Grundlagen und Informationstexte

Zunächst sollte man wissen, was ein Computervirus eigentlich ist. Es handelt sich dabei um ein Computerprogramm, das nachträglich in ein anderes Programm hineinkopiert wurde. Derart manipulierte Programme bezeichnet man als vom Computervirus infizierte Programme. Wird ein infiziertes Programm gestartet, wird zunächst der hineinkopierte Computervirus ausgeführt. Die Routinen des Virus durchsuchen zunächst die Festplatte des Computers nach anderen darauf gespeicherten Programmen und kopieren sich selbst an den Anfang der gefundenen Programmdateien. Damit werden auch diese Programme zu infizierten Programmen. Hat sich der Computervirus auf diese Art weiterverbreitet, wird dann das ursprüngliche Programm aufgerufen. Insbesondere bei Windows-Systemen wird die Möglichkeit genutzt, den Computervirus in die Initialisierungsroutine einer Systembibliothek (sogenannte System-DLL) zu kopieren und den Computervirus so sofort nach einem Neustart des Rechners wieder zu aktivieren. Eine Variante ist ein Bootsektor-Virus, der sich in den Bootsektor der Festplatte kopiert und dann sogar vor dem Betriebssystem aktiviert ist. Ein Computervirus kann sich nur dann von Rechner zu Rechner transferieren, wenn ein infiziertes Programm kopiert und anschließend auf dem Zielrechner gestartet wird.

Diese Vorgänge finden ohne eine Benachrichtigung des Anwenders statt, der den Computervirus meistens erst dann bemerkt, wenn nach einiger Zeit die sogenannte Schadensroutine aktiviert wird: Programme und Dateien verschwinden von der Festplatte, werden heimlich per EMail an zufällig ausgewählte Empfänger weitergeschickt oder werden so verändert, daß sie nicht mehr sinnvoll zu verwenden sind. Manchmal beginnen Fenster vor der Maus davonzulaufen oder auf dem Bildschirm nach unten zu rieseln, und manchmal tauchen nur schlichte Textmeldungen auf dem Bildschirm auf.

Ihren Namen haben Computerviren wegen der Ähnlichkeit zu normalen Krankheiten erhalten: Biologische Viren gelangen unbemerkt in den menschlichen Körper, benutzen dessen Ressourcen, um sich stark zu vermehren, bis es dann zum Ausbruch der Krankheit kommt, die ohne Abwehrkräfte nicht selten zum Tode führt.

Während ein Computervirus immer in ein befallenenes Computerprogramm integriert und auf dessen Start angewiesen ist, handelt es sich bei einem Computerwurm um ein selbstständiges Computerprogramm. Zur Weiterverbreitung nutzt ein Computerwurm Programmierfehler und Sicherheitslücken eines Systems aus. Damit kann sich ein Computerwurm im Gegensatz zum Virus auch ohne Zutun des Benutzers über ein Computernetzwerk von Rechner zu Rechner verbreiten. Auf Windows-Systemen nutzt man bei Computerwürmern oft die Autostart-Einträge in der Systemdatenbank (der sogenannten Registry). So wird sichergestellt, daß der Wurm auch nach einem Neustart des Systems gleich wieder aktiv ist.

Die in diesem Zusammenhang dritte auftretende Variante ist das sogenannte Trojanische Pferd, häufig auch verkürzt als Trojaner bezeichnet. Dabei handelt es sich um ein Computerprogramm, das vordergründig eine nützliche oder auch nur witzige Funktion hat. Damit wird der Anwender gezielt dazu verleitet, das Programm zu starten. Im Hintergrund werden aber die Schadensroutinen des Trojanischen Pferdes ausgeführt. Meist werden dabei Hintertüren des Systems geöffnet, die dem Programmierer des Trojanischen Pferdes einen freien Zugang zum Rechner über das Netz ermöglichen. Er kann so beliebige Software auf dem Rechner installieren und ausführen. Auf diesem Wege läßt sich zum Beispiel Spionagesoftware einspielen, die Kreditkarteninformationen oder die beim Online-Banking benötigten Paßwörter und PIN-Nummern abfängt. Seinen Namen verdankt das Trojanische Pferd der Analogie zur griechischen Sage. Auch dort haben die Bürger Trojas das Pferd mit den darin versteckten griechischen Kriegern selbst in die Stadt gezogen.

