Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Was ist ein Computervirus? Eigenschaften eines Virus Kein selbständiges Programm Kein selbständiges Programm Ist an ein Wirtsprogramm gebunden Viren werden.

Ähnliche Präsentationen


Präsentation zum Thema: "Was ist ein Computervirus? Eigenschaften eines Virus Kein selbständiges Programm Kein selbständiges Programm Ist an ein Wirtsprogramm gebunden Viren werden."—  Präsentation transkript:

1

2 Was ist ein Computervirus? Eigenschaften eines Virus Kein selbständiges Programm Kein selbständiges Programm Ist an ein Wirtsprogramm gebunden Viren werden erst aktiv, wenn das Wirtsprogramm gestartet wird. Viren werden erst aktiv, wenn das Wirtsprogramm gestartet wird. Sie können sich selbst reproduzieren. Sie können sich selbst reproduzieren. Rufen Störungen oder Beschädigungen von Software hervor Rufen Störungen oder Beschädigungen von Software hervor

3 Entstehung der Viren 1984 stellt F. Cohen ein Programm, das sich selbst schreibt vor stellt F. Cohen ein Programm, das sich selbst schreibt vor. Studenten entwickeln Schmunzelviren Studenten entwickeln Schmunzelviren Zweite Hälfte der 80er Jahre entstehen gefährliche Viren (1986 Pakistani Brain) Zweite Hälfte der 80er Jahre entstehen gefährliche Viren (1986 Pakistani Brain) Anfang der 90er Jahre wurden auf den Bulletin Boards Viren zum Download angeboten Anfang der 90er Jahre wurden auf den Bulletin Boards Viren zum Download angeboten Seit 1991 gibt es Baukästen für die Programmierung von Viren Seit 1991 gibt es Baukästen für die Programmierung von Viren

4 Herkunftsländer (nach Bedeutung geordnet) 1. USA 2. Russland 3. Deutschland 4. Bulgarien 5. Polen

5 Ziel des Virus: Schädigung von Firmen durch Schädigung von Firmen durch Datenmanipulation oder Datenzerstörung Vorteile eines Virus: Herkunft eines Virus ist nur selten feststellbar Herkunft eines Virus ist nur selten feststellbar Viren können an Daten herankommen, die vor direkten Zugriffen geschützt sind Viren können an Daten herankommen, die vor direkten Zugriffen geschützt sind Viren können sehr schnell verbreitet werden, da die Vermehrung exponentiell verläuft. Viren können sehr schnell verbreitet werden, da die Vermehrung exponentiell verläuft.

6 Vergleich zwischen Biologischen Viren und Computerviren Biologische Viren Computerviren Greifen bestimmte Zellen an Greifen bestehende Programme (z. B. *.com, *.exe ) an Erbinformation der Zelle wird verändert Programm wird manipuliert In befallenen Zellen entwickeln sich neue Viren Befallene Programme erzeugen weitere Kopien des Virus Krankheiten treten nicht unmittelbar nach dem Befall auf Infizierte Programme können längere Zeit fehlerfrei ablaufen Jede Zelle wird nur einmal infiziert Viren legen in der Regel in jedem Programm nur eine Kopie an Viren können mutieren Bestimmte Viren verändern ihre Struktur

7

8 Der generelle Aufbau eines Virus Ein Computervirus besteht aus 2 Hauptteilen: 1.Der Fortpflanzungsmechanismus: Eine Aufgabe des Computervirus ist die weite Verbreitung im Computersystem. Je nach Virenart werden Dateien, Bootsektoren oder Arbeitsspeicher infiziert. Eine Aufgabe des Computervirus ist die weite Verbreitung im Computersystem. Je nach Virenart werden Dateien, Bootsektoren oder Arbeitsspeicher infiziert. Bei Infektion kopiert der Virus neben dem eigentlichen Programm einen speziellen Code in das File. Falls der Virus jetzt versucht eine schon infizierte Datei nochmals zu infizieren und dabei auf seinen eigenen Code stößt, weiß er, dass die Datei schon von ihm infiltriert ist und eine doppelte Infektion wird somit vermieden. Bei Infektion kopiert der Virus neben dem eigentlichen Programm einen speziellen Code in das File. Falls der Virus jetzt versucht eine schon infizierte Datei nochmals zu infizieren und dabei auf seinen eigenen Code stößt, weiß er, dass die Datei schon von ihm infiltriert ist und eine doppelte Infektion wird somit vermieden. 2. Der Auftrag: Nach dem Ziel, das der Programmierer verfolgt, gestaltet sich der Auftrag. Vom einfachen Nichtstun bis zur Zerstörung von Bildschirm, Laufwerke und Löschung von Festplatten usw. ist alles möglich. Nach dem Ziel, das der Programmierer verfolgt, gestaltet sich der Auftrag. Vom einfachen Nichtstun bis zur Zerstörung von Bildschirm, Laufwerke und Löschung von Festplatten usw. ist alles möglich. Um möglichst lange unentdeckt zu bleiben und um sich weit verbreiten zu können, tritt die Schadensfunktion meistens erst nach einiger Zeit in Kraft. Viren verwenden dazu sog. Trigger, d.h. der Virus wird erst nach dem Eintreten eines bestimmten Ereignisses aktiv. Um möglichst lange unentdeckt zu bleiben und um sich weit verbreiten zu können, tritt die Schadensfunktion meistens erst nach einiger Zeit in Kraft. Viren verwenden dazu sog. Trigger, d.h. der Virus wird erst nach dem Eintreten eines bestimmten Ereignisses aktiv. Beispiele für Trigger: Aktivierung Aktivierung an einem bestimmten Datum ( Fr ) an einem bestimmten Datum ( Fr ) nach dem 100. Start des infizierten Programmes nach dem 100. Start des infizierten Programmes nach dem 200. Start des Computers nach dem 200. Start des Computers nach Drücken einer bestimmten Tastenkombination nach Drücken einer bestimmten Tastenkombination an einer bestimmten Uhrzeit an einer bestimmten Uhrzeit

