Was sind Viren und Trojanische Pferde? (Virentypen)

  • Alles über Viren - Erstmals in Erscheinung getreten sind Viren im Jahre 1981, wobei die damaligen Viren noch recht primitiv waren und kaum destruktive Strukturen besaßen. Den EDV-Veteranen dürfte der damals bekannteste Virus noch gut in Erinnerung sein - "CAKE" meldete sich regelmäßig mit der Meldung "Give me a cake". Selten erlangen Viren eine solche Publizität wie etwa der Virus "Michelangelo" oder der äußerst destruktive "CIH" - ein Virus, der als Folge einen Hardware-Eingriff in den Rechner notwendig macht. Im Prinzip funktionieren Computerviren ähnlich wie biologische Viren, indem sie in intakte Zellen einbrechen und sich reproduzieren bzw. duplizieren. Dabei bestehen Viren immer aus den drei verschiedenen Teilbereichen Infektion, Aktivierung und Aktion. Eine Infektion bedeutet die Distribution bzw. Verteilung des Virus. So kann sich ein Virus über die Boot-Sektoren verbreiten, er kann sich an Programme anhängen oder sogar (wie der CIH-Virus) in Lücken des infizierten Programms verstecken, so dass die Programmgröße identisch bleibt. Die Aktivierung bestimmt, wann der Virus in Erscheinung treten soll. Die Aktivierungsmodule richten sich häufig an bestimmte Tage (immer freitags oder etwa am 26. eines jeden Monats) oder an bestimmte Ereignisse (100. Rechnerstart). Eine Aktion definiert die vom Virus auszulösende Ursache. Ein "gutartiger" Virus richtet keinen Schaden an, fordert aber eventuell eine Eingabe (Beispiel: Give me a cake) oder stellt den Bildschirminhalt invers dar. Die "bösartigen" Viren richten Schaden an, indem sie etwa Dateien löschen oder den F.A.T.-Bereich (Inhaltsverzeichnis) einer Festplatte überschreiben. Es sind auch Mischformen bekannt, wie etwa der "Casino"-Virus, der zu einem Spielchen auffordert und bei einem Sieg des Rechners Ihre Daten löscht, Sie ansonsten aber in Ruhe lässt. Man kann die Viren grob nach folgenden Variationen separieren:

    ANSI-Bomben - Es handelt sich hier um Sequenzen, welche in normale Texte eingebunden wurde. Bei der Anzeige des Textes wird die Tastaturbelegung verändert. Zunächst ein einfaches Beispiel: Betätigt der Anwender die Taste "g", erscheint "z" auf dem Bildschirm. Jedoch kann auch eine Taste mit "Format C:" + Return" auf eine Taste (z. B. "a") gesetzt werden. ANSI-Bomben benötigen jedoch den ANSI.SYS Treiber um aktiv werden zu können.

    Backdoor - Backdoor Programme gehen schon eher in den Bereich der Hackerszene. Diese kleinen Programme kommen ebenfalls per E-Mail oder Download. Sie ermöglichen einem Hacker oder anderen "bösen" Person relativ viel Unfug auf dem eigenen Rechner anzustellen. Sehr bekannte Backdoor Programe sind z.B. Back Orifice 2000, SubSeven oder NetBus. Sie öffnen für Eindringlinge eine Hintertür zum eigenen Rechner. Andere Personen können dann via Internet gezielt Daten klauen, löschen oder uploaden, die Systemeinstellungen verändern, das CD-Rom-Laufwerk schleißen bzw. öffnen, Fehlermeldungen generieren, den Rechner neu booten, Deinen Desktop sehen oder z.B. um 180 Grad drehen, die Mausbewegungen invertieren, angeschlossene Geräte wie WebCams usw. starten... - mit anderen Worten: Man ist hilflos ausgeliefert. Diese Programme stellen eine Art gigantische "Fernbedienung" dar.

    Bootviren - Bootsektor-Viren machen sich den Bootsektor zu nutze, den jede Diskette und jede Festplatte hat. Der Bootsektor enthält wichtige Informationen über den Datenträger. Er enthält zudem eine Art Startroutine, die die Systemdaten bzw. das Betriebssystem lädt. Ein Bootsektorvirus gelangt in das System, wenn der Computer mit einer infizierten Diskette gestartet wird. Ob es sich dabei um eine Boot-Diskette handelt, z.B. die Startdiskette von Windows, oder einfach nur um eine Programmdiskette spielt dabei keine Rolle. Sobald ein infizierter Bootsektor aufgerufen wird (von der Festplatte oder Diskette) lädt der Computer den Virus in den Arbeitsspeicher. Solche Viren haben den Vorteil, dass sie vor dem Betriebssystem gestartet werden. In der Regel stoppen sie das System - das Betriebssystem wird erst gar nicht geladen. Meistens verzweifeln Computer-Laien an solchen Viren, da sie nichts oder nur wenig über die Funktion des Bootsektors wissen.