In der Praxis treten häufig auch Mischformen der oben aufgezählten drei Varianten auf. Ein Computerwurm kann durchaus Viren in ein System einschleusen und umgekehrt. Während Trojanische Pferde ursprünglich keine Routinen zur eigenen Weiterverbreitung enthielten, enthalten sie inzwischen regelmäßig einen Wurm oder einen Virus. Da Viren, Würmer und Trojaner immer häufiger dazu eingesetzt werden, versteckte Zugänge zum befallenen System (sogenannte Backdoors) zu installieren, wird es für die Autoren dieser Programme immer wichtiger, daß eine Infektion möglichst spät auffällt. Daher warten aktuelle Computerwürmer brav, bis der Anwender von sich aus die Verbindung zum Internet aufbaut und nutzen nur einen Teil der verfügbaren Bandbreite aus, um sich selbst weiterzukopieren. Eine besonders unauffällige Weiterverbreitungsform ist der Start eines im Hintergrund laufenden Mailprogramms, das heimlich Mails an andere Nutzer im Internet verschickt. Denn Kommunikation per Mail findet so häufig statt, daß dies in Logfiles nicht groß auffällt. Beim Empfänger der mit einem Wurm verseuchten Mail reicht es oft bereits aus, die Mail in der Voransicht dargestellt zu haben, um diesen auf dem eigenen System einzuschleußen.

Hiermit erklärt sich, warum die Zahl der Massenmails so stark zunimmt. Zuerst wird ein Computerwurm in Umlauf gebracht, der möglichst viele Computer infizieren und darauf Hintertüren installieren soll. Ein Teil der so unter die eigene Herrschaft gebrachten Computer wird dazu verwendet, weitere Würmer per Massenmail zu versenden und so das Netz der infizierten Rechner zu vergrößern. Ein weiterer Teil der Computer wird dazu mißbraucht, aus den kompromittierten Adreßbüchern neue Mailadressen zu gewinnen und Werbung für fragwürdige Produkte oder Websites per Massenmail zu versenden. Die verbliebenen Rechner dienen schließlich dazu, verteilte Angriffe auf die ungeliebte Konkurrenz oder auf nicht zahlungswillige Erpressungsopfer zu starten und auf anonymen Wege Raubkopien auszutauschen.

Daher ist die Ansicht vieler Anwender, sie hätten auf Ihrem Computer keine geheimen Daten und müßten daher keine Angriffe aus dem Internet fürchten, sehr gefährlich. Gerade der Internet-PC eines unerfahrenen Anwenders mit Windows in der Standardkonfiguration ist ein sehr beliebtes, weil sehr einfach und automatisch zu kaperndes System. Dank DSL sind diese Systeme oft gut an das Internet angebunden, Dank Flatrate fällt dem Anwender das stark überhöhte Datenvolumen gar nicht auf. Dank unzureichender Kenntnisse des Anwenders werden die Viren, Würmer und Trojaner über Monate hinweg gar nicht oder nur unvollständig entfernt und keine echten Konsequenzen aus den Vorfällen gezogen.

Sollte Ihr Rechner durch einen Virus, Wurm oder Trojaner infiziert werden, gibt Ihnen das 10-Punkte-Konzept auf der WWW-Seite über Computerviren und Gegenmaßnahmen erste Hilfestellungen. Am besten drucken Sie sich den Text aus und legen ihn an einer Stelle ab, wo Sie ihn bei Bedarf schnell wiederfinden.

Im Zusammenhang mit Viren, Würmern und Trojanern taucht immer häufiger der Begriff des Phishings auf. Es handelt sich dabei um eine spezielle Form des Betruges mit Hilfe eines Trojanischen Pferdes. Meist wird eine Kombination aus einer Massenmail und einer manipulierten Webseite benutzt.