ANSI-Bomben
ANSI-Bomben sind Sequenzen, welche in normale Texte eingebunden wurden. Bei der
Anzeige des Textes wird die Tastaturbelegung verändert. Zunächst ein einfaches
Beispiel: Betätigt der Anwender die Taste "g", erscheint
"z" auf dem Bildschirm. Jedoch kann auch eine Taste mit "Format
C:" + Return" auf eine Taste (z.B. "a") gesetzt werden.
ANSI-Bomben benötigen jedoch den ANSI.SYS Treiber um aktiv werden zu können.
Construction-Kits
Construction-Kits sind keine Viren, sondern Programme (Generatoren), mit deren
Hilfe auch ein "normaler" Anwender "eigene" Viren erzeugen
bzw. generieren kann. Allerdings gelten diese Viren als recht primitiv und
werden zuverlässig durch Virenscanner erkannt. Trotzdem kommen ständig neuen
Viren aus solchen Generatoren in den Umlauf und stellen lediglich für User eine
Gefahr da, die keinen Virenscanner auf ihrem System verwenden.
CMOS
Als CMOS bezeichnet man den externen Speicher eines Rechners, der mit Strom
über eine extra Batterie versorgt wird. Hier werden wichtige Informationen wie
Uhrzeit, Datum, Größe des DOS-RAM, Festplattenwerte etc. gespeichert. Ein Virus
kann sich in diesem Bereich nicht aktiv speichern oder starten. Jedoch gibt es
Viren, die das CMOS löschen oder manipulieren. Diese Art von Viren bezeichnet
man auch als "CMOS-Viren", welche als sehr gefährlich einzustufen
sind.
Companion-Viren (Split-Viren)
Diese Viren machen sich die DOS-Eigenschaft zu nutze, dass Programme mit der
Endung.com stets vor einem gleichnamigen Programm mit der Endung .exe gestartet
werden. Meist fallen diese .com-Dateien insofern nicht auf, da sie als „hidden“
versteckt werden. Solche Dateien werden in der Regel nicht angezeigt.
Diese Viren können einfach entfernt werden, da man diese COM-Dateien nur zu
löschen braucht.
Dateiviren
Diese Viren befallen ausführbare Dateien. Meist befindet sich am Anfang einer
infizierten Datei ein Zeiger (Sprunganweisung). - Wird die infizierte Datei nun
ausführt, springt zunächst der Zeiger blitzschnell an den Anfang des Viruscodes
(der sich in der Regel am Ende der infizierten Datei befindet) führt diesen aus
und springt zurück zum Anfang des eigentlichen Programms.
Erst danach startet das normale Programm. Üblicherweise geht dieser Vorgang
so schnell von statten, dass es dem Anwender kaum auffallen wird. Viele dieser
Viren hängen ihren Code einfach hinten an das zu infizierende Programm, einige
löschen jedoch auch "alten Programmcode" und hängen sich dann an
diese Datei.
Direct Action Viren
Diese Art von Viren sind/werden nicht speicherresident (laufen also nicht
ständig im Hintergrund eines Systems mit). Wird ein solcher Virus aktiviert,
sucht er sofort nach anderen Programmen, die er infizieren kann.
Zur Erstellung von Direct Action Viren bedarf es nicht allzu hoher
Fachkenntnisse, daher sind sie trotz geringer Verbreitung recht zahlreich.
DIR-Viren / Verzeichnis-Viren
Dieser Typ von Virus manipuliert direkt die DOS-Verzeichnisse und keine
Sektoren oder Dateien. Diese Vorgehensweise hat zur Folge, dass diese Viren
sich rasend schnell ausbreiten, da schon ein DIR-Befehl ausreicht, dieses
Verzeichnis komplett zu infizieren.
Fast Infector
Schon beim Öffnen bzw. Schließen einer Datei werden diese durch Fast Infector
Viren infiziert. Startet der Anwender einen Virenscanner, während sich ein
solcher Virus aktiv im System befindet, können nach dem Scannvorgang nahezu
alle Datei auf einem System infiziert sein. Fast Infectors verbreiten sich
daher wie ein Lauffeuer auf einem betroffenen System.
Header-Viren
Dieser Viren-Typ infiziert Programme über direkte Sektormanipulationen mittels
INT13h. Also nicht wie sonst üblich über den INT21h. Es werden allerdings nur
EXE-Dateien infiziert, die einen "leeren" Programmkopf besitzen und
kleiner als 64 KB sind. Da solche Dateien recht selten sind, haben Header-Viren
heutzutage geringe Verbreitungschancen.
