SfN
blank

Welche Gefahren gibt es?

Viren sind seit vielen Jahren ein fester Begriff in der Welt des Weltnetzes. Neuer, aber nicht weniger gefährlich sind Würmer und Trojanische Perde (Trojaner). Die Gefahr, die von den kleinen Schädlingen ausgeht, wird aber leider immer noch von vielen Computer-Besitzern unterschätzt. Dabei ist es weder schwer noch teuer, sich vor Ungeziefer aus dem Netz zu schützen. Dieses Kapitel zeigt, was jeder Computer-Besitzer über Viren, Trojaner, Würmer und Co wissen sollte.

Mit diesen Schadprogrammen musst du rechnen, sobald du deinen Computer mit dem Weltnetz verbindest:

Art Risiko Verbreitung Schutz möglich
Viren mittel mittel ja
Würmer sehr groß sehr hoch ja
Trojaner sehr groß hoch eingeschränkt
Hoaxes mittel mittel eingeschränkt

Computerviren

Der Natur in die Karten geschaut: Die Bezeichnung “Viren” stammt aus der Biologie. Zum tristen Alltag der unwillkommenen Besucher gehört es, unschuldige Zellen zu überfallen. Dafür besitzen Sie eine dünne Proteinhülle mit einem Nukleinsäurefaden. Dieser DNS-Strang enthält die Erbinformation des Virus, sein Programm. Bei den Bakteriophagen, die zu den höchstentwickelten Virenarten gehören, bohrt ein geschickt konstruierter Viruskörper ein Loch in die Hülle einer Opferzelle und injiziert seine DNS hinein.

Die Wirtszelle kann nur selten die eigenen Erbinformationen von den fremden unterscheiden. So befolgt sie sklavisch die in der Viren-DNS enthaltenen Anweisungen, und die sind eindeutig: Stelle exakte Kopien der viralen DNS-Stränge her und baue aus strukturalen Proteinen neue Körper für diese Viren-DNS auf.

Die infizierte Zelle produziert daraufhin eine wahre Armee von Viren. Am Ende eines Zyklus platzt die befallene Zelle wegen Überfüllung und entlässt Heerscharen von Viren in die Umgebung. Die Wirtszelle stirbt, und die von ihr produzierten Erreger dagegen starten einen neuen Kreislauf.

Im Computer läuft das Spiel des Lebens fast genauso ab: Die Programme in deinem Computer sind nichts weiter als Anweisungen, jedes ein Papierstapel, auf dessen Seiten Befehle für den Prozessor stehen. Die CPU arbeitet die Programme Seite für Seite ab, wartet auf Eingaben oder springt zu anderen Seiten im Stapel, um deren Befehle auszuführen.

Computerviren erweitern diese Stapel mit neuen Seiten, Ersatz-Anweisungen. Da Programme und CPU sich ihrer selbst nicht bewusst sind, führen sie stur aus, was auf den neuen Seiten steht: Wie man neue Viren herstellt.

Ein so geändertes Programm gilt als “infiziert“. Es kann möglicherweise (nicht immer) noch alles tun, wozu es ursprünglich gedacht war, aber es tut eben auch zusätzliche Dinge und gilt deswegen als gestört. Je nach Infektion ist es sogar beschädigt, weil der Virus ein paar den alten Seiten wegschmiss, um Platz für seine eigenen Seiten zu schaffen – dann stürzt das Programm unerwartet ab.

Virus-Aufbau: Körper, Sprengkopf, Zünder

Viren unterscheiden sich von anderen Programmanomalien (Würmer, Trojaner) vor allem dadurch, dass sie nicht für sich selbst existieren können. Stets benötigen sie ein Wirtsprogramm, die sie befallen können. Sie bestehen grob gesprochen aus vier Teilen:

  • Aktivierung: Der Virus muss die Kontrolle über das System erlangen, also mindestens einmal pro Neustart aufgerufen werden. Der Code des Virus-Aufrufs kann sich an einer ganz anderen Stelle befinden als der Viruskörper selbst.
  • Vermehrung: Die Fortpflanzungs-Komponente des Virus hält Ausschau nach Programmen, die als Opfer in Frage kommen. Sind passende Wirte entdeckt, infiziert es sie, wobei es bestimmte Regeln einhält, um optimal zu arbeiten.
  • Wirkung: Die Nutzlast, im Virenforscher-Slang oft “Payload” genannt, ist eine harmlose oder gefährliche Wirkung. Sie wird über einen Auslöser (“Trigger”) aktiviert, der prüft, ob definierte Bedingungen vorliegen.
  • Tarnung: Eine Tarn-Komponente sorgt dafür, dass der Virus von Anwendern und Antivirenprogrammen nicht entdeckt wird.