9 Beispielcode Das folgende Programmcode beschreibt die prinzipielle Funktionsweise von Computerviren: 1 program BÖSER_VIRUS 1 program BÖSER_VIRUS 2 HIHÄHU 2 HIHÄHU 3 4 procedure Infiziere_neues_Programm; 4 procedure Infiziere_neues_Programm; 5 begin 5 begin 6 gefunden:=false; 6 gefunden:=false; 7 repeat 7 repeat 8 zieldatei:=irgendeine_EXE_oder_COM_Datei; 8 zieldatei:=irgendeine_EXE_oder_COM_Datei; 9 if not (2. Zeile von zieldatei)=HIHÄHU then begin 9 if not (2. Zeile von zieldatei)=HIHÄHU then begin 10 gefunden=true; 10 gefunden=true; 11 infiziere_Datei(zieldatei); 11 infiziere_Datei(zieldatei); 12 end; 12 end; 13 until gefunden=true; 13 until gefunden=true; 14 end; 14 end; procedure Aufgabe; 16 procedure Aufgabe; 17 begin 17 begin 18 if Datum= then format C: 18 if Datum= then format C: 19 end; 19 end; begin 21 begin 22 Infiziere_neues_Program; 22 Infiziere_neues_Program; 23 Aufgabe; 23 Aufgabe; 24 Starte_Wirtprogramm; 24 Starte_Wirtprogramm; 25 end. 25 end. In dieser Form wäre der Virus natürlich nicht funktionstüchtig. Erklärung der einzelnen Abschnitte: Zeile 2: Bei jeder Neuinfektion einer Datei überprüft der Virus ob diese Zeichenkette in der Datei schon enthalten ist. Ist das der Fall, ist die Datei schon infiziert. Zeile 2: Bei jeder Neuinfektion einer Datei überprüft der Virus ob diese Zeichenkette in der Datei schon enthalten ist. Ist das der Fall, ist die Datei schon infiziert. Zeile 4-14: Hier wird eine zu infizierende Datei gesucht (Zeile8) und überprüft ob sie noch gesund ist (Zeile 9). Ist das der Fall, wird sie gekränkt. Zeile 4-14: Hier wird eine zu infizierende Datei gesucht (Zeile8) und überprüft ob sie noch gesund ist (Zeile 9). Ist das der Fall, wird sie gekränkt. Zeile 16-19: Hier sind die Aufgabe des Virus und der Zeitpunkt der Ausführung definiert. In diesem Fall formatiert der Virus am die Festplatte C:. Zeile 16-19: Hier sind die Aufgabe des Virus und der Zeitpunkt der Ausführung definiert. In diesem Fall formatiert der Virus am die Festplatte C:. Zeile 21-25: Das ist das Hauptprogramm in dem die einzelnen Abschnitte (Infektion, Aufgabe, Start des Wirtprogramms) aufgerufen werden. In Zeile 24 wird das Wirtprogramm gestartet um dem Benutzer ein fehlerfreies Programm vorzugaukeln. Zeile 21-25: Das ist das Hauptprogramm in dem die einzelnen Abschnitte (Infektion, Aufgabe, Start des Wirtprogramms) aufgerufen werden. In Zeile 24 wird das Wirtprogramm gestartet um dem Benutzer ein fehlerfreies Programm vorzugaukeln.