    Companionviren (Split-Viren) - Diese Viren machen sich die DOS-Eigenschaft zu nutze, dass Programme mit der Endung.com stets vor einem gleichnamigen Programm mit der Endung .exe gestartet werden. Meist fallen diese .com-Dateien insofern nicht auf, da diese als Hidden oder System-Dateiattribute gesetzt werden. Diese Dateien werden in der Regel nicht angezeigt. Diese Viren können einfach entfernt werden, da man diese COM-Dateien nur zu löschen braucht. - HINWEIS: Programme mit der Endung ".com" müssen keine Viren bedeuten ! Jedoch gibt es noch mehr Möglichkeiten, wie ein Companion-Virus seine Dateien verstecken kann. Hier z.B. in Pfaden oder Original-Dateien werden einfach umbenannt und die neue, infizierte in den Original-Namen. Auch ist die Erzeugung einer BAT-Datei möglich, die zunächst den Virus und dann die ursprüngliche Datei aufruft. (z. B. Honecker Virus).

    Construction Kits - Construction Kits sind keine Viren, sondern Programme (Generatoren), mit deren Hilfe auch ein "normaler" Anwender "eigene" Viren erzeugen bzw. generieren kann. Jedoch gelten diese Viren als recht primitiv und werden zuverlässig durch Virenscanner erkannt. Trotzdem kommen ständig neuen Viren aus solchen Generatoren in den Umlauf und stellen lediglich für User eine Gefahr da, die keinen Virenscanner auf ihrem System verwenden.

    CMOS - Als CMOS bezeichnet man den externen Speicher eines Rechners, der mit Strom über eine extra Batterie versorgt wird. Hier werden wichtige Informationen wie Uhrzeit, Datum, Größe des DOS-RAM, Festplattenwerte etc. gespeichert. Ein Virus kann sich nicht in diesem Bereich nicht aktiv speichern oder starten. Jedoch gibt es Viren, die das CMOS löschen oder manipulieren. Dieses hat Systemabstürze zur Folge oder es wird verhindert, dass ein infiziertes System von einer "sauberen" Disketten gestartet werden kann. Diese Art von Viren nennt man auch "CMOS-Viren", welche als sehr gefährlich einzustufen sind.

    Dateisystem- oder Cluster-Viren - Dateisystem- oder Cluster-Viren verändern die Verzeichnistabelle so, dass der Virus vor dem eigentlichen Programm geladen und gestartet wird. Die eigentlich zu startende Datei wird bei diesem Vorgang physikalisch nicht geändert.

    Dateiviren - Diese Viren befallen ausführbare Dateien. Meist befindet sich am Anfang einer infizierten Datei ein Zeiger (Sprunganweisung). <br />- Wird die infizierte Datei nun ausführt, springt zunächst der Zeiger blitzschnell an den Anfang des Viruscodes (der sich in der Regel am Ende der infizierten Datei befindet) führt diesen aus, springt zurück zum Anfang des eigentlichen Programms. Danach erst startet das normale Programm. Meist geht jedoch dieser Vorgang so schnell von statt, dass es dem Anwender kaum auffallen wird (lediglich evtl. eine minimale Verzögerung des Programmstarts). Viele dieser Viren hängen ihren Code einfach hinten an das zu infizierende Programm. - Einige löschen jedoch auch "alten Programmcode" und hängen sich dann an diese Datei.

    Dropper / Partitions-oder Bootsektorvirusstarter - Bootsektorviren können normalerweise nicht in ein System über Programm eindringen. Der Virus versteckt sich in einem speziellem Programm, welches die Aufgabe hat, diesen Virus in der Partition zu installieren. Somit ist das besagte Programm NICHT infiziert, enthält jedoch den Virus, der erst bei Aufruf des Programms auf dem Datenträger (Festplatte, Diskette) installiert wird. Der Virus ist jetzt somit dann installiert, jedoch erst aktiv, wenn das System neu gestartet wird. Auch gibt es solche Dropper für Dateiviren. Hier wurde der Virus versteckt, damit dieser durch Virenscanner nicht erkannt wird.

