Log in

Beschreibung einiger Viren-Arten (-Formen). Hierbei sei jedoch erwähnt, viele Viren können NICHT nur einer der genannten Kategorien zugeordnet werden. - Diese Viren könnte man somit als eine Mischform verschiedene Virentypen bezeichnen. Außerdem tagen manche Viren auch verschiedene Bezeichnungen. Sehen wir die Auflistung also eher als eine Begriffserklärung an.

ANSI-Bomben:
Es handelt sich hier um Sequenzen, welche in normale Texte eingebunden wurde. Bei der Anzeige des Textes wird die Tastaturbelegung verändert. Zunächst ein einfaches Beispiel: Betätigt der Anwender die Taste "g", erscheint "z" auf dem Bildschirm. Jedoch kann auch eine Taste mit "Format C:" + Return" auf eine Taste (z.B. "a") gesetzt werden. ANSI-Bomben benötigen jedoch den ANSI.SYS Treiber um aktiv werden zu können.

Construction Kits:
Construction Kits sind keine Viren, sondern Programme (Generatoren), mit deren Hilfe auch ein "normaler" Anwender "eigene" Viren erzeugen bzw. generieren kann. Jedoch gelten diese Viren als recht primitiv und werden zuverlässig durch Virenscanner erkannt. Trotzdem kommen ständig neuen Viren aus solchen Generatoren in den Umlauf und stellen lediglich für User eine Gefahr da, die keinen Virenscanner auf ihrem System verwenden.

CMOS:
Als CMOS bezeichnet man den externen Speicher eines Rechners, der mit Strom über eine extra Batterie versorgt wird. Hier werden wichtige Informationen wie Uhrzeit, Datum, Größe des DOS-RAM, Festplattenwerte etc. gespeichert. Ein Virus kann sicht nicht in diesem Bereich nicht aktiv speichern oder starten. Jedoch gibt es Viren, die das CMOS löschen oder manipulieren. Dieses hat Systemabstürze zur Folge oder es wird verhindert, dass ein infiziertes System von einer "sauberen" Disketten gestartet werden kann. Diese Art von Viren nennt man auch "CMOS-Viren", welche als sehr gefährlich einzustufen sind.

Companion-Viren (Split-Viren):
Diese Viren machen sich die DOS-Eigenschaft zu nutze, dass Programme mit der Endung.com stets vor einem gleichnamigen Programm mit der Endung .exe gestartet werden. Meisst fallen diese .com-Dateien insofern nicht auf, da diese als Hidden oder System-Dateiattribute gesetzt werden. Diese Dateien werden in der Regel nicht angezeigt. Diese Viren können einfach entfernt werden, da man diese COM-Dateien nur zu löschen braucht. - HINWEIS: Programme mit der Endung ".com" müssen keine Viren bedeuten ! Jedoch gibt es noch mehr Möglichkeiten, wie ein Companion-Virus seine Dateien verstecken kann. Hier z.B. in Pfaden oder Original-Dateien werden einfach umbenannt und die neue, infizierte in den Original-Namen. Auch ist die Erzeugung einer BAT-Datei möglich, die zunächst den Virus und dann die ursprüngliche Datei aufruft. (z.B. Honecker Virus).

Dateiviren:
Diese Viren befallen ausführbare Dateien. Meist befindet sich am Anfang einer infizierten Datei ein Zeiger (Sprunganweisung). - Wird die infizierte Datei nun ausführt, springt zunächst der Zeiger blitzschnell an den Anfang des Viruscodes (der sich in der Regel am Ende der infizierten Datei befindet) führt diesen aus, springt zurück zum Anfang des eigentlichen Programms. Danach erst startet das normale Programm. Meist geht jedoch dieser Vorgang so schnell von statt, dass es dem Anwender kaum auffallen wird (lediglich evtl. eine minimale Verzögerung des Programmstarts). Viele dieser Viren hängen ihren Code einfach hinten an das zu infizierende Programm. - Einige löschen jedoch auch "alten Programmcode" und hängen sich dann an diese Datei.

