Computerviren
und ihre Vermeidung
Kapitel 7
Copyright (C) 04/1993 by Howard Fuhs
7 Sonstige Arten manipulierender Software
Bisher wurde in diesem Buch nur auf die Computerviren eingegangen. Es gibt aber noch andere Möglichkeiten, den reibungslosen Arbeitsablauf auf einem Computer zu stören oder gar zu sabotieren.
7.1 Witzprogramme
Witzprogramme sollen eigentlich dem unerfahrenen Computeranwender nur einen Schrecken einjagen und somit der allgemeinen Belustigung dienen. Solche Witzprogramme verdankt man meisten seinen lieben Kollegen am Arbeitsplatz, die ein solches Programm während einer kurzen Abwesenheit vom Arbeitsplatz aufrufen oder gar in die AUTOEXEC.BAT einbinden. Problematisch wird es, wenn der Scherz für ernst gehalten wird und Servicetechniker geholt werden, weil man der Meinung ist, der Rechner sei defekt oder von einem Computervirus infiziert. Dies ist dann mit Arbeitsausfall und Kosten verbunden und kann sogar als Sabotage am Arbeitsplatz ausgelegt werden.
7.2 Trojanische Pferde
Hierbei handelt es sich um ein Programm, das dem Anwender zwar vorgibt, sinnvoll zu sein, welches aber nach seinem Start andere Operationen durchführt als vom Anwender gewünscht. Ein trojanisches Pferd enthält eine nicht dokumentierte Routine mit meist zerstörerischen Eigenschaften.So können trojanische Pferde z.B. Daten in Datenbanken und Tabellenkalkulationen unbemerkt verändern, die Festplatte formatieren oder das File Allocation Table (FAT) verschlüsseln. Trojaner wurden auch in Computernetzwerken eingesetzt, um Paßwörter von Anwendern abzufangen, zu sammeln und außenstehenden Personen zugänglich zu machen. Der Hauptunterschied zwischen Trojanern und Computerviren ist die Tatsache, daß ein trojanisches Pferd sich nicht selbst vermehrt und daß es kein Wirtsprogramm zum Einbinden benötigt, da es ein eigenständiges Programm ist.
7.3 Dropper
Ein Dropper ist eine spezielle Art eines trojanischen Pferdes. Ein Dropper ist eine ausführbare Datei, welche Viruscode enthält aber kein Virus ist. Dieser Viruscode stammt aber nicht von einer Infektion, sondern wurde gewollt in diese Datei eingefügt.Der Zweck ist es, mit dieser Datei den Virus in Umlauf zu bringen. Dieses Verfahren wird meistens bei den Boot-Sektor-Viren angewendet. Wenn man die Dropper Datei aufruft, wird zuerst der Boot-Sektor an einen anderen Platz auf dem Datenträger kopiert, dann wird der Boot-Sektor-Virus an die Stelle des Boot-Sektors des Datenträgers kopiert und dann wird die aufgerufene Datei ausgeführt.
7.4 Logische Bomben
Eine logische Bombe ist ebenfalls eine Abart eines trojanischen Pferdes. Die ausführbare Datei, in welche die logische Bombe eingebunden ist, enthält nicht nur eine undokumentierte Routine mit zerstörerischen Eigenschaften, sondern auch noch eine Triggerbedingung, um diese zerstörerische Eigenschaft auszulösen. So wird z.B. die zerstörerische Routine erst ausgelöst, wenn das Programm 100 Mal aufgerufen wurde.
7.4.1 ANSI-Bomben
Eine ANSI-Bombe ist eine Trojanerart, die in einfachen ASCII Texten vorkommen kann. Bedingung für ein Funktionieren einer ANSI-Bombe ist das Vorhandensein des ANSI.SYS Treibers im Speicher des Rechners. Der ANSI.SYS Treiber wird mit DOS mitgeliefert und wird von den meisten Anwendern in die CONFIG.SYS Datei eingebunden. Damit wird der ANSI.SYS Treiber mit jedem Booten des Rechners in den Arbeitsspeicher geladen. Einige wenige Programme benötigen den ANSI.SYS Treiber, um Bildschirmfarben einzustellen oder um Tasten auf der Tastatur eine neue Funktion zuzuordnen (auch Key Remapping genannt). Dies geschieht mit sogenannten ANSI-Sequenzen. Diese ANSI-Sequenzen werden vom ANSI.SYS Treiber abgefangen und als Befehle interpretiert sobald man versucht, den Text, in dem sie vorhanden sind, auf dem Bildschirm auszugeben (z.B. mit dem "TYPE" Befehl). Wurde von der ausgeführten ANSI-Sequenz z.B. eine Taste der Tastatur mit dem Befehl "Format C:" belegt, wird dieser Befehl ausgeführt, sobald die entsprechende Taste gedrückt wird. Auch Labels von Disketten können eine ANSI-Bombe enthalten. Um diese Bombe zu aktivieren, reicht ein einfaches "Dir A:".Die einfachste Möglichkeit, sich vor ANSI-Bomben zu schützen, besteht darin, den ANSI.SYS Treiber nicht zu verwenden, wenn man kein Programm benutzt, welches auf diesen Treiber zurückgreift. Hierfür reicht es, wenn man den Eintrag des ANSI.SYS Treibers in der CONFIG.SYS Datei einfach löscht oder mit einem "REM" Befehl versieht. Eine andere Möglichkeit bestünde im Einsatz eines anderen ANSI-Treibers, der die technische Möglichkeit eines Key Remappings nicht zuläßt. Solche ANSI-Treiber sind meistens als Shareware erhältlich. Außerdem gibt es Filterprogramme, die entsprechende ANSI-Sequenzen herausfiltern und deaktivieren.
7.4.2 Zeitbomben
Eine Zeitbombe ist das gleiche wie eine logische Bombe. Nur die Auslösebedingung ist hier direkt zeitabhängig. So wird die Zeitbombe ausgelöst, wenn ein bestimmtes Datum oder eine bestimmte Uhrzeit erreicht ist.
7.5 Würmer (Worms)
Würmer sind eigenständige Programme, die sich in einem Netzwerk beliebig oft selbst vermehren und dabei Rechenzeit blockieren. Durch den Aufruf eines Wurmprogramms werden das Netzwerk und die daran angeschlossenen Rechner verlangsamt. Je mehr sich das Wurmprogramm vermehrt, umso langsamer wird das Netzwerk oder der Rechner, bis hin zum Stillstand oder Zusammenbruch (so geschehen bei Fall des InterNet-Wurms).Ein besonderes Problem stellen Würmer auf Multitaskingsystemen dar. Würmer infizieren keine anderen Dateien. Ursprünglich, als noch mit Würmern experimentiert wurde, sollte ein wurmartiges Programm eine nützliche Utility auf einem Netzwerk sein.
7.6 Kettenbriefe (Chain Letters)
Bei einem Chain Letter handelt es sich um ein Programm, welches in eine E-Mail Nachricht eingebunden ist. Wird dieses Programm aufgerufen, verschickt sich dieses Programm innerhalb eines Netzwerks selbst an verschiedene Anwender als E-Mail (E-Mail = Electronic Mail).
Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Autors unzulässig und strafbar.
Copyright (C) 04/1993 - 08/1998 - 03/2003 by Howard Fuhs