HLL-Viren
In diese Kategorie fallen alle Viren, welche mit Hochsprachen erzeugt wurden.
Hier unterscheidet man unter HLLT (Trojan), HLLP (Parasitic), HLLC (Companion)
und HLLO (Overwriting) -Viren. HLLO-Viren treten recht häufig auf, da diese
einfach zu programmieren sind. HLLP-Viren dagegen sind sehr selten, da die
notwendigen Codes in Hochsprache schwierig zu programmieren sind.
Hoaxe
Unter Hoaxen versteht man Meldungen über Malware (also Trojaner, Viren, Würmer
usw.) die es gar nicht gibt.
Immer wieder werden Mailboxen mit derartigen Meldungen verstopft.
Besonders beliebt sind Meldungen mit dem Inhalt, dass eine Mail mit einem bestimmten
Betreff in keinem Fall geöffnet werden darf. Wer diese Mail dennoch öffnet,
infiziert angeblich sein System sofort mit einem Virus oder einem Trojanischen
Pferd.
Den einzigen realen Schaden, den solche Meldungen verursachen, ist die
Tatsache, dass Mailsysteme verstopft und ahnungslose Leute in Panik versetzt
werden.
HTML-Viren
HTML-Viren sind genau genommen keine in HTML geschriebenen Viren, sondern in
HTML-Seiten eingebettete Viren in Scriptsprache.
Diese Viren funktionieren nur auf Windows-Systemen bzw. nur wenn der
Windows Scripting Host auf dem System installiert ist.
Es können nicht nur HTML-Dateien, sondern auch HTA-,VBS und DOC-Dateien
infiziert werden. Dies ist abhängig vom jeweiligen Virus und kann somit
zugleich auch unter die Kategorie Makroviren fallen.
In the wild (ITW) - Viren in freier
Wildbahn
Unter diesen Begriff fallen Viren, die immer wieder in "freier
Wildbahn" anzutreffen sind. Das bedeutet: Auf infizierten System sind
immer wieder diese Viren anzutreffen. Es gibt zwar viele, viele tausende von
Viren, jedoch wird der größte Teil davon so gut wie nie auf einem infiziertem
System gefunden. Oft handelt es sich auch um Viren, die gar nicht mal so neu
oder trickreich sind. Viele dieser Viren werden selbst durch ältere Anti-Viren
Programme erkannt. Trotzdem sind diese Viren (aus welchen Gründen auch immer)
kaum auszurotten.
Java Viren
Der erste Java-Virus nannte sich "Strange-Brew". Jedoch ging von
diesem Virus kaum eine Bedrohung aus, da der Virus zu inkompatibel war und
somit auf fast keiner Java-Implentierung lief. Da Java über ein recht gutes
Sicherheitskonzept verfügt, sind Java-Viren viel zu komplex und zu ineffektiv
um für Virenprogrammierer wirklich reizvoll zu sein.
Kernel-Viren
Diese Sorte von Viren infiziert zunächst bestimmt Programme eines
Betriebssystems. Es handelt sich um eine Art Mischung aus DIR- u.
Bootsektorviren.
Killerprogramme
Unter Killerprogrammen versteht man Viren, welche nach einer bestimmten Anzahl
von Infektionen eine Aktion auslösen.
Der "interne Zähler" dieser Viren zählt von einem festgelegten
Wert bis auf "null" herunter.
Nachdem das geschehen ist, kommt es auf den jeweiligen Virus an, was nun
passiert.
Meistens werden die Daten eines Systems gelöscht oder unbrauchbar gemacht.
Es kann z.B. der
"Format"-Befehl aufgerufen und durch den Virus bestätigt
werden. Andere Viren löschen ohne Nachfrage willkürlich Daten.
Weitere Versionen sind aufgetaucht, welche die FAT-Einträge einer
Festplatte änderten. Somit sind zwar noch sämtliche Daten auf der Festplatte
vorhanden, jedoch sind diese weder les- noch verwendbar.
Laborviren / Research-Viren
Unter den Begriff Laborviren fallen solche Viren, die in der "freien
Wildbahn" quasi nie anzutreffen sind. Diese Viren wurden Virenforschern
zugespielt und befinden sich nur in deren Laboren. Der größte Teil aller Viren
ist als Laborviren zu bezeichnen.
