Humboldtgymnasium Solingen

Florian Rocktäschel

Viren, ihre Arten und Verhaltensweisen sowie Methoden ihrer

Bekämpfung durch Software und Gesetze.

Informatik G1
Frau Küster
2004/2005

1
 Inhaltsverzeichnis

1. Einleitung (S.3)

2. Hauptteil (S.3)

2.1. Computerparasiten (S.3)

2.1.1.Computerparasiten, Aufbau und Methoden (S.4)

2.1.1.1.Viren (S.4)
2.1.1.2.Würmer (S.8)
2.1.1.3.Trojanische Pferde (S.8)
2.1.1.4.Hoax (S.10)
2.1.2.Methoden und Absichten der Autoren (S.10)
2.1.2.1.Absichten (S.10)
2.1.2.2.Verbreitung (S.11)
2.1.2.3.Probleme und Schäden die Computerparasiten verursachen (S.12)

2.2. Profilachse und Bekämpfung von Computerparasiten (S. 13)

2.2.1.Arten der Profilachse und Beseitigung (S.13)

2.2.1.1.Vorbeugender Schutz (S.13)
2.2.1.2.Virenscanner (S.14)
2.2.2.Schadensbegrenzung und Strafverfolgung (S.14)
2.2.2.1.Öffentlichkeit (S.14)
2.2.2.2.Kriminalbeispiele (S.14)

3. Schlussteil (S.15)

4. Arbeitsprozessbericht (S.16)
5. Literaturverzeichnis \ Materialliste \ Materialien (S.17)
6. Erklärung über Selbständige Anfertigung der Facharbeit (S.19)

2
1. Einleitung
Immer schneller schreitet die Entwicklung voran. Schnellere PCs, mehr Leistung und immer
größere Sicherheitslücken. So schnell die Entwicklung von neuen und besseren Anwendungen,
so schnell schreitet auch die Entwicklung von Computerviren voran. In den letzen Jahren ist
die Zahl der Angriffe durch Viren auf private wie auch kommerzielle Systeme und Netzwerke
rapide angestiegen. Schon fast wie ein Krieg wirkt es, wenn Viren versuchen die Mauern der
Anwender zu durchbrechen. Für viele scheint es ein sinnloser Krieg, der nur aus
Zerstörungswahn resultiert. Doch was steckt wirklich hinter diesen automatisierten Angriffen
auf unschuldige Anwender? Wie kann ich mich schützen? Und was genau ist überhaupt ein
Virus?

2. Hauptteil

2.1. Computerparasiten
Unter der allgemeinen Bezeichnung von Computerviren (Computerparasiten) versteht man
Programmteile, welche sich in der Software eines Rechnersystems oder Computernetzes
unbemerkt einnisten und verbreiten. In der Regel sind diese Bestandteile des so genannten
Wirtsprogramms und führen ihre Anweisung (meist schädlich) während des Ablaufs des
Wirtsprogramms durch. Nach der selbstständigen Verankerung im System, bleiben diese
Parasiten oft unbemerkt und können ihre Anweisung unerkannt durchführen oder sogar als
Spionageprogramme dienen (Trojanische Pferde).

1980 verfasste Jürgen Kraus im Fachbereich Informatik an der Universität Dortmund eine
Diplomarbeit mit dem Titel "Selbstreproduktion bei Programmen". Diese Arbeit gab zum
ersten Mal einen Einblick in die Möglichkeiten verschiedener Programme sich selber zu
reproduzieren. Der Verfasser schilderte an einfachen Beispielen die Konstruktion
selbstreproduzierender Programme. Hier wurde auch zum ersten Mal die Parallele zwischen
biologischen und Computerviren gezogen, aus denen auch ihr späterer Name entstanden ist.
Kraus ging aber nicht auf das Problem der IT-Sicherheit ein, und so verschwand die Arbeit in
den Archiven der Universität und wurde nie veröffentlicht.

1984 veröffentlichte der Amerikaner Fred Cohen seine Arbeit mit dem Titel "Computer Viruses
- Theory and Experiments". Cohen ging speziell auf die Gefahren die Computerviren für

3
Rechner darstellen können ein und erregte somit auch internationales Aufsehen. Cohen ist die
Definition des Begriffs „Computervirus“ zu verdanken:

„A ´computer virus´ is a program that can ´infect´ other programs by modifying them to
include a possibly evolved version of itself.“ 1

Schon nach kurzer Zeit wurde aus der theoretischen eine praktische Gefahr für Betreiber von
Computern. Hauptsächlich waren Rechner betroffen, die keinen oder nur wenig Schutz in
Bezug auf IT-Sicherheit boten. Dazu gehörten in erster Linie die Personalcomputer. So kam es,
dass 1986 zum ersten Mal ein Computervirus auf IBM2-kompatiblen Personalcomputern
erschien. Diese Viren waren recht einfach gebaut und konnten anhand immer gleicher
Zeichenfolgen aufgespürt werden. Häufig handelte es sich dabei um Viren, die zu irgendeinem
bestimmten Zeitpunkt eine Meldung ausgeben sollten. Man brauchte also nur auf solche
Meldungstexte zu achten, um den Virus zu entdecken.

