1. Die Geschichte der Computerviren

1949

Die Idee des Virus entstand im Jahr 1949. Damals entwickelte der ungarische Informatiker John von Neumann (1903-1957) eine Theorie von sich selbst reproduzierbaren Automaten. An Programme wie wir sie heute vorfinden, dachte aber noch niemand.

70er Jahre

Anfang der 70er Jahre kamen Wissenschaftler der Bell Laboratorien dem Prinzip des heutigen Virus schon sehr nahe. Sie entwickelten ein Spiel mit dem Namen „Core Wars“, was übersetzt soviel wie "Krieg der Kerne" bedeutet. Ziel dieses Spiels war es nämlich, dem Gegner kostbare Rechenzeit zu stehlen.
Somit kann man „Core Wars“ wohl als ersten Wurm in der Geschichte der Rechentechnik bezeichnen. Im Gegensatz zu heutigen Würmern verbreitete sich „Core Wars“ aber nicht selbstständig, sondern war auf die Hilfe des Programmierers angewiesen.


1981

Der eigentliche Begriff des „Computervirus“ wurde 1981 von Professor Adleman eingeführt. Er rief den Begriff ins Leben, als er sich mit Fred Cohen, einem damaligen Doktoranden, unterhielt.


1982

In diesem Jahr wurde das erste Mal ersichtlich, wozu ein Wurm imstande ist: Im „Xerox Alto Research Center“ wurden die ersten Würmer programmiert. Sie sollten für verteilte Berechnungen genutzt werden. Ein Programmierfehler hatte jedoch zur Folge, dass sich der Wurm selbstständig reproduzierte, und sich somit unkontrolliert vermehrte. Kurz darauf brachen die Rechner unter der enormen Last zusammen.


1983

Fred Cohen stellte im Rahmen seiner Doktorarbeit "Computerviruses - Theory and Experiments" an der Universität von Südkalifornien ein kleines selbstgeschriebenes Programm vor, den ersten lauffähigen Computer-Virus.
Mit diesem Programm realisierte er, was bis dahin nur als theoretische Möglichkeit galt, nämlich dass sich ein Computerprogramm tatsächlich selbst reproduzieren kann. Eingesetzt auf einem der damals üblichen UNIX-Systeme bewirkte es zudem, dass jeder Benutzer über Administratorrechte verfügte.


1984

In diesem Jahr wurde Fred Cohens Doktorarbeit veröffentlicht. Diese beinhaltete alle Definitionen und Quellcodes. Zudem wurde sie in mehrere Sprachen übersetzt. Von da an gab es kein Halten mehr.
Die ersten Viren richteten noch keine großen Schäden an - heute würden sie eher belächelt, aber die Virenbastler sollten noch Grosses leisten.


1986


Im Jahr 1986 tauchte dann der erste MS-DOS-Virus auf. Zwei pakistanische Software-Händler hatten eine „lukrative Geschäftsidee“. Sie verkauften verseuchte Programme an ihre Kunden, um diese durch die kurz darauf fällig werdende Reparaturleistung an sich zu binden. Da der Virencode aber ihre vollen Namen enthielt, waren die Schuldigen schnell gefunden. Dennoch verbreitete sich der „Pakistan-Virus“ (auch „Brain“ genannt) bis in die USA. Dies war der erste Virus, der „Stealth“ - Techniken (siehe Stealth - Virus) anwandte.

Im Dezember des gleichen Jahres stellte Ralf Burger vom Chaos-Computer-Club seinen Virus "VIRDEM" vor, der über Bootsektoren von Disketten transportiert wurde. Erstmals wurden auch große Firmen Opfer von Erpressungsversuchen durch die Drohung des Einsatzes von Computerviren.


1987

Am 9. Dezember 1987 wurde der Virus „CHRISTMAS TREE“ über einen Rechner einer deutschen Universität eingeschleust. Dieser Virus war der erste, der ein großes Netzwerk zum Zusammenbruch brachte. Er vermehrte sich so rasant, dass das „European Academic Research Network“ (EARN) vier Tage später einen Totalausfall melden musste.