    Direct Action-Viren - Diese Art von Viren sind/werden nicht speicherresident (laufen also nicht ständig im Hintergrund eines Systems mit). Wird ein solcher Virus aktiviert, sucht er sofort nach anderen Programmen, die er infizieren kann. Einige suchen nur nach Dateien im gleichen Verzeichnis, besser programmierte auch in anderen Verzeichnissen oder über Path angegebene Verzeichnisstrukturen. Diese Art von Viren erfordern nicht allzu hohe Fachkenntnisse. Daher ist auch eine hohe Anzahl dieser Viren zu verzeichnen, aber trotzdem wenig verbreitet sind.

    DIR-Viren / Verzeichnis-Viren - Dieser Typ von Virus manipuliert direkt die DOS-Verzeichnisse und keine Sektoren oder Dateien. Diese Vorgehensweise hat zur Folge, dass diese Viren sich rasend schnell ausbreiten, da schon ein DIR-Befehl ausreicht, dieses Verzeichnis komplett zu infizieren. Bootet man von einer sauberen Disketten, sind alle infizierten Datei quer verbunden, da alle Dateien auf den selber Cluster zeigen.

    Fast Infector - Schon beim öffnen bzw. schließen einer Datei, werden diese durch Fast Infector Viren infiziert. - Startet der Anwender einen Virenscanner, während sich ein solcher Virus aktiv im System befindet, können nach dem Scannvorgang nahezu alle Datei auf einem System infiziert sein. Fast Infectors verbreiten sich somit wie ein Lauffeuer auf einem betroffenen System. Jedoch wird hierdurch auch das befallende System ziemlich stark abgebremst und der Anwender wird dieses bemerken.

    Header-Viren - Dieser Viren-Typ infiziert Programme über direkte Sektormanipulationen mittels INT13h. Also nicht wie sonst üblich über den INT21h. Jedoch werden nur EXE-Dateien infiziert, die einen "leeren" Programmkopf besitzen und kleiner als 64 KB sind. Da solche Dateien recht selten sind, hat haben Header-Viren heutzutage wenig Chancen sich überhaupt zu verbreiten. Außerdem sind diese Viren auch sehr häufig "Fast Infectors" und können Programme auf DBLSPACE, RAMDRIVES und anderen logischen Laufwerken nicht infizieren.

    HLL-Viren - In diese Kategorie fallen alle Viren, welche mit Hochsprachen erzeugt wurden. Hier unterscheidet man unter HLLT (Trojan), HLLP (Parasitic), HLLC (Companion) und HLLO (Overwriting) -Viren. HLLO-Viren treten recht häufig auch, da diese einfach zu programmieren sind. HLLP-Viren dagegen sind sehr selten, da die notwendigen Codes in Hochsprache schwierig zu programmieren sind.

    Hoaxe - Darunter versteht man Meldungen über Malware (Sammelbegriff für schädliche Programme wie Trojaner, Viren etc.), die es gar nicht gibt. Immer wieder werden Mailboxen mit solcherlei Meldungen verstopft. Besonders beliebt sind Meldungen, dass eine Mail mit einem bestimmten Betreff in keinem Fall geöffnet werden darf. Wer dieses jedoch macht, infiziert sein System sofort mit einem Virus oder einem Trojanischen Pferd. Den einzigen Schaden, den solche Meldungen verursachen, ist die Tatsache, dass Mailsystem verstopft und ahnungslose Leute in Panik versetzt werden. Das klassische Beispiel für solche Hoaxe sind Meldungen über einen Virus mit dem Namen "Good Times" und "Penpal".

    HTML-Viren - Was lange Zeit kaum denkbar war, wurde im Oktober 1998 Wirklichkeit. Der erste HTML-Virus tauchte auf. - Dieser Virus versteckt sich in Form eines VB-Scripts in einer HTML-Datei und kann auch andere Datei infizieren, indem er sich ebenfalls als Script in der Datei versteckt. Der Virus arbeitet vom Prinzip her wie die Script-Viren und funktionieren nur auf Windows 98 - Systemen bzw. wenn der Windows Scripting Host auf dem System installiert ist. Jedoch können nicht nur HTML-Dateien, sondern auch HTA-,VBS und DOC-Dateien infiziert werden. Dieses hängt jedoch von dem jeweiligen Virus ab und kann somit zugleich auch unter die Kategorie Makroviren fallen.

    Hybridviren - Viren, die sowohl Programmdateien als auch Boot-Sektoren infizieren.

    In the wild (ITW) - Viren in freier Wildbahn - Unter diesen Begriff fallen Viren, die immer wieder in "freier Wildbahn" anzutreffen ist. Das bedeutet: Auf infizierten System sind immer wieder diese Viren anzutreffen. Es gibt zwar viele, viele tausende von Viren, jedoch wird der größte Teil davon so gut wie nie auf einem infiziertem System gefunden. Oft handelt es sich auch um Viren, die gar nicht mal so neu oder trickreich sind. Viele dieser Viren werden selbst durch ältere Anti Viren Programmen erkannt. Trotzdem sind diese Viren (aus welchen Gründen auch immer) kaum auszurotten.