Dropper / Partitions-oder Bootsektorvirusstarter:
Bootsektorviren können normalerweise nicht in ein System über Programm eindringen. Der Virus versteckt sich in einem speziellem Programm, welches die Aufgabe hat, diesen Virus in der Partition zu installieren. Somit ist das besagte Programm NICHT infiziert, enthält jedoch den Virus, der erst bei Aufruf des Programms auf dem Datenträger (Festplatte, Diskette) installiert wird. Der Virus ist jetzt somit dann installiert, jedoch erst aktiv, wenn das System neu gestartet wird. Auch gibt es solche Dropper für Dateiviren. Hier wurde der Virus versteckt, damit dieser durch Virenscanner nicht erkannt wird.

Direct Action-Viren:
Diese Art von Viren sind/werden nicht speicherresident (laufen also nicht ständig im Hintergrund eines Systems mit). Wird ein solcher Virus aktiviert, sucht er sofort nach anderen Programmen, die er infizieren kann. Einige suchen nur nach Dateien im gleichen Verzeichnis, besser programmierte auch in anderen Verzeichnissen oder über Path angegebene Verzeichnisstrukturen. Diese Art von Viren erfordern nicht allzu hohe Fachkenntnisse. Daher ist auch eine hohe Anzahl dieser Viren zu verzeichnen, aber trotzdem wenig verbreitet sind.

DIR-Viren / Verzeichnis-Viren:
Dieser Typ von Virus manipuliert direkt die DOS-Verzeichnisse und keine Sektoren oder Dateien. Diese Vorgehensweise hat zur Folge, dass diese Viren sich rasend schnell ausbreiten, da schon ein DIR-Befehl ausreicht, dieses Verzeichnis komplett zu infizieren. Bootet man von einer sauberen Disketten, sind alle infizierten Datei querverbunden, da alle Datei auf den selber Cluster zeigen.

Fast Infector:
Schon beim öffnen bzw. schließen einer Datei, werden diese durch Fast Infector Viren infiziert. - Startet der Anwender einen Virenscanner, während sich ein solcher Virus aktiv im System befindet, können nach dem Scannvorgang nahezu alle Datei auf einem System infiziert sein. Fast Infectors verbreiten sich somit wie ein Lauffeuer auf einem betroffenen System. Jedoch wird hierdurch auch das befallende System ziemlich stark abgebremst und der Anwender wird dieses bemerken.

Header-Viren:
Dieser Viren-Typ infiziert Programme über direkte Sektormanipulationen mittels INT13h. Also nicht wie sonst üblich über den INT21h. Jedoch werden nur EXE-Dateien infiziert, die einen "leeren" Programmkopf besitzen und kleiner als 64 KB sind. Da solche Dateien recht selten sind, hat haben Header-Viren heutzutage wenig Chancen sich überhaupt zu verbreiten. Außerdem sind diese Viren auch sehr häufig "Fast Infectors" und können Programme auf DBLSPACE, RAMDRIVES und anderen logischen Laufwerken nicht infizieren.

HLL-Viren:
In diese Kategorie fallen alle Viren, welche mit Hochsprachen erzeugt wurden. Hier unterscheidet man unter HLLT (Trojan), HLLP (Parasitic), HLLC (Companion) und HLLO (Overwriting) -Viren. HLLO-Viren treten recht häufig auch, da diese einfach zu programmieren sind. HLLP-Viren dagegen sind sehr selten, da die notwendigen Codes in Hochsprache schwierig zu programmieren sind.

Hoaxe:
Darunter versteht man Meldungen über Malware (Sammelbegriff für schädliche Programme wie Trojaner, Viren etc.), die es gar nicht gibt. Immer wieder werden Mailboxen mit solcherlei Meldungen verstopft. Besonders beliebt sind Meldungen, dass eine Mail mit einem bestimmten Betreff in keinem Fall geöffnet werden darf. Wer dieses jedoch macht, infiziert sein System sofort mit einem Virus oder einem Trojanischen Pferd. Den einzigen Schaden, den solche Meldungen verursachen, ist die Tatsache, dass Mailsystem verstopft und ahnungslose Leute in Panik versetzt werden. Das klassische Beispiel für solche Hoaxe sind Meldungen über einen Virus mit dem Namen "Good Times" und "Penpal".

