Grundlagen: Computerviren

Dieser Artikel bietet einen grundsaetzlichen Ueberblick ueber die Thematik der Computerviren. Teil I stellt Viren und trojanische Pferde vor, Teil II beschaeftigt sich mit Fakten und Fabeln ueber Computerviren.

Grundlagen: Computerviren I

Viren, Trojanische Pferde, Wuermer und sonstiges Getier:
Der digitale Zoo

1 Computerviren

Die beruehmt-beruechtigten Viren, die ueber Computer herfallen.
Was ist das ueberhaupt?
Definition nach Fred Cohen: Ein Computervirus ist ein
Computerprogramm, welches andere Computerprogramme infizieren kann,
indem es diese in einer Form modifiziert, dass sie zukuenftig eine
Kopie des Virusprogramms selbst enthalten. Zu beachten ist, dass ein
Programm keinesfalls Schaden verursachen muss (wie zum Beispiel das
Loeschen von Dateien), um "Virus" genannt zu werden. Eine andere
Umschreibung: Computerviren haben mit ihren biologischen Verwandten
die Faehigkeit zur Reproduktion gemeinsam. Sie sind keine
eigenstaendigen Programme, sondern missbrauchen ein Wirtsprogramm fuer
ihre Zwecke, indem sie spezifische Schwachstellen des Betriebssystems
ausnutzen.

Viele Leute benutzen den Begriff "Virus" in einer Bedeutung, die alle
Programme oder Softwarestuecke beschreibt, die versuchen, ihre
(destruktive) Funktion zu verbergen und sich so weit wie moeglich zu
verbreiten. Hier wollen wir unterscheiden zwischen Viren, Trojanischen
Pferden und Wuermern.
Ein Virus ist demnach ein Programm, das faehig ist, sich selbst zu
reproduzieren und sich somit selbst verbreitet. In den meisten Faellen
beinhaltet das Virusprogramm eine Schadensroutine, was aber nicht
zwangslaeufig notwendig ist. Ausser diesen Zwecken dient das Virus zu
nichts.

Voellig verharmlosend waere es, diese Art Software als Streich
darzustellen. Die Sachlage ist durchaus ernst. Viren verbreiten sich
schneller, als sie gestoppt werden koennen und selbst scheinbar
harmlose Viren koennen fatale Folgen nach sich ziehen. Beispielsweise
ist ein Virus, der "nur" das System stoppt und eine Mitteilung auf dem
Bildschirm ausgibt, in einem Computer, der in einem Krankenhaus ein
lebenserhaltendes System steuert, eine Katastrophe. Selbst der
Programmierer eines solchen Scherz-Virus hat diese Wirkung vielleicht
nicht im Sinn gehabt. Achten Sie also auf Viren, auch wenn Sie harmlos
erscheinen, wie z.B. der Keks-Virus, der solange "I want a cookie" auf
dem Bildschirm erscheinen laesst, bis man ueber die Tastatur das Wort
"cookie" eingibt.

Seit 1986 der erste DOS-Virus auftauchte, entwickelten
Computerviren eine grosse Nachkommenschaft mit immer mehr
Untergruppierungen. Die folgenden Abschnitte erlaeutern die
Merkmale einzelner Gattungen.

1.1 Bootsektorviren

Bootsektorviren residieren im Bootsektor einer Diskette oder
Festplatte oder im Master-Boot-Record (MBR) einer Festplatte. Sie
koennen zwar eine Arbeitsstation im Netz befallen, sich aber ueber das
Netz nicht weiter ausbreiten.

1.2 Companionviren

Companionviren sind die unerwuenschten Begleiter von EXE-Dateien. Der
Virus erzeugt ein namensgleiches COM-File eines vorhandenen
EXE-Programms. DOS arbeitet die viroese COM-Datei zuerst ab, der Virus
ruft anschliessend das EXE-Programm auf.

1.3 Dateiviren (Programmviren)

Dateiviren, auch Programmviren genannt, befallen nur ausfuehrbare
Programmdateien und finden im Netzwerk ideale Bedingungen fuer eine
rasche Ausbreitung vor.

1.4 Hybridviren

Hybridviren vereinen die Eigenschaften von Datei- und Bootsektorviren
und sind in der Lage, sowohl Dateien als auch Bootsektoren zu
befallen. Im Unterschied zu Bootsektorviren stellen sie eine Bedrohung
fuer ein Netzwerk dar.

1.5 Polymorphe Viren

Polymorphe Viren veraendern durch Verschluesselung ihr Aussehen und
entgehen so Virenscannern, die lediglich nach einem signifikanten
Dateistring fahnden. Sie nutzen zum Teil den
Verschluesselungsalgorithmus von Mutation Engines, um ihr Aussehen zu
veraendern. Das Aufspueren hochpolymorpher Viren ist weit
komplizierter als das primitiver Stringviren, deswegen haben einige
Antivirenprogramme hier nur eine Teilerkennung oder gar keine
aufzuweisen.

