Als Wirtsdatei werden Programme und andere geeignete Dateien bezeichnet, die sich zu Infektion mit einem Computervirus eignen.
Programmviren fügen sich in bestehende Programmdateien auf Diskette bzw. Festplatte ein. Dabei wird das bestehende Programm um den Virus erweitert. Wird ein infiziertes Programm gestartet, so wird vor der Ausführung des eigentlichen Programmes der Virus aktiviert. Programmviren kommen also erst beim Starten von Programmdateien zur Ausführung. Systemviren befallen Systembereiche von Disketten und Festplatten. Bei solchen Systembereichen handelt es sich um den sogenannten Bootsektor bzw. Master-Boot-Sektor (Partitionstabelle). In diesen Bereichen befinden sich Programmteile, die schon beim Starten des Computers ausgeführt werden. Infiziert ein Computervirus einen solchen Bereich, wird der Virus aktiviert, sobald der Computer eingeschaltet wird. Systemviren befinden sich nicht in Programmdateien. Makroviren sind Makros in Office-Dokumenten, die zur Verbreitung häufig selbst neue Wirtsdateien anlegen.[1]
Verschiedene Wirtsdateien
BearbeitenComputerviren werden nach der Art ihrer Wirtsdateien bezeichnet.
Virus-Typ | Wirtsdateien | Beispiele | Anmerkung |
---|---|---|---|
Dateivirus | Ausführbare Dateien (EXE, COM, DLL, PIF, PRG, etc.), evtl. auch nur bestimmte (z.B. KEYBGR.COM) |
CIH, Vienna, Tremor | |
Boot-Block-Virus | Blöcke eines Datenträgers (Diskette oder HDD) | Lamer Exterminator, SCA, Byte Bandit | Lässt sich meist nicht ohne Datenverlust bereinigen. Diese Viren waren vor allem am Commodore Amiga verbreitet. |
Bootvirus | MBR, Bootsektor | Michelangelo, Disk Killer oder Parity Boot | Bei längeren Codes (max. 512 KBytes) werden Teile davon auf andere Sektoren ausgelagert |
Makrovirus | MS Office Dokumente (DOC, etc.) | Melissa, Emotet oder Tuxissa (fiktiv) | |
Clustervirus | Verzeichnise, bzw. bestimmte Cluster darin | BHP, DIR-II | Wird über den Umgang mit dem Directory aufgerufen. |
Kernelvirus | Systemdateien (IO.SYS, MSDOS.SYS, etc.) | 3APA3A | Infiziert nicht den Kernel selbst sondern Systemdateien, nutzt dabei aber Vorgänge beim Laden des Kernels aus |
Hybridviren
BearbeitenEin Hybridvirus verwendet nicht nur einen Typ von Wirtsdatei. Beliebt ist vor allem die Kombination aus einem Dateivirus und einem Dropper für einen Bootsektorvirus, der von dort aus theoretisch auch wieder Programmdateien infizieren könnte. Der erste „multipartite virus“ dieser Art war Ghostball. Auch der Kernelvirus 3APA3A ist ein Hybridvirus, denn er infiziert nicht nur eine selbst angelegte Kopie der MS-DOS-Systemdatei IO.SYS
, sondern nutzt zusätzlich auch Bootsektoren von Disketten zur Verbreitung.
Companion-Viren
BearbeitenGenetische Algorithmen
BearbeitenEine bisher überwiegend theoretische Art von Viren befällt den Code von bestimmten anderen Viren. Das verfahren nennt sich Codesnatching und ist eine Form des Selbstmodifizierenden Codes, bzw. Genetischen Codes. Es handelt sich also gewissermaßen um ein Update für Schadcode, der bereits eine Wirtsdatei infiziert hat. Dennoch erfüllt ein solcher Code auch die Definition eines „vollwertigen“ Virus, da er sich verbreitet, indem er Wirtsdateien infiziert.[2] Einigen Quellen nach soll derartiger Code im Verlauf der Cyberattacken gegen iranische Atomanlagen verwendet, um die Sabotagesoftware Stuxnet auf dem Stand zu halten und mit neuen Anweisungen zu versorgen.
Die RNA von Viren begünstigt bzw. treibt Mutationen, analog zur Selbsmodifikation des Codes bei Computerwürmen, -viren und -trojanern, die dadurch Vorteile hätten sich vor Sicherheitsmechanismen zu verstecken oder neue Lücken zu nutzen.
Unterschied zu Computerwürmern
BearbeitenIm Gegensatz zu Computerviren benötigen Würmer keine Wirtsdateien, da es sich bei ihnen nicht um infektiösen Code handelt. Computerwürmer sind eigenständige Programme, die sich replizieren und auf weitere Rechner verbreiten können. Manche Würmer sind sogar dateilos und agieren ausschließlich im Speicher. Computerwürmer werden nicht nach dem Typ der Wirtsdatei klassifiziert, sondern nach der Art ihrer Verbreitung, wie bspw. Netzwerkwürmer, E-Mailwürmer oder Bluetoothwürmer. Viele Würmer verwenden zur Verbreitung aber verschiedene Wege.
Ein schädliches Programm, dass sich selbst gar nicht automatisiert verbreiten kann, nennt man Trojanisches Pferd.
Einzelnachweise
Bearbeiten- ↑ people.frisk-software.com Macro Virus Identification Problems
- ↑ Pdf-Download: arxiv.org Darwin Inside the Machines: Malware Evolution and the Consequences for Computer Security