1988

Am Freitag, den 13. Mai 1988 war wirklich ein Unglückstag. Der sogenannte „JERUSALEM“ -Virus schlug wie eine Bombe ein. Begnügten sich Virenprogrammierer bisher damit, ihre Programme zu verbreiten, Rechenkapazität zu stehlen und Viren die irgendwelche Meldungen beinhalteten zu basteln , wurde „JERUSALEM“ programmiert, um Programme und Daten zu zerstören. Er befiel Computer in den USA, Europa und im mittleren Osten, und kann für sich damit „rühmen“, das wohl erste Computervirus gewesen zu sein, dem die Medien weltweit Aufmerksamkeit schenkten

Im November 1988 legte „MORRIS“ tausende Computersysteme in den USA lahm (darunter Rechner der NASA, die als hervorragend geschützt galten!). Der durch „MORRIS“ verursachte Schaden wurde auf rund 100 Millionen US-Dollar geschätzt.


1989

Im Dezember 1989 kam es zu einem besonders zu verpönenden Virenangriff. Ausgerechnet an die Teilnehmer einer internationalen AIDS-Konferenz wurden Disketten mit angeblich wichtigen Informationen zu behandelten Themen verteilt. Nachdem die Dateien auf den Computer aufgespielt waren, verschlüsselte der Virus (der unverschähmterweise auch noch „AIDS“ genannt wurde) nach dem 90. Hochfahren des Systems alle Dateien auf den Festplatten - bis auf eine: Eine Rechnung mit Überweisungsauftrag über 189 US-Dollar an eine Firma mit Sitz in Panama, Der Autor dieses Virus wurde später zu einer langjährigen Haftstrafe verurteilt.


1990

Wirklich prekär wurde es mit dem ersten polymorphen Virus, das passender weise „CHAMÄLEON“ genannt wurde. Diese Virenart verändert bei jeder neuen Infektion sein „Aussehen“ und ist daher für Virenscanner schwer zu entdecken.


1992



Die ersten so genannten „Construction- Kits“ entstanden. Mit Hilfe dieser Programme ist auch ein Laie imstande eigene Viren zu erstellen, es muss nicht eine Zeile programmiert werden. Durch diese Viren- Baukästen nahm die Zahl der freigesetzten Viren explosionsartig zu. Diese eher "primitiven" Viren werden von den heutigen Scannern allerdings problemlos erkannt und entfernt.


1995

Mit „CONCEPT“ wurde 1995 die Ära der Makro-Viren eingeläutet. Es wurden nur Dokumente, die mit "Microsoft Word" erstellt wurden, infiziert. Wenige Monate später gab es auch einen „Excel“ - Virus mit Namen „LAROUX“.


1998



Das Jahr 1998 war eines der "interessantesten" Jahre in der Geschichte der Computerviren. In Taiwan wurde der erste Virus entdeckt, der imstande war PC- Hardware außer Gefecht zu setzen. Sein Name war „CIH“ (alias „Tschernobyl“). Er überschrieb den BIOS-Chip der Rechner und taucht auch heute noch gelegentlich auf. Die Hacker-Gruppe „Cult of the Dead Cow“ brachte mit „BACK ORIFICE“ einen der ersten modernen Trojaner heraus und die ersten VB-Script-Viren, von denen sich einige sogar in HTML-Dokumenten verstecken können, begannen sich zu verbreiten.


1999

Ein Virus namens „MELISSA“ verbreitete sich mit bis dahin für nicht möglich gehaltener Geschwindigkeit rund um die Welt. Schnell fanden sich Nachahmer und der Siegeszug der Internet-Würmer war nicht mehr aufzuhalten.


1999/ 2000



Nach dem Jahreswechsel 1999/2000 war die ganze Welt erleichtert. Die befürchtete „Jahr-2000-Katastrophe“ blieb aus. Der prophezeite weltweite, Zusammenbruch aller IT- Systeme fand nicht statt. Doch das Aufatmen war von kurzer Dauer, der „I-LOVE-YOU“- Wurm (alias „VBS.Loverletter“) stellte „MELISSA“ in Geschwindigkeit und Verbreitung mit Leichtigkeit in den Schatten. In vielen Nachrichtensendungen war er das Top- Ereignis.

Ihm folgten bis heute viele ähnliche Schädlinge und ein Ende ist nicht in Sicht:

• „KOURNIKOVA“
• „NACKED WIFE“
• „NIMDA“
• „SIRCAM“
• „BADTRANS“
• „BLASTER“



Weiters beachte man auch bei Computerviren: Sex sells!

Doch auch die Gegenseite blieb nicht untätig. John McAfee´s Virenscanner erkannte im Jahr 1988 bereits 19 Virenarten, ein Jahr später bereits 44. (zum Vergleich: bis Mitte 2003 stieg die Zahl der katalogisierten Viren einschließlich Varianten auf über 100.000).
Andere, wie die Firma IBM oder die Firma Symantec (bekannt durch Norton Anti Virus), kamen hinzu.