1.6 Residente Viren

Residente Viren bleiben vom Zeitpunkt des Aufrufs der virulenten
Programms bis zum Abschalten des Rechners im Arbeitsspeicher aktiv und
finden genuegend Zeit, eine Vielzahl von Programmen zu infizieren.

1.7 Tarnkappenviren (Stealthviren)

Tarnkappenviren, auch Stealthviren genannt, versuchen sich einer
Entdeckung durch einen Dateibefehl oder Virenscanner mit gezielten
Massnahmen zu entziehen. Dazu zaehlt beispielsweise die Ausgabe der
urspruenglichen statt der aktuellen Dateigroesse.

1.8 Tunnelviren

Tunnelviren sind darauf spezialisiert, die Pruefsummenfunktionen
von Antivirenprogrammen zu entgehen. Durch genaue Analyse der
Arbeitsweise von Pruefsummenalgorithmen gelingt es den
Virenprogrammierern, Viren zu konstruieren, die von diesen
Pruefverfahren unerkannt bleiben.

1.9 Makroviren

Makroviren sind eine recht neue Art von Viren. Sie sind in einer
Makrosprache programmiert. Bekannt wurden etwa Viren fuer Microsofts
Textverarbeitung "Word". Beispiele: Ein als Winword.Concept bekannter
Schaedling wurde in Wordbasic programmiert und befaellt
Word-Dokumente, unabhaengig vom jeweiligen Betriebssystem! Neben dem
Winword.Concept-Virus ist ein Makrovirus namens WordMakro.Nuclear
aufgetaucht, der in der Lage ist, mittels des DOS-Programms "Debug"
einen "echten" Virus resident im Speicher zu installieren. Dadurch
waere er in der Lage, DOS-Dateien zu manipulieren, wobei zur Zeit
angeblich noch keine Schadensroutine enthalten ist.
Da man davon ausgehen kann, dass Dokumente haeufiger als Programme
zwischen Anwendern getauscht werden (etwa auch via EMail), wird die
Verbreitungsgeschwindigkeit eines Makrovirus hoeher sein als die von
"normalen" Viren.

2 Trojanische Pferde

Trojanische Pferde sind - anders als Viren - eigenstaendige
Programme mit einer Schadensfunktion. Ihnen fehlt die Faehigkeit
zur Selbstreproduktion.
Dies bedeutet, dass ein sogenanntes trojanisches Pferd ein
Programm ist, welches irgendetwas Undokumentiertes tut. Diese
undokumentierte Funktion ist durchaus im Sinn des Programmierers,
allerdings vermutet der Benutzer des Programmes keinesfalls eine
solche Funktion.
Als Beispiel waere ein Programm zu nennen, was vordergruendig
ueber die Krankheit AIDS informiert und im Hintergrund die
Festplatte loescht.

3 Wuermer

Wuermer kombinieren die Eigenschaften von Computerviren und
Trojanischen Pferden: Die eigenstaendigen Programme koennen sich
selbst reproduzieren.

4 Logische und zeitlich aktivierte Bomben

Als Bomben bezeichnet man Programme oder Programmteile, die zu einem
bestimmten Ereignis "hochgehen" und dann vermutlich Schaden anrichten.
Das bekannteste Beispiel ist vermutlich der Programmierer, der fuer
den Fall seiner Entlassung vorsorgt und eine Abfrage in das System
einbaut, die prueft, ob er noch auf der Gehaltsliste steht und wenn
nicht, irgendwelche subversiven Aktionen ausloest.

5 Informationen ueber Viren & Co.

Es gibt vielfaeltige Informationsquellen zu Viren, speziell im
Internet. Im norddeutschen Raum sicherlich erwaehnenswert ist der
Computer Virus Catalog (CVC), der herausgegeben wird vom
Virus-Test-Center in Hamburg, welches von der Universitaet Hamburg in
Zusammenarbeit mit dem Norddeutschen Rundfunk (NDR) unterhalten wird.
Der CVC enthaelt technische Beschreibungen zu Computerviren der
verschiedenen Plattformen: DOS, Mac, Amiga, Atari ST, Unix.
Ungluecklicherweise ist er vermutlich gerade im DOS-Bereich nicht ganz
vollstaendig. Der CVC ist verfuegbar über anonymous FTP:
ftp.informatik.uni-hamburg.de (IP=134.100.4.42), directory
pub/virus/texts/catalog. Eine Kopie des CVC ist ebenso erhaeltlich
ueber anonymous FTP auf cert.org im Verzeichnis pub/virus-l/docs/vtc.)
Das Viren-Test-Center betreibt eine Mailbox, die unter der Nummer
040 / 54 715 235 erreichbar ist. Dort stehen Virenscanner zum Download
bereit.
Weitere Informationsquellen sind zu finden in
Frequently Asked Questions on VIRUS-L/comp.virus,
http://www.cis.ohio-state.edu/hypertext/faq/usenet/
computer-virus-faq/faq.html