2.1.1. Computerparasiten, Aufbau und Methoden

Im Laufe der Geschichte des Personal Computing3 gab es genügend Zeit und passende
Möglichkeiten für die rasche Verbreitung und Weiterentwicklung von Viren, Würmern und
ähnlichen Schädlingen. Auf Grund der enormen Artenvielfalt von Computerparasiten, habe ich
die wichtigsten und prägnantesten Punkte ausgewählt und werde diese im folgenden Hauptteil
2.1.1.X. erläutern. Beispiele zu diversen Parasiten befinden sich im Anhang.

2.1.1.1 Viren
Nach Fred Cohen (. Computerparasiten) definieren wir einen Virus als ein Programm, das
andere Programme „anstecken“ kann indem es sie modifiziert, um mögliche entwickelte
Versionen von sich mit einzuschließen. Mit der Eigenschaft andere Dateien und Programme zu
infizieren, kann ein Virus sich über ein laufendes System verbreiten. Jedes infizierte Programm
verhält sich nun wie der Virus selbst und dient als Wirtsprogramm, sodass die Infektion wächst.
Das folgende Pseudo-Programm zeigt wie man einen einfachen Virus in einer Pseudo-
Computersprache schreiben könnte.
Code-Legende:
1
Zitat aus der Arbeit "Computer Viruses - Theory and Experiments" von Fred Cohen (1984)
dt. „Ein ´Computervirus´ ist ein Programm, das andere Programme ´anstecken´ kann indem es sie modifiziert,
um mögliche entwickelte Version von sich mit einzuschließen.“
2
IBM : International Business Machines (Corporation) dt. Internationale Büromaschinen (Gesellschaft)
Damals führender Computerhersteller.
3
Personal Computing : dt. Individuelle Datenverarbeitung

4
 := wird für die Definition verwendet
: beschriftet eine Aussage
; trennt Aussagen
~ steht für „nicht“
= Anweisung oder Vergleich
{ und } gruppieren eine Reihenfolge von Aussagen
… irrelevanter Teil des Codes

Programm Virus :=
{
1234567;

Subroutine Infizieren :=
{ loop: Datei = Zufällige-Zu-Infizierende-Datei ;
if Erste-Zeile-Der-Datei = 1234567 then goto loop ;
Virus in Zufällige-Zu-Infizierende-Datei einfügen ;
}

Subroutine Schädigen :=
{Welcher Schaden auch immer anzurichten ist}

Subroutine Auslöser :=
{Wird „true“ bei beliebigem Ereignis}

Hauptprogramm :=
{ Infizieren ;
if Auslöser = true then Schädigen ;
goto next ;
}
next :
}

Dieser Beispiel Virus (V) sucht nach einem uninfizierten Programm (P) indem er nach
Programmcodes ohne „1234567“ am Anfang der Datei sucht, und fügt (V) in (P) ein und macht
(P) so zu einer infizierten Datei (I) (Siehe Schema). Danach kontrolliert (V) ob die
Auslösereigenschaft wahr ist und führt die Schädigung durch. Danach führt (V) das
ursprüngliche Programm aus. Wenn der Benutzer nun (P) ausführen will, wird (I) stattdessen
ausgeführt und infiziert so eine weitere Datei. Diese verhält sich danach weiter wie (P), bis die
Auslösereigenschaft wahr wird, und führt dann die Schädigung durch.

5
Nach diesem Beispiel besteht ein Virus aus:
• Replikationseinheit
• Trigger (Auslöser)
• Payload (Schadroutine)

Die Replikationseinheit dient der (meist unbemerkten) Vervielfältigung des Virus. Dies
geschieht z.B. indem es sich an ein bestimmtes Programm anhängt. Jedes Mal, wenn das
infizierte Programm gestartet wird, kopiert sich der Virus. Somit kann sich der Virus
verbreiten, ohne zunächst Schaden anzurichten. Der so genannte Trigger1 ist der Auslöser des
Virus. Einige Viren sind so programmiert, dass sie erst dann in Erscheinung treten und Schaden
verursachen, wenn ein bestimmtes Ereignis eingetreten oder eine bestimmte Zeit verstrichen
ist. Andere schalten gewisse Funktionen zu einem bestimmten Zeitpunkt wieder ab.
Den eigentlichen Schaden verursachenden Teil des Virus nennt man Payload 2. In diesem Teil
wird die eigentliche Schadroutine untergebracht, welche den Virus als bösartiges Programm
kennzeichnet. In vielen Fällen ist diese Schadroutine optional, da schon die unerwünschte
Verbreitung als Schaden angesehen wird.

