Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Was ist ein Computervirus?

Veröffentlicht von:Elldrich Wiant Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Was ist ein Computervirus?"—  Präsentation transkript:

1

2 Was ist ein Computervirus?
Eigenschaften eines Virus Kein selbständiges Programm Ist an ein Wirtsprogramm gebunden Viren werden erst aktiv, wenn das Wirtsprogramm gestartet wird. Sie können sich selbst reproduzieren. Rufen Störungen oder Beschädigungen von Software hervor

3 Entstehung der Viren 1984 stellt F. Cohen „ein Programm, das sich selbst schreibt“ vor. Studenten entwickeln „Schmunzelviren“ Zweite Hälfte der 80er Jahre entstehen gefährliche Viren (1986 Pakistani Brain) Anfang der 90er Jahre wurden auf den „Bulletin Boards“ Viren zum Download angeboten Seit 1991 gibt es Baukästen für die Programmierung von Viren

4 Herkunftsländer (nach Bedeutung geordnet)
USA Russland Deutschland Bulgarien Polen

5 Ziel des Virus: Schädigung von Firmen durch Datenmanipulation oder Datenzerstörung Vorteile eines Virus: Herkunft eines Virus ist nur selten feststellbar Viren können an Daten herankommen, die vor direkten Zugriffen geschützt sind Viren können sehr schnell verbreitet werden , da die Vermehrung exponentiell verläuft.

6 Vergleich zwischen Biologischen Viren und Computerviren
Biologische Viren Computerviren Greifen bestimmte Zellen an Greifen bestehende Programme (z. B. *.com, *.exe ) an Erbinformation der Zelle wird verändert Programm wird manipuliert In befallenen Zellen entwickeln sich neue Viren Befallene Programme erzeugen weitere Kopien des Virus Krankheiten treten nicht unmittelbar nach dem Befall auf Infizierte Programme können längere Zeit fehlerfrei ablaufen Jede Zelle wird nur einmal infiziert Viren legen in der Regel in jedem Programm nur eine Kopie an Viren können mutieren Bestimmte Viren verändern ihre Struktur

7

8 Der generelle Aufbau eines Virus
Ein Computervirus besteht aus 2 Hauptteilen: 1.Der Fortpflanzungsmechanismus: Eine Aufgabe des Computervirus ist die weite Verbreitung im Computersystem. Je nach Virenart werden Dateien, Bootsektoren oder Arbeitsspeicher infiziert. Bei Infektion kopiert der Virus neben dem eigentlichen Programm einen speziellen Code in das File. Falls der Virus jetzt versucht eine schon infizierte Datei nochmals zu infizieren und dabei auf seinen eigenen Code stößt, weiß er, dass die Datei schon von ihm infiltriert ist und eine doppelte Infektion wird somit vermieden. 2. Der Auftrag: Nach dem Ziel, das der Programmierer verfolgt, gestaltet sich der Auftrag. Vom einfachen Nichtstun bis zur Zerstörung von Bildschirm, Laufwerke und Löschung von Festplatten usw. ist alles möglich. Um möglichst lange unentdeckt zu bleiben und um sich weit verbreiten zu können, tritt die Schadensfunktion meistens erst nach einiger Zeit in Kraft. Viren verwenden dazu sog. Trigger, d.h. der Virus wird erst nach dem Eintreten eines bestimmten Ereignisses aktiv. Beispiele für Trigger: Aktivierung an einem bestimmten Datum ( Fr ) nach dem 100. Start des infizierten Programmes nach dem 200. Start des Computers nach Drücken einer bestimmten Tastenkombination an einer bestimmten Uhrzeit