6 Fakten und Fabeln ueber Computerviren...
... finden Sie in "Grundlagen: Computerviren II"

7 Geschaetzte Anzahl existenter Viren

Auf die Frage, wieviele Viren existieren, ist es nicht moeglich,
eine exakte Anzahl anzugeben, da neue Viren buchstaeblich jeden
Tag kreiert werden. Zudem benutzen verschiedene Anti-Virus-Forscher
verschiedene Kriterien, um zu entscheiden, ob zwei Viren verschieden
sind oder nicht. Einige zaehlen Viren als verschieden, wenn sich nur
ein Bit im nicht-variablen Code unterscheidet. Anderen gruppieren
Viren in Familien und zaehlen die verschiedenen Varianten in der
Familie nicht als unterschiedliche Viren.
Mit einem groben Durchschnitt gerechnet, gab es im Oktober 1992 rund
1.800 IBM-PC-Viren, rund 150 Amiga-Viren, rund 30 Macintosh-Viren,
rund ein Dutzend Acorn Archimedes-Viren, mehrere Atari ST-Viren und
einige wenige Apple II-Viren.
Sehr wenige von den existierenden Viren sind weit verbreitet.
Zum Beispiel sind nur rund drei Dutzend von den bekannten
IBM-PC-Viren verantwortlich fuer die meisten berichteten
Infektionen.
Neuere Schaetzungen (September / Oktober 1995) gehen von weltweit
rund 6.500 existierenden PC-Viren aus. Inzwischen sind auch Viren
bekannt geworden, die gezielt gegen ein Industrieunternehmen gerichtet
sind, beispielsweise der "Media-Markt-Virus", der Festplatten loescht
und danach ein Media-Markt-Logo auf dem Bildschirm anzeigt, so dass
der Verdacht erzeugt werden soll, ein Industrieunternehmen stehe
hinter diesem Virus.


Grundlagen: Computerviren II

Viren, Trojanische Pferde, Wuermer und sonstiges Getier:
Der digitale Zoo

6 Fakten und Fabeln ueber Computerviren

6.1 Koennen Bootsektorviren eine nicht bootfaehige Diskette
infizieren?

Jede normal formatierte Diskette beinhaltet ein ausfuehrbares
(executable) Programm im Bootsektor. Wenn die Diskette nicht
bootfaehig ist, ist alles, was der Bootsektor tut, eine Nachricht
darstellen, wie "Non-system disk or disk error; replace and strike any
key when ready", aber dies ist trotzdem ausfuehrbar und verwundbar
fuer eine Infektion.
Wenn versehentlich der Rechner gebootet wird mit einer nicht
bootfaehigen ("non-bootable") Diskette im Laufwerk und man sieht
solch eine Nachricht, bedeutet dies, das irgendein Bootsektorvirus,
der auf der Diskette sein koennte, gelaufen ist und die Chance hatte,
die Festplatte oder was-auch-immer zu infizieren. Hier sind also die
Begriffe "bootfaehig" ("bootable") bzw. "nicht bootfaehig"
("non-bootable") irrefuehrend. Alle formatierten Disketten sind
faehig, einen Virus zu transportieren.

6.2 Kann sich ein Virus im CMOS-Speicher eines PCs verstecken?

Nein. Das CMOS-RAM, in welchem Systeminformationen abgelegt werden,
ist nicht adressierbar. Dies bedeutet, um Informationen aus dem
CMOS-RAM zu bekommen, muessen I/O-Instruktionen benutzt werden. Alles,
was dort abgelegt wird, sitzt nicht direkt im Speicher. Nichts in
einem normalen PC laedt Daten aus dem CMOS oder fuehrt etwas von dort
aus, so dass ein Virus, "versteckt" im CMOS-RAM, immer noch ein
ausfuehrbares Objekt (executable object) irgendeiner Art infizieren
muss, um was-auch-immer das Virus ins CMOS geschrieben hat, zu laden
oder auszufuehren. Ein boeswilliger Virus kann natuerlich durchaus
Werte im CMOS aendern als Bestandteil seiner "Nutzlast", aber es kann
sich nicht durch das CMOS ausbreiten oder sich selbst dort verstecken.
Ein Virus kann ebenso das CMOS-RAM benutzen, um dort einen kleinen
Teil seines "Koerpers" abzulegen (z.B. die "Nutzlast", Zaehler o.a.).
Wie auch immer, jeder ausfuehrbare Code, der im CMOS abgelegt ist,
muss vor dem Ausfuehren in normalen Speicher transferiert werden.