Diese Form der Computerparasiten gibt es in verschiedenen Varianten:

1
Trigger : dt. Auslöser
2
Payload : dt. Nutzlast

6
(Viren, die hier unter mehr als nur eine Kategorie fallen, nennt man auch Hybridviren.)
• Bootviren nutzen die Option von Computern aus, beim Einschalten automatisch von
Datenträgern aus Programme zu starten, wie es zum Beispiel für das Laden von
Betriebssystemen notwendig ist. Sie verbleiben im Arbeitsspeicher und kopieren sich
bei Zugriffen auf einen Datenträger in dessen Bootsektor, bei Festplatten meist in den
MBR1.
• Linkviren schleusen sich in die jeweiligen Programmdateien ein, so dass der Code des
Virus beim Ausführen jener Datei mit ausgeführt wird.
• Companion-Viren infizieren nicht direkt eine Datei, sondern löschen oder benennen
diese um und kopieren eine Datei an deren Stelle, die nur den Virus enthält. Unter DOS
gab es Companion-Viren die zu einer EXE2 eine gleichnamige COM3 erzeugten, welche
nur den Virus enthielt. Wenn dann auf den auszuführenden Pfad keine Endung folgte,
wurden Dateien mit der Endung „.com“ immer denen mit der Endung „.exe“ bevorzugt
und ausgeführt.
• Makroviren sind Viren, die sich in anderen Dokumenten verstecken, welche über eine
Makro-Sprache verfügen. Makro-Sprachen werden dazu benutzt Prozesse innerhalb
eines Dokuments zu automatisieren (z.B. Microsoft Word). Diese Markosprache kann
auch missbraucht werden um den jeweiligen Code in weitere Dokumente zu kopieren.

Des Weiteren bezeichnet man Viren als:

• verschlüsselte Viren, wenn diese Teile ihres Codes verschlüsseln um so unerkannt zu
bleiben. Diese Verschlüsselung kann von Infektion zu Infektion variieren.
• polymorphe Viren, wenn sie ihre Form von Generation zu Generation vollkommen
ändern, da sie so für Antivirenprogramme schwerer zu entlarven sind. Dies geschieht
meist in Zusammenhang mit einer variablen Verschlüsselung. Ein Teil des Programms
muss jedoch unverschlüsselt bleiben um den verschlüsselten Teil wieder zu decodieren.
Doch auch dieser Teil wird variabel gemacht, indem der Entschlüsselungscode bei
jeder Infektion verändert wird. Dies geschieht durch einen Programmcode im
verschlüsselten Teil des Virus.
• metamorphe Viren, wenn sie ihren Code bei einer Infektion komplett umformulieren.
Dies geschieht durch die Übersetzung des Maschinencodes in eine Symbolsprache und

1
MBR : Der Master Boot Record ist der erste physikalische Sektor (512 Byte) eines bootfähigen Mediums, wie
beispielsweise einer Festplatte.
2
EXE : von englisch executable dt. ausführbar
3
COM ähnlich der EXE

7
 eine variable Rückübersetzung. Der Löwenanteil des Viruscodes dient meist diesem
Zweck.
• Stealthviren, wenn sie besondere Maßnahmen ergreifen um ihre Identität zu
verschleiern. So werden Systemabrufe abgefangen, sodass z.B. bei der Abfrage einer
Dateigröße, die Größe der Datei vor der Infektion angegeben wird und der Virus so
unerkannt bleibt.

2.1.1.2 Würmer
Würmer sind Viren (2.1.1.1. Viren) vom Aufbau sehr ähnlich. Der Unterschied besteht darin,
dass ein Virus versucht, Dateien auf einem einzigen System zu infizieren, während ein Wurm
versucht, mehrere Computer in einem Netzwerk zu infizieren. Des Weiteren benötigt ein Virus
ein Wirtsprogramm, wohingegen der Wurm für sich alleine ein eigenständiges Programm ist.
Ursprünglich dienten Würmer als Hausmeister für Netzwerke. Sie „krochen“ in den Ruhezeiten
durch das Netz und prüften bzw. meldeten ausgefallene Komponenten. Heutzutage verbreiten
sich Würmer überwiegend per E-Mail, wobei sie sich als Datei-Anhang an einen kurzen Text
anfügen. Verschiedene Mechanismen dienen zum Tarnen des gefährlichen Anhangs bzw. zum
automatischen Ausführen:
• Zum automatischen Ausführen enthält die E-Mail HTML-Code, welcher einen iFrame1
erzeugt, in dem der Datei-Anhang mit Hilfe von Javascript ausgeführt wird. Der Wurm
verschickt sich nun selbst wahllos an Adressen aus dem Adressverzeichnis des
Benutzers.
• Würmer geben sich oft Dateinamen mit doppelter Endung wie z.B. „Titel.mp3.exe“.
Die Programmierer bauen darauf, dass Benutzer von Windows die Option „Erweiterung
bei bekannten Dateitypen ausblenden“ aktiviert haben (Standard). So erscheint die
Datei als „Titel.mp3“. In Neugierde auf das Lied versucht der Benutzer die Datei zu
öffnen und aktiviert den Wurm. Oft werden Würmer zusätzlich in ZIP-Archive
verpackt, um es Virenscannern zu erschweren, den Schädling zu analysieren.