10 Schäden durch Viren Zerstörung und Veränderung von Dateien Störende Bildschirm- animation Verändern von Programmen Schaden an Geräten (meist Vortäuschen von Schäden) Gags (Musik, falsche Meldungen) Änderung von Konfigurations- Daten (FAT, CMOS-Setup) Blockieren des Rechners Passwort- abfragen System- abstürze Bildschirm- ausgaben manipulieren Verlangsamen des Rechners Formatieren der Festplatte

11 Was können Viren nicht? Computerviren können keine Dateien auf schreibgeschützten Datenträgern infizieren Computerviren können keine Dateien auf schreibgeschützten Datenträgern infizieren Ausnahme sind die Word-Makroviren Viren infizieren auch keine komprimierten Dateien. Viren infizieren auch keine komprimierten Dateien. Viren befallen keine Hardware Viren befallen keine Hardware

12 Wie viele Viren gibt es? Über bekannte Viren In-the-Wild-Viren 1 bis 2% der bekannten Viren Werden tatsächlich verbreitet Zoo-Viren Laborentwicklungen Kommen nie in Umlauf

13 Rechtslage: In Österreich und Deutschland ist die Anwendung von Viren und die daraus resultierende Veränderung von Daten strafbar. In Österreich und Deutschland ist die Anwendung von Viren und die daraus resultierende Veränderung von Daten strafbar. Das Programmieren von Computerviren ist nicht ausdrücklich verboten. Das Programmieren von Computerviren ist nicht ausdrücklich verboten.

14 Unterteilung der Computerviren in 3 Gruppen Computerviren Dateiviren

15 Dateiviren Auch Linkviren genannt. Diese Viren "linken" sich an das Wirtsprogramm an. Auch Linkviren genannt. Diese Viren "linken" sich an das Wirtsprogramm an. Sie infizieren EXE-, COM- und andere Dateien. Sie infizieren EXE-, COM- und andere Dateien. Es gibt verschiedene Infektionsmechanismen. Jeder Virus verwendet jeweils nur eine der folgenden Mechanismen. Es gibt verschiedene Infektionsmechanismen. Jeder Virus verwendet jeweils nur eine der folgenden Mechanismen.

16 Überschreibender Virus einfachste Art der Infektion. einfachste Art der Infektion. Virus überlagert das Wirtsprogramm mit seinem Code. Virus überlagert das Wirtsprogramm mit seinem Code. Das Programm wird zerstört. Das Programm wird zerstört. Diese einfachen Viren treten heute kaum noch auf, da sie sehr leicht zu erkennen sind. Diese einfachen Viren treten heute kaum noch auf, da sie sehr leicht zu erkennen sind. Überschreibender Virus - zweite Variante: Der Virus hat einen sehr kurzen Code Der Virus hat einen sehr kurzen Code sucht nach Wirtsprogrammen mit statischen Daten. sucht nach Wirtsprogrammen mit statischen Daten. Hierher schreibt der Virus seinen Code und ändert den Startup-Code. Hierher schreibt der Virus seinen Code und ändert den Startup-Code. Das Programm wird nicht zerstört Das Programm wird nicht zerstört Die Programmlänge bleibt gleich. Die Programmlänge bleibt gleich. Die statischen Daten weisen falsche Werte auf Die statischen Daten weisen falsche Werte auf

17 Nichtüberschreibender Virus: Erster Teil des Programms in der Länge des Virencodes wird an das Ende der Datei verschoben. Erster Teil des Programms in der Länge des Virencodes wird an das Ende der Datei verschoben. Virus überlagert den ersten Teil mit seinem Code Virus überlagert den ersten Teil mit seinem Code Programm wird gestartet => Virus abgearbeitet. Programm wird gestartet => Virus abgearbeitet. Verschieberoutine => kopiert den verschobenen Programmteil wieder an seinen ursprünglichen Platz und startet ihn. Verschieberoutine => kopiert den verschobenen Programmteil wieder an seinen ursprünglichen Platz und startet ihn. Der Virus wird dabei überschrieben, er hat jedoch seine Arbeit schon längst getan. Der Virus wird dabei überschrieben, er hat jedoch seine Arbeit schon längst getan. Nichtüberschreibender Virus - zweite Variante: Virus versteckt seinen Code im Programm Virus versteckt seinen Code im Programm Der Programmteil mit dem Virencode wird an Der Programmteil mit dem Virencode wird an das Ende verschoben. Ein Sprungbefehl am Anfang führt zum Ein Sprungbefehl am Anfang führt zumVirencode. Virencode-ende steht ein weiterer Sprung Virencode-ende steht ein weiterer Sprung zurück zum eigentlichen Programm. Solche Viren kann man entfernen. Solche Viren kann man entfernen.

