Virus
Ein Computervirus ist ein Schadprogramm, das sich selbst verbreitet, indem es sich in andere Programme, Dateien oder den Bootsektor einschleust und dabei Schaden anrichten kann.
Ein Computervirus ist ein bösartiges Programm, das sich selbst verbreitet, indem es sich in andere Programme, Dateien oder Systembereiche einschleust. Wie sein biologisches Vorbild nutzt ein Virus die Ressourcen seines Wirts und schadet ihm dabei häufig.
Der Begriff stammt aus der Biologie: So wie ein biologisches Virus eine Wirtszelle benötigt, um sich zu vermehren, braucht auch ein Computervirus ein Wirtsprogramm oder eine Wirtsdatei. Ohne diese Abhängigkeit von einem Host kann ein klassisches Virus nicht funktionieren.
Viren gehören zur Kategorie der Malware (Schadsoftware) und können verschiedene Schadfunktionen ausführen: von harmlosen Störungen bis hin zu gravierenden Datenbeschädigungen oder Totalausfällen.
Funktionsweise eines Computervirus
Ein Computervirus besteht aus mehreren Komponenten:
- Vermehrungsteil: Sorgt für die Reproduktion des Virus und ist der einzige zwingend notwendige Bestandteil
- Erkennungsteil: Prüft, ob eine Datei bereits infiziert ist, um Mehrfachinfektionen zu vermeiden
- Schadteil (Payload): Führt die eigentliche schädliche Aktion aus
- Tarnungsteil: Versteckt das Virus vor Antivirenprogrammen
Der Infektionsprozess läuft typischerweise so ab:
- Das Virus injiziert sich in ein legitimes Programm oder Dokument
- Es bleibt inaktiv, bis bestimmte Bedingungen erfüllt sind (z.B. ein Datum oder eine Benutzeraktion)
- Beim Ausführen des infizierten Programms wird der Virencode aktiviert
- Das Virus verbreitet sich auf weitere Dateien und kann seine Schadfunktion ausführen
Arten von Computerviren
Dateiviren (Linkviren)
Dateiviren sind der häufigste Virentyp und infizieren ausführbare Dateien wie .exe oder .dll. Sie fügen ihren Code an verschiedenen Stellen ein:
- Prepender-Virus: Fügt sich am Anfang der Wirtsdatei ein
- Appender-Virus: Hängt sich ans Ende der Wirtsdatei an
- EPO-Virus (Entry Point Obscuring): Versteckt sich an beliebigen Stellen im Code
Bootsektorviren
Bootsektorviren nisten sich im Master Boot Record (MBR) der Festplatte ein und werden noch vor dem Betriebssystem aktiv. Sie waren in den 1980er und 1990er Jahren weit verbreitet und gelten als besonders gefährlich, da sie das Hochfahren des Rechners verhindern können.
Heute sind Bootsektorviren selten, da moderne BIOS/UEFI-Systeme und Betriebssysteme gute Schutzmechanismen bieten.
Makroviren
Makroviren befallen Dokumente mit Makro-Unterstützung, typischerweise Microsoft Office-Dateien wie Word oder Excel. Sie nutzen die Makro-Programmiersprache (VBA), um sich zu verbreiten.
Beispiel: Das Melissa-Virus (1999) war eines der ersten weit verbreiteten Makroviren und verschickte sich automatisch an die ersten 50 Kontakte im Outlook-Adressbuch.
Moderne Office-Anwendungen führen Makros standardmäßig nicht aus und warnen vor aktiven Inhalten.
Polymorphe Viren
Polymorphe Viren ändern bei jeder Infektion ihren Code, um die Erkennung durch signaturbasierte Antivirenprogramme zu erschweren. Sie verwenden Verschlüsselung und eine polymorphe Engine, die bei jeder Replikation eine neue Variante erzeugt.
Metamorphe Viren
Metamorphe Viren gehen noch einen Schritt weiter als polymorphe Viren: Sie schreiben ihren gesamten Code bei jeder Infektion um und können vollständig neue Algorithmen erzeugen. Dies macht sie besonders schwer zu erkennen.
Stealth-Viren
Stealth-Viren verwenden Tarnungstechniken, um ihre Anwesenheit zu verschleiern. Sie können sich beispielsweise temporär aus infizierten Dateien entfernen, wenn ein Antivirenprogramm diese scannt.
Unterschied zu Würmern und Trojanern
Obwohl die Begriffe oft synonym verwendet werden, unterscheiden sich diese Malware-Typen grundlegend:
| Merkmal | Virus | Wurm | Trojaner |
|---|---|---|---|
| Wirtsprogramm nötig | Ja | Nein | Nein |
| Selbstständige Verbreitung | Nein (benötigt Benutzeraktion) | Ja (über Netzwerke) | Nein |
| Selbstreplikation | Ja | Ja | Nein |
| Tarnung | In legitimen Dateien | Keine | Als nützliche Software |
Würmer verbreiten sich selbstständig über Netzwerke ohne Benutzerinteraktion.