2.1.1.3. Trojanische Pferde

Das ursprüngliche Trojanische Pferd bestand aus Holz und war eine Kriegslist der Griechen
gegen die Trojaner. Der Legende nach versteckten sich ein paar Griechen im Bau des Pferdes.
Sie gelangten so nachts nach Troja, weil die Trojaner das Pferd in die Stadt holten, um es der
Göttin Athene zu schenken - jedoch ohne die Gefahr im Innern des Pferdes zu ahnen…

1
iFrame : Inlay Frame dt. eingebauter Rahmen, ein Frame innerhalb einer HTML-Seite

8
Die digitale Version des Trojanischen Pferdes funktioniert nach dem gleichen Prinzip. Ein
meist nützliches Programm beinhaltet eine weitere (oft unerwünschte) Funktion, wie z.B. das
Protokollieren von Tastatureingaben. Diese Informationen können nun durch einen Kontakt
von außen zwischen den Systemen des Opfers und des Anwenders getauscht werden. Der
wesentliche Unterschied von Trojanern zu Viren und Würmern besteht darin, dass Trojaner
sich nicht selber verbreiten. Meist verstecken sie sich in nützlichen Programmen (z.B. gratis
Popup-Blocker1), und werden so durch den nichts ahnenden Benutzer aktiviert.
Eine Untergruppe der Trojaner sind die so genannten Backdoors 2. Im Gegensatz zu den
Trojanern öffnen sie dem Anwender, wie der Name schon sagt, eine Hintertür in das System
des Opfers, durch die eine direkte Verbindung zwischen zwei Systemen möglich wird. Die
durch die Kompromittierung (Bloßstellung) entstandene Lücke im System kann nun dazu
genutzt werden Passwörter zu übertragen, Dienste zu starten und zu beenden, bis hin zum
kompletten Austausch von Daten (Download / Upload) zwischen dem System des Anwenders
und dem des Opfers.

Mit einem Portscan3 kann der Angreifer einen durch den Trojaner bzw. Backdoor geöffneten
Port ausfindig machen, und stellt nun, auf der Basis eines Client-Server-Systems, eine
Verbindung zum Trojaner/Backdoor her. Jetzt ist es möglich durch bestimmte Befehle das
eingeschleuste Programm zu kontrollieren und die gewünschten (bzw. unerwünschten)
Funktionen auszuführen.

1
Popup-Blocker : Programme zur Unterdrückung unerwünschter Werbefenster im Internet.
2
Backdoors : dt. Hintertüren
3
Portscan : Portafrage, Möglichkeit der Identifizierung geöffneter, freier bzw. Benutzer Ports

9
Oft werden Trojaner auch als so genannte Scherzprogramme eingesetzt. Die installierten
Trojaner dienen nun nicht wirklich der Spionage sondern eher der Erheiterung des Autors. So
gibt es Trojaner die den Desktop um 180° drehen oder alle Buchstaben per Knopfdruck auf den
Boden fallen lassen und so zum blanken Entsetzen eines unwissenden Endanwenders führen.

