojaner mit kleinen Gratis-Programmen ein, die man aus dem Internet heruntergeladen und auf seinem PC installiert hat.
Einige dieser Programme beinhalten keinerlei nützliche Funktion, sondern ausschließlich die Schadkomponenten. Sie geben am Ende der Installation meist eine Fehlermeldung aus, z. B., dass eine für die Funktion des "Programmes" nötige Datei nicht gefunden wurde oder beschädigt ist.
Der Anwender ist enttäuscht über die angebliche Fehlfunktion, löscht das vermeintliche Programm wieder und macht sich keinerlei weitere Gedanken darüber.
Aber: Das war keine Fehlfunktion! - Das "Pferd" ist in der "Stadt"!

Es gibt aber auch wesentlich gerissenere Trojaner: Sie sind in Programmen versteckt, die durchaus nützliche Funktionen haben und auch einwandfrei arbeiten. Gleichzeitig werden im Hintergrund jedoch bestimmte Aktionen ausgeführt, die vom Opfer nicht erwartet, nicht gewünscht und in den meisten Fällen auch nicht bemerkt werden.

Viele Trojaner werden bei jedem Systemstart mitgestartet und laufen als Prozess ständig im Hintergrund, andere wiederum warten auf den Start eines bestimmten Programmes, beispielsweise den Internet Explorer, und starten erst dann.

Trojaner sind aber nicht - wie Viren und Würmer - darauf aus, sich zu verbreiten, sie sind also nicht "ansteckend". Sie machen daher auch keine Schlagzeilen auf Grund massenhafter Verbreitung. Still und leise verharren sie in einer kleinen Datei und warten auf ihre Chance oder sie gehen im Hintergrund schon ihren subversiven Tätigkeiten nach. Und sie sind ganz sicher viel weiter verbreitet, als man annimmt!

Anfänglich waren die Trojaner ähnlich den Viren "nur" darum bemüht, (teils massiven) Schaden anzurichten.
Solche Holzhammer-Methoden sind mittlerweile allerdings von wesentlich diffizileren Vorgehensweisen abgelöst worden. Die Urheber eines solchen Killer-Virus haben eigentlich nichts davon, wenn ein paar Dateien oder Festplatten abgeschossen werden - zumal sie ihre Opfer gar nicht kennen.
Viel wertvoller für sie ist da schon die Zugriffsmöglichkeit auf möglichst viele Computer und eventuell sogar die völlige Kontrolle über diese!
Und genau das können moderne Trojaner!

Mit diesen netten Pferdchen können geschickte Virenprogrammierer die befallenen Computer ausspionieren, Tätigkeiten und Surfgewohnheiten mitprotokollieren und durchgeführte Aktionen über Internet an sie übermitteln. Solcherart können natürlich auch sehr sensible Daten wie Passwörter, Kreditkarten-Nummern und ähnliches ausspioniert werden!

In vielen Fällen werden die befallenen Computer auch als "Waffe" gegen missliebige Firmen benutzt:
Ab einem bestimmten Datum und einer bestimmten Uhrzeit wird von hunderttausenden infizierter Computer die Homepage der ins Visier genommenen Firma gleichzeitig mit Anfragen und Download-Anforderungen bombardiert - und bricht unter dieser Last natürlich binnen kürzester Zeit zusammen.

Eine besonders hinterlistige Form des Trojanischen Pferdes sind so genannte Backdoor-Trojaner. Diese richten auf dem Wirtssystem Ports (Backdoors = Hintertüren) ein, durch die ein Hacker (bei bestehender Internetverbindung) in den infizierten Computer "einbrechen" kann. Mit Hilfe von Backdoor-Trojanern kann der Hacker jederzeit auf fremde Rechner zugreifen, Dateien herunterholen oder auf dem PC speichern, Programme installieren und ausführen; er hat damit die Fernkontrolle über praktisch alle Funktionen!

Häufig werden solche ferngesteuerten "Zombie-PC's" auch dazu missbraucht, Spam (= unerwünschte Werbe-Mails) zu versenden. Und zwar nicht nur an jene Mail-Empfänger, die im Adressbuch des gekaperten Computers gespeichert sind, sondern an tausende von E-Mail-Adressen, die zuvor von einem Hacker auf der Festplatte des Opfers in einer unauffälligen Datei gespeichert wurden.
Man nimmt an, dass heute bereits mehr als die Hälfte aller Spam-Mails von gekaperten PC's "ganz normaler" User versendet werden, die davon nicht die geringste Ahnung haben und sich höchstens darüber wundern, dass Ihre Internet-Verbindung auf einmal "so langsam" geworden ist. In Wahrheit wird nahezu die gesamte Leitungskapazität für das Versenden der Spam-Mails in Anspruch genommen!

Aus jedem simplen Virus oder Wurm kann mit entsprechenden Zusatzprogrammen ein Trojaner werden. Eine klare Unterscheidung "Virus, Wurm oder Trojaner?" ist daher in vielen Fällen gar nicht möglich.

Lesen Sie Näheres dazu in unserem Insider-Artikel 5: Spyware - Big brother is watching you... (neues Fenster)!