Auch die Firma Microsoft rüstete ihr MS-DOS mit einem Anti-Viren-Programm aus, das sich jedoch durch Viren wie z.B. „TEMOR“ postwendend als nicht ausreichend erwies.

Heute gibt es aber sehr wohl eine ganze Reihe ausgezeichneter Security- Spezialisten, die mit hervorragender Anti-Viren-Software alles dafür tun, um es den „Bastlern“ nicht leicht zu machen.

2. Was ist ein Computervirus?

Prof. Dr. Fred Cohen, der Erfinder des Computervirus, definierte ihn einmal so:

„Ein Computervirus ist ein Programm, das andere infizieren und verändern kann, um möglicherweise veränderte Versionen von sich selbst hinzuzufügen“.

Die heute übliche Definition lautet:

„Ein Computer-Virus ist eine nicht selbständige Programmroutine, die sich selbst reproduziert und dadurch vom Anwender nicht kontrollierbare Manipulationen in Systembereichen, an anderen Programmen oder deren Umgebung vornimmt“.

Wenn man es also ganz genau betrachtet, ist ein Computervirus kein eigenständiges Programm, sondern eine Abfolge von aneinander gereihten Zeichen. Diese Abfolge ist für sich genommen nicht ausführbar. Im Gegensatz zu Würmern und Trojanern die „echte“ Programme (z.B.: exe -Dateien) sind, kann ein Virus im Dateimanager nicht aufgespürt werden.

Der Quellcode eines Virus kann nur eine Zeile lang sein oder viele Seiten füllen. Es liegt ganz am Virenprogrammierer, welche Schadroutinen (auch „Payloads“ genannt) er dem Quellcode des Virus hinzufügt.

Um sich verbreiten zu können, benötigt ein Virus ein Wirtsprogramm oder eine Wirtsdatei. Dabei wird ein so genannter „Zeiger“ (= winzige Sprunganweisung, 4 Byte reichen) an den Beginn des Wirts gesetzt und der Quellcode wird am Schluss platziert. Die vom Wirtsprogramm abgetrennten Bytes werden hinter den Virencode geschrieben. Damit das Programm weiterhin ausgeführt werden kann wird es angepasst. Weiters wird innerhalb des Zeigers ein Hinweis platziert, der das Programm als infiziert markiert.

Bei einfachen Viren kann es auch vorkommen, dass Teile des Originalprogramms komplett überschrieben werden. Dabei ist die Gefahr entdeckt zu werden um ein vielfaches höher. Bei moderneren Viren kommt das aber kaum mehr vor.

Wird die befallene Wirtsdatei gestartet, sorgt der „Zeiger“ dafür, dass der Virus vor dem eigentlichen Programm ausgeführt wird. Die Festplatte wird nach noch nicht infizierten Programmen oder Dateien durchsucht, das heißt nach Dateien, an deren Beginn die entsprechende Markierung fehlt. Dann werden die aufgespürten Dateien infiziert, und der Virus kann sich ungehindert verbreiten. (Analogie zu Grippevirus)

ZEIGER → QUELLCODE → MARKIERUNG → SUCHE → ZEIGER

Natürlich ist diese Vorgehensweise nicht zu pauschalisieren, aber so funktionieren die meisten Viren („typische Viren“).

3. Was kann ein Virus alles anrichten?

Es gibt ein breites Spektrum an Schadroutinen und Auswirkungen für Betroffene.
Die häufigsten sind:

• Ausgeben von Meldungen auf dem Bildschirm
• Abspielen einer Melodie (z.B. der „YANKEE-DOODLE“ -Virus)
• Formatieren der Festplatte
• Überschreiben des BIOS-Chips

Der Anteil der Viren, die programmiert wurden, um massive Schäden anzurichten („Killerviren“), liegt bei unter 10 Prozent!
Wie viel Schaden durch schlampige Programmierung und unabsichtlich verbreitete Viren bereits entstanden ist, kann nicht einmal annähernd geschätzt werden.