    Java-Viren - Der erste Java-Virus nennt sich "Strange-Brew". Jedoch geht von diesem Virus keine Bedrohung aus, da der Virus zu inkompatibel ist und somit auf fast keiner Java-Implementierung läuft. Auch ist noch kein ernsthafter Java-Virus zu erwarten, da die ganze Struktur von Java sehr umfangreich und nicht leicht erlernbar ist.

    Keime - Ein Keim ist ein Virus der Generation Null, der in einer solchen Form vorliegt, daß die Infektion nicht auf normale Weise stattgefunden haben kann, wie beispielsweise bei einem Virus, der lediglich Dateien von mindestens 5 KB Umfang infiziert und jetzt eine winzige Datei von 10 Byte infiziert hat. Als Keim wird aber auch eine Viruskopie ohne Wirtsdatei betrachtet. Wenn Sie aus einer solchen Datei den Viruscode entfernen, bleibt eine Datei von 0 Byte übrig. Bei dieser zweiten Art von Keim handelt es sich also um die vom Virenprogrammierer erstellte Originaldatei.

    Kernel-Viren - Diese Sorte von Viren infizieren zuerst bestimmt Programme eines Betriebssystems. Unter DOS somit "IO.SYS" oder "MSDOS.SYS". Es soll von dieser Virensorte bisher nur ein Exemplar bekannt sein. An sich ist es eine Mischung aus DIR- u. Bootsektorviren. Denn auf Festplatten wird durch die direkte Veränderung des Verzeichniseintrages "IO.SYS" infiziert. Auf Disketten der Bootsektor.

    Killerviren - Unter Killerviren versteht man Viren, welche nach einer bestimmten Anzahl von Infektionen eine Aktion auslösen. - Der "interne Zähler" dieser Viren zählt von einem festgelegten Wert runter bis auf "null". Nachdem das geschehen ist, kommt es auf den jeweiligen Virus an, was nun passiert. Jedenfalls werden die Daten eines Systems gelöscht oder unbrauchbar gemacht. Es kann z.B. ein Befehl "Format" aufgerufen und durch den Virus bestätigt werden. Andere Viren löschen ohne Nachfrage "nur" die Daten. Die noch gemeinere Variante ändert die FAT-Einträger einer Festplatte. Die Daten sind zwar noch alle auf der Festplatte enthalten, jedoch sind diese weder les- noch verwendbar.

    Laborviren / Research-Viren - Darunter versteht man die Viren, welche in der "freien Wildbahn" quasi nie anzutreffen sind. Diese Viren wurden Virenforschern zugespielt und befinden sich nur in deren Laboren. Somit befinden sich diese lediglich in deren Sammlungen. Im übrigen ist der größte Teil aller Viren als Laborviren zu bezeichnen.

    Logische Bomben - Logische Bomben sind eine besondere Art von Viren: Sie können entweder durch eine Art von Zeitzünder ausgelöst werden, oder durch das Erfüllen einer Bedingung, beispielsweise die Eingabe oder das Fehlen eines Bestimmten Wortes oder eines Benutzernamens. Diese Viren sind meistens auf ein Bestimmtes System beschränkt: Sie können sich normalerweise nur innerhalb eines vorgegebenen Umfeldes reproduzieren und sind daher ausehalb dieses Umfelds meist wirkungslos.

    Makroviren - Makro-Viren gibt es noch nicht so lange wie die "herkömmlichen" Virenarten. Viele Textverarbeitungsprogramme wie z.B. Word nutzen zur Automatisierung von Aufgaben die an Basic angelehnte Makrosprache. Diese Programmiersprache ist recht einfach erlernbar. Diese Tatsache hatte zur Folge, dass Makroviren heute weitaus öfter anzutreffen sind, als andere Virenarten. Vom Prinzip her sind Makroviren ebenfalls Dateiviren (Erklärung siehe unter "Dateiviren"). Lediglich werden hier nur Dokumente infiziert und KEINE Programme. Jedoch gibt es nicht nur Makroviren, die Word-Dokumente (also .doc-Dateien) infizieren, sondern z.B. auch Excel-Viren. Die Makrosprache erlaubt recht mächtige Funktionen bzw. kann automatisch zahlreiche Aufgaben erledigen. Wer jedoch z.B. kein Word auf seinem System installiert hat, braucht nicht unbedingt etwas zu befürchten, wenn er von einem solchen Virus heimgesucht wird (bezogen auf Makroviren, die .doc-Dateien infizieren).