18 Anlagender Virus: Virus hängt sich ans Wirtsprogrammende Virus hängt sich ans Wirtsprogrammende setzt an den Programmanfang eine Sprung auf den Virencode. setzt an den Programmanfang eine Sprung auf den Virencode. Am Ende des Virus geht es wieder mit einem Sprung zum Programm zurück. Am Ende des Virus geht es wieder mit einem Sprung zum Programm zurück. Begleitender- oder Companion-Virus: Sie sind ein komplettes, ausführbares Programm. Sie sind ein komplettes, ausführbares Programm. Nutzen eine Eigenart von DOS aus: Wenn COM- und EXE-Dateien vorliegen werden Com-Dateien zuerst gestartet. Nutzen eine Eigenart von DOS aus: Wenn COM- und EXE-Dateien vorliegen werden Com-Dateien zuerst gestartet. Virus kann nur angreifen wenn die EXE-Datei nicht ausgeführt wird Virus kann nur angreifen wenn die EXE-Datei nicht ausgeführt wird Infizieren nur Exe-Dateien Infizieren nur Exe-Dateien Virus erstellt eine COM-Datei die den Virus beinhaltet Virus erstellt eine COM-Datei die den Virus beinhaltet Dieser startet dann die nicht infizierte EXE-Datei Dieser startet dann die nicht infizierte EXE-Datei Längentreuer Virus: Lagert Code des Wirtsprogrammes in eine externe Datei aus, die dann versteckt wird. Lagert Code des Wirtsprogrammes in eine externe Datei aus, die dann versteckt wird. Der Virus kopiert sich in das Wirtsprogramm. Der Virus kopiert sich in das Wirtsprogramm. Die Länge der Datei bleibt gleich. Die Länge der Datei bleibt gleich. Der Virus sorgt bei der Abarbeitung noch dafür, dass das ausgelagerte Programmstück richtig eingebunden wird. Der Virus sorgt bei der Abarbeitung noch dafür, dass das ausgelagerte Programmstück richtig eingebunden wird. Geht das ausgelagerte Stück des Programms verloren, stürzt das Wirtsprogramm ab. Geht das ausgelagerte Stück des Programms verloren, stürzt das Wirtsprogramm ab.

19 Computerviren Dateiviren Residente Viren

20 Residente Viren: Effektivere Fortpflanzungsmethode als bei den Linkviren. Effektivere Fortpflanzungsmethode als bei den Linkviren. Wird ein infiziertes Programm aufgerufen => ladet sich der speicherresidente Virus in den Arbeitsspeicher. Wird ein infiziertes Programm aufgerufen => ladet sich der speicherresidente Virus in den Arbeitsspeicher. Kann, wenn das eigentliche Programm beendet wird, aktiv bleiben und seinen Auftrag ausführen. Kann, wenn das eigentliche Programm beendet wird, aktiv bleiben und seinen Auftrag ausführen.

21 Computerviren Dateiviren Residente Viren Systemviren

22 Systemviren: Systemviren benutzen Bestandteile des Betriebssystems als Wirte. Systemviren benutzen Bestandteile des Betriebssystems als Wirte. Wenn ein Virus im Bootsektor zuschlägt, steht das nachher geladene Betriebssystem unter dessen Kontrolle. Wenn ein Virus im Bootsektor zuschlägt, steht das nachher geladene Betriebssystem unter dessen Kontrolle. Solche Viren werden auch Bootsektorviren benannt. Solche Viren werden auch Bootsektorviren benannt. Sie gibt verschiedene Methoden um den Bootsektor zu infizieren: Sie gibt verschiedene Methoden um den Bootsektor zu infizieren: Der Bootsektor wird einfach in einen anderen Sektor verschoben (dort befindliche Daten zerstört) und der Virencode in den Bootsektor kopiert. Beim nächsten Start wird nun zuerst der Virus abgearbeitet und dann zum eigentlichen Bootsektor verzweigt. Der Bootsektor wird einfach in einen anderen Sektor verschoben (dort befindliche Daten zerstört) und der Virencode in den Bootsektor kopiert. Beim nächsten Start wird nun zuerst der Virus abgearbeitet und dann zum eigentlichen Bootsektor verzweigt. Der Virus baut nur eine kleine Laderoutine in den Bootsektor ein. Er selbst liegt in einem "bad" Cluster, einen von ihm selbst erzeugten defekten Sektor, versteckt. Sie werden nur schwer entdeckt da diese Sektoren als Speicherbereich nicht berücksichtigt werden. Der Virus baut nur eine kleine Laderoutine in den Bootsektor ein. Er selbst liegt in einem "bad" Cluster, einen von ihm selbst erzeugten defekten Sektor, versteckt. Sie werden nur schwer entdeckt da diese Sektoren als Speicherbereich nicht berücksichtigt werden. Partition Table Virus: Partition Table Virus: Der Virus nistet sich im Partition Table (Sektor 0) der Festplatte ein und infiziert von dort aus den Bootsektor. Selbst beim Formatieren der Festplatte oder löschen des Bootsektors bleibt der Virus erhalten.