4. Wie werden Viren verbreitet?

Es gibt verschiedene Verbreitungswege. Dabei kommt es immer auf den derzeitigen Stand der Technik an. War die Diskette früher der häufigste „Überträger“, so wurden später die CD-ROM und andere externe Datenträger immer „wichtiger“. Auch heute wird noch eine große Zahl von Viren über diese Wege weitergegeben, doch mittlerweile sind alle möglichen Formen von Netzwerken (z.B. Firmen- oder Behördennetzwerke) weiter im Vormarsch.
An der Spitze steht, wie könnte es anders sein, das größte aller Netzwerke, das Internet, wobei die Virenverbreitung mittels E-Mail mit Abstand die Nummer eins ist.

5. Welche Arten von Viren gibt es?

Da es mittlerweile eine schier unendliche Zahl verschiedener Viren (mit tausenden Mischformen und Variationen) gibt, ist eine sinnvolle Klassifizierung kaum noch möglich ist. Einige Grundbegriffe möchte ich dennoch erklären.


Bootsektorviren

Am Anfang der Festplatte sind die Informationen gespeichert, die zum Laden des Betriebssystems notwendig sind. Ein Bootsektorvirus lagert diese Informationen auf eine andere Stelle der Festplatte aus und markiert diese als „fehlerhaft“. Neuere Bootsektorviren verwenden auch Verschlüsselungen und nehmen oft sogar die Stelle dieser (zum Laden des Systems) wichtigen Informationen ein. Ohne eine Entschlüsselungsroutine ist dann kein Zugriff auf die Daten der Disketten oder Festplatten möglich.

Bei jedem PC- Start wird dann zunächst der Virus aktiviert und in den Arbeitsspeicher geladen. Der Virus „übernimmt und kontrolliert“ den Rechner. Erst danach wird die ganz normale Bootroutine ausgeführt. Der User merkt dabei gar nichts, da alles sehr schnell vor sich geht.

Der Virus verbleibt die ganze Zeit über im Arbeitsspeicher und hat damit Zugriff auf alle an das System angeschlossenen Laufwerke, d.h. auf weitere Festplatten und auf das Diskettenlaufwerk.

Er kann jetzt jeden Bootsektor von nicht schreibgeschützten Disketten manipulieren und sich dadurch auf weitere (ungeschützte) Computer übertragen.
Da auch eine scheinbar leere Diskette einen Bootsektorvirus enthalten kann, müssen sich nicht einmal Programme oder Daten auf der Diskette befinden.

Da neuere Betriebssysteme die eigenständige Verbreitung dieser Viren verhindern, sind externe Datenträger die häufigsten Verbreitungsmedien.


Makroviren


Basieren auf der Programmiersprache „Basic“. Beim Office-Paket der Firma Microsoft ist das „Visual Basic for Applications”. Da diese Sprache nicht schwer zu erlernen ist, sind Makroviren sehr weit verbreitet.

Makros werden hauptsächlich bei Office-Paketen verwendet. Um eine gewisse Abfolge von Arbeitsschritten nicht ständig wiederholen zu müssen, wird ein so genanntes Makro erstellt, um diese Abfolge quasi auf Knopfdruck erledigen zu können.

Bei dem Textverarbeitungsprogramm „Word“ der Firma Microsoft wird z.B. die Datei „normal.dot“ infiziert. Diese Datei hat die Aufgabe, die globalen Einstellungen dieser Textverarbeitung zu speichern. Von dort aus infiziert der Makrovirus alle .dot- und .doc- Dateien und verbreitet sich beim Austausch dieser Dateien. Das Selbe gilt für alle anderen Office- Programme (PowerPoint, Excel,…), die Makros verarbeiten können. Auf den obligatorischen Makroviren- Schutz, den diese Programme alle enthalten, sollte man sich nicht verlassen, weil er sehr leicht umgangen werden kann.

Gegen Ende der 90er Jahre machten Makroviren mehr als die Hälfte aller Viren aus. Aktuelle Virenscanner sollten allerdings keine Probleme mehr mit ihnen haben. Konnte sich dennoch ein Makrovirus einschleichen, kann dieser die Arbeit mehrerer Wochen binnen Sekunden zerstören. Auch diese Semesterarbeit wäre wohl kaum mehr zu gebrauchen.


Polymorphe Viren

Bevor der erste polymorphe Virus erschien, war es für Virenscanner relativ einfach Viren aufzuspüren. Anhand einer Vergleichsliste (die natürlich laufend aktualisiert werden musste) konnten Viren erkannt werden. Dies funktionierte auch lange Zeit sehr gut.
Um diese Suchmethode unschädlich zu machen, kamen nun polymorphe Viren zum Einsatz. Nach jeder neuen Infektion verändert ein polymorpher Virus seinen Code, sein „Aussehen“. Virenscanner haben nun keine Chance mehr, den Virus mit Hilfe von Vergleichslisten zu finden.