9 Beispielcode Das folgende Programmcode beschreibt die prinzipielle Funktionsweise von Computerviren:
1 program BÖSER_VIRUS 2 HIHÄHU 3 4 procedure Infiziere_neues_Programm; 5 begin 6 gefunden:=false; 7 repeat 8 zieldatei:=irgendeine_EXE_oder_COM_Datei; 9 if not (2. Zeile von zieldatei)=HIHÄHU then begin 10 gefunden=true; 11 infiziere_Datei(zieldatei); 12 end; 13 until gefunden=true; 14 end; 15 16 procedure Aufgabe; 17 begin 18 if Datum= then format C: 19 end; 20 21 begin 22 Infiziere_neues_Program; 23 Aufgabe; 24 Starte_Wirtprogramm; 25 end. In dieser Form wäre der Virus natürlich nicht funktionstüchtig. Erklärung der einzelnen Abschnitte: Zeile 2: Bei jeder Neuinfektion einer Datei überprüft der Virus ob diese Zeichenkette in der Datei schon enthalten ist. Ist das der Fall, ist die Datei schon infiziert. Zeile 4-14: Hier wird eine zu infizierende Datei gesucht (Zeile8) und überprüft ob sie noch gesund ist (Zeile 9). Ist das der Fall, wird sie gekränkt. Zeile 16-19: Hier sind die Aufgabe des Virus und der Zeitpunkt der Ausführung definiert. In diesem Fall formatiert der Virus am die Festplatte C:. Zeile 21-25: Das ist das Hauptprogramm in dem die einzelnen Abschnitte (Infektion, Aufgabe, Start des Wirtprogramms) aufgerufen werden. In Zeile 24 wird das Wirtprogramm gestartet um dem Benutzer ein fehlerfreies Programm vorzugaukeln.

10

11 Was können Viren nicht? Computerviren können keine Dateien auf schreibgeschützten Datenträgern infizieren Ausnahme sind die Word-Makroviren Viren infizieren auch keine komprimierten Dateien. Viren befallen keine Hardware

12 Wie viele Viren gibt es?

13 Rechtslage: In Österreich und Deutschland ist die Anwendung von Viren und die daraus resultierende Veränderung von Daten strafbar. Das Programmieren von Computerviren ist nicht ausdrücklich verboten.

14 Unterteilung der Computerviren in 3 Gruppen

15 Dateiviren Auch Linkviren genannt. Diese Viren "linken" sich an das Wirtsprogramm an. Sie infizieren EXE-, COM- und andere Dateien. Es gibt verschiedene Infektionsmechanismen. Jeder Virus verwendet jeweils nur eine der folgenden Mechanismen.

16 Überschreibender Virus
einfachste Art der Infektion. Virus überlagert das Wirtsprogramm mit seinem Code. Das Programm wird zerstört. Diese einfachen Viren treten heute kaum noch auf, da sie sehr leicht zu erkennen sind. Überschreibender Virus - zweite Variante: Der Virus hat einen sehr kurzen Code sucht nach Wirtsprogrammen mit statischen Daten. Hierher schreibt der Virus seinen Code und ändert den Startup-Code. Das Programm wird nicht zerstört Die Programmlänge bleibt gleich. Die statischen Daten weisen falsche Werte auf

17 Nichtüberschreibender Virus:
Erster Teil des Programms in der Länge des Virencodes wird an das Ende der Datei verschoben. Virus überlagert den ersten Teil mit seinem Code Programm wird gestartet => Virus abgearbeitet. Verschieberoutine => kopiert den verschobenen Programmteil wieder an seinen ursprünglichen Platz und startet ihn. Der Virus wird dabei überschrieben, er hat jedoch seine Arbeit schon längst getan. Nichtüberschreibender Virus - zweite Variante: Virus versteckt seinen Code im Programm Der Programmteil mit dem Virencode wird an das Ende verschoben. Ein Sprungbefehl am Anfang führt zum Virencode. Virencode-ende steht ein weiterer Sprung zurück zum eigentlichen Programm. Solche Viren kann man entfernen.