2.1.1.4 Hoax
Hoax bedeutet aus dem Englischen ins Deutsche übersetzt so viel wie „Hokuspokus“. Diese
Hoax E-Mails beinhalten z.B. Texte, die vor einem Virus warnen, der in Wirklichkeit nicht
existiert. Des Weiteren wird man aufgefordert die E-Mail an andere Personen zu verschicken,
um diese auch „gewarnt“ zu wissen. So verbreiten sich diese Warnmeldungen schlagartig und
überfluten die elektronischen Briefkästen der Anwender.
Normalerweise würde dieses Problem und die Kategorie Spam1 fallen. Doch einige
Virenprogrammierer haben sich die Tatsache der schnellen Verbreitung zu Nutze gemacht und
fügen ihren Virus als Dateianhang an diese E-Mails an. Durch die in 2.1.1.1 und 2.1.1.2.
beschrieben Mechanismen infiziert der Virus das jeweilige System, braucht sich aber selber
nicht mehr um seine Verbreitung zu kümmern. Der Virus wird direkt vom Anwender verteilt,
welcher die E-Mail mit der Warnmeldung, wie aufgefordert, an seine Freunde weiterleitet und
ihnen so auch den Virus zuspielt. Die Form der Virus-Hoax ist eine der effektivsten Methoden
einen Virus zu verbreiten. Die potentiellen Opfer erhalten eine E-Mail von einer bekannten
Person, die sie darauf auch ohne Bedenken öffnen und so leichtsinnig zum Opfer werden. Auch
zurück zu verfolgen wer die Mailkette gestartet hat ist so gut wie unmöglich.

2.1.2. Methoden und Absichten der Autoren

2.1.2.1 Absichten
Sicheres Surfen scheint im Internet unmöglich geworden zu sein. Kaum ein Tag vergeht ohne
Warnung vor neuen, gefährlichen Viren. Ob Netsky, Beagle oder Mydoom, sie alle verseuchen
die heimischen Computer. Doch was steckt hinter diesen zahlreichen Angriffen auf
unschuldige Internetnutzer. Am Anfang standen die Schadabsichten im Vordergrund. Viren
wurden programmiert um Betriebsgeheimnisse auszuspionieren oder auch die ganze Firma
direkt lahm zu legen. Doch heut zu Tage sind Firmen, die auf IT angewiesen sind so geschützt,
dass eindringen so gut wie unmöglich geworden ist. So änderten sich auch die Absichten der
Schadprogrammautoren. Computerfachzeitschriften berichten, dass ein förmlicher Krieg

1
Spam : in Computerfachsprache eine unerwünschte Überflutung von Daten. In diesem Fall elektronische Post.

10
zwischen den einzelnen „Programmiererbanden“ ausgebrochen sei. So lassen sich versteckte
Botschaften in den Programmcodes ausmachen, die gegenseitig die Parteien reizen sollen, noch
bessere Viren zu programmieren. So zum Beispiel ist im Code des Bagle-J Wurms folgende
Botschaft versteckt:
„Hey, NetSky, (Vulgärwort entfernt), don't ruine our business, wanna start a war?“
Die Bagle und Netsky Würmer liefern sich momentan einen Kampf um die Spitzenposition in
der Virenszene und die ahnungslosen Computeranwender müssen ihn ausbaden.

2.1.2.2. Verbreitung
Hauptproblem bleibt vorerst der Anwender. Durch ausprobieren eines im Internet
angepriesenen Programms ist das System schnell infiziert.
Aber auch unerwartete Aspekte treten mehr und mehr in den Vordergrund. So zum Beispiel
Service-Personal. Der gelegentliche Leichtsinn des Wartungs- und Service-Personals in Bezug
auf Sicherheitsprobleme, stellt zunehmend eine Gefahr für Endanwender da. Selbst exzellente
Fachkenntnisse scheinen davor nicht zu schützen. So werden nicht schreibgeschützte Disketten
mit Service-Programmen auf verseuchten Computern eingesetzt, was zur Folge hat, dass diese
Prüf-Disketten mit einem Virus infiziert werden. So geht es nun nach dem „Biene-Blüte-
Prinzip“ weiter. Der nächste PC, der mit dieser Diskette geprüft werden soll, wird nun auch
infiziert.
Auch original Software schützt nicht vor Virenbefall. Das allgemeine Klischee, dass
Raubkopien meist von Viren befallen seien trifft nicht immer zu. Auch Software von originalen
Herstellern weißt Konterminationen auf. Bei der Vervielfältigung einer Treiberdiskette kann es
vorkommen, dass ein Virus in den Kopiervorgang mit eingeschleust wird, der sich nun auf alle
weiteren Datenträger verteilt. Meist geschieht dies bei kleineren Computerfirmen, die kein oder
zu wenige Geld für Sicherheitsmaßnahmen bei der Treibervervielfältigung haben. Oft werden
einfach Office-Systeme benutzt um kommerzielle Datenträger herzustellen.