    MBR (Master Boot Record)-Viren - MBR (Master Boot Record)-Viren funktionieren ähnlich wie die Bootsektorviren (siehe oben). Sie haben nur den feinen Unterschied, daß sie sich in den Hauptstartbereich der Festplatte infizieren. Somit können das Hauptstartprogramm und die Partitionstabelle verloren gehen.

    Multiple oder Double-Action Viren - Multiple oder Double-Action Viren können Bootsektor und Dateien infizieren. Sie sind eine Art "Mix" aus den oben vorgestellten Viren.

    Mutierende Viren - Die Viren der "Zukunft" sind polymorph, d.h. sie mutieren bei jeder Neuinfektion und verändern oder verschlüsseln ihren Code. Durch herkömmliche Virenscanner sind polymorphe Viren daher nicht mehr erkennbar, da diese Scanner keine dem Virus eindeutig zugeordneten Zeichenfolgen mehr finden können.

    Netzwerk-Viren - Spezielle Netzwerk-Viren gibt es bisher nur wenige, doch können sich die meisten Vieren auch in Netzwerken verbreiten. Die klassischen Netzwerk-Viren sind die sogenannten Würmer. Sie verbreiten sich nicht als Anhängsel eines Programms in Systemen, sondern können ihren eigenen Code selbstständig reproduzieren. und als eigenständiges Programm ablaufen lassen.

    Bis heute gibt es allerdings noch keine Viren, die sich in mehreren Betriebssystemen verbreiten können. Viren sind von ihrer Konzeption her immer auf die Schwachstellen eines Systems angewiesen. Da diese jedoch bei jedem System an anderer Stelle sitzen und jedes System andere Programmieranforderungen stellt, wird es auch in absehbarer Zeit kaum Viren Geben, die beispielsweise auf MAC- und MS-DOS-Rechnern agieren können. Die meisten glauben, dass sich ein Virus, sobald er bis in ein Netz vorgedrungen ist, sofort irgendwie rasend schnell über das gesamte Netzwerk ausbreitet. Die Wahrheit ist jedoch weitaus komplizierter. Erstens können sich Bootsektorviren nicht über Netzwerke ausbreiten, selbst wenn mehrere der angeschlossenen Computer infiziert sind, denn diese Virenart verbreitet sich über Disketten. Dateiviren dagegen breiten sich folgendermaßen über ein Netzwerk aus: 1.) Benutzer 1 infiziert seinen Computer, möglicherweise durch die Demodiskette eines Vertreters. Der Virus wird speicherresident. 2.) Benutzer 1 führt weitere Programme auf seiner Festplatte aus, die dadurch ebenfalls infiziert werden. 3.) Benutzer 1 führt ein paar Programme auf dem Netzwerk aus, die dadurch ebenfalls infiziert werden. Ein Netzwerk emuliert ein DOS-Gerät, d. h. Lesen und Schreiben in Dateien auf dem Server findet in derselben Weise statt wie lokal. Der Virus muss sich also nicht anders als sonst verhalten, um Dateien auf dem Server zu infizieren. 4.) Benutzer 2 meldet sich am Server an und führt eine infizierte Datei aus. Der Virus wird auf dem Computer von Benutzer 2 speicherresident. 5.) Benutzer 2 führt mehrere andere Programme auf seiner lokalen Festplatte und auf dem Server aus. Jede ausgeführte Datei wird infiziert. 6.) Benutzer 3, Benutzer 4 und Benutzer 5 melden sich an und führen infizierte Dateien aus. 7.) Und so weiter.

    Partitionsviren - Diese Viren verändern die Partition direkt oder die Angaben des ersten logische Sektors und werden bei jedem Systemstart sofort aktiv. Einen solchen Virus kann man NICHT durch das Formatieren einer Festplatte entfernen. Meist reicht schon ein Aufruf von "FDISK/MBR" von einer sauberen Bootdiskette aus um den Virus zu entfernen.