18 Anlagender Virus: Virus hängt sich ans Wirtsprogrammende setzt an den Programmanfang eine Sprung auf den Virencode. Am Ende des Virus geht es wieder mit einem Sprung zum Programm zurück. Begleitender- oder Companion-Virus: Sie sind ein komplettes, ausführbares Programm. Nutzen eine Eigenart von DOS aus: Wenn COM- und EXE-Dateien vorliegen werden Com-Dateien zuerst gestartet. Virus kann nur angreifen wenn die EXE-Datei nicht ausgeführt wird Infizieren nur Exe-Dateien Virus erstellt eine COM-Datei die den Virus beinhaltet Dieser startet dann die nicht infizierte EXE-Datei Längentreuer Virus: Lagert Code des Wirtsprogrammes in eine externe Datei aus, die dann versteckt wird. Der Virus kopiert sich in das Wirtsprogramm. Die Länge der Datei bleibt gleich. Der Virus sorgt bei der Abarbeitung noch dafür, dass das ausgelagerte Programmstück richtig eingebunden wird. Geht das ausgelagerte Stück des Programms verloren, stürzt das Wirtsprogramm ab.

19

20 Residente Viren: Effektivere Fortpflanzungsmethode als bei den Linkviren. Wird ein infiziertes Programm aufgerufen => ladet sich der speicherresidente Virus in den Arbeitsspeicher. Kann, wenn das eigentliche Programm beendet wird, aktiv bleiben und seinen Auftrag ausführen.

21

22 Systemviren: Systemviren benutzen Bestandteile des Betriebssystems als Wirte. Wenn ein Virus im Bootsektor zuschlägt, steht das nachher geladene Betriebssystem unter dessen Kontrolle. Solche Viren werden auch Bootsektorviren benannt. Sie gibt verschiedene Methoden um den Bootsektor zu infizieren: Der Bootsektor wird einfach in einen anderen Sektor verschoben (dort befindliche Daten zerstört) und der Virencode in den Bootsektor kopiert. Beim nächsten Start wird nun zuerst der Virus abgearbeitet und dann zum eigentlichen Bootsektor verzweigt. Der Virus baut nur eine kleine Laderoutine in den Bootsektor ein. Er selbst liegt in einem "bad" Cluster, einen von ihm selbst erzeugten defekten Sektor, versteckt. Sie werden nur schwer entdeckt da diese Sektoren als Speicherbereich nicht berücksichtigt werden. Partition Table Virus: Der Virus nistet sich im Partition Table (Sektor 0) der Festplatte ein und infiziert von dort aus den Bootsektor. Selbst beim Formatieren der Festplatte oder löschen des Bootsektors bleibt der Virus erhalten.

23

24 Neben den bereits erwähnten Viren gibt es auch einige Exoten:
Call-Viren: Diese Viren liegen irgendwo versteckt als Programme vor. Oft benutzen sie auch selbst angelegte "bad" Cluster, die vom Betriebssystem nicht berücksichtigt werden, da sie ja als defekt markiert sind. Sie infizieren die Datei nur mit einem CALL-Befehl, durch welchen der Virus aufgerufen wird. Fehlt das Programm (=Virus) kommt es zum Absturz oder einer Fehlermeldung. Source-Code Viren: Hier liegt der Computervirus nicht als ausführbarer Programmcode vor, sondern als Quellcode einer Programmiersprache Da ein fremder Code in einem Programm auffällt, infiziert der Virus Programmbibliotheken, die meist nicht kontrolliert werden. Startet man das Programm, wird irgendwann auch die Programmbibliothek benötigt und der Virus kann somit aktiv werden. Er sucht dann wiederum nach anderen Bibliotheken und infiziert diese. Macro Viren: Ein Macro ist eine Zusammenfassung einer Abfolge von Befehlen. Sie werden zur Arbeitserleichterung in Programmen wie MS-Word eingesetzt. Macroviren sind die neueste Generation von Computerviren und sehr effektiv, da Makros an normale Dokumentdateien gebunden sind und somit leicht verbreitet werden.