Modernere polymorphe Viren verändern nur die passende Entschlüsselungsroutine.

Um diese Viren trotzdem zu entdecken, muss der Virenscanner aufwendige und rechenintensive Operationen durchführen.


TSR-Viren

TSR bedeutet „Terminate and Stay Resident“. Diese als „speicherresistent“ bezeichneten Viren laden sich in den Arbeitsspeicher und bleiben dort aktiv, bis der Rechner wieder ausgeschaltet wird.
Im Gegensatz dazu werden nichtresidente Viren nur aktiv, wenn das infizierte Programm gestartet wird. Einmal entdeckt, können sie deshalb relativ leicht und „rückstandsfrei“ entfernt werden.
TSR- Viren haben da ganz andere Möglichkeiten. Sie können von sich aus Prozessaufrufe abfangen, externe Speichermedien manipulieren und viel erheblichere Schäden im System verursachen, ohne dass vom Benutzer irgendeine Aktion ausgelöst wurde. Manchmal, unter „idealen“ Bedingungen, kann ein TSR- Virus sogar eine Formatierung der Festplatte überstehen.

TSR beschreibt also das bestimmte Verhalten (bestimmte Eigenschaften) verschiedener Viren und ist keine Virenart an sich.

Der Bootsektorvirus ist das klassische Beispiel für einen speicherresidenten Virus. Aber beinahe alle andere Virenarten (z.B. Makroviren) können ebenfalls diese Eigenschaft besitzen.


Stealth- /Tarnkappen-Viren

Virenscanner legen für jedes Programm eine Prüfsumme an. Ändert sich diese, wird der Scanner darauf aufmerksam. Da sich Viren an einen Wirt anhängen, vergrößert sich das Programm oder die Datei bei einem Virenbefall automatisch, und damit auch die Prüfsumme.
Stealth- Viren geben nun dem Anti- Viren- Programm falsche Parameter weiter, um dem Virenscanner vorzumachen, dass das befallene Programm gar nicht verändert sei.

Stealth- Viren gehören zu den speicherresidenten Viren.


Zeitzünder-/Trigger-Viren

Das sind Viren, die erst bei Eintritt eines bestimmten Ereignisses oder dem Erreichen eines Datums aktiviert werden. Das kann das 90. Hochfahren des Computers (wie beim oben genannten „AIDS“- Virus), ein bestimmter Tag oder auch erst ein Jahreswechsel sein.
Triggerviren besitzen immer noch zusätzlich andere Schadroutinen. Im Prinzip kann jede Virenart mit einem Zeitzünder versehen werden.


Hoaxe


Hoaxe sind eigentlich keine Viren, sondern falsche Warnungsmeldungen von Virenbefall, vergleichbar mit Zeitungsenten. Dabei wird oft empfohlen irgendwelche Dateien oder E-Mails nicht zu öffnen sondern sofort zu löschen, und die Meldung an möglichst viele weiterzuleiten.

Dabei löschen unerfahrene PC- Benutzer vermeintlich infizierte Dateien und Programme, die eigentlich notwendig sind, um einen reibungsloses Funktionieren des Rechners zu gewährleisten.


Zoo-Viren

Auch Labor- oder Research- Viren genannt, werden diese nur in den Virenlaboren der Hersteller von Anti-Viren-Software zu Forschungs- oder Testzwecken erstellt. Sie bilden den größten Teil aller Viren. Zoo- Viren vereinen oft alle oben bereits erwähnten Eigenschaften in sich. Wie z. B. ein speicherresidenter, polymorpher Tarnkappenvirus, der am Sonntag ihre Festplatte formatiert.


ITW-Viren

ITW- Viren sind (im Gegensatz zu Zoo-Viren) die auf Computern außerhalb von Virenforschungs- und Testlaboren gefundenen Schädlinge.Glücklicherweise ist nur ein ganz kleiner Teil aller bekannten Viren auch tatsächlich in freier Wildbahn aufgetaucht.