HTML-Viren:
Was lange Zeit kaum denkbar war, wurde im Oktober 1998 Wirklichkeit. Der erste HTML-Virus tauchte auf. - Dieser Virus versteckt sich in Form eines VB-Scripts in einer HTML-Datei und kann auch andere Datei infizieren, indem er sich ebenfalls als Script in der Datei versteckt. Der Virus arbeitet vom Prinzip her wie die Script-Viren und funktionieren nur auf Windows 98 - Systemen bzw. wenn der Windows Scripting Host auf dem System installiert ist. Jedoch können nicht nur HTML-Dateien, sondern auch HTA-,VBS und DOC-Dateien infiziert werden. Dieses hängt jedoch von dem jeweiligen Virus ab und kann somit zugleich auch unter die Kategorie Makroviren fallen.

In the wild (ITW) - Viren in freier Wildbahn:
Unter diesen Begriff fallen Viren, die immer wieder in "freier Wildbahn" anzutreffen ist. Das bedeutet: Auf infizierten System sind immer wieder diese Viren anzutreffen. Es gibt zwar viele, viele tausende von Viren, jedoch wird der größte Teil davon so gut wie nie auf einem infiziertem System gefunden. Oft handelt es sich auch um Viren, die gar nicht mal so neu oder trickreich sind. Viele dieser Viren werden selbst durch ältere Antiviren Programmen erkannt. Trotzdem sind diese Viren (aus welchen Gründen auch immer) kaum auszurotten.

Java Viren:
Der erste Java-Virus nennt sich "Strange-Brew". Jedoch geht von diesem Virus keine Bedrohung aus, da der Virus zu inkompatibel ist und somit auf fast keiner Java-Implentierung läuft. Auch ist noch kein ernsthafter Java-Virus zu erwarten, da die ganze Strukur von Java sehr umfpangreich und nicht leicht erlernbar ist.

Kernel-Viren:
Diese Sorte von Viren infizieren zuerst bestimmt Programme eines Betriebssystems. Unter DOS somit "IO.SYS" oder "MSDOS.SYS". Es soll von dieser Virensorte bisher nur ein Exemplar bekannt sein. Ansich ist es eine Mischung aus DIR- u. Bootsektorviren. Denn auf Festplatten wird durch die direkte Veränderung des Verzeichniseintrages "IO.SYS" infiziert. Auf Disketten der Bootsektor.

Killerprogramme:
Unter Killerprogramme versteht man Viren, welche nach einer bestimmten Anzahl von Infektionen eine Aktion auslösen. - Der "interne Zähler" dieser Viren zählt von einem festgelegten Wert runter bis auf "null". Nachdem das geschehen ist, kommt es auf den jeweiligen Virus an, was nun passiert. Jedenfalls werden die Daten eines Systems gelöscht oder unbrauchbar gemacht. Es kann z.B. ein Befehl "Format" aufgerufen und durch den Virus bestätigt werden. Andere Viren löschen ohne Nachfrage "nur" die Daten. Die noch gemeinere Variante ändert die FAT-Einträger einer Festplatte. Die Daten sind zwar noch alle auf der Festplatte enthalten, jedoch sind diese weder les- noch verwendbar.

Laborviren / Research-Viren:
Darunter versteht man die Viren, welche in der "freien Wildbahn" quasi nie anzutreffen sind. Diese Viren wurden Virenforschern zugespielt und befinden sich nur in deren Laboren. Somit befinden sich diese lediglich in deren Sammlungen. Im übrigen ist der größte Teil aller Viren als Laborviren zu bezeichnen.