25 Folgende Virenarten sind Spezialformen :
Cavity Viren: Cavity Viren verändern die Größe der infizierten Datei nicht. Sie suchen in der Zieldatei eine Stelle mit einer Reihe an identischen Zeichen, die mindestens so groß wie der Virus selbst ist Diese Viren komprimieren diese Zeichenkette und fügen sich in die entstandene Lücke ein. Greift das Programm auf die Zeichenkette zu, wird der Virus ausgeführt, der nach Erfüllung seiner Aufgabe die Zeichenkette dekomprimiert und das Programm kann normal weiterlaufen. Bsp. einer Infektion: Programm vorher: AJF3JS DNFJAKSF289a Programm nach Infektion: AJF3JS2=>VIRUSCODE+12*0<= DNFJAKSF289a Stealth-Viren: Stealth Viren versuchen dem Benutzer vorzugaukeln, sie wären gar nicht im System. Sie tarnen sich dadurch, daß sie die Zugriffe auf die infizierten Dateien überwachen. Will z.B. der DOS-Befehl DIR die Größe einer infizierten Datei anzeigen, subtrahiert der Virus von diesem Wert seine Codegröße und täuscht somit eine "gesunde" Datei vor. Durchsucht ein Antivirusprogramm die Festplatte, desinfizieren manche Stealthviren die infizierten Dateien und kopieren sich in den Arbeitsspeicher. Nach der Beendigung des Antivirenprogrammes werden die Dateien wieder infiziert.

26 Polymorphe Viren: Antivirusprogramme suchen nach fixen Viruszeichenketten. Polymorphe Viren beinhalten Zeichenketten, die sich ständig, verändern und eine gezielte Suche erschweren. Bounty Hunter Viren: suchen nach Antivirussoftware und verändern diese oder machen sie unschädlich. Doppelviren (Hybridviren): Diese Viren infizieren Dateien (Linkviren) und Systembereiche (Systemviren). Vorteil: hat ein Systemvirus das System infiziert, wird er bei jedem Start geladen. Durch Booten einer (sauberen!) Diskette wird das Laden umgangen. Hybridviren werden beim Start nicht geladen, aber ein Aufruf eines infizierten Programmes führt zur Virusverbreitung. Geschieht dies auf der Diskette, so wird auch diese infiziert. Doppelte Absicherung

27 Hoaxes Subject: Good Times! Here is some important information. Beware of a file called "Good Times". Be careful out there. There is a virus on the Internet being sent by . If you get anything called "Good Times", DON'T read it or download it. It is a virus that will erase your hard drive. Forward this warning to all your friends. It may help them a lot. Hoaxes sind keine Viren, sondern Ketten- s, die vorgeben, vor Viren zu warnen. Woran erkenne ich den Unterschied zwischen Hoax und echtem Virus? Bei echte Viren gibt es keine Vorwarnung Hoaxes erhalten in der Betreffzeile den Begriff "Vorsicht Virus" oder "Virenwarnung". Als Quelle der Virenwarnung wird gerne eine namhafte Firma genannt Das Schadenspotenzial des Virus wird immer sehr drastisch und als noch nie dagewesen formuliert. Solche Warnmeldungen sollte man nicht weiterleiten, sondern löschen.

28 Antivirenprogramme (AV):
Virenverbreitung: Heute befallen Viren jährlich über eine Million PCs. Viren verbreiten sich durch den Zugriff auf einen infizierten Speicher. Diskette Internet Netzwerk Antivirenprogramme (AV): Kein 100%iger Schutz Können auch falschen Alarm geben (sog. False Positives) Es gibt mehrere verschiedene Arten von AVs: 1. Monitor-Programme: sind speicherresidente Programme. Sie warten auf virentypische Aktivitäten wie z.B.: Veränderung von ausführbaren Dateien Verbiegen von Interrupt Vektoren Formatieren von Sektoren usw. Sie können von manchen Viren problemlos übergangen werden.