23

24 Neben den bereits erwähnten Viren gibt es auch einige Exoten: Call-Viren: Diese Viren liegen irgendwo versteckt als Programme vor. Oft benutzen sie Diese Viren liegen irgendwo versteckt als Programme vor. Oft benutzen sie auch selbst angelegte "bad" Cluster, die vom Betriebssystem nicht auch selbst angelegte "bad" Cluster, die vom Betriebssystem nicht berücksichtigt werden, da sie ja als defekt markiert sind. Sie infizieren die berücksichtigt werden, da sie ja als defekt markiert sind. Sie infizieren die Datei nur mit einem CALL-Befehl, durch welchen der Virus aufgerufen wird. Datei nur mit einem CALL-Befehl, durch welchen der Virus aufgerufen wird. Fehlt das Programm (=Virus) kommt es zum Absturz oder einer Fehlermeldung. Fehlt das Programm (=Virus) kommt es zum Absturz oder einer Fehlermeldung. Source-Code Viren: Hier liegt der Computervirus nicht als ausführbarer Programmcode vor, sondern als Quellcode einer Programmiersprache Hier liegt der Computervirus nicht als ausführbarer Programmcode vor, sondern als Quellcode einer Programmiersprache Da ein fremder Code in einem Programm auffällt, infiziert der Virus Programmbibliotheken, die meist nicht kontrolliert werden. Da ein fremder Code in einem Programm auffällt, infiziert der Virus Programmbibliotheken, die meist nicht kontrolliert werden. Startet man das Programm, wird irgendwann auch die Programmbibliothek benötigt und der Virus kann somit aktiv werden. Er sucht dann wiederum nach anderen Bibliotheken und infiziert diese. Startet man das Programm, wird irgendwann auch die Programmbibliothek benötigt und der Virus kann somit aktiv werden. Er sucht dann wiederum nach anderen Bibliotheken und infiziert diese. Macro Viren: Ein Macro ist eine Zusammenfassung einer Abfolge von Befehlen. Sie werden zur Arbeitserleichterung in Programmen wie MS-Word eingesetzt. Macroviren sind die neueste Generation von Computerviren und sehr effektiv, da Makros an normale Dokumentdateien gebunden sind und somit leicht verbreitet werden. Ein Macro ist eine Zusammenfassung einer Abfolge von Befehlen. Sie werden zur Arbeitserleichterung in Programmen wie MS-Word eingesetzt. Macroviren sind die neueste Generation von Computerviren und sehr effektiv, da Makros an normale Dokumentdateien gebunden sind und somit leicht verbreitet werden.

25 Folgende Virenarten sind Spezialformen : Cavity Viren: Cavity Viren verändern die Größe der infizierten Datei nicht. Cavity Viren verändern die Größe der infizierten Datei nicht. Sie suchen in der Zieldatei eine Stelle mit einer Reihe an identischen Zeichen, die mindestens so groß wie der Virus selbst ist Sie suchen in der Zieldatei eine Stelle mit einer Reihe an identischen Zeichen, die mindestens so groß wie der Virus selbst ist Diese Viren komprimieren diese Zeichenkette und fügen sich in die entstandene Lücke ein. Diese Viren komprimieren diese Zeichenkette und fügen sich in die entstandene Lücke ein. Greift das Programm auf die Zeichenkette zu, wird der Virus ausgeführt, der nach Erfüllung seiner Aufgabe die Zeichenkette dekomprimiert und das Programm kann normal weiterlaufen. Greift das Programm auf die Zeichenkette zu, wird der Virus ausgeführt, der nach Erfüllung seiner Aufgabe die Zeichenkette dekomprimiert und das Programm kann normal weiterlaufen. Bsp. einer Infektion: Programm vorher: AJF3JS DNFJAKSF289a Programm vorher: AJF3JS DNFJAKSF289a Programm nach Infektion: AJF3JS2=>VIRUSCODE+12*0 VIRUSCODE+12*0<= DNFJAKSF289aStealth-Viren: Stealth Viren versuchen dem Benutzer vorzugaukeln, sie wären gar nicht im System. Sie tarnen sich dadurch, daß sie die Zugriffe auf die infizierten Dateien überwachen. Will z.B. der DOS-Befehl DIR die Größe einer infizierten Datei anzeigen, subtrahiert der Virus von diesem Wert seine Codegröße und täuscht somit eine "gesunde" Datei vor. Stealth Viren versuchen dem Benutzer vorzugaukeln, sie wären gar nicht im System. Sie tarnen sich dadurch, daß sie die Zugriffe auf die infizierten Dateien überwachen. Will z.B. der DOS-Befehl DIR die Größe einer infizierten Datei anzeigen, subtrahiert der Virus von diesem Wert seine Codegröße und täuscht somit eine "gesunde" Datei vor. Durchsucht ein Antivirusprogramm die Festplatte, desinfizieren manche Stealthviren die infizierten Dateien und kopieren sich in den Arbeitsspeicher. Nach der Beendigung des Antivirenprogrammes werden die Dateien wieder infiziert. Durchsucht ein Antivirusprogramm die Festplatte, desinfizieren manche Stealthviren die infizierten Dateien und kopieren sich in den Arbeitsspeicher. Nach der Beendigung des Antivirenprogrammes werden die Dateien wieder infiziert.