    Pholymorphe Viren - Früher reichte es den Herstellern von Anti-Viren-Programmen, wenn der Code (bzw. die Bytefolge) eines Virus analysiert und als Virendefinition in einer Datenbank des Virenscanners als "Vergleichliste" für Scannvorgänge abgelegt wurde. Die Erkennungraten der Virenscanner konnte als sehr hoch eingestuft werden, da diese Datenbanken ständig aktualisiert wurden. Jedoch haben die Virenprogrammierer die Zeichen der Zeit leider auch nicht verschlafen und entwickelten neue Methoden, damit "ihr" Virus gar nicht oder nur schwer durch Virenscanner erkannt wird. In Polymorphen Viren werden Codeveränderung oder Codeverschlüsselungen verwendet. Diese Viren verschlüsseln dabei den eigentlichen Code mit einem veränderlichen Schlüssel. Die Entschlüsselungsroutine bleibt jedoch unverschlüsselt im Viruscode. Damit Virenscanner nun nicht einen Virus anhand ihrer Entschlüsselungsroutinge identifizieren, werden diese Routinen automatisch bei jeder Infektion soweit verändert, dass anhand der Bytefolge keine Identifizierung mehr möglich ist. Die Funktion der Verschhlüsselungsroutinge wird dadurch natürlich nicht beeinträchtigt. Viele Virenprogrammierer bedienen sich zur Verschlüsselung ihrer Codes an sogenannten Codegeneratoren, welche diesen Teil der Programmierarbeit übernehmen. Es gibt Generatoren, die als sehr leistungsfähig bis fast unbrauchbar einzustufen sind. Viele dieser Generatoren kommen aus Osteuropa oder Taiwan. Trotzdem gelingt es den Softwareherstellern von Virenscannern immer wieder, auch diese verschlüsselten Viren zu identifizieren. - Auch wenn dieses manchmal recht aufwendig ist. Jedoch brauchen Virenprogrammierer nicht glauben, dass Virenforschern Codegeneratoren nicht bekannt sind...

    Retroviren - Dieser "Virenspezie" ist darauf aus AntiVirenProgramme anzugreifen. Dieses reicht von völlig ausser Gefecht setzen bis zur Manipulation der Software. Programmierer dieser Sorte Viren untersuchen genaustens "Byte für Byte" die Anti Viren Programme nach Schwachstellen. Retroviren können z.B. einen Virenscanner dahingehend verändern, dass dieses Programm zwar noch einen Scannvorgang vollzieht, jedoch ansich gar nicht mehr nach Viren sucht. - Das würde somit bedeuten: Das System könnte "durch und durch" mit Viren verseucht sein, der Scanner meldet jedoch, dass alles in Ordnung sei. Manche Scanner legen sogeannten Prüfsummen an, die ein Retrovirus zu seinen Gunsten nutzen kann. Diese Prüfsummen werden einfach entsprechend manipuliert. Hierbei möchte ich jedoch erwähnen, dass viele andere Viren auch Retroviren sind, um sich vor einer Entdeckung zu schützen. Wenn man es genauer betrachtet, würde es für den Virenprogrammierer wenig Sinn machen, einen reinen Retrovirus zu programmieren...

    Residente Viren - Diese Viren belegen Speicher und hängen sich in den Interrupt 21h und/oder 13h. Über den INT21h werden allen internen DOS-Funktionen (Programme starten, öffnen, kopieren, löschen etc.) abgewickelt. Somit bekommt der Virus Programme von "erster Quelle" geliefert, um diese zu infizieren. Der INT 13h ist fuer Festplatten- u. Diskettenzugriffe zuständig und wird durch Sektor- und Multipartite -Viren belegt. Die Arbeitsweise dieser Viren ist als Recht kompliziert zu betrachten. Diese hier zu Beschreiben würde den Rahmen der Rubrik sprengen. Kurz gesagt: Dieser Virus arbeitet ständig im Hintergrund um nach zu infizierenden Dateien "Ausschau" zu halten. In einigen Fällen erweist es sich als schwierig, einen solchen Plagegeist entgültig loszuwerden. Nur ein Formatieren der Festplatte reicht in der Regel nicht aus.

    Script-Viren - Diese Virenart ist noch recht neu und seit Oktober 1998 erstmalig in den Umlauf geraten. Der erste dieser Art von Viren heisst: "Winscript Rabbit" und bedient sich der Script-Sprache "VB-Script aus dem Hause Microsoft. Neuere Versionen infizieren nicht nur VB-Scripts, sondern auch Netscape kompatible Java Scripts. Befindet sich ein solcher Virus einmal auf dem System werden alle Script-Dateien im Browser-Cache infiziert und kopiert sich sogar auf dem Desktop. Der erstaunte Anwender bekommt z.B. lustige Icons auf seinem Bildschirm zu Gesicht. Script-Viren funktionieren allerdings nur unter Windows 98 bzw. auf Rechnern, wo der Windows Scripting Host installiert wurde. Im übrigen kann man bei einer Win 98 Neuinstallation auch den Scripting-Host ausschliessen.

    Slack-Viren - Der Slack-Bereich ist der Platz auf einem Cluster, der durch eine Datei nicht ausgefüllt wurde. Nehmen wir an ein Cluster ist 8192 Bytes gross, die Datei jedoch nur 7000 Bytes, bleiben noch 1192 als Slack übrig. Genau diesen freien Platz nutzen sogenannte Slack-Viren um sich unauffällig einzunisten. Dadurch wird verhindert, dass die Grösse einer Datei verändert wird und somit dem Anwender nicht auffällt. Diese Viren sind jedoch recht selten anzutreffen. Anwender, die hin und wieder ihre Festplatte defragmentieren, werden spätestens damit diesen Virus entfernen.

