Als Wirtsdatei werden Programme und andere geeignete Dateien bezeichnet, die sich zu Infektion mit einem Computervirus eignen.

Programmviren fügen sich in bestehende Programmdateien auf Diskette bzw. Festplatte ein. Dabei wird das bestehende Programm um den Virus erweitert. Wird ein infiziertes Programm gestartet, so wird vor der Ausführung des eigentlichen Programmes der Virus aktiviert. Programmviren kommen also erst beim Starten von Programmdateien zur Ausführung. Systemviren befallen Systembereiche von Disketten und Festplatten. Bei solchen Systembereichen handelt es sich um den sogenannten Bootsektor bzw. Master-Boot-Sektor (Partitionstabelle). In diesen Bereichen befinden sich Programmteile, die schon beim Starten des Computers ausgeführt werden. Infiziert ein Computervirus einen solchen Bereich, wird der Virus aktiviert, sobald der Computer eingeschaltet wird. Systemviren befinden sich nicht in Programmdateien. Makroviren sind Makros in Office-Dokumenten, die zur Verbreitung häufig selbst neue Wirtsdateien anlegen.[1]


Verschiedene Wirtsdateien

Bearbeiten

Computerviren werden nach der Art ihrer Wirtsdateien bezeichnet.

Virus-Typ Wirtsdateien Beispiele Anmerkung
Dateivirus Ausführbare Dateien (EXE, COM, DLL, PIF, PRG, etc.),
evtl. auch nur bestimmte (z.B. KEYBGR.COM)
CIH, Vienna, Tremor
Boot-Block-Virus Blöcke eines Datenträgers (Diskette oder HDD) Lamer Exterminator, SCA, Byte Bandit Lässt sich meist nicht ohne Datenverlust bereinigen. Diese Viren waren vor allem am Commodore Amiga verbreitet.
Bootvirus MBR, Bootsektor Michelangelo, Disk Killer oder Parity Boot Bei längeren Codes (max. 512 KBytes) werden Teile davon auf andere Sektoren ausgelagert
Makrovirus MS Office Dokumente (DOC, etc.) Melissa, Emotet oder Tuxissa (fiktiv)
Clustervirus Verzeichnise, bzw. bestimmte Cluster darin BHP, DIR-II Wird über den Umgang mit dem Directory aufgerufen.
Kernelvirus Systemdateien (IO.SYS, MSDOS.SYS, etc.) 3APA3A Infiziert nicht den Kernel selbst sondern Systemdateien, nutzt dabei aber Vorgänge beim Laden des Kernels aus

Hybridviren

Bearbeiten

Ein Hybridvirus verwendet nicht nur einen Typ von Wirtsdatei. Beliebt ist vor allem die Kombination aus einem Dateivirus und einem Dropper für einen Bootsektorvirus, der von dort aus theoretisch auch wieder Programmdateien infizieren könnte. Der erste „multipartite virus“ dieser Art war Ghostball. Auch der Kernelvirus 3APA3A ist ein Hybridvirus, denn er infiziert nicht nur eine selbst angelegte Kopie der MS-DOS-Systemdatei IO.SYS, sondern nutzt zusätzlich auch Bootsektoren von Disketten zur Verbreitung.

Companion-Viren

Bearbeiten

Genetische Algorithmen

Bearbeiten

Eine bisher überwiegend theoretische Art von Viren befällt den Code von bestimmten anderen Viren. Das verfahren nennt sich Codesnatching und ist eine Form des Selbstmodifizierenden Codes, bzw. Genetischen Codes. Es handelt sich also gewissermaßen um ein Update für Schadcode, der bereits eine Wirtsdatei infiziert hat. Dennoch erfüllt ein solcher Code auch die Definition eines „vollwertigen“ Virus, da er sich verbreitet, indem er Wirtsdateien infiziert.[2] Einigen Quellen nach soll derartiger Code im Verlauf der Cyberattacken gegen iranische Atomanlagen verwendet, um die Sabotagesoftware Stuxnet auf dem Stand zu halten und mit neuen Anweisungen zu versorgen.

Die RNA von Viren begünstigt bzw. treibt Mutationen, analog zur Selbsmodifikation des Codes bei Computerwürmen, -viren und -trojanern, die dadurch Vorteile hätten sich vor Sicherheitsmechanismen zu verstecken oder neue Lücken zu nutzen.

Unterschied zu Computerwürmern

Bearbeiten

Im Gegensatz zu Computerviren benötigen Würmer keine Wirtsdateien, da es sich bei ihnen nicht um infektiösen Code handelt. Computerwürmer sind eigenständige Programme, die sich replizieren und auf weitere Rechner verbreiten können. Manche Würmer sind sogar dateilos und agieren ausschließlich im Speicher. Computerwürmer werden nicht nach dem Typ der Wirtsdatei klassifiziert, sondern nach der Art ihrer Verbreitung, wie bspw. Netzwerkwürmer, E-Mailwürmer oder Bluetoothwürmer. Viele Würmer verwenden zur Verbreitung aber verschiedene Wege.

Ein schädliches Programm, dass sich selbst gar nicht automatisiert verbreiten kann, nennt man Trojanisches Pferd.

Einzelnachweise

Bearbeiten
  1. people.frisk-software.com Macro Virus Identification Problems
  2. Pdf-Download: arxiv.org Darwin Inside the Machines: Malware Evolution and the Consequences for Computer Security
Bearbeiten

Kategorie:Schadprogramm Kategorie:Computervirus