Ein unschuldiges, gesundes Programm sieht ungefähr so aus:

Anfang
Anweisung 1
Anweisung 2
Anweisung 3
Ende

Dieses Opferlamm wird nun durch den Wunschzettel der Viren-Macher erweitert: Der Virus soll aktiviert werden, sobald sein Wirt aktiviert wird; er soll Dateien erkennen, die er problemlos infizieren kann; er soll sich dann in diese Dateien hineinkopieren und sich vermehren; die Kopie soll dabei identisch sein, damit sie weiterhin funktioniert; der Virus soll sich dabei verstecken oder wenigstens nicht auffallen; er zusätzlich zu bestimmten Zeitpunkten eine Wirkung haben.

Das sieht dann grob so aus:

Anfang
Virus-Anfang (Aktivierung)
Virus-Tarnung
Virus-Vermehrung
Virus-Wirkung
Virus-Ende
Alter Anfang
Anweisung 1
Anweisung 2
Anweisung 3
Altes Ende

Wie du siehst: Viren sind kein Hexenwerk!

Sind Viren heute noch ein Problem?

Es geht so, eher nein. Die meisten der Dinge, die wir heute “Viren” nennen und die von “Virenscannern” gejagt werden, sind in Wirklichkeit Trojaner und Würmer. Aber mit den Viren hat vor dem Netzwerkzeitalter alles angefangen.

Computerwürmer, die Nachfolger der Computerviren

Erreger geistern durchs Netz: Viren sind geradezu harmlose Tierchen, denn sie nehmen sich nur eine oder mehrere Dateien vor und infizieren diese. Computerwürmer dagegen wollen immer gleich alles: Sie infizieren nicht einzelne Dateien, sondern das gesamte Computersystem, am besten auch gleich alle anderen Computer, die mit dem Opfer irgendwie verbunden sind.

Generell gehört es also zum wurmhaften Verhalten, ein Netzwerk zu infizieren – der Befall eines einzelnen Systems ist nur ein Mittel zum Zweck, andere Systeme zu erreichen. Einige Würmer entfernen sich selbst wieder aus dem System (oder sollen es nach Plan ihrer Schöpfer tun, es geht aber manchmal schief). In diesem Fall “reist” die Software-Anomalie durch das Netz von Rechner zu Rechner, ohne sich an einem bestimmten Ort lange aufzuhalten. Das hört sich ein bisschen abstrakt an und ist es auch, und wohl deswegen werden die meisten Würmer heute einfach als Viren bezeichnet. In Wirklichkeit ist es heute aber umgekehrt:

Die meisten Viren sind heute genau genommen eigentlich Würmer.

Kettenbriefe und E-Mail-Würmer

Die frühen E-Mail-Programme auf Hostrechnern besaßen die Fähigkeit, mit Script-Programmiersprachen kleine Tools auszuführen – man konnte sozusagen seine E-Mail-Software “programmieren”. Das hatte schon früh zur Folge, dass einige Spaßvogel Briefe schrieben, deren einzige Funktion es war, sich selbst zu reproduzieren und an weitere Nutzer zu verschicken. Als Nachfolger dieser automatischen E-Kettenbriefe können heute alle Viren und Würmer gelten, die sich über Microsoft Outlook verbreiten. Der Wurm lebt dabei meistens in einem ausführbaren Anhang (Programme, Scripte) und benötigt zu seiner Vermehrung ein Mailprogramm, um dessen Netzwerkfunktionen zu nutzen.

Würmer mit Viren- & Trojaner-Techniken

Die neuen Würmer stellen die derzeit größte Gefahr dar, denn sie kombinieren auf teuflische Weise alle bisher bekannten Möglichkeiten von Software-Anomalien:

  • Sie setzen auf rasche Ausbreitung durch Wurm-Techniken, indem sie Mailprogramme oder Netzwerke benutzen, um andere Computer anzustecken.
  • Sie infizieren Dateien und Dokumente, um den Computer “als Ganzes” zu unterwandern.
  • Sie besitzen Schadensfunktionen, wie sie sonst für Viren typisch sind. (“Normale Würmer” verzichten darauf, denn sie wollen nicht auffallen.)
  • Sie hinterlassen Trojanische Pferde und Keylogger in Windows, um Passwörter zu stehlen oder den Nutzer zu belauschen.