29 2. Scanner: sind die meistverwendeten AVs. Die älteren Programme suchen nach virenspezifischen Zeichenketten oder nach sog. Jokerzeichen Virus muss bekannt und analysiert worden sein. Sind gegen polymorphe Viren hilflos Moderne Scanner verwenden Ansätze von künstlicher Intelligenz und heuristische Methoden. Man erhält keine Information über den Virus nur über die Symptome Um ein System wirkungsvoll zu schützen sollte man mindestens 2 verschiedene Scanner alle 2 Wochen benützen. 3. Speicherresidente Scanner: sind eine spezielle Form der herkömmlichen Scanprogramme. Sie werden bei einem Programmstart oder Dateizugriff aktiv und scannen die betroffenen Files.

30 4. Integrity-Checker oder Checksummenprogramme:
sind Programme, die von Datenabschnitten Checksummen erstellen. Diese Checksummen werden mit den, von Zeit zu Zeit neu erstellten, verglichen. Gute Integrity-Checker erkennen Sicherheitslücken und spüren Companion-Viren auf. Weisen auf nicht durch Viren manipulierte Dateien hin und bemerken Datenverluste 5. Heuristische Scanner: arbeiten nach dem Prinzip der Fuzzy-Logic (Berechnungen erfolgen Pi mal Daumen). Sie analysieren Programme auf Funktion und Aufbau. Verdächtige Funktionen sind z.B.: Schreiben in ausführbare Dateien Modifizieren von Dateiattributen Undokumentierte Interruptzugriffe Suchen nach beliebigen ausführbaren Dateien 6. Viren Cleaner: Enthalten Viren-Entfernungsfunktionen Diese funktionieren nur, wenn eine exakte Beschreibung des Virus vorliegt

31 Virenbeispiele 1. Form Virus: Charakteristik:
Der Form-Virus ist eine Mischung aus Bootsektorvirus und speicherresidenten Virus. Er infiziert einen Teil des High DOS Memory, den Bootsektor und die letzten zwei Sektoren der Festplatte. Dateien bleiben von ihm unberührt. Bei der Infektion kopiert er sich selbst in den Bootsektor und verschiebt die Originaldaten und setzt einen Link in die letzten 2 Sektoren. Er infiziert auch Disketten. Indikatoren einer Infektion: Bei jedem Tastendruck an dem 18. Tag eines jeden Monats ertönt ein Klickgeräusch. Das System kann durch einen nicht geglückten Festplattenzugriff abstürzen. Der Form-Virus benötigt 2 kByte an Arbeitsspeicher. Dies läßt sich durch den DOS-Befehl MEM feststellen. Der DOS-Befehl CHKDSK stellt außerdem 1,024 Bytes an zerstörten Sektoren fest, in denen der Originalbootsektor gespeichert ist. Im Viruscode steht folgender Text :The FORM-Virus sends greetings to everyone who's reading this text. FORM doesn't destroy data! Don't panic! (Expletive) go to Corrine. Methode der Infektion: Ein System kann nur durch das Booten von einer infizierten Diskette befallen werden. Auch wenn die Diskette nicht bootable ist und er DOS-Text: "Non-system disk or disk error" erscheint ist der Bootsektor der Festplatte bereits infiziert. Bei jedem folgenden Systemstart wird der Virus in den Arbeitsspeicher geladen und kann bei jedem Floppy-Disk-Zugriff deren Bootsektor infizieren und sich so verbreiten. Virus Daten: Datum der Entdeckung: Juni 1990 Herkunftsland: Schweiz Länge: 512 Bytes Typ: Bootsektorvirus, speicherresidenter Virus Häufigkeit: oft, weit verbreitet

32 2. "Friday 13th" Virus: Charakteristik:
Der Friday 13th Virus ist ein Programmvirus. Er infiziert COM-Dateien außer der COMMAND.COM. Bei jedem Start des Virus werden 2 neue .COM Dateien auf der Festplatte und eine neue auf dem A: Laufwerk gesucht und falls vorhanden infiziert. Indikatoren der Infektion: Das Leuchten des Diskettenzugriffslämpchen im Floppy-Disklaufwerk, hervorgerufen durch die Suche des Virus nach neuen Wirtdateien auf dem A: Laufwerk, ist der einzige Indikator der Infektion. Bei einem Computerstart an einem Freitag 13. wird die COMMAND.COM gelöscht. Methode der Infektion: Durch das Ausführen einer infizierten Datei wird der Virus gestartet und verbreitet. Virus Daten: Datum der Entdeckung: November 1987 Herkunftsland: Rep. Südafrika Länge: 512 Bytes Typ: Programmvirus Häufigkeit: selten