6.3 Kann sich ein Virus im Extended oder Expanded RAM verstecken?

Theoretisch ja, aber es ist bisher kein solcher Virus bekannt
geworden. Sollte so ein Virus entwickelt werden, muesste er (dennoch)
einen kleinen Teil resident im konventionellen RAM haben; solch ein
Virus kann nicht vollstaendig im Extended oder Expanded RAM
untergebracht werden.

6.4 Kann sich ein Virus im Upper Memory oder im High Memory
verstecken?

Ja, es ist moeglich, einen Virus zu konstruieren, der sich im Upper
Memory (640K bis 1024K) oder im High Memory Bereich (1024K bis 1088K)
aufhaelt. Ein paar zur Zeit bekannte Viren wie z.B. der EDV-Virus
verstecken sich im Upper Memory Bereich.
Ein effektiver Viren-Scanner sollte auch diese Speicherbereich
scannen. Moeglicherweise wurde ein TSR-Programm durch einen
konventionellen speicher-residenten Virus infiziert und durch den
Benutzer (z.B. in der AUTOEXEC.BAT) hochgeladen, so dass er im Upper
Memory zu finden waere.

6.5 Kann ein Virus Datenfiles infizieren?

Einige Viren (z.B. Frodo, Cinderella) modifizieren nicht ausfuehrbare
Files (non-executable files). Um sich zu verbreiten, muss der Virus
allerdings ausgefuehrt werden. Dies bedeutet, dass infizierte
Datenfiles nicht Quelle weiterer Infektionen sein koennen.
Zu beachten ist, dass nicht immer scharf getrennt werden kann
zwischen ausfuehrbaren und nicht ausfuehrbaren Files. Des einen Code
sind des anderen Daten und umgekehrt. Einige Files, die nicht direkt
ausfuehrbar sind, enthalten Code oder Daten, welcher unter bestimmten
Bedingungen ausgefuehrt oder interpretiert werden kann.
Einige Beispiele aus der IBM-PC-Welt sind .OBJ-Files (.OBJ files),
Bibliotheken (libraries), Geraetetreiber (device drivers),
Quellcode-Files (source files for any compiler or interpreter),
Makro-Files (macro files for some packages like MS Word and Lotus
1-2-3) und viele andere.
Zur Zeit existieren Viren, die Bootsektoren (boot sectors,
master boot records), COM-Files, EXE-Files, BAT-Files, und
Geraetetreiber (device drivers) infizieren. Jedes dieser Objekte
kann ein Infektionstraeger sein. Selbst PostScript-Files koennen
benutzt werden, um einen Virus zu transportieren, wobei dies zur
Zeit kein bekannter Virus tut.

6.6 Kann sich ein Virus von einem Computertyp auf den anderen
ausbreiten?

Eine einfache Antwort ist, dass zur Zeit kein Virus bekannt ist, der
dies tut. Auch wenn einige Diskettenformate dieselben sind (z.B. Atari
ST und DOS), die verschiedenen Maschinen interpretieren den Code
verschieden. Zum Beispiel kann der Stoned-Virus einen Atari ST nicht
infizieren, da der ST den Virus-Code im Bootsektor nicht ausfuehren
kann. Der Stoned-Virus enthaelt Instruktionen fuer die
80x86-CPU-Familie, die die 680x0-CPU-Familie (Atari ST) nicht
verstehen oder ausfuehren kann.
Eine etwas generellere Antwort ist, dass solche Viren denkbar
sind, wenn auch nicht wahrscheinlich. Solch ein Virus wuerde etwas
groesser sein als die aktuellen Viren und vermutlich leichter zu
finden. Zusaetzlich traegt die niedrige Haeufigkeit von "cross-machine
sharing of software" dazu bei, dass solche Viren es schwer haben
wuerden, sich zu verbreiten.

6.7 Kann ein DOS-Virus auf nicht-DOS-Maschinen (non-DOS machines)
laufen? (Zum Beispiel auf MacIntosh oder Amiga)?

Generell, nein. Sollten auf Maschinen DOS-Emulatoren (hard- oder
softwarebasiert) laufen, koennen Viren wie jedes andere
DOS-Programm funktionieren. Diese Viren unterliegen dem
Filezugriffkontrollen (file access controls) des
Basismaschinenbetriebssystems (host operating system). Ein
Beispiel: Unter einem DOS-Emulator wie der VP/ix unter einer
386 UNIX Umgebung ist es DOS-Programmen nicht gestattet, auf Files
zuzugreifen, wo es das Host-UNIX (host UNIX system) nicht erlaubt.
Konfigurieren Sie solche Systeme sorgfaeltig!