E-Post und Internet sind derzeit die gefährlichsten Quellen, denn sie sind das das Medium schlechthin für jeden Wurm.

Schon 2001 hatte sich nach Angaben von Kaspersky Labs die Zahl der Viren-Angriffe per Mail im Vergleich zum Vorjahr um etwa fünf Prozent erhöht und soll nun schon 90 Prozent aller Virenvorfälle ausmachen. Und alternative Infektionskanäle wie ICQ, Gnutella, MSN Messenger oder IRC werden gerade erst von den Wurm-Machern als neues Spielfeld entdeckt, ebenso neue Plattformen wie Linux.

Inzwischen gibt es so viele Würmer auf dem Computer, dass man sie in verschiedene Typen aufteilen kann. Die Trennung erfolgt dabei vor allem nach den Einfallschneisen, über die Würmer unsere Computer infiltieren, und nach den Techniken, die sie einsetzen.

Dateileichen pflastern ihren Weg

  • Script-Würmer: Damit sind alle Würmer gemeint, die aus Anwendungs-Makros bestehen und zum Beispiel aus Word heraus Outlook und andere Microsoft-Produkte fernsteuern, oder Würmer wie Loveletter, die aus einem alleinstehenden Visual Basic Script (VBS) bestehen. Die meisten Wurm-Epidemien gehen auf das Konto der VB-Scripte, da Outlook in einigen Versionen Scripte schon ausführt, wenn man nur die Mails anzeigt, welche die Scripte enthalten.
  • File-Würmer: Obwohl VBS als Wurm-Faktor Nummer 1 gilt, gibt es auch Würmer, die sich ohne jedes Script ausbreiten. Hier besteht der Wurm aus einem ganz ordinären Programm. In Form eines Virus kann es Dateien infizieren und so dem PC einen Wurm verpassen. Viel öfter aber verankert sich der Wurm als zusätzliches Programm im System, fast wie ein Gerätetreiber. Der Nutzer installiert ihn sich normalerweise über ein Trojanisches Pferd, indem er unvorsichtigerweise auf einen Dateianhang klickt, zum Beispiel der angebliche Screensaver, in dem der Goner-Wurm steckt.
  • IRC-Würmer: Der Internet Relay Chat (IRC) ist ohnehin schon ein Tummelplatz für alle Nutzer mit leicht kriminellen Neigungen, doch wegen gewisser Eigenheiten haben sich dort auch scriptfähige IRC-Clients durchgesetzt, allen voran mIRC. Diese Scripts könnten im Prinzip nützlich sein, doch man kann mit ihnen auch Nutzer aus dem Chat drängen oder ihre Clients “abschießen” – schon vor Jahren bildete sich eine eigene Szene mit Kampf-Scripts, die sich gegenseitig in Schach hielten. Inzwischen gibt es zahlreiche Würmer und Viren, die in der Lage sind, auch IRC als Ausbreitungsweg zu verwenden, indem sie sich die Scripte untertan machen.
  • IM-Würmer: Ob ICQ, AOL Instant Messenger (AIM) oder Microsoft Messenger – immer wieder fallen die Instant Messenger (IMs) durch Sicherheitslücken auf. Und als wäre das nicht genug, versucht eine neue Wurm-Generation, die IMs zur Ausbreitung zu benutzen. Und es ist einfach: Die IM-Würmer verschicken einfach eine Kurznachricht mit Datei an die im IM eingetragenen Freunde (Buddy-List). Prinzipiell funktionieren sie also wie Würmer, die sich per Mail verbreiten.

…und viele weitere mehr, sowie:

  • Dropper und Construction Kits: Viren und Trojanische Pferde können auch dazu dienen, einen Wurm in deinem System abzuwerfen. Darüber hinaus gibt es inzwischen schon eigene Wurm-Generatoren, also Software, mit deren Hilfe sich jeder in wenigen Sekunden einen eigenen Wurm zusammenklicken kann.

Trojaner

Trojaner werden gerne in einer Reihe mit Viren und Würmern genannt. Und tatsächlich gehören die so genannten Trojanischen Pferde durchaus zu den Programmen (im Fachjargon Malware genannt), die enormen Schaden anrichten können. Allerdings sind Trojaner nicht unmittelbar schädlich – im Gegensatz zu Viren legen sie beispielsweise nicht den Computer lahm. Ihre Schadensroutine reicht viel weiter – und ist weitaus perfider als die von Viren.