26 Polymorphe Viren: Antivirusprogramme suchen nach fixen Viruszeichenketten. Antivirusprogramme suchen nach fixen Viruszeichenketten. Polymorphe Viren beinhalten Zeichenketten, die sich ständig, verändern und eine gezielte Suche erschweren. verändern und eine gezielte Suche erschweren. Bounty Hunter Viren: suchen nach Antivirussoftware und verändern diese oder machen sie unschädlich. suchen nach Antivirussoftware und verändern diese oder machen sie unschädlich. Doppelviren (Hybridviren): Diese Viren infizieren Dateien (Linkviren) und Systembereiche (Systemviren). Diese Viren infizieren Dateien (Linkviren) und Systembereiche (Systemviren). Vorteil: hat ein Systemvirus das System infiziert, wird er bei jedem Start geladen. Durch Booten einer (sauberen!) Diskette wird das Laden umgangen. Vorteil: hat ein Systemvirus das System infiziert, wird er bei jedem Start geladen. Durch Booten einer (sauberen!) Diskette wird das Laden umgangen. Hybridviren werden beim Start nicht geladen, aber ein Aufruf eines infizierten Programmes führt zur Virusverbreitung. Geschieht dies auf der Diskette, so wird auch diese infiziert. Doppelte Absicherung Hybridviren werden beim Start nicht geladen, aber ein Aufruf eines infizierten Programmes führt zur Virusverbreitung. Geschieht dies auf der Diskette, so wird auch diese infiziert. Doppelte Absicherung

27 Hoaxes Hoaxes sind keine Viren, sondern Ketten- s, die vorgeben, vor Viren zu warnen. Hoaxes sind keine Viren, sondern Ketten- s, die vorgeben, vor Viren zu warnen. Woran erkenne ich den Unterschied zwischen Hoax und echtem Virus? Woran erkenne ich den Unterschied zwischen Hoax und echtem Virus? Bei echte Viren gibt es keine Vorwarnung Bei echte Viren gibt es keine Vorwarnung Hoaxes erhalten in der Betreffzeile den Begriff "Vorsicht Virus" oder "Virenwarnung". Hoaxes erhalten in der Betreffzeile den Begriff "Vorsicht Virus" oder "Virenwarnung". Als Quelle der Virenwarnung wird gerne eine namhafte Firma genannt Als Quelle der Virenwarnung wird gerne eine namhafte Firma genannt Das Schadenspotenzial des Virus wird immer sehr drastisch und als noch nie dagewesen formuliert. Das Schadenspotenzial des Virus wird immer sehr drastisch und als noch nie dagewesen formuliert. Solche Warnmeldungen sollte man nicht weiterleiten, sondern löschen. Solche Warnmeldungen sollte man nicht weiterleiten, sondern löschen. Subject: Good Times! Here is some important information. Beware of a file called "Good Times". Be careful out there. There is a virus on the Internet being sent by . If you get anything called "Good Times", DON'T read it or download it. It is a virus that will erase your hard drive. Forward this warning to all your friends. It may help them a lot.

28 Virenverbreitung: Heute befallen Viren jährlich über eine Million PCs. Heute befallen Viren jährlich über eine Million PCs. Viren verbreiten sich durch den Zugriff auf einen infizierten Speicher. Viren verbreiten sich durch den Zugriff auf einen infizierten Speicher. Diskette Diskette Internet Internet Netzwerk Netzwerk Antivirenprogramme (AV): Kein 100%iger Schutz Kein 100%iger Schutz Können auch falschen Alarm geben (sog. False Positives) Können auch falschen Alarm geben (sog. False Positives) Es gibt mehrere verschiedene Arten von AVs : 1. Monitor-Programme: sind speicherresidente Programme. sind speicherresidente Programme. Sie warten auf virentypische Aktivitäten wie z.B.: Sie warten auf virentypische Aktivitäten wie z.B.: Veränderung von ausführbaren Dateien Veränderung von ausführbaren Dateien Verbiegen von Interrupt Vektoren Verbiegen von Interrupt Vektoren Formatieren von Sektoren usw. Formatieren von Sektoren usw. Sie können von manchen Viren problemlos übergangen werden. Sie können von manchen Viren problemlos übergangen werden.

29 2. Scanner: sind die meistverwendeten AVs. sind die meistverwendeten AVs. Die älteren Programme suchen nach virenspezifischen Zeichenketten oder nach sog. Jokerzeichen Die älteren Programme suchen nach virenspezifischen Zeichenketten oder nach sog. Jokerzeichen Virus muss bekannt und analysiert worden sein. Virus muss bekannt und analysiert worden sein. Sind gegen polymorphe Viren hilflos Sind gegen polymorphe Viren hilflos Moderne Scanner verwenden Ansätze von künstlicher Intelligenz und heuristische Methoden. Man erhält keine Information über den Virus nur über die Symptome Moderne Scanner verwenden Ansätze von künstlicher Intelligenz und heuristische Methoden. Man erhält keine Information über den Virus nur über die Symptome Um ein System wirkungsvoll zu schützen sollte man mindestens 2 verschiedene Scanner alle 2 Wochen benützen. Um ein System wirkungsvoll zu schützen sollte man mindestens 2 verschiedene Scanner alle 2 Wochen benützen. 3. Speicherresidente Scanner: sind eine spezielle Form der herkömmlichen Scanprogramme. sind eine spezielle Form der herkömmlichen Scanprogramme. Sie werden bei einem Programmstart oder Dateizugriff aktiv und scannen die betroffenen Files. Sie werden bei einem Programmstart oder Dateizugriff aktiv und scannen die betroffenen Files.