6.8 Koennen Mainframe-Computer anfaellig fuer Computerviren sein?

Ja. Zahlreiche Experimente haben gezeigt, dass Computerviren sich sehr
schnell und effektiv auf Mainframe-Systemen verbreiten. Soweit
bekannt, wurde allerdings noch kein Virus, der nicht aus der Forschung
stammte, auf einem Mainframe-System gesehen. (Der Internet-Wurm von
November 1988 war kein Computer-Virus nach den meisten Definitionen,
obwohl er virenaehnliche Charaktereigenschaften aufwies.)
Computerviren allgemein sind aktuell Programme mit "boeswilliger
Logik" ("malicious logic"), und jeder Form "boeswilliger Logik" zaehlt
dazu, wie auch die Trojanischen Pferde (Trojan horses), die auf jedem
Rechnersystem zu implementieren sind.

6.9 Ist das Desinfizieren von Files eine gute Idee?

Das Desinfizieren, also das Herausloeschen des Virus, eines Files ist
sicher, wenn dieser Prozess nicht nur den Virus entfernt, sondern auch
den originalen Zustand des Files komplett wieder herstellt. Dies
beinhaltet z.B. die originale Laenge des Files, Datum und Zeit der
letzten Modifikation, Felder im Header, usw. Manchmal mag es sogar
notwendig sein, dass ein File auf denselben Clustern der Festplatte
liegt, wie vor der Virus-Infektion. Sollte dies nicht der Fall sein,
so kann es passieren, dass ein Programm, welches beispielsweise
Ueberpruefungen aufgrund von Kopierschutzmassnahmen unternimmt, nach
der Desinfektion nicht mehr ordnungsgemaess funktioniert.
Keines der aktuell erhaeltlichen "Virenkiller" (disinfecting
programs) tut all dies. Unter Umstaenden hat aber der Virus Teile des
Originalfiles zerstoert oder veraendert, ohne dass dies durch den
Desinfektionsalgorithmus erkannt werden kann. Sollten Sie daher
virenfreie Backups besitzen, so mag es gewoehnlich besser sein, diese
zum Ersetzen der infizierten Files zu benutzen.

6.10 Kann man Viren umgehen durch Vermeiden von Shareware,
"free software", Spielen?

Nein. Auch in kommerziellen Originalprogrammen wurden schon Viren
gefunden. Das Vermeiden von Shareware, Public Domain-Software und
aehnlichem wuerde nur bedeuten, sich von diesem Markt zu isolieren.
Der wichtige Aspekt ist nicht das Vermeiden von irgendeinem Typ von
Software, sondern dass man bei jeder Software vorsichtig ist. Das
simple Scannen von allen neuen Softwaremedien (Disketten, CD-ROM's,
...) kann ziemlich effektiv sein, insbesondere in Kombinationen mit
anderen Plaenen zum Schutz Ihrer Daten und Programme.

6.11 Kann ich mir durch das DIR-Kommando auf einer infizierten
Diskette einen Virus auf meinen PC holen?

Unter der Annahme, dass der PC virenfrei ist, bevor das DIR-Kommando
ausgefuehrt wird, nein. Wenn ein DIR-Kommando ausgefuehrt wird, wird
der Inhalt des Diskettenbootsektors in einen Buffer geladen. Einige
Anti-Viren-Produkte scannen diesen Buffer. Sollte der Bootsektor der
Diskette infiziert gewesen sein, so ist der Viruscode auch in diesem
Buffer, was einige Anti-Viren-Programme zum Anlass nehmen, eine
Meldung a la "xyz-Virus im Speicher gefunden." auszugeben. Zu diesem
Zeitpunkt stellt der Viruscode allerdings keine Bedrohung dar, da eine
Kontrolle ueber die CPU dem Viruscode niemals zur Verfuegung stand.
Trotz dieser Tatsache sollte eine Meldung dieser Art nicht ignoriert
werden. Booten Sie Ihren Rechner mit einer virenfreien Diskette und
scannen Sie Ihre Festplatten. Sollte diese Suche keinen Virus zu Tage
foerdern, wissen Sie, dass die Meldung im oben beschriebenen Umstand
begruendet war. Desinfizieren Sie die infizierte Diskette, bevor Sie
sie verwenden!

6.12 Gibt es ein Risiko beim Kopieren von Datenfiles von einer
infizierten Diskette auf die virenfreie Festplatte des PCs?