Makro Viren:
Makro-Viren gibt es noch nicht so lange wie die "herkömmlichen" Virenarten. Viele Textverarbeitungsprogramme wie z.B. Word nutzen zur Automatisierung von Aufgaben die an Basic angelehnte Makrosprache. Diese Programmiersprache ist recht einfach erlernbar. Diese Tatsache hatte zur Folge, dass Makroviren heute weitaus öfter anzutreffen sind, als andere Virenarten. Vom Prinzip her sind Makroviren ebenfalls Dateiviren (Erklärung siehe unter "Dateiviren"). Lediglich werden hier nur Dokumente infiziert und KEINE Programme. Jedoch gibt es nicht nur Makroviren, die Word-Dokumente (also .doc-Dateien) infizieren, sondern z.B. auch Excel-Viren. Die Makrosprache erlaubt recht mächtige Funktionen bzw. kann automatisch zahlreiche Aufgaben erledigen. - Wer jedoch z.B. kein Word auf seinem System installiert hat, braucht nicht unbedingt etwas zu befürchten, wenn er von einem solchen Virus heimgesucht wird (bezogen auf Makroviren, die .doc-Dateien infizieren).

Partitionsviren:
Diese Viren verändern die Partition direkt oder die Angaben des ersten logische Sektors und werden bei jedem Systemstart sofort aktiv. Einen solchen Virus kann man NICHT durch das Formatieren einer Festplatte entfernen. Meist reicht schon ein Aufruf von "FDISK/MBR" von einer sauberen Bootdiskette aus um den Virus zu entfernen.

Polymorphe Viren:
Früher reichte es den Herstellern von Anti-Viren-Programmen, wenn der Code (bzw. die Bytefolge) eines Virus analysiert und als Virendefinition in einer Datenbank des Virenscanners als "Vergleichliste" für Scannvorgänge abgelegt wurde. Die Erkennungraten der Virenscanner konnte als sehr hoch eingestuft werden, da diese Datenbanken ständig aktualisiert wurden. Jedoch haben die Virenprogrammierer die Zeichen der Zeit leider auch nicht verschlafen und entwickelten neue Methoden, damit "ihr" Virus gar nicht oder nur schwer durch Virenscanner erkannt wird. In Polymorphen Viren werden Codeveränderung oder Codeverschlüsselungen verwendet. Diese Viren verschlüsseln dabei den eigentlichen Code mit einem veränderlichen Schlüssel. Die Entschlüsselungsroutine bleibt jedoch unverschlüsselt im Viruscode. Damit Virenscanner nun nicht einen Virus anhand ihrer Entschlüsselungsroutine identifizieren, werden diese Routinen automatisch bei jeder Infektion soweit verändert, dass anhand der Bytefolge keine Identifizierung mehr möglich ist. Die Funktion der Verschlüsselungsroutine wird dadurch natürlich nicht beeinträchtigt. Viele Virenprogrammierer bedienen sich zur Verschlüsselung ihrer Codes an so genannten Codegeneratoren, welche diesen Teil der Programmierarbeit übernehmen. Es gibt Generatoren, die als sehr leistungsfähig bis fast unbrauchbar einzustufen sind. Viele dieser Generatoren kommen aus Osteuropa oder Taiwan. Trotzdem gelingt es den Softwareherstellern von Virenscannern immer wieder, auch diese verschlüsselten Viren zu identifizieren. - Auch wenn dieses manchmal recht aufwendig ist. Jedoch brauchen Virenprogrammierer nicht glauben, dass Virenforschern Codegeneratoren nicht bekannt sind......

Retroviren:
Dieser "Virenspezie" ist darauf aus Antivirenprogramme anzugreifen. Dieses reicht von völlig ausser Gefecht setzen bis zur Manipulation der Software. Programmierer dieser Sorte Viren untersuchen genauestens "Byte für Byte" die Anti Viren Programme nach Schwachstellen.
Retroviren können z.B. einen Virenscanner dahingehend verändern, dass dieses Programm zwar noch einen Scannvorgang vollzieht, jedoch eigentlich gar nicht mehr nach Viren sucht. - Das würde somit bedeuten: Das System könnte "durch und durch" mit Viren verseucht sein, der Scanner meldet jedoch, dass alles in Ordnung sei. Manche Scanner legen so genannten Prüfsummen an, die ein Retrovirus zu seinen Gunsten nutzen kann. Diese Prüfsummen werden einfach entsprechend manipuliert. Hierbei möchte ich jedoch erwähnen, dass viele andere Viren auch Retroviren sind, um sich vor einer Entdeckung zu schützen. Wenn man es genauer betrachtet, würde es für den Virenprogrammierer wenig Sinn machen, einen reinen Retrovirus zu programmieren....