33 3. "Cascade" Virus: Charakteristik:
Der Cascade Virus ist ein überschreibender Programmvirus und speicherresident. Er infiziert COM-Dateien. Indikatoren der Infektion: Zwischen dem 1. und 31. Oktober 1988 führte der Cascade Virus seine Aufgabe aus. Diese gestaltete sich so, dass, kurz nach dem Start des infizierten Programmes, alle Buchstaben auf dem Bildschirm auf den unteren Bildschirmrand fallen und dort einen Haufen bilden. Methode der Infektion: Durch das Ausführen einer infizierten Datei wird der Virus gestartet und verbreitet. Virus Daten: Datum der Entdeckung: Oktober 1987 Herkunftsland: Deutschland Länge: 1701 oder 1704 Bytes Typ: Programmvirus, speicherresident Häufigkeit: oft, weit verbreitet

34

35

Herunterladen ppt "Was ist ein Computervirus?"

Ähnliche Präsentationen

Von Florian Wirths und Fabian Janik

Von Florian Wirths und Fabian Janik
Die Installation von Windows 95 erfordert etwas Vorarbeit: Als erstes müssen Sie mit einer Windows 95 Startdiskette den Computer booten.... Dabei wird.

Die Installation von Windows 95 erfordert etwas Vorarbeit: Als erstes müssen Sie mit einer Windows 95 Startdiskette den Computer booten.... Dabei wird.
Netzwerke in der Informationstechnik

Netzwerke in der Informationstechnik
PC-Senioren Ludwigsburg

PC-Senioren Ludwigsburg
Mu - Linux.

Mu - Linux.
Ein paar Grundlagen zur Informatik

Ein paar Grundlagen zur Informatik
Computerviren und Malware

Computerviren und Malware
Software Von Webmaster Mario.

Software Von Webmaster Mario.
Computeria Zürich Treff vom 1. März 2006 alle eigenen Daten sichern Ein Vortrag von René Brückner.

Computeria Zürich Treff vom 1. März 2006 alle eigenen Daten sichern Ein Vortrag von René Brückner.
Viren? Wad‘n dat? Definition

Viren? Wad‘n dat? Definition
Was ist eigentlich ein Computervirus?

Was ist eigentlich ein Computervirus?
Gefährdung durch Viren

Gefährdung durch Viren
KS-Encodier-Server Marco Korrmann / Dominik Sommer 1 KS-Encodier-Server Karlsruhe 21.07.2006 B e g r ü ß u n g.

KS-Encodier-Server Marco Korrmann / Dominik Sommer 1 KS-Encodier-Server Karlsruhe B e g r ü ß u n g.
Windows Explorer.

Windows Explorer.
Situationen Verteilte Anwendungen Wintersemester 06/07 © Wolfgang Schönfeld.

Situationen Verteilte Anwendungen Wintersemester 06/07 © Wolfgang Schönfeld.
Sicher durchs Internet

Sicher durchs Internet
Sicherheit in vernetzten Systemen

Sicherheit in vernetzten Systemen
Batch-Programmierung Grundlagen

Batch-Programmierung Grundlagen
EDV2 - 01 - Parallelprogrammierung1 Parallelprogrammierung mit JAVA.

EDV Parallelprogrammierung1 Parallelprogrammierung mit JAVA.
Computerviren Hugo, Oskar, Nadia, Tony, Kevin, Leah

Computerviren Hugo, Oskar, Nadia, Tony, Kevin, Leah

Ähnliche Präsentationen

Google-Anzeigen