Trojaner tarnen sich als nützliche Programme, replizieren sich aber nicht selbst.
Verbreitungswege
Computerviren verbreiten sich über verschiedene Wege:
- E-Mail-Anhänge: Infizierte Dokumente oder ausführbare Dateien
- Wechseldatenträger: USB-Sticks, externe Festplatten
- Downloads: Infizierte Software von unseriösen Quellen
- Netzwerkfreigaben: Infizierte Dateien in gemeinsam genutzten Ordnern
- Makros in Dokumenten: Office-Dokumente mit schadhaften Makros
Historische Beispiele
ILOVEYOU (2000)
Der ILOVEYOU-Wurm verbreitete sich als E-Mail mit dem Betreff "ILOVEYOU" und einem VBS-Anhang. Er infizierte über 45 Millionen Computer weltweit und verursachte geschätzte Schäden von über 10 Milliarden US-Dollar.
CIH/Chernobyl (1998)
Das CIH-Virus konnte nicht nur Daten löschen, sondern auch das BIOS überschreiben und Computer damit unbrauchbar machen. Es aktivierte sich am 26. April, dem Jahrestag der Tschernobyl-Katastrophe.
Melissa (1999)
Das Melissa-Makrovirus infizierte Word-Dokumente und verschickte sich an die ersten 50 Outlook-Kontakte. Es war das erste Virus, das sich automatisiert per E-Mail verbreitete.
WannaCry (2017)
WannaCry kombinierte Wurm-Funktionalität mit Ransomware und nutzte eine NSA-Sicherheitslücke. Es verschlüsselte Daten auf über 200.000 Computern in 150 Ländern.
Schutzmaßnahmen
Technische Maßnahmen
- Antivirensoftware: Aktueller Virenscanner mit Echtzeitschutz
- Regelmäßige Updates: Betriebssystem und Software auf dem neuesten Stand halten
- Firewall: Netzwerkverkehr überwachen und filtern
- E-Mail-Filter: Verdächtige Anhänge blockieren
- Berechtigungskonzept: Arbeiten mit eingeschränkten Benutzerrechten
Organisatorische Maßnahmen
- Backups: Regelmäßige Datensicherung auf externen Medien
- Schulungen: Sensibilisierung für Phishing und Social Engineering
- Richtlinien: Klare Regeln für den Umgang mit E-Mail-Anhängen und Downloads
Verhaltensregeln
- Keine unbekannten E-Mail-Anhänge öffnen
- Software nur aus vertrauenswürdigen Quellen installieren
- Makros in Office-Dokumenten nur bei Bedarf aktivieren
- USB-Sticks vor Verwendung scannen
Erkennung einer Infektion
Typische Anzeichen für eine Virusinfektion:
- Deutlich langsamere Systemleistung
- Häufige Abstürze oder Fehlermeldungen
- Unerklärliche Pop-up-Fenster
- Verschwundene oder beschädigte Dateien
- Deaktivierte Sicherheitssoftware
- Ungewöhnlich hohe CPU- oder Netzwerkauslastung
Prüfungsrelevanz für IT-Auszubildende
Für die Abschlussprüfung solltest du folgende Aspekte kennen:
- Definition: Was ist ein Computervirus und wie unterscheidet er sich von Würmern und Trojanern?
- Virentypen: Dateiviren, Bootsektorviren, Makroviren, polymorphe Viren
- Infektionswege: Wie verbreiten sich Viren?
- Schutzmaßnahmen: Technische und organisatorische Maßnahmen
- Erkennung: Typische Symptome einer Infektion
Typische Prüfungsfragen
- Erklären Sie den Unterschied zwischen einem Virus und einem Wurm.
- Warum sind polymorphe Viren schwerer zu erkennen als normale Viren?
- Nennen Sie drei Schutzmaßnahmen gegen Computerviren.
- Was ist ein Makrovirus und welche Dateitypen sind betroffen?
- Beschreiben Sie den typischen Infektionsprozess eines Dateivirus.
Zusammenfassung
Computerviren sind selbstreplizierende Schadprogramme, die ein Wirtsprogramm benötigen und durch Benutzeraktionen verbreitet werden. Sie können verschiedene Formen annehmen (Datei-, Bootsektor-, Makro-, polymorphe Viren) und unterschiedliche Schäden anrichten. Ein effektiver Schutz kombiniert technische Maßnahmen wie Antivirensoftware und Updates mit organisatorischen Maßnahmen wie Schulungen und Backups. Für IT-Fachkräfte ist das Verständnis von Viren und anderen Malware-Typen grundlegend für die Arbeit im Bereich IT-Sicherheit.