Residente Viren:
Diese Viren belegen Speicher und hängen sich in den Interrupt 21h und/oder 13h. Über den INT21h werden allen internen DOS-Funktionen (Programme starten, öffnen, kopieren, löschen etc.) abgewickelt.
Somit bekommt der Virus Programme von "erster Quelle" geliefert, um diese zu infizieren. Der INT 13h ist für Festplatten- u. Diskettenzugriffe zuständig und wird durch Sektor- und Multipartite -Viren belegt. Die Arbeitsweise dieser Viren ist als Recht kompliziert zu betrachten. Diese hier zu Beschreiben würde den Rahmen der Rubrik sprengen. Kurz gesagt: Dieser Virus arbeitet ständig im Hintergrund um nach zu infizierenden Dateien "Ausschau" zu halten. In einigen Fällen erweist es sich als schwierig, einen solchen Plagegeist endgültig loszuwerden. Nur ein Formatieren der Festplatte reicht in der Regel nicht aus.

Script-Viren:
Diese Virenart ist noch recht neu und seit Oktober 1998 erstmalig in den Umlauf geraten. Der erste dieser Art von Viren heißt: "Winscript Rabbit" und bedient sich der Script-Sprache "VB-Script aus dem Hause Microsoft. Neuere Versionen infizieren nicht nur VB-Scripts, sondern auch Netscape kompatible Java Scripts. Befindet sich ein solcher Virus einmal auf dem System werden alle Script-Dateien im Browser-Cache infiziert und kopiert sich sogar auf dem Desktop. Der erstaunte Anwender bekommt z.B. lustige Icons auf seinem Bildschirm zu Gesicht. Script-Viren funktionieren allerdings nur unter Windows 98 bzw. auf Rechnern, wo der Windows Scripting Host installiert wurde. Im übrigen kann man bei einer Win 98 Neuinstallation auch den Scripting-Host ausschließen.

Slack Viren:
Der Slack-Bereich ist der Platz auf einem Cluster, der durch eine Datei nicht ausgefüllt wurde. Nehmen wir an ein Cluster ist 8192 Bytes groß, die Datei jedoch nur 7000 Bytes, bleiben noch 1192 als Slack übrig. Genau diesen freien Platz nutzen so genannte Slack-Viren um sich unauffällig einzunisten. Dadurch wird verhindert, dass die Größe einer Datei verändert wird und somit dem Anwender nicht auffällt. Diese Viren sind jedoch recht selten anzutreffen. Anwender, die hin und wieder ihre Festplatte defragmentieren, werden spätestens damit diesen Virus entfernen.

Slow Infector-Viren:
Vom Prinzip her das Gegenteil von "Fast Infector-Viren", da diese sich (wie der Name bereits vermuten lässt) nur langsam verbreiten. Diese Art von Viren infiziert lediglich beim Erstellen oder Schreiben von Programmen diese Dateien. Diese Technik hat den Hintergrund, um Prüfsummenprogramme und residente Wächterprogrammen auszutricksen. Da somit die Datei ja erst erstellt wird, liegt somit auch keine Prüfsumme vor. Diese Viren sind jedoch relativ selten. Fast Infector-Viren treten dagegen sehr häufig in Erscheinung.

Stealthviren / Tarnkappenviren:
Hier unterscheidet man zwischen Semi- und Vollstealth-Viren. Vollstealth-Viren verbergen die Tatsache, dass infiziert Dateien oder Sektoren verlänger/verändert wurden. Somit können Virensuchprogramme und Prüfsummenchecker getäuscht werden. Semistealth-Viren unterscheiden sich im Gegensatz zu Vollstealth-Viren darin, dass lediglich die Dateiverlängerungen verborgen werden und nicht die Dateiveränderungen. Der Begriff "Stealth" wird immer wieder für alle möglichen Viren-Tricks (raffiniert programmierte Viren etc.) benutzt, welches jedoch nicht den eigentlich Begriff wie hier beschrieben definiert.