30 4. Integrity-Checker oder Checksummenprogramme: sind Programme, die von Datenabschnitten Checksummen erstellen. sind Programme, die von Datenabschnitten Checksummen erstellen. Diese Checksummen werden mit den, von Zeit zu Zeit neu erstellten, verglichen. Diese Checksummen werden mit den, von Zeit zu Zeit neu erstellten, verglichen. Gute Integrity-Checker erkennen Sicherheitslücken und spüren Companion-Viren auf. Gute Integrity-Checker erkennen Sicherheitslücken und spüren Companion-Viren auf. Weisen auf nicht durch Viren manipulierte Dateien hin und bemerken Datenverluste Weisen auf nicht durch Viren manipulierte Dateien hin und bemerken Datenverluste 5. Heuristische Scanner: arbeiten nach dem Prinzip der Fuzzy-Logic (Berechnungen erfolgen Pi mal Daumen). Sie analysieren Programme auf Funktion und Aufbau. arbeiten nach dem Prinzip der Fuzzy-Logic (Berechnungen erfolgen Pi mal Daumen). Sie analysieren Programme auf Funktion und Aufbau. Verdächtige Funktionen sind z.B.: Verdächtige Funktionen sind z.B.: Schreiben in ausführbare Dateien Schreiben in ausführbare Dateien Modifizieren von Dateiattributen Modifizieren von Dateiattributen Undokumentierte Interruptzugriffe Undokumentierte Interruptzugriffe Suchen nach beliebigen ausführbaren Dateien Suchen nach beliebigen ausführbaren Dateien 6. Viren Cleaner: Enthalten Viren-Entfernungsfunktionen Enthalten Viren-Entfernungsfunktionen Diese funktionieren nur, wenn eine exakte Beschreibung des Virus vorliegt Diese funktionieren nur, wenn eine exakte Beschreibung des Virus vorliegt

31 Virenbeispiele 1. Form Virus: Charakteristik: Der Form-Virus ist eine Mischung aus Bootsektorvirus und speicherresidenten Virus. Der Form-Virus ist eine Mischung aus Bootsektorvirus und speicherresidenten Virus. Er infiziert einen Teil des High DOS Memory, den Bootsektor und die letzten zwei Sektoren der Festplatte. Dateien bleiben von ihm unberührt. Er infiziert einen Teil des High DOS Memory, den Bootsektor und die letzten zwei Sektoren der Festplatte. Dateien bleiben von ihm unberührt. Bei der Infektion kopiert er sich selbst in den Bootsektor und verschiebt die Originaldaten und setzt einen Link in die letzten 2 Sektoren. Bei der Infektion kopiert er sich selbst in den Bootsektor und verschiebt die Originaldaten und setzt einen Link in die letzten 2 Sektoren. Er infiziert auch Disketten. Er infiziert auch Disketten. Indikatoren einer Infektion: Bei jedem Tastendruck an dem 18. Tag eines jeden Monats ertönt ein Klickgeräusch. Bei jedem Tastendruck an dem 18. Tag eines jeden Monats ertönt ein Klickgeräusch. Das System kann durch einen nicht geglückten Festplattenzugriff abstürzen. Das System kann durch einen nicht geglückten Festplattenzugriff abstürzen. Der Form-Virus benötigt 2 kByte an Arbeitsspeicher. Dies läßt sich durch den DOS-Befehl MEM feststellen. Der Form-Virus benötigt 2 kByte an Arbeitsspeicher. Dies läßt sich durch den DOS-Befehl MEM feststellen. Der DOS-Befehl CHKDSK stellt außerdem 1,024 Bytes an zerstörten Sektoren fest, in denen der Originalbootsektor gespeichert ist. Der DOS-Befehl CHKDSK stellt außerdem 1,024 Bytes an zerstörten Sektoren fest, in denen der Originalbootsektor gespeichert ist. Im Viruscode steht folgender Text :The FORM-Virus sends greetings to everyone who's reading this text. FORM doesn't destroy data! Don't panic! (Expletive) go to Corrine. Im Viruscode steht folgender Text :The FORM-Virus sends greetings to everyone who's reading this text. FORM doesn't destroy data! Don't panic! (Expletive) go to Corrine. Methode der Infektion: Ein System kann nur durch das Booten von einer infizierten Diskette befallen werden. Auch wenn die Diskette nicht bootable ist und er DOS-Text: "Non-system disk or disk error" erscheint ist der Bootsektor der Festplatte bereits infiziert. Ein System kann nur durch das Booten von einer infizierten Diskette befallen werden. Auch wenn die Diskette nicht bootable ist und er DOS-Text: "Non-system disk or disk error" erscheint ist der Bootsektor der Festplatte bereits infiziert. Bei jedem folgenden Systemstart wird der Virus in den Arbeitsspeicher geladen und kann bei jedem Floppy-Disk- Zugriff deren Bootsektor infizieren und sich so verbreiten. Bei jedem folgenden Systemstart wird der Virus in den Arbeitsspeicher geladen und kann bei jedem Floppy-Disk- Zugriff deren Bootsektor infizieren und sich so verbreiten. Virus Daten: Datum der Entdeckung: Juni 1990 Datum der Entdeckung: Juni 1990 Herkunftsland: Schweiz Herkunftsland: Schweiz Länge: 512 Bytes Länge: 512 Bytes Typ: Bootsektorvirus, speicherresidenter Virus Typ: Bootsektorvirus, speicherresidenter Virus Häufigkeit: oft, weit verbreitet Häufigkeit: oft, weit verbreitet