Makro Viren
Makro-Viren gibt es noch nicht so lange wie die "herkömmlichen"
Virenarten.
Viele Textverarbeitungsprogramme wie z.B. MS Word nutzen zur Automatisierung
von Aufgaben die an Basic angelehnte Makrosprache. Diese Programmiersprache ist
recht einfach erlernbar. Diese Tatsache hatte zur Folge, dass Makroviren heute
weitaus öfter anzutreffen sind, als andere Viren. Vom Prinzip her sind
Makroviren ebenfalls Dateiviren. Allerdings werden hier nur Dokumente infiziert
und keine Programme. Es gibt jedoch nicht nur Makroviren, die Word-Dokumente
(also .doc-Dateien) infizieren, sondern z.B. auch Excel-Viren uvm. Die
Makrosprache erlaubt recht mächtige Funktionen bzw. kann automatisch zahlreiche
Aufgaben erledigen.
Partitionsviren
Diese Viren verändern die Partition direkt oder die Angaben des ersten logische
Sektors und werden bei jedem Systemstart sofort aktiv. Einen solchen Virus kann
man nicht durch das Formatieren einer Festplatte entfernen. Meist reicht schon
ein Aufruf von "FDISK/MBR" von einer sauberen Bootdiskette aus um den
Virus zu entfernen.
Polymorphe Viren
Früher reichte es den Herstellern von Anti-Viren-Programmen, wenn der Code
(bzw. die Bytefolge) eines Virus analysiert und als Virendefinition in einer
Datenbank des Virenscanners als "Vergleichliste" für Scannvorgänge
abgelegt wurde.
Die Erkennungsraten der Virenscanner waren recht hoch, da diese Datenbanken
ständig aktualisiert wurden.
Die Virenprogrammierer entwickelten jedoch ihrerseits Methoden, sodass
"ihr" Virus gar nicht oder nur schwer durch Virenscanner erkannt
werden kann.
In Polymorphen Viren werden Codeveränderung oder Codeverschlüsselungen
verwendet. Diese Viren verschlüsseln dabei den eigentlichen Code mit einem
veränderlichen Schlüssel. Die Entschlüsselungsroutine bleibt jedoch
unverschlüsselt im Viruscode. Damit Virenscanner nun nicht einen Virus anhand
ihrer Entschlüsselungsroutine identifizieren, werden diese Routinen automatisch
bei jeder Infektion soweit verändert, dass anhand der Bytefolge keine
Identifizierung mehr möglich ist. Die Funktion der Verschlüsselungsroutine wird
dadurch natürlich nicht beeinträchtigt.
Retroviren
Dieser "Spezialvirus" ist darauf aus Anti-Viren-Programme
anzugreifen. Hierbei reicht die Bandbreite der Möglichkeiten von „außer Gefecht
setzen“ bis zu „gezielter Manipulation der Software“.
Retroviren können z.B. einen Virenscanner dahingehend verändern, dass
dieses Programm zwar noch einen Scannvorgang durchführen kann, jedoch gar nicht
mehr nach Viren sucht.
Die Viren täuschen dem Nutzer dann eine Sicherheit vor, die es gar nicht
gibt.
Einige Viren sind zusätzlich zu ihrer eigentlichen Funktion Retroviren, um
sich vor Scannern zu „schützen“.
Script-Viren
Der erste Virus dieser Art hieß: "Winscript Rabbit" und bedient sich
der Script-Sprache VB-Script aus dem Hause Microsoft. Neuere Versionen
infizieren nicht nur VB-Scripts, sondern auch Netscape kompatible Java Scripts.
Befindet sich ein solcher Virus einmal auf dem System, werden alle
Script-Dateien im Browser-Cache infiziert und der Virus kopiert sich sogar auf
den Desktop. Der erstaunte Anwender bekommt z.B. lustige Icons auf seinem
Bildschirm zu Gesicht. Script-Viren funktionieren allerdings nur unter
Windows-Systemen bzw. auf Rechnern, auf denen der Windows Scripting Host
installiert wurde.
Slack Viren
Der Slack-Bereich ist der Platz eines Clusters, der durch eine Datei nicht
ausgefüllt wurde. Nehmen wir an, ein Cluster ist 8192 Bytes gross, die Datei
jedoch nur 7000 Bytes, bleiben noch 1192 als Slack übrig.