TSR-Dateiviren:
Diese Viren-Art ist besonders häufig anzutreffen. In der Regel werden .com und .exe - Dateien befallen, jedoch gibt es auch einige dieser Viren, die Gerätetreiber und Überlagerungsdateien infizieren. Des Weiteren müssen die Programme nicht unbedingt die Erweiterung ".com" oder ".exe" haben, obwohl dieses natürlich in den allermeisten Fällen (99%) zutrifft. Ein TSR-Virus verbreitet sich auf einem System, indem ein infiziertes Programm (sei es durch Download aus dem Internet, Disketten/CD´s von Bekannten oder woher auch immer) ausgeführt wird. Der Virus wird dann speicherresident (d. h. er befindet sich im Arbeitsspeicher bzw. läuft im Hintergrund es Systems mit) und wartet darauf, dass der Anwender ein bisher nicht infiziertes Programm öffnet. Geschieht dieses, wird auch dieses Programm infiziert. Das geht praktisch so lange, bis alle Programme auf einem System infiziert sind. Die Dateien werden also somit schon nur beim öffnen einer Datei infiziert. Somit kann bei einer eventuellen Datensicherung (wo gegebenenfalls jedes Programm geöffnet wird) ALLES infiziert werden. Jedoch möchte ich noch erwähnen, dass sich die Infektionsroutinen auch durchaus unterscheiden. Es kann auch nur durch einen "DIR-Befehl" alle somit angezeigten Programme infiziert werden. Die Auslösung der Infektionsroutine erfolgt somit schon bei Vorgängen, wo bestimmt wird, welche Dateien auf einem System/Ordner etc. vorhanden sind. Auch wurden noch andere Infektionsroutingen bekannt, jedoch sind diese recht selten anzutreffen. Diese Art der Viren könnte man somit auch durchaus zur Gruppe der Fast Infector-Viren zählen.

Update-Viren:
Eigentlich sagt hier auch schon die Bezeichnung "Update" eine Menge aus, welches sich auch in der Art des Virus widerspiegelt. Update-Viren sind in der Regel einer ganzen Familie zuzuordnen. Meist werden diese von einem einzigen Programmierer oder einer Gruppe erstellt. Neben ihrer eigentlich Funktion als Virus sind hier noch Update-Routinen zu finden. Diese überprüft ob der Virus schon vertreten ist und wenn ja in welcher Version. Ist die vorhandene Version älter, wird dieser durch die neue Version ersetzt. Falls die vorhandene Version schon neuer ist, wird diese Datei nicht noch einmal infiziert.

Überschreibende Viren (Overwriting):
Overwriting-Viren sind in ihrer Struktur in der Regel die einfachste Virenart. Jedoch ist gerade diese Art von Viren besonders gefährlich, da diese immer Daten zerstört, indem diese entweder ganz oder zum Teil überschrieben werden. Es gibt winzige solche Viren, die gerade mal 23 Byte lang sind. Diese Viren sind nicht resident und suchen normaler Weise nur im aktuellen Verzeichnis nach Opfern.

Zeitzünder:
Es handelt sich hier um spezielle Auslösemechanismus, die eine Routine im eigentlichen Virus enthalten. In der Regel wird hierbei die Systemzeit (Uhrzeit, Datum etc.) abgefragt bzw. überwacht. Tritt der festgelegte Wert (z.B. ein Datum) ein, tritt der Virus in Aktion. Viele dieser Viren geben zu diesem Zeitpunkt eine Meldung auf den Bildschirm aus und verabschieden sich dann wieder. Jüngstes Beispiel für so einen Zeitzünder ist der CIH-Virus, welcher am 26. eines Monats in Aktion tritt und Daten aus dem Bios-Chip überschreibt. Jedoch kann die Auswahl bzw. Bedingungen eines Zeitzünders unbegrenzt sein. Dazu kann ein Datum, eine Uhrzeit oder nach dem nächsten Einschalten des Rechner usw., usw. gehören. Theoretisch ist es somit möglich, einen Virus über Monate oder sogar Jahre auf einem System zu haben, ohne jegliche Reaktionen seitens des Virus. Der Auslösemechanismus kann durchaus auch erst zu einem Jahreswechsel auftreten.