Angenommen, es wird nicht von dieser Diskette gebootet oder von dort
ein Programm ausgefuehrt, im Regelfall nicht. Zwei Dinge sollten
beachtet werden: 1) Sie sollten sich diese Datenfiles auf
Beschaedigungen oder Veraenderungen durch den Virus naeher ansehen. 2)
Wenn eines dieser "Datenfiles" in irgendeiner Form interpretierbar als
ausfuehrendes Programm (executable) ist (wie zum Beispiel ein
Lotus-Makro), dann sollten diese als potentiell infiziert betrachtet
werden, solange die Symptome der Infektion nicht bekannt sind.
Der Kopiervorgang ansich ist sicher (bei gegebenen obigen
Szenario). Wie auch immer, man sollte sich im klaren sein, was
fuer Files man da kopiert, um Problemen egal welcher Art aus dem
Weg zu gehen.


6 Fakten und Fabeln ueber Computerviren

6.1 Koennen Bootsektorviren eine nicht bootfaehige Diskette
infizieren?

Jede normal formatierte Diskette beinhaltet ein ausfuehrbares
(executable) Programm im Bootsektor. Wenn die Diskette nicht
bootfaehig ist, ist alles, was der Bootsektor tut, eine Nachricht
darstellen, wie "Non-system disk or disk error; replace and strike any
key when ready", aber dies ist trotzdem ausfuehrbar und verwundbar
fuer eine Infektion.
Wenn versehentlich der Rechner gebootet wird mit einer nicht
bootfaehigen ("non-bootable") Diskette im Laufwerk und man sieht
solch eine Nachricht, bedeutet dies, das irgendein Bootsektorvirus,
der auf der Diskette sein koennte, gelaufen ist und die Chance hatte,
die Festplatte oder was-auch-immer zu infizieren. Hier sind also die
Begriffe "bootfaehig" ("bootable") bzw. "nicht bootfaehig"
("non-bootable") irrefuehrend. Alle formatierten Disketten sind
faehig, einen Virus zu transportieren.

6.2 Kann sich ein Virus im CMOS-Speicher eines PCs verstecken?

Nein. Das CMOS-RAM, in welchem Systeminformationen abgelegt werden,
ist nicht adressierbar. Dies bedeutet, um Informationen aus dem
CMOS-RAM zu bekommen, muessen I/O-Instruktionen benutzt werden. Alles,
was dort abgelegt wird, sitzt nicht direkt im Speicher. Nichts in
einem normalen PC laedt Daten aus dem CMOS oder fuehrt etwas von dort
aus, so dass ein Virus, "versteckt" im CMOS-RAM, immer noch ein
ausfuehrbares Objekt (executable object) irgendeiner Art infizieren
muss, um was-auch-immer das Virus ins CMOS geschrieben hat, zu laden
oder auszufuehren. Ein boeswilliger Virus kann natuerlich durchaus
Werte im CMOS aendern als Bestandteil seiner "Nutzlast", aber es kann
sich nicht durch das CMOS ausbreiten oder sich selbst dort verstecken.
Ein Virus kann ebenso das CMOS-RAM benutzen, um dort einen kleinen
Teil seines "Koerpers" abzulegen (z.B. die "Nutzlast", Zaehler o.a.).
Wie auch immer, jeder ausfuehrbare Code, der im CMOS abgelegt ist,
muss vor dem Ausfuehren in normalen Speicher transferiert werden.

6.3 Kann sich ein Virus im Extended oder Expanded RAM verstecken?

Theoretisch ja, aber es ist bisher kein solcher Virus bekannt
geworden. Sollte so ein Virus entwickelt werden, muesste er (dennoch)
einen kleinen Teil resident im konventionellen RAM haben; solch ein
Virus kann nicht vollstaendig im Extended oder Expanded RAM
untergebracht werden.

6.4 Kann sich ein Virus im Upper Memory oder im High Memory
verstecken?

Ja, es ist moeglich, einen Virus zu konstruieren, der sich im Upper
Memory (640K bis 1024K) oder im High Memory Bereich (1024K bis 1088K)
aufhaelt. Ein paar zur Zeit bekannte Viren wie z.B. der EDV-Virus
verstecken sich im Upper Memory Bereich.
Ein effektiver Viren-Scanner sollte auch diese Speicherbereich
scannen. Moeglicherweise wurde ein TSR-Programm durch einen
konventionellen speicher-residenten Virus infiziert und durch den
Benutzer (z.B. in der AUTOEXEC.BAT) hochgeladen, so dass er im Upper
Memory zu finden waere.