2.1.2.3. Probleme und Schäden die Computerparasiten verursachen

11
Computer-Viren verursachen mittlerweile allein in der Bundesrepublik Deutschland jährlich
Schäden in dreistelliger Millionenhöhe - mit steigender Tendenz. Die Schäden lassen sich
verschiedenen Bereichen zuordnen:
• beabsichtigte zerstörerische Schadensfunktionen: Nur ein geringer Teil der Viren sind
beabsichtigte Datenkiller. Durch die wissentlich programmierten Schadroutinen kommt
es zu enormen Datenverlusten bis hin zur kompletten Unbrauchbarkeit eines Systems.
• unbeabsichtigte Nebenwirkungen von Scherzviren: Durch unbeabsichtigte Fehler im
Code eines Scherzvirus kann es zu unerwünschten Nebenwirkungen kommen, die
ebenfalls verheerende Schäden anrichten können. Die vermeintlich harmlosen
Programme, die Anwender nur nerven sollen, wie z.B. durch endloses Abspielen einer
Melodie, lagern sich beispielsweise im Bootsektor einer Festplatte ab und
überschreiben so wichtige Informationen über Unterverzeichnisse und machen diese
unbeabsichtigt unbrauchbar.
• Gebrauch von Speicherplatz im Hauptspeicher und auf Datenträgern: Ob beabsichtig
oder nicht, jeder Virus braucht Speicherplatz auf einem Datenträger um überhaupt zu
existieren. Ein Virus kann auch die Rechenleistung eines Computers herabsetzen, wenn
er versucht sich auszubreiten und dabei alle Schreib- und Lese-Zugriffe kontrolliert.
• materieller und personeller Aufwand: Einen Löwenanteil der Schadensbilanz macht das
Aufspüren und Entfernen von Schadprogrammen aus. Eine Firma muss zusätzliche
Mitarbeiter beschäftigen um Systeme zu bereinigen und wieder herzustellen. Dies
schafft enorme zusätzliche Kosten.
• Abwehrmaßnahmen: Auch organisatorische Profilachsemaßnahmen sind nicht
kostenlos. Firewalls, Virenschutzprogramme und verwaltende Mitarbeiter erhöhen die
Kosten privater wie auch nicht privater Anwender.
• Panik und Verunsicherung der Anwender: Nicht in Zahlen auszudrücken sind die
Schäden, welche durch Verunsicherung der Anwender in der Wirtschaft entstanden
sind. Durch immer neue Warnmeldungen vor neuen Viren, wurden viele Verbraucher
abgeschreckt und stehen zum Teil der EDV nun abweisend gegenüber.

2.2. Profilachse und Bekämpfung von Computerparasiten

12
Gibt es einen hundertprozentigen Schutz vor Viren? Nein, aber das Risiko einer Vireninfektion
lässt sich stark reduzieren und der Schaden durch einen Virus kann begrenzt werden. Das
Zauberwort im Kampf gegen Viren heißt Vorbeugung.

2.2.1. Arten der Profilachse und Beseitigung

2.2.1.1. Vorbeugender Schutz

• Datensicherung: Durch regelmäßige Datensicherung kann man dem Schlimmsten
immer vorbeugen. Die Datensicherung ist das wichtigste Instrument gegen die
Widrigkeiten im Computeralltag. Ohne Datensicherung kann es schnell zu irreparablen
Datenverlusten kommen.
• Bootviren: Durch deaktivieren der Funktion im Bios von einer Bootdiskette zu starten,
kann man den Bootviren entgegenwirken, da sie so keine Möglichkeit haben aktiviert
zu werden.
• Fremde Software: Fremde Software ist immer ein erhebliches Risiko für ein System.
Da die Herkunft unbekannt ist, lassen sich keine Rückschlüsse auf Funktionen des
Programms schließen, welches unter Umständen einen Virus mit sich trägt.
• Unbefugte: Öffentlich zugängliche Rechner, wie z.B. in Internetcafes oder Schulen,
sind sehr häufig von Viren befallen. Da sie für jeden zugänglich sind, gehen viele
Benutzer mit diesen leichtsinnig um, oder infizieren diese absichtlich. So sollten auch
private Nutzer nie Unbefugte unbeaufsichtigt an ihren PC lassen.
• Makroviren: Um sich gegen Makroviren zu schützen, sollte man Programme benutzen
welche keine Makrofunktionen unterstützen oder diese zumindest deaktivieren.
• Antivirenprogramme: Die gründlichste Methode ist seinen Rechner regelmäßig auf
Viren untersuchen zu lassen. Dazu gibt es Programme, welche alle Dateien nach
Schadroutinen durchsuchen und diese gegebenenfalls löschen oder reparieren. Zur
erhöhten Sicherheit sollte man zwei verschiedene Antivirenprogramme installiert
haben. Falls ein Programm eine Schwachstelle vorweißt wird diese vom anderen
gedeckt.