Genau diesen freien Platz nutzen sogenannte Slack-Viren um sich unauffällig
einzunisten.
Da die Größe einer Datei nicht verändert wird, fallen sie dem Anwender
nicht so leicht auf. Durch Defragmentierung wird dieser Virus recht einfach
entfernt.
Slow Infector-Viren
Slow Infector-Viren sind vom Prinzip her das Gegenteil von "Fast
Infector-Viren", da diese sich (wie der Name bereits vermuten lässt) nur
langsam verbreiten.
Diese Art von Viren infiziert lediglich beim Erstellen oder Schreiben von
Programmen Dateien. Diese Technik hat den Hintergrund, Prüfsummenprogramme und
residente Wächterprogramme auszutricksen.
Da die Datei ja erst erstellt wird, liegt somit auch keine Prüfsumme vor.
Diese Viren sind jedoch relativ selten. Fast Infector-Viren treten dagegen sehr
häufig in Erscheinung.
Stealthviren / Tarnkappenviren
Hier unterscheidet man zwischen Semi- und Vollstealth-Viren.
Vollstealth-Viren verbergen die Tatsache, dass infiziert Dateien oder
Sektoren verlängert/verändert wurden. Somit können Virensuchprogramme und
Prüfsummen-Checker getäuscht werden.
Semistealth-Viren unterscheiden sich im Gegensatz zu Vollstealth-Viren
darin, dass lediglich die Dateiverlängerungen verborgen werden und nicht die
Dateiveränderungen.
TSR-Dateiviren
Diese Viren-Art ist besonders häufig anzutreffen. In der Regel (in über 99% der
Fälle) werden .com und .exe - Dateien befallen, es gibt jedoch auch einige
dieser Viren, die Gerätetreiber und Überlagerungsdateien infizieren.
Ein TSR-Virus verbreitet sich auf einem System, indem ein infiziertes Programm (sei es durch Download aus dem Internet, Disketten/CD´s von Bekannten oder woher auch immer) ausgeführt wird. Der Virus wird dann speicherresident (d. h. er befindet sich im Arbeitsspeicher bzw. läuft im Hintergrund es Systems mit) und wartet darauf, dass der Anwender ein bisher nicht infiziertes Programm öffnet. Geschieht dies, wird auch dieses Programm infiziert. Das geht praktisch so lange, bis alle Programme auf einem System infiziert sind.
Update-Viren
Update-Viren sind i.d.R. einer ganzen Viren-Familie zuzuordnen. Meist werden
diese von einem einzigen Programmierer oder einer Gruppe erstellt. Neben ihrer
eigentlich Funktion als Virus sind hier noch Update-Routinen zu finden. Diese
überprüft ob der Virus schon vertreten ist und wenn ja in welcher Version. Ist
die vorhandene Version älter, wird dieser durch die neue Version ersetzt. Falls
die vorhandene Version schon neuer ist, wird diese Datei nicht noch einmal infiziert.
Überschreibende Viren (Overwriting)
Overwriting-Viren
sind in ihrer Struktur zumeist die simpelste Virenart. Allerdings ist gerade
diese Art von Viren besonders gefährlich, da sie stets Daten zerstört, indem
diese entweder ganz oder zum Teil überschrieben werden. Es gibt winzige solcher
Viren, die gerade einmal 23 Byte lang sind.
Zeitzünder
Es handelt sich hier um spezielle Auslösemechanismen, die eine Routine im
eigentlichen Virus enthalten. In der Regel wird hierbei die Systemzeit
(Uhrzeit, Datum etc.) abgefragt bzw. überwacht. Tritt der festgelegte Wert
(z.B. ein Datum) ein, wird der Virus aktiv, wie z.B. der CIH-Virus, welcher am
26. eines Monats in Aktion tritt und Daten aus dem Bios-Chip überschreibt.
Theoretisch ist es somit möglich, einen Virus über Monate oder sogar Jahre auf einem System zu haben, ohne ihn zu bemerken.
Quellen:
http://www.incidents.org/react/nimda.pdf
http://www.symantec.com/
http://www3.ca.com/virus/
http://www.viruslist.com/eng/
http://www.europe.f-secure.com/v-descs/nimda.shtml
http://www.pchell.com/virus/prettypark.shtml
http://www.mcafee.com/anti-virus/virus_glossary.asp