6.5 Kann ein Virus Datenfiles infizieren?

Einige Viren (z.B. Frodo, Cinderella) modifizieren nicht ausfuehrbare
Files (non-executable files). Um sich zu verbreiten, muss der Virus
allerdings ausgefuehrt werden. Dies bedeutet, dass infizierte
Datenfiles nicht Quelle weiterer Infektionen sein koennen.
Zu beachten ist, dass nicht immer scharf getrennt werden kann
zwischen ausfuehrbaren und nicht ausfuehrbaren Files. Des einen Code
sind des anderen Daten und umgekehrt. Einige Files, die nicht direkt
ausfuehrbar sind, enthalten Code oder Daten, welcher unter bestimmten
Bedingungen ausgefuehrt oder interpretiert werden kann.
Einige Beispiele aus der IBM-PC-Welt sind .OBJ-Files (.OBJ files),
Bibliotheken (libraries), Geraetetreiber (device drivers),
Quellcode-Files (source files for any compiler or interpreter),
Makro-Files (macro files for some packages like MS Word and Lotus
1-2-3) und viele andere.
Zur Zeit existieren Viren, die Bootsektoren (boot sectors,
master boot records), COM-Files, EXE-Files, BAT-Files, und
Geraetetreiber (device drivers) infizieren. Jedes dieser Objekte
kann ein Infektionstraeger sein. Selbst PostScript-Files koennen
benutzt werden, um einen Virus zu transportieren, wobei dies zur
Zeit kein bekannter Virus tut.

6.6 Kann sich ein Virus von einem Computertyp auf den anderen
ausbreiten?

Eine einfache Antwort ist, dass zur Zeit kein Virus bekannt ist, der
dies tut. Auch wenn einige Diskettenformate dieselben sind (z.B. Atari
ST und DOS), die verschiedenen Maschinen interpretieren den Code
verschieden. Zum Beispiel kann der Stoned-Virus einen Atari ST nicht
infizieren, da der ST den Virus-Code im Bootsektor nicht ausfuehren
kann. Der Stoned-Virus enthaelt Instruktionen fuer die
80x86-CPU-Familie, die die 680x0-CPU-Familie (Atari ST) nicht
verstehen oder ausfuehren kann.
Eine etwas generellere Antwort ist, dass solche Viren denkbar
sind, wenn auch nicht wahrscheinlich. Solch ein Virus wuerde etwas
groesser sein als die aktuellen Viren und vermutlich leichter zu
finden. Zusaetzlich traegt die niedrige Haeufigkeit von "cross-machine
sharing of software" dazu bei, dass solche Viren es schwer haben
wuerden, sich zu verbreiten.

6.7 Kann ein DOS-Virus auf nicht-DOS-Maschinen (non-DOS machines)
laufen? (Zum Beispiel auf MacIntosh oder Amiga)?

Generell, nein. Sollten auf Maschinen DOS-Emulatoren (hard- oder
softwarebasiert) laufen, koennen Viren wie jedes andere
DOS-Programm funktionieren. Diese Viren unterliegen dem
Filezugriffkontrollen (file access controls) des
Basismaschinenbetriebssystems (host operating system). Ein
Beispiel: Unter einem DOS-Emulator wie der VP/ix unter einer
386 UNIX Umgebung ist es DOS-Programmen nicht gestattet, auf Files
zuzugreifen, wo es das Host-UNIX (host UNIX system) nicht erlaubt.
Konfigurieren Sie solche Systeme sorgfaeltig!

6.8 Koennen Mainframe-Computer anfaellig fuer Computerviren sein?

Ja. Zahlreiche Experimente haben gezeigt, dass Computerviren sich sehr
schnell und effektiv auf Mainframe-Systemen verbreiten. Soweit
bekannt, wurde allerdings noch kein Virus, der nicht aus der Forschung
stammte, auf einem Mainframe-System gesehen. (Der Internet-Wurm von
November 1988 war kein Computer-Virus nach den meisten Definitionen,
obwohl er virenaehnliche Charaktereigenschaften aufwies.)
Computerviren allgemein sind aktuell Programme mit "boeswilliger
Logik" ("malicious logic"), und jeder Form "boeswilliger Logik" zaehlt
dazu, wie auch die Trojanischen Pferde (Trojan horses), die auf jedem
Rechnersystem zu implementieren sind.

6.9 Ist das Desinfizieren von Files eine gute Idee?

Das Desinfizieren, also das Herausloeschen des Virus, eines Files ist
sicher, wenn dieser Prozess nicht nur den Virus entfernt, sondern auch
den originalen Zustand des Files komplett wieder herstellt. Dies
beinhaltet z.B. die originale Laenge des Files, Datum und Zeit der
letzten Modifikation, Felder im Header, usw. Manchmal mag es sogar
notwendig sein, dass ein File auf denselben Clustern der Festplatte
liegt, wie vor der Virus-Infektion. Sollte dies nicht der Fall sein,
so kann es passieren, dass ein Programm, welches beispielsweise
Ueberpruefungen aufgrund von Kopierschutzmassnahmen unternimmt, nach
der Desinfektion nicht mehr ordnungsgemaess funktioniert.
Keines der aktuell erhaeltlichen "Virenkiller" (disinfecting
programs) tut all dies. Unter Umstaenden hat aber der Virus Teile des
Originalfiles zerstoert oder veraendert, ohne dass dies durch den
Desinfektionsalgorithmus erkannt werden kann. Sollten Sie daher
virenfreie Backups besitzen, so mag es gewoehnlich besser sein, diese
zum Ersetzen der infizierten Files zu benutzen.