    Slow Infector-Viren - Vom Prinzip her das Gegenteil von "Fast Infector-Viren", da diese sich (wie der Name bereits vermuten laesst) nur langsam verbreiten. Diese Art von Viren infiziert lediglich beim Erstellen oder Schreiben von Programmen diese Dateien. Diese Technik hat den Hintergrund, um Prüfsummenprogramme und residente Wächterprogrammen auszutricksen. Da somit die Datei ja erst erstellt wird, liegt somit auch keine Prüfsumme vor. Diese Viren sind jedoch relativ selten. Fast Infector-Viren treten dagegen sehr häufig in Erscheinung.

    Stealthviren / Tarnkappenviren - Hier unterscheidet man zwischen Semi- und Vollstealth-Viren. Vollstealth-Viren verbergen die Tatsache, dass infiziert Dateien oder Sektoren verlänger/verändert wurden. Somit können Virensuchprogramme und Prüfsummenchecker getäuscht werden. Semistealth-Viren unterscheiden sich im Gegensatz zu Vollstealth-Viren darin, dass lediglich die Dateiverlängerungen verborgen werden und nicht die Dateiveränderungen. Der Begriff "Stealth" wird immer wieder für alle möglichen Viren-Tricks (raffiniert programmierte Viren etc.) benutzt, welches jedoch nicht den eigentlich Begriff wie hier beschrieben definiert.

    TSR-Dateiviren - Diese Viren-Art ist besonders häufig anzutreffen. In der Regel werden .com und .exe - Dateien befallen, jedoch gibt es auch einige dieser Viren, die Gerätetreiber und Überlagerungsdateien infizieren. Desweiteren müssen die Programme nicht unbedingt die Erweiterung ".com" oder ".exe" haben, obwohl dieses natürlich in den allermeisten Fällen (99%) zutrifft. Ein TSR-Virus verbreitet sich auf einem System, indem ein infiziertes Programm (sei es durch Download aus dem Internet, Disketten/CD´s von Bekannten oder woher auch immer) ausgeführt wird. Der Virus wird dann speicherresident (d. h. er befindet sich im Arbeitsspeicher bzw. läuft im Hintergrund es Systemes mit) und wartet darauf, dass der Anwender ein bisher nicht infiziertes Programm öffnet. Geschieht dieses, wird auch dieses Programm infiziert. Das geht praktisch so lange, bis alle Programme auf einem System infiziert sind. Die Dateien werden also somit schon nur beim öffnen einer Datei infiziert. Somit kann bei einer eventuellen Datensicherung (wo gegebenfalls jedes Programm geöffnet wird) ALLES infiziert werden. Jedoch möchte ich noch erwähnen, dass sich die Infektionsroutinen auch durchaus unterscheiden. Es kann auch nur durch einen "DIR-Befehl" alle somit angezeigten Programme infiziert werden. Die Auslösung der Infektionsroutine erfolgt somit schon bei Vorgängen, wo bestimmt wird, welche Dateien auf einem System/Ordner etc. vorhanden sind. Auch wurden noch andere Infektionsroutingen bekannt, jedoch sind diese recht selten anzutreffen. Diese Art der Viren könnte man somit auch durchaus zur Gruppe der Fast Infector-Viren zählen.

    Update-Viren - Update-Viren sind eine besonders ausgeklügelte Virenart. Sie sind nach Familien gegliedert und werden meist von einem einzigen Programmierer oder einer Gruppe entwickelt. Neben ihrem Hex-Pattern enthalten diese Viren nicht nur eine Versionsnummer, sondern auch eine Update-Routine, die überprüft, ob der Virus bereits in einer Version vertreten ist. Aber damit nicht genug: Die Routine untersucht ausserdem, ob die Datei bereits eine ältere Version des Virus enthalten. Ist das der Fall, wird diese ersetzt. Ist eine neuere Version installiert, wird diese nicht noch einmal infiziert.

    Überschreibende Viren (Overwriting) - Overwriting-Viren sind in ihrer Struktur in der Regel die einfachste Virenart. Jedoch ist gerade diese Art von Viren besonders gefährlich, da diese immer Daten zerstört, indem diese entweder ganz oder zum Teil überschrieben werden. Es gibt winzige solche Viren, die gerade mal 23 Byte lang sind. Diese Viren sind nicht resident und suchen normaler Weise nur im aktuellen Verzeichnis nach Opfern.

