Malware 101: Viren und wie sie sich verbreiten

Während Würmer Netzwerke nutzen, um sich auf mehrere Geräte auszubreiten, konzentrieren sich Viren stattdessen auf die Ausbreitung auf andere Teile desselben Geräts. Sie kopieren im Wesentlichen denselben Code, um Dateien auf dem Gerät zu infizieren, ähnlich wie biologische Viren sich in einem Wirt vermehren und sich an Zellen in diesem Wirt anheften.

Viren können sich auf andere Geräte ausbreiten, indem sie Wechseldatenträger infizieren. Im Gegensatz zu Würmern läuft dieser Prozess jedoch nicht völlig automatisch ab, da er davon abhängt, dass der Benutzer den Datenträger an andere Geräte anschließt. Wie Würmer waren Viren ursprünglich eher Experimente als beabsichtigte Schadsoftware.

Eine kurze Geschichte der Viren

Der erste Virus war Elk Cloner, ein Bootsektorvirus von 1982, der als Scherz gedacht war. Wenn eine infizierte Festplatte in den Speicher geladen wurde, kopierte sie sich selbst auf alle anderen eingelegten Festplatten. Es zielte hauptsächlich auf Spiele für den Apple II ab und zeigte beim 50. Mal, wenn das Spiel gebootet wurde, einfach ein Gedicht an, anstatt das Spiel zu starten. Außerdem wurden bereits infizierte Festplatten markiert, um zu verhindern, dass der Bootsektor neu beschrieben wird.

Brain war ein Virus aus dem Jahr 1986, der ebenfalls auf den Bootsektor von Disketten abzielte und als erster Virus für die Rechner von IBM entstand. Auch bei Brain wurde dem Benutzer eine Nachricht angezeigt, doch die Beweggründe für Brain waren nicht etwa ein Streich, sondern die Bekämpfung der Piraterie der von den Autoren des Virus entwickelten medizinischen Software. Die Nachricht enthielt sogar Kontaktinformationen zu den Autoren mit der Aufforderung, sie zwecks „Impfung“ zu kontaktieren.

Dieses Motiv wurde auch von Sony BMG genutzt, als 2005 zwei Viren/Rootkits auf 22 Millionen CDs enthalten waren, um das Kopieren von CDs zu verhindern. Dies führte zu einem Skandal, nicht nur wegen der zwielichtigen Taktik und der Einführung von Rootkits auf Kundensystemen – einer Art Malware, die bekanntermaßen schwer zu erkennen und zu entfernen ist – sondern auch, weil beide Malware-Programme Schwachstellen im System des Benutzers schufen, die von anderer Malware ausgenutzt wurden. Außerdem übermittelte eines der Schadprogramme die privaten Hörgewohnheiten der Benutzer, und zwar auch dann, wenn sie dies in der Endbenutzer-Lizenzvereinbarung (EULA) nicht akzeptiert hatten.

Viren als Zeitbomben

Vielleicht sogar noch mehr als Würmer ist es für Viren möglich, ein gewisses Maß an Tarnung aufrechtzuerhalten. Der Michelangelo-Virus von 1986 war der erste Virus, der eine gängige Tarntaktik unter Viren anwandte, nämlich solange inaktiv zu bleiben, bis eine bestimmte Voraussetzung eintritt – in diesem Fall der Geburtstag des namensgebenden Renaissancekünstlers.

Wenn am 6. März ein mit Michelangelo infizierter Computer lief, überschrieb er die ersten 100 Sektoren der Festplatte mit Nullen, wodurch sie ohne Datenwiederherstellungstechniken praktisch unlesbar wurde. Im Gegensatz zu den meisten Löschviren blieb der Großteil der Benutzerdaten jedoch intakt und war mit herkömmlichen Mitteln einfach nicht zugänglich. Das Verfahren, eine Schaddatei nur unter bestimmten Bedingungen auszuführen, wird als „Zeitbombe“ bezeichnet. Michelangelo war obendrein ein Bootsektor-Virus, da er den Bootsektor von Disketten und den Master-Boot-Record von Festplatten infizierte.

Wie Viren es schaffen, nicht entdeckt zu werden

Weniger ausgefeilte Viren sind alles andere als unauffällig, und tatsächlich ist eine spürbare Verringerung der Computerleistung eines der Warnsignale für eine Vireninfektion. Da Viren versuchen, andere Dateien zu infizieren, kann dieser wahllos durchgeführte Prozess die Computerleistung erheblich beeinträchtigen und verraten, welche Dateien infiziert wurden, wenn plötzlich unerwartete Software auf dem System ausgeführt wird.

Daher möchten heimliche Viren nur solche Software infizieren, die ständig laufen soll, insbesondere Prozesse, die als Teil des Betriebssystems laufen, oder Bootsektoren von Festplatten, wie in den vorherigen Beispielen erwähnt. Bootsektoren sind für Benutzer weniger zugänglich und jede Festplatte hat einen. Sie sind jedoch auf die Startzeit beschränkt, um den Virus tatsächlich auszuführen, weshalb einige Viren auf lang laufende Systemprozesse vorziehen (oder diese zumindest bevorzugen).

Bootsektoren bieten Viren die beste Möglichkeit, weitere Systeme zu infizieren, was aus der Sicht eines Angreifers sicherlich einer der Vorteile ist, den Würmer gegenüber Viren haben. Ähnlich wie bei Würmern beschreibt der Begriff Virus lediglich eine Verbreitungsmethode – eine Methode, mit der sich Malware automatisch replizieren kann – und die tatsächliche(n) Schaddatei(en), die an diese Verbreitungsmethoden angehängt ist bzw. sind, kann bzw. können variieren und unter andere Malware-Terminologie fallen (wie im obigen Beispiel des Sony BMG Rootkits).