32 2. "Friday 13th" Virus: Charakteristik: Der Friday 13th Virus ist ein Programmvirus. Er infiziert COM-Dateien außer der COMMAND.COM. Bei jedem Start des Virus werden 2 neue.COM Dateien auf der Festplatte und eine neue auf dem A: Laufwerk gesucht und falls vorhanden infiziert. Der Friday 13th Virus ist ein Programmvirus. Er infiziert COM-Dateien außer der COMMAND.COM. Bei jedem Start des Virus werden 2 neue.COM Dateien auf der Festplatte und eine neue auf dem A: Laufwerk gesucht und falls vorhanden infiziert. Indikatoren der Infektion: Das Leuchten des Diskettenzugriffslämpchen im Floppy-Disklaufwerk, hervorgerufen durch die Suche des Virus nach neuen Wirtdateien auf dem A: Laufwerk, ist der einzige Indikator der Infektion. Das Leuchten des Diskettenzugriffslämpchen im Floppy-Disklaufwerk, hervorgerufen durch die Suche des Virus nach neuen Wirtdateien auf dem A: Laufwerk, ist der einzige Indikator der Infektion. Bei einem Computerstart an einem Freitag 13. wird die COMMAND.COM gelöscht. Bei einem Computerstart an einem Freitag 13. wird die COMMAND.COM gelöscht. Methode der Infektion: Durch das Ausführen einer infizierten Datei wird der Virus gestartet und verbreitet. Durch das Ausführen einer infizierten Datei wird der Virus gestartet und verbreitet. Virus Daten: Datum der Entdeckung: November 1987 Datum der Entdeckung: November 1987 Herkunftsland: Rep. Südafrika Herkunftsland: Rep. Südafrika Länge: 512 Bytes Länge: 512 Bytes Typ: Programmvirus Typ: Programmvirus Häufigkeit: selten Häufigkeit: selten

33 3. "Cascade" Virus: Charakteristik: Der Cascade Virus ist ein überschreibender Programmvirus und speicherresident. Er infiziert COM-Dateien. Der Cascade Virus ist ein überschreibender Programmvirus und speicherresident. Er infiziert COM-Dateien. Indikatoren der Infektion: Zwischen dem 1. und 31. Oktober 1988 führte der Cascade Virus seine Aufgabe aus. Diese gestaltete sich so, dass, kurz nach dem Start des infizierten Programmes, alle Buchstaben auf dem Bildschirm auf den unteren Bildschirmrand fallen und dort einen Haufen bilden. Zwischen dem 1. und 31. Oktober 1988 führte der Cascade Virus seine Aufgabe aus. Diese gestaltete sich so, dass, kurz nach dem Start des infizierten Programmes, alle Buchstaben auf dem Bildschirm auf den unteren Bildschirmrand fallen und dort einen Haufen bilden. Methode der Infektion: Durch das Ausführen einer infizierten Datei wird der Virus gestartet und verbreitet. Durch das Ausführen einer infizierten Datei wird der Virus gestartet und verbreitet. Virus Daten: Datum der Entdeckung: Oktober 1987 Datum der Entdeckung: Oktober 1987 Herkunftsland: Deutschland Herkunftsland: Deutschland Länge: 1701 oder 1704 Bytes Länge: 1701 oder 1704 Bytes Typ: Programmvirus, speicherresident Typ: Programmvirus, speicherresident Häufigkeit: oft, weit verbreitet Häufigkeit: oft, weit verbreitet

34

35


Herunterladen ppt "Was ist ein Computervirus? Eigenschaften eines Virus Kein selbständiges Programm Kein selbständiges Programm Ist an ein Wirtsprogramm gebunden Viren werden."

Ähnliche Präsentationen


Google-Anzeigen