So arbeiten Trojaner

Der Begriff Trojanisches Pferd geht auf den griechischen Dichter Homer zurück. In seiner “Ilias” berichtet Homer von griechischen Kriegern, die sich bei der Belagerung der Stadt Troja in einem hölzernen Pferd versteckten. Die Einwohner Trojas glaubten an ein Geschenk und brachten das Holzpferd in ihre Stadt. Nachts schlüpften die griechischen Krieger aus dem Pferd und öffneten von innen die Stadttore um ihre Kameraden hereinzulassen. Damit war die Schlacht für Troja verloren. Ähnlichen arbeiten Trojanische Pferde in der Computerwelt: Sie verstecken sich in scheinbar nützlichen Programmen, gelangen so unbemerkt auf den Computer und beginnen dann damit, Schaden anzurichten oder schädliche Komponenten aus dem Internet nachzuladen. Auch deshalb werden Trojaner von vielen Antivirenprogrammen als Trojan-Downloader bezeichnet oder erkannt. Im Gegensatz zu Viren oder Würmern verbreiten sich Trojaner in der Regel nicht fort und reproduzieren sich auch nicht selbst.

Die Schadensroutinen bei Trojanischen Pferden können sehr unterschiedlich sein. Daher sollen an dieser Stelle nur die Wichtigsten genannt werden:

  • Die meisten Trojaner sind darauf programmiert, auf dem infizierten Rechner Daten zu sammeln, angefangen von Passworten und Kreditkartennummern bis hin zu Eingaben über die Tastatur. Diese Daten können dann über das Internet an den “Lenker” des Trojaners übermittelt werden. Programme, die die Tastatureingaben aufzeichnen, nennt man auch Keylogger.
  • Mindestens ebenso gefährlich sind die so genannten “Server-Programme”. Hast du dir erst einen Trojaner dieser Art eingefangen, kann ein anderer Nutzer online auf deinen Computer zugreifen, ihn steuern und ihm bestimmte Befehle geben. Um dies möglich zu machen, öffnet der Trojaner am befallenen Rechner bestimmte Ports. Ports sind vergleichbar mit Eingangstüren zum Internet. Durch diese offenen Ports hat der Trojaner-Lenker dann Zugriff.
  • Trojan-Downloader sind – wie oben schon geschildert – kleine Programme, die sich auf einem Computer einnisten und dann von sich aus bei passender Gelegenheit weitere schädliche Programme nachladen. Zu diesen nachgeladenen Komponenten gehörten in der Vergangenheit oftmals teure 0900-Dialer, also Einwählprogramme, die den Rechner des Betroffenen über eine hochtarifierte Telefonnummer mit dem Internet verbinden. Dies geschah in vielen Fällen unbemerkt vom Betroffen.
  • Werbe-Trojaner sind darauf programmiert, Nutzer mit unerwünschter Werbung zu “bombadieren”, teure 0900-Dialer zu installieren oder Betroffene auf entsprechende Seiten zu entführen.

Trojaner sind oft so programmiert, dass sie automatisch mit dem Betriebssystem starten. Sie laufen also automatisch im Hintergrund mit, was die Entfernung für den unerfahrenen Computer-Nutzer sehr schwierig macht. Andere Trojanische Pferde starten erst, wenn der Nutzer auf ein bestimmtes Programm auf den Rechner zugreift.

Cracker nutzen bestimmte Programme (“Port-Scanner”), um im Internet nach Rechnern zu suchen, die von einem Trojaner befallen sind. Diese Scans bemerkt man in der Regel nur durch eine Firewall, die solche Zugriffsversuche aufzeichnet.

Hoaxes, Kettenbriefe und falsche Warnungen

Das Wort “Hoax” stammt aus dem Englischen und geht auf eine alte Tradition bei Hofe zurück. Damals machten sich die Adeligen einen Spaß daraus, falsche Gerüchte zu verbreiten und amüsierten sich dann köstlich darüber, wenn ihr Gegenüber darauf hereinfiel. Heute versteht man unter Hoaxes vor allem falsche Virenwarnungen und Gerüchte, die per ePost gestreut werden.