Zurzeit werden nur wenige wirklich neue Schadprogramme entdeckt. Die meisten aktuellen Schädlinge sind Variationen schon bekannter Viren, Würmer usw. Sie werden in der Regel durch eine fortlaufende Buchstabenfolge gekennzeichnet, wie z. B. „Sobig“, „Sobig.B“, „Sobig.C“, …

6. Andere Schadprogramme

Dialer

Ursprünglich wurden Dialer als bequemes und unkompliziertes Bezahlsystem für kostenpflichtige Internetdienste aller Art entwickelt. Dazu gehören Auskunftsdienste, Hotlines oder die immer präsenten Erotik- Angebote. Der Nutzer nimmt die Leistung in Anspruch, die Rechnung wird mit der Telefonrechnung abgebucht. Macht der Anbieter vorher in ausreichender Form auf die zu erwartenden Kosten aufmerksam, ist dagegen auch nichts einzuwenden. Bei den Dialern, von denen ich spreche, ist genau dies nicht der Fall. Auf die Kosten wird nicht ausreichend hingewiesen und es werden natürlich vorzugsweise die teuren 0900 (früher 0190) Nummern angewählt.

Weiters gibt es schon unzählige Dialer, die ohne das Wissen der Benutzer laufen und sogar selbstständig Anti- Dialer- Programme unschädlich machen können.
Vor kurzem wurde sogar ein Dialer entdeckt, der sich selbst gelöscht hat (um seine Spuren zu verwischen), nachdem er eine saftige Telefonrechnung verursacht hatte.


Spionage-Programme

In anderen Programmen versteckt kann so genannte Spyware auf Ihren Computer gelangen. In Browser-Erweiterungen, Download-Managern und vielen weiteren, an sich nützlichen Programmen getarnt hat diese Software die Aufgabe, den Benutzer auszuspionieren und die Resultate an den Autor der Spyware zurück zu senden. Beginnend mit der Ermittlung des Surfverhaltens potentieller Kunden (z. B. interessant für die Werbeindustrie) können diese Spionage- Programme bis zum Ausspähen von Passwörtern oder Kreditkartennummern verwendet werden.

Gerade für Unternehmen und Behörden stellen diese Programme ein großes Risiko dar. Ohne einen ständig aktualisierten Sypware- Scanner ist dagegen nicht anzukommen.


Trojaner (Backdoors)

Ein Trojaner (eigentlich Trojanisches Pferd) ist ein „Remote- Controller“, eine Art Fernsteuerung, mit deren Hilfe sich andere Computer manipulieren lassen. Was dem Administrator eines Netzwerkes viel Laufarbeit erspart, wird hier gezielt eingesetzt, um Schaden anzurichten.

Wie bei einer Sypware kommen Trojaner in einem Programm versteckt auf den PC, besonders gern werden sie in Bildschirmschonern untergebracht.

Ein Trojaner besteht immer aus zwei Teilen: Dem Server, der auf den Rechner des Opfers untergebracht wird, und dem Client, der auf dem Angriffsrechner verbleibt und den Server über das Internet aufruft.

Sobald der Server installiert ist, kann der Angreifer bei jeder Internetsitzung des Opfers die Kontrolle über dessen Computer übernehmen. Daten können manipuliert oder geklaut werden und wie bei einer Spyware kann der Angreifer Passwörter oder Kreditkartennummern abfangen. Besonders problematisch wird es für Benutzer von Online- Banking.


Würmer

Im Gegensatz zu Viren sind Würmer eigenständige Programme. Sie werden über Attachments (Anhänge an E-Mails) verbreitet. Wird ein befallener Anhang geöffnet, installiert sich der Wurm im System und verschickt Kopien von sich selbst an alle gefundenen User des Adressbuchs. Die meisten Würmer besitzen zusätzlich weitere Schadroutinen.
Würmer verbreiten sich in allen Netzwerken. In letzter Zeit gab es richtige Wurm- Epidemien.

Die bekanntesten Beispiele sind:

„KOURNIKOVA“
„SIRCAM“
„LOVESAN“ (besser bekannt als „BLASTER“)

Mit einem Anteil von über 90% sind Würmer zurzeit das größte Problem. Vor allem „Outlook“ und „Outlook Express“ der Firma Microsoft sind sehr anfällig, da sie am weitesten verbreitet sind.

7. Was kommt auf uns zu?

In Zukunft werden wie wohl vermehrt mit Kombinationen verschiedener Schadprogramme rechnen müssen. Ein Wurm, der einen Virus transportiert oder einen Trojaner enthält, wird die Anti- Viren- Programmierer vor harte Aufgaben stellen.
Die Freisetzung vieler momentaner Schädlinge dürfte von ihren Programmierern nur als Testlauf für kommende Epidemien gedacht sein.