2.2.1.2 Virenscanner

13
Antivirenprogramme werden auch als Virenscanner bezeichnet. Dieser Scanner durchsucht alle
Dateien wie Programme, Daten und Betriebssystem nach charakteristischen Merkmalen von
Viren. Das charakteristischste Merkmal ist eine Byte-Folge, die als Viren-Signatur bezeichnet
wird. Wird eine Viren-Signatur entdeckt, schlägt der Virenscanner Alarm. Viele Viren können
Rückstands los aus einer befallenen Datei entfernt werden. Bei anderen Fällen muss die
komplette Datei gelöscht werden. Moderne Antivirenprogramme bieten auch eine permanente
Schutzfunktion an. Dabei wird laufend überwacht, ob eine kritische Datei auftaucht bzw.
geöffnet wird. Ist das der Fall, wird sofort Alarm geschlagen.
Diese Vorgehensweise funktioniert hervorragend bei nicht mutierenden bzw. bekannten Viren.
Um auch die restlichen Viren in den Griff zu bekommen, durchsuchen die Virenscanner nach
heuristischen Verfahren. Dabei wird nach virentypischen und verdächtigen Merkmalen
gesucht. Aus diesem Grund ist ein regelmäßiges Update der Virensignaturen der wichtigste
Garant für eine hohe Trefferquote des Virenscanners.

2.2.2. Schadensbegrenzung und Strafverfolgung

2.2.2.1 Öffentlichkeit
Fast auf jeder Newssite1 im Internet gibt es immer aktuelle Informationen über die neusten
Viren und wie man sich gegen sie schützt. Meist sind diese Meldungen Schlagzeilen, da das
Interesse an solchen Informationen enorm gewachsen ist seit MyDoom und Co. Angst und
Schrecken unter den Endanwendern verbreiten. Auch Antiviren Seiten (http://www.virus-
aktuell.de) stellen regelmäßig wichtige Informationen über Prävention und Beseitigung von
Computerparasiten zur Verfügung. Selbst Microsoft hat sich nun zu seinen anfälligen
Betriebssystemen bekannt. Massenpublikationen wie die des Service Pack 2 für Windows XP
durch renommierte Computerfachzeitschriften und das Internet, sollen auch die letzen
Sicherheitslücken schließen und so dem Viruswahn den Gar ausmachen.

2.2.2.3 Kriminalbeispiele
Bereits 1988 kam es zur ersten Verhaftung in der Geschichte der Virenkriminalität. Der
Programmier des Virus „AIDS“ verteilte infizierte Disketten mit angeblichem
Informationsmaterial unter den Abgeordneten der AIDS-Konferenz. Nach 90 Tagen löschte der
Virus alle Daten auf der Platte und es erschien ein Überweisungsformular über $ 190 auf dem
Bildschirm. Der Autor wurde sofort verhaftet.

1
Newssite : dt. Nachrichtenseite

14
Einer der aktuellsten Fälle ereignete sich in Nordamerika. Im Mai 2004 hat die kanadische
Polizei einen der mutmaßlichen Entwickler des Trojaners „Randex“ festgenommen. Randex
verbreitet sich über das Chatnetzwerk IRC und spioniert infizierte Rechner nach Passwörtern
und Seriennummern aus. Erst durch die Hilfe eines Informatik-Studenten und der Zeitschrift c't
konnten die Urheber des Randex-Virus aufgespürt werden. Nachdem es der Redaktion von c't
gelang mit der Programmiererbande Kontakt aufzunehmen, unter dem Vorwand IP-Adressen
von infizierten Rechner zu kaufen, konnte einer der Bandenmitglieder in Großbritannien
lokalisiert werden. Danach wurde der Fall an das britische New Scotland Yard weitergeleitet
und dort weiterverfolgt.

3. Schlussteil
Viele staatliche Einrichtungen sind nicht annähernd hinreichend ausgerüstet um den Kampf
gegen die Viren-Mafia anzutreten. Durch immer bessere und schnellere Viren, werden
Programmierer von Sicherheitssystemen auf eine harte Probe gestellt. Ungleich scheint das
Verhältnis von lang geschulten und studierten Sicherheitsfachleuten, welche von 16jährigen
Schülern an der Nase herum geführt werden. So scheint der Kampf gegen die Virenautoren
wirkungslos und alleine in der Hand der Endanwender zu liegen. Doch viele sind überfordert
mit der Flut an Sicherheitsmassnahmen, die heut zu Tage nötig sind um sich wirkungsvoll
gegen virtuelle Angriffe zu schützen. Durch die so entstandenen Sicherheitslücken wird es
zunehmend schwieriger Computerparasiten flächendeckend zu bekämpfen.
Das beste Rezept gegen einen Virus ist die Erfahrung. Im Laufe der Zeit kommt man hinter die
Tricks und Kniffe der Virenautoren und beginnt deren Vorgehensweisen zu begreifen. So wird
es wesentlich einfacher gezielte Sicherheitsvorkehrungen zu treffen und so sich wirksam gegen
Schädlinge zu schützen. Doch selbst erfahrene Computerspezialisten sind nie vollkommen
gegen eine Infektion gefeit und werden sich nie wirklich sicher fühlen können.