    Würmer - Computerwürmer sind Programme, die sich selbstständig in einem Netzwerk verbreiten können. Es handelt sich dabei nicht um klassische Viren, sondern um damit verwandte Störprogramme, die jedoch auch Viren enthalten können. Würmer sind eigenständige Programme, die keine Wirtsprogramme benötigen, um sich daran anzuhängen. Meist bestehen sie aus mehreren Programmsegmenten, die miteinander in Verbindung stehen. Computerwürmer können sich selbst reproduzieren und sich zu dem mit Hilfe von Netzwerkfunktionen auf andere Rechner kopieren.

    Zeitzünder - Es handelt sich hier um spezielle Auslösemechanisment, die eine Routine im eigentlichen Virus enthalten. In der Regel wird hierbei die Systemzeit (Uhrzeit, Datum etc.) abgefragt bzw. überwacht. Tritt der festgelegte Wert (z.B. ein Datum) ein, tritt der Virus in Aktion. Viele dieser Viren geben zu diesem Zeitpunkt eine Meldung auf den Bildschirm aus und verabschieden sich dann wieder. Jüngstes Beispiel für so einen Zeitzünder ist der CIH-Virus, welcher am 26. eines Monats in Aktion tritt und Daten aus dem Bios-Chip überschreibt. Jedoch kann die Auswahl bzw. Bedingungen eines Zeitzünders umbegrenzt sein. Dazu kann ein Datum, eine Uhrzeit oder nach dem nächsten Einschalten des Rechner usw., usw. gehören. Theoretisch ist es somit möglich,k einen Virus über Monate oder sogar Jahre auf einem System zu haben, ohne jegliche Reaktionen seitens des Virus. Der Auslösemechanismus kann durchaus auch erst zu einem Jahreswechsel auftreten.

    Was sind trojanische Pferde? - Trojanische Pferde sind Programme, deren Hauptfunktion ist, Systeme und deren Anwender auszuspionieren. Sie können Sicherheitslücken erkunden, Hintertüren im System öffnen oder bestehende Infrastrukturen zerstören. Trojaner sind beispielsweise in der Lage, die Zugangsdaten von Homebanking-Anwendungen auszulesen, um diese dann ohne Wissen des Anwenders online per Internet weiterzugeben. Sie versuchen mit allen Methoden, Ihre Präsenz im Rechnersystem zu verbergen. Trojanische Pferde werden als Tarnung an Share- und Freewareprogramme angehängt. Die Vorgehensweise ist denkbar einfach: Der User lädt nichtsahnend ein Programm aus dem Internet und startet es. Meistens erfüllen die Tarnprogramme nicht die gestellten Erwartungen und werden sofort gelöscht oder deinstalliert. Doch was der Geschädigte nicht weiß, ist, dass im Hintergrund ein weiteres Programm installiert wurde: Das trojanische Pferd. Hierbei ist es egal, ob man zum Zeitpunkt des Installation online war, oder nicht. Trojanische Pferde sind meistens kleine Programme, die "lediglich" einen Eintrag in der Windows-Registry vornehmen. Doch dieser Eintrag hat gravierende Folgen: Er öffnet bestimmte Ports Ihres PC und lässt sie das nächste Mal, wenn Sie online gehen, vor Hackern absolut ungeschützt. Trojanische Pferde bestehen aus 2 Teilen: Dem Client und dem Server. Der Server ist der infizierte und der Client derjenige, der mittels des Trojaners Zugriff auf den Server zu bekommen versucht. Wenn der Server das nächste Mal online geht, benötigt der Client lediglich die IP-Nummer des Servers und schon hat er vollen Zugriff auf dessen PC. Er kann z. B. das CD-Rom Laufwerk Ihres PC's öffnen, Sreenshots Ihres Desktops machen, Dateien kopieren oder löschen, Passwörter decodieren usw... Kurz gesagt: Der Client hat die volle Kontrolle über das Server-System. Ein neues Kapitel im Bezug auf Trojaner wurde am 4. August 1998 aufgeschlagen, als die amerikanische Hackergruppe CULT OF THE DEAD COW das "Windows Remote Administration Tool" (Fernwartungswerkzeug) BACK ORIFICE präsentierte, welches selbst Laien ermöglicht, individuelle Trojaner zu konfigurieren. Danach folgten in rasantem Tempo noch viel leichter zu bedienende Trojaner wie Netbus & Subseven etc... Und heutzutage hat die AntiViren-Industrie Probleme, die Trojaner zu erkennen, weil sie sich immer besser und geschickter tarnen und verstecken können bzw. ihre Form ist heutzutage sogar änderbar.