Ein aktuelles Beispiel ist der Wurm „SOBIG“ samt seinen ganzen Variationen, von denen jede raffinierter ausfällt als die Vorversion.
Die Zeitspanne für Security- Spezialisten, um auf neue Schädlinge zu reagieren, wird auch immer kürzer. Mittlerweile wird schon vermehrt auf die Hilfe der Bevölkerung gesetzt. Als Ansporn werden hohe Geldsummen für brauchbare Hinweise und sogar Kopfgelder ausgeschüttet.

8. Was könnte auf einen Virenbefall hinweisen?

Ist Ihr PC von einem Virus (oder einem anderen Schadprogramm) befallen, kann sich das auf unterschiedliche Weise bemerkbar machen. Die häufigsten Anzeichen habe ich hier aufgelistet:

• Das Booten (Hochfahren) des Systems dauert länger als sonst. Einige Viren setzen sich so im System fest, dass sie bei jedem Booten mit gestartet werden. Bei leistungsfähigeren Computern fällt die Verzögerung aber nicht mehr auf.

• Dateien werden verschoben, umbenannt oder in ihrer Größe verändert.

• Ungewöhnliche Hintergrundaktivität. Sie hören, dass auf die Festplatte zugegriffen wird, obwohl Sie in dem Augenblick gar nicht am PC arbeiten.

• Es steht insgesamt weniger als 640 KB konventioneller DOS-Speicher zur Verfügung. Prüfen Sie diesen Wert, indem Sie den PC mit der Startdiskette booten und an der DOS-Eingabeaufforderung „MEM“ (ohne Anführungszeichen) eingeben.

• Ihr System stürzt noch häufiger ab als üblich. Beachten Sie aber, dass das auch ohne Virus häufig vorkommen kann (besonders bei Windows).

• Unsinnige oder nicht lesbare Fehlermeldungen oder Schriftarten, Menüleisten und Icons die verändert oder vertauscht sind. Allerdings ist auch hier zunächst an andere Ursachen zu denken (Softwarefehler, missglückte Installationen, unvollständige, …).

• Programme lassen sich nicht mehr starten oder beenden, der Computer reagiert auf Tastatureingaben oder Mausbewegungen gar nicht mehr oder anders als üblich. Aber auch hier werden überwiegend Software- oder Hardwarefehler vorliegen.

• Mit einem Pop-Up-Fenster, einer Laufschrift kann sich ein Virus selbst zu erkennen geben. Doch auch in diesem Fall dürfen Scherzprogramme nicht ausgeschlossen werden.

Auf die Hilfe einer guten (aktuellen) Anti-Viren-Software sollte nicht verzichtet werden.
Momentan ist noch damit zu rechnen, dass ein Virenscanner den Virus unschädlich machen kann.

9. Vorbeugen ist besser!

• Die wichtigste „Software“ wird scherzhaft auch „Brain 1.0" genannt. Das soll heißen, dass Selbstdisziplin (nicht alles was klickbar ist, ist auch einen Klick wert) und die Berücksichtigung einiger Tipps und Ratschläge die meisten Gefahren und Probleme in Luft auflöst.

• Installieren Sie auf jedem PC einen Virenscanner. Viele Hersteller kommerzieller Anti-
Viren-Scanner bieten jedoch nur zeitlich begrenzte „Testversionen“ ihrer Programme an.
Als dauerhafte Lösung sind diese also nicht geeignet. Wenn Sie den Einsatz eines „Freeware“- Scanners bevorzugen, sollten Sie wissen, dass dies doch meist nur die zweitbeste Lösung ist (im Vergleich mit kommerziellen Produkten), aber besser als keine Anti- Viren- Software sind Gratis- Scanner ohne Frage.



• Suchen Sie den für Ihre Bedürfnisse richtigen Virenscanner, einen „besten Scanner“ gibt es nämlich nicht. Werfen sie also einen Blick auf entsprechende Testberichte.

• Führen Sie regelmäßig Updates durch. Jeden Monat tauchen hunderte neue Schadprogramme auf. Die Anbieter von Anti-Viren-Software reagieren diese Schädlinge sofort mit aktualisierten Versionen.