4. Arbeitsprozessbericht
Florian Rocktäschel
15
 Viren, ihre Arten und Verhaltensweisen sowie Methoden ihrer Bekämpfung durch Software
und Gesetze.

Datum Fortschritte

8.12.2004 Anlegen der Ordnerstruktur für Materialien und Bearbeitung.

Deckblatt Entwurf.
Einstellung der geforderten Formate.
Entwurf Logo vom Deckblatt.
Anfang der Gliederung der Facharbeit *Version Alpha 1.0*
Inhaltsangabe *Version Alpha 1.0*
16.1.2005 Anfertigung einer Quellenliste.
Recherchen
24.1.2005 Schreibe 2.1 + 2.1.1.
Recherchen
Nähere Studien über Fred Cohen und seine Arbeiten
25.1.2005 Weiterbearbeitung von Punkt 2.1.1.1. *Version Alpha 1.1*
2.1.1.2.
26.1.2005 2.1.1.2.

27.1.2005 2.1.1.2.
2.1.1.3
2.1.1.4
30.1.2005 2.1.2.3

31.1.2005 2.1.1.1.
Ausdrucken der ersten Fassung zum Überblick.
21.2.2005 2.2.1. *Version Alpha 1.3*

24.2.2005 Einleitung
2.2.2.
27.2.2005 Einleitung, Schlussteil
2.2.2.
28.2.2005 Korrekturlesen, Ausdrucken, Abheften

6. Literaturverzeichnis

16
 Florian Rocktäschel

Inhalt Nutzen Dokument

Überblick Hoax Hoax Hoax.html

http://www.bsi.bund.de/av/

Viren Wiki Viren Computerviren.html

http://de.wikipedia.org/wiki/Computerviren

Viren Geschichte Viren Computerviren2.html

http://www.bsi.bund.de/av/virbro/kap1/kap1_1.htm

Viren Chronik Viren Computerviren3.html

http://www.bsi-fuer-buerger.de/viren/04_06.htm

Viren Formen Viren Computerviren4.html

http://www.computerbase.de/lexikon/Computervirus

Experimente Fred Cohen Computerviren5.html

http://www.all.net/books/virus/part1.html

http://www.all.net/books/virus/part2.html

http://www.all.net/books/virus/part3.html

http://www.all.net/books/virus/part4.html

http://www.all.net/books/virus/part5.html

http://www.all.net/

Würmer Wurm Wurm.html

http://www.computerbase.de/lexikon/Computerwurm

Würmer Wurm Wurm2.html

http://www.symantec.com/region/de/avcenter/vwutp.
html#wurm
Troja Troja Troja.html

http://www.trojaner-info.de/beschreibung.shtml

Troja Troja Troja2.html

http://de.wikipedia.org/wiki/Trojanisches_Pferd_(Co
mputerprogramm)

17
Troja Troja Troja3.htm

http://www.emsisoft.de/de/kb/articles/tec040105/defa
ult.aspx?language=de#4
„ Schäden Schaden.html

http://www.bsi-fuer-buerger.de/viren/04_0205.htm

„ Verbreitung Ver.html

http://www.bsi-fuer-buerger.de/viren/04_0202.htm

„ Schäden Schaden2.html

http://www.bsi.de/av/virbro/kap1/kap1_4.htm

„ Verbreitung Ver2.html

http://www.bsi.de/av/virbro/kap1/kap1_5.htm

„ Absichten Absichten.html

http://www.bild.t-
online.de/BTO/digital/Computer/offline/Internet/vire
n__programmierer/viren__programmierer.html
„ Absichten Absichten2.html

http://winfuture.de/news,13565.html

http://www.edv-zentrum.de/Computer-
TV/Virenschutz1/virenschutz1.html
„ Was tun Bekäpfung.htm

http://www.uni-
tuebingen.de/zdv/kursanleitungen/virenkurs/virenkur
s.htm#massnahmen
„ Gesetz Gesetz1.htm

Gesetz2.htm

Gesetz2.htm

Die in der Arbeit verwendeten Grafiken und Schemata wurden von mir selber angefertigt.

Alle angegebenen Seiten liegen auf der CD bei.

6. Erklärung über die selbständige Anfertigung der Arbeit.

Florian Rocktäschel

18
 Viren, ihre Arten und Verhaltensweisen sowie Methoden ihrer Bekämpfung durch Software
und Gesetze.

Hiermit erkläre ich, dass ich die Facharbeit selbst verfasst habe und keine anderen als die
angegebenen Hilfsmittel verwendet habe.

Unterschrift:

(Florian Rocktäschel)

Solingen den 27. Februar 2005

19