6.10 Kann man Viren umgehen durch Vermeiden von Shareware,
"free software", Spielen?

Nein. Auch in kommerziellen Originalprogrammen wurden schon Viren
gefunden. Das Vermeiden von Shareware, Public Domain-Software und
aehnlichem wuerde nur bedeuten, sich von diesem Markt zu isolieren.
Der wichtige Aspekt ist nicht das Vermeiden von irgendeinem Typ von
Software, sondern dass man bei jeder Software vorsichtig ist. Das
simple Scannen von allen neuen Softwaremedien (Disketten, CD-ROM's,
...) kann ziemlich effektiv sein, insbesondere in Kombinationen mit
anderen Plaenen zum Schutz Ihrer Daten und Programme.

6.11 Kann ich mir durch das DIR-Kommando auf einer infizierten
Diskette einen Virus auf meinen PC holen?

Unter der Annahme, dass der PC virenfrei ist, bevor das DIR-Kommando
ausgefuehrt wird, nein. Wenn ein DIR-Kommando ausgefuehrt wird, wird
der Inhalt des Diskettenbootsektors in einen Buffer geladen. Einige
Anti-Viren-Produkte scannen diesen Buffer. Sollte der Bootsektor der
Diskette infiziert gewesen sein, so ist der Viruscode auch in diesem
Buffer, was einige Anti-Viren-Programme zum Anlass nehmen, eine
Meldung a la "xyz-Virus im Speicher gefunden." auszugeben. Zu diesem
Zeitpunkt stellt der Viruscode allerdings keine Bedrohung dar, da eine
Kontrolle ueber die CPU dem Viruscode niemals zur Verfuegung stand.
Trotz dieser Tatsache sollte eine Meldung dieser Art nicht ignoriert
werden. Booten Sie Ihren Rechner mit einer virenfreien Diskette und
scannen Sie Ihre Festplatten. Sollte diese Suche keinen Virus zu Tage
foerdern, wissen Sie, dass die Meldung im oben beschriebenen Umstand
begruendet war. Desinfizieren Sie die infizierte Diskette, bevor Sie
sie verwenden!

6.12 Gibt es ein Risiko beim Kopieren von Datenfiles von einer
infizierten Diskette auf die virenfreie Festplatte des PCs?

Angenommen, es wird nicht von dieser Diskette gebootet oder von dort
ein Programm ausgefuehrt, im Regelfall nicht. Zwei Dinge sollten
beachtet werden: 1) Sie sollten sich diese Datenfiles auf
Beschaedigungen oder Veraenderungen durch den Virus naeher ansehen. 2)
Wenn eines dieser "Datenfiles" in irgendeiner Form interpretierbar als
ausfuehrendes Programm (executable) ist (wie zum Beispiel ein
Lotus-Makro), dann sollten diese als potentiell infiziert betrachtet
werden, solange die Symptome der Infektion nicht bekannt sind.
Der Kopiervorgang ansich ist sicher (bei gegebenen obigen
Szenario). Wie auch immer, man sollte sich im klaren sein, was
fuer Files man da kopiert, um Problemen egal welcher Art aus dem
Weg zu gehen.


Quellen und Literatur:
- Nils F. Lohse: Schutz von EDV-Anlagen, 1995/1996
- Frequently Asked Questions on VIRUS-L/comp.virus, Last Updated:
18 November 1992, 7:45 AM EST, http://www.cis.ohio-state.edu/
hypertext/faq/usenet/computer-virus-faq/faq.html
- Antivirenprogramme im Test: Mehr als Placebo-Effekt?,
Vergleichstest von Netware-Scannern in PC Professionell,
Ausgabe November 1994, S. 230-248
- LABOR - Zeitschrift fuer World Processing, Zweite Ausgabe 1989
- Holger Reif: Word verseucht DOS, Meldung ueber den
WordMakro.Nuklear-Virus in c't magazin fuer computertechnik,
Ausgabe 11/1995, S. 27
- Onlinedokumentation zu VirusScan 2.2.7 E, (C) McAfee Inc.
1994/1995
- Nils F. Lohse: Schutz von Computern am Netz, Vortrag an der
FH Hamburg am 25.10.1995
- Lutz Becker / Volker Krause: Vom Netzwerk zum Bollwerk,
Artikel ueber Sicherheit im Netz in PC Professionell, Ausgabe
Mai 1995, S. 200-208
- Schwerpunkt Netzsicherheit: Mehrere Artikel in Computerwoche
14, 7. April 1995
- u.a.