• Die sog. Wächter-, Monitor- oder Guard- Funktion Ihres Virenscanners sollte stets aktiviert sein. Es handelt sich dabei um einen Virenscan im Hintergrund des laufenden Systems. (verfügen Sie über mehrere Scanner, sollte diese Funktion nur einem davon zugeteilt werden)


• Scannen Sie Ihre Festplatte in regelmäßigen Abständen. Die meisten Virenscanner bieten die Möglichkeit, in bestimmten Zeitintervallen automatisch Prüfungen durchzuführen. Der Scanner sollte darüber hinaus für jeden Prüflauf ein Protokoll erstellen.

• Konfigurieren Sie Ihr Mailprogramm so, dass Dateianhänge nicht automatisch geöffnet oder ausgeführt werden. Weiters sollten alle eingehenden Mails nicht als HTML-, sondern als reine Text-Mails geladen werden. Durch das Lesen einer Text-Mail kann Ihr System nicht infiziert werden, die Gefahr lauert in den (ausführbaren) Dateianhängen bzw. im HTML-Code. Deaktivieren Sie also die automatische Vorschaufunktion, da diese einigen Schadprogrammen den selbständigen Start ermöglicht.

• Machen Sie es sich zur Gewohnheit, jeden Dateianhang ungeöffnet in einem separaten Verzeichnis zu speichern, und ihn zuerst mit Ihrem Virenscanner zu prüfen. Auch eine E-Mail mit einer vertrauenswürdigen Absenderadresse kann ein Schadprogramm enthalten (z.B. wenn sich der Absender selbst einen Virus/ Wurm eingefangen hat)



• Mails von unbekannten Absendern oder deren Betreff in einer Fremdsprache abgefasst ist sollten überhaupt nicht vom Mailserver herunter geladen werden. Meiden Sie Mailprogramme, die sich nicht entsprechend konfigurieren lassen. Das mit „Windows“ gelieferte „Outlook Express“ zählt nicht gerade zu den sichersten Programmen.



• Ihrem Browser sollten Sie die Ausführung von Java und JavaScript nicht erlauben (oder zumindest nur für ausgewählte Webseiten.
Weiters sollten Sie ActiveX deaktivieren (außer bei einem „Windows- Update“, da ist es notwendig). Es gibt Browser, die nicht mit ActiveX bzw. „Visual Basic Scripten“ arbeiten.

• Auch Zusatzprogramme die eigentlich als Werbeblocker gedacht waren wie z.B. „Proxomitron“ sind in der Lage, schädliche Inhalte zu blockieren.

• Verwenden Sie immer die neueste Version Ihres Browsers und Ihres E-Mail- Programms und achten Sie auf fällige Updates.

• Alle aus dem Internet herunter geladenen Programme und Dateien sollten gleich nach dem Download mit einem Virenscanner geprüft werden (Kontextmenü durch Rechtsklick)

• Fremde externe Datenträger sollten immer geprüft werden, bevor es zum Datentausch kommt.

• Erstellen Sie mindestens zwei Bootdisketten (oder eine bootfähige CD-ROM) und stellen Sie sicher, dass diese virenfrei sind. Viele Virenscanner bieten ebenfalls die Funktion, spezielle Startdisketten für Notfälle zu erstellen. Diese Möglichkeit sollten Sie auch nutzen. Aber vergessen Sie nicht, auch diese Disketten müssen auf dem Laufenden gehalten werden.

• Verwenden Sie zusätzlich Software wie z.B. „TrojanCheck“ oder „WinPatrol“. Diese Programme prüfen Windows-Bereiche wie den Autostartordner auf Veränderungen und können diese Veränderungen bei Bedarf wieder rückgängig machen.

• Auf die in Windows- Betriebssystemen enthaltenen Instrumente wie den „Systemdateischutz“ oder die „Systemwiederherstellung“ würde ich mich nicht verlassen. Diese können zwar durchaus hilfreich sein, bei der Bekämpfung von Viren sind sie aber schlichtweg ungeeignet.


Im Allgemeinen ist zu sagen, dass es keine Datenquelle gibt, die absolut sicher ist. So waren Viren schon in Originalprogrammen oder in vom Händler vorinstallierter Software enthalten, wurden von Wartungstechnikern unbeabsichtigt eingespielt oder über Heft- CDs oder Home- Pages namhafter Firmen (natürlich ebenfalls unbeabsichtigt) verbreitet. Dass Raubkopien oder Downloads von unsicheren Quellen ein um vielfaches höheres Risiko beinhalten, dürfte wohl jedem klar sein. Besonders vorsichtig sind so genannte File- Sharing Programme (Tauschbörsen für Musik, Videos, Software, …) zu genießen.