Von der falschen Virenwarnung über Aufrufe zu Knochenmarkspenden bis hin zur angeblichen Petition, um einen chinesischen Bären zu retten: Im Internet werden die kuriosesten Meldungen und Behauptungen per Mail gestreut. Von harmlosen Scherzen sind Hoaxes allerdings weit entfernt. Im Gegenteil: Sehr oft richten sie auch direkten oder indirekten Schaden an.

Fallbeispiele:

blank

  • Immer wieder kursiert zum Beispiel die Falschmeldung, die GEZ (Gebühreneinzugszentrale der Rundfunkanstalten) würde rückwirkend Rundfunkgebühren zurückerstatten. Grund sei ein entsprechendes Urteil des OLG Augsburg. Fakt ist: Ein Oberlandesgericht (OLG) Augsburg gibt es überhaupt nicht. Die GEZ allerdings wird dann Dank des Hoaxes von Tausenden Anfragen überhäuft.
  • Ebenfalls nicht tot zu bekommen: Die per ePost verbreitete Warnung, in Discotheken oder in Kinos wären Besucher von einem Unbekannten durch einen Nadelstich mit dem HI-Virus infiziert worden. Die regelmäßige Folge: Verunsicherung, Arbeit für die Polizei, die dem Gerücht nachgehen muss, finanzieller Schaden für die angeblich betroffenen Einrichtungen.
  • Schon seit 1999 kursiert eine Email, nach der Microsoft-Gründer Bill Gates zu einem Mail-Beta-Test aufgerufen habe und Microsoft für die einfache Weiterleitung von Mails bestimmte Geldprämien vergebe. Der Gates-Kettenbrief wird alle paar Monate wieder zu neuem Leben erweckt – und findet dabei immer wieder Dumme, die auf ihn hereinfallen und ihn weiterverbreiten.
  • Seit 2003 wird die Warnung verbreitet, auf dem Mobiltelefon könne ein “Anruf in Abwesenheit” erscheinen, der von einer Telefonnummer ‘+49137799090269’ (oder ähnlich) stammt. Wer die Nummer zurück rufe, lande in der Kostenfalle: Die Verbindung werde bis zu einer Stunde gehalten und man könne die Verbindung selbst nicht beenden, womit enorme Kosten anfielen. Bisweilen beruft sich die ePost dabei auf eine Quelle bei der Polizei oder einem Landeskriminalamt. An diesem Kettenbrief zeigt sich das eigentlich Perfide an Hoaxes: Die Nachricht beruht zu einem kleinen Teil auf wahren Ereignissen, die allerdings verfälscht werden. Denn betrügerische Lockanrufe mit 0137-Nummern gibt es tatsächlich; wer zurückruft, zahlt jedoch “nur” einen Pauschalbetrag von bis zu zwei Euro. Dass die Verbindung bis zu einer Stunde gehalten werde, ist dagegen falsch.

Hoaxes klingen zumeist sehr ernst, zumal sie sich oft auch auf renommierte Unternehmen und Stellen berufen – freilich ohne deren Wissen und Zutun.

Wer dubiose Warnungen, Aufforderungen oder andere Hoaxes unaufgefordert per ePost erhält, tut also gut daran, diese entweder nicht ernst zu nehmen oder auf renommierten Seiten – etwa bekannten Antiviren-Seiten – zu verifizieren.

Ganz wichtig:

Man sollte es unterlassen, derartige Falschmeldungen selbst weiter zu verbreiten. Nicht nur, dass man damit sonst dem Urheber einen Gefallen tun, Bandbreite verschwendet und zur weiteren Vermüllung des Internets beiträgt – man gerät auch schnell in den Verdacht, ein naiver “DAU” (steht für “dümmster anzunehmender User”) zu sein, der auf alles hereinfällt.

Kommentar hinzufügen

Artikel Update
Der Artikel wurde zuletzt aktualisiert: vor 3 Jahren.
Wenn du Fragen oder Anregungen zum Artikel hast, kannst du uns gerne Kontaktieren.

Inhalte melden

Beiträge, Kommentare und sonstige Veröffentlichungen in der SfN Hauptseite werden vor dem Hintergrund der gültigen Gesetzgebung in der BRD überprüft. Sollte dennoch der Verdacht bestehen, dass ein Beitrag gegen Gesetze verstoßen könnte und / oder Beschwerden sonstiger Art vorliegen, wird gebeten, die Redaktion zu kontaktieren, um den bedenklichen Inhalt zu überprüfen bzw. entfernen.


blank

blank

Es liegt an dir selbst, was du für dich und deine Sicherheit übernimmst.