SUCHE MIT Google
Web virtualuniversity.ch
HOME DIDAKTIK ECDL ELEKTRONIK GUIDES HR MANAGEMENT MATHEMATIK SOFTWARE TELEKOM
DIENSTE
Anmeldung
Newsletter abonnieren
Sag's einem Freund!
VirtualUniversity als Startseite
Zu den Favoriten hinzufügen
Feedback Formular
e-Learning für Lehrer
Spenden
Autoren login
KURSE SUCHEN
Kurse veröffentlichen

Suche nach Datum:

Suche mit Schlüsselwort:

Suche nach Land:

Suche nach Kategorie:
PARTNER
ausbildung24.ch - Ausbildungsportal, Seminare, Kursen... 

 
HTMLopen.de - Alles was ein Webmaster braucht

 
PCopen.de - PC LAN Netze und Netzwerke - alles was ein IT Profi und Systemtechnicker braucht

TELEKOM

Computerviren

Der Begriff des Computervirus wurde im Jahr 1984 durch den Programmierer FredCohen bei DEC geprägt, der als erster eine Abhandlung zu seiner prinzipiellen Funktionsweise veröffentlichte:"We define a computer-'virus' as a program that can 'infect' other programs by modifyingthem to include a possibly evolved copy of itself. With the infectionproperty, a viruscan spread throughout a computer system or network using the authorizations of everyuser using it to infect their programs. Every program that gets infected may also act as a virus and thus the infection grows."

Diese Definition entspricht der Verhaltensweise eines sogenannten "Link-Virus", das auf ausführbaren Programmen arbeitet. Im Laufe der Evolution der Viren stellte sich jedoch heraus, das eine virenartige Verbreitung von Information auch auf vielerlei anderen Wegen möglich ist. Man geht heute von ca. 60000 verschiedenenVirenarten aus, die sich im Umlauf befinden.

Virus-Designer entwickeln laufend neue Techniken und zugleich zirkulieren Entwicklungswerkzeuge, die es Personen ohne Programmierkenntnisse ermöglicht,Mutationen (strains) zu erzeugen. Viren beschränken sich dabei nicht mehr auf die "Infektion" ausführbarer Programme, sondern befallen alle Dateien, die in irgendeiner Weise ausführbare Teile enthalten, also auch Word-Dokumente, Excel-Tabellen, E-Mails, Webseiten, usw. Es ist deshalb notwendig, die Virengefahr ernst zu nehmen. Sieht man dies im Zusammenhang mit der Möglichkeit, eigene Datenträger mitzubringen und sie im LAN des Unternehmens zu verwenden, ist dies ein weiterer Grund zur Aufmerksamkeit. Es ist deshalb wichtig, eine Antivirus-Politik zu formulieren. Die Antivirus-Politik des LAN hat primär das Ziel, eine Vireninfektion zu verhindern, Viren vor dem Ausbruch nachzuweisen sowie Bekämpfung und Wiederherstellung zu erleichtern, wenn das Unglück schon geschehen ist. Sie muß aber vor allem die Benutzer für die Gefahr sensibilisieren, so daß sie beispielsweise nicht auf jedes E-Mail-Attachment klicken (Man isst ja auch nicht jeden Pilz, den man im Wald findet.).

Bootsektor-Viren

Im ersten Sektor eines Datenträgers steht normalerweise ein Verweis, wo die Laderoutine für das Betriebssystem zu finden ist. Ein Bootsektor-Virus nistet sich in diesen Sektor ein, kopiert den ursprünglichen Bootsektor an eine andere Stelle. Bei einem Bootvorgang wird nun zunächst das Virus aktiviert. Anschließend wird der kopierte Bootsektor ausgeführt, der dann das Betriebssystem lädt. Auf diese Weise wird das Virus bei jedem Systemstart automatisch ausgeführt. Es bleibt resident im Speicher und infiziert jeden weiteren Bootsektor, den es finden kann. Zur Verbreitung ist es auf bootfähige Medien wie Disketten angewiesen. Bootsektor-Viren spielen daher heutzutage eine untergeordnete Rolle.

Link-Viren

Link-Viren verbreiten sich durch infizierte auführbare Programme, in die sich das Virus eingenistet hat. Beim Infizieren der Datei hängt sich das Virus meist hinter den ursprünglichen Programmcode an und schreibt vor diesen einen Sprungbefehl auf sich selbst. Beim Aufruf des modifizierten Programms wird also zunächst der Sprungbefehl auf den Viruscode vollzogen und dieser Code ausgeführt. Dieser kann nun seine Verbreitungs- und Schadensfunktion ausführen und startet nach deren Beendigung das eigentliche Wirtsprogramm.

Speicherresidente Viren

Speicherresidente Viren bleiben nach der Aktivierung als Prozeß im Speicher aktiv. Sie können sich damit auch nach Beendigung des infizierten Programms ausbreiten oder Schaden anrichten. Diese Eingenschaft wird meist mit den andern Vireneigenschaften kombiniert (z.B. bei Bootsektor-Viren, Tarnkappen-Viren).

Tarnkappen-Viren (Stealth-Viren)

Sie verbergen sich im Arbeitsspeicher, im Master-Boot-Record oder im Bootsektor. Sie benutzen unter anderem falsche Meldungen an Antivirusprogramme, um einem Viruscheck zu entgehen. Wenn eine infizierte Datei zur Bearbeitung geöffnet wird, wird sie vom speicherresidenten Tarnkappen-Virus desinfiziert und dann zur Bearbeitung freigegeben. Wird die bearbeitete Datei wieder geschlossen, infiziert sie der speicherresidente Teil wieder. Das Virus verschleiert natürlich auch sein Vorhandensein im Arbeitsspeicher des Systems.

Polymorphe Viren

Polymorphe Viren verhalten sich wie Link-Viren. Sie verschlüsseln und verändern aber mit jeder Infektion ihren eigenen Programmcode. Man kann diese Viren daher nur sehr schwer über eine Signatur erkennen. Dieser Typ gehört zur neueren Generation. Virusdesigner benutzen verschiedene "mutation engines" zum Generieren solcher Viren.

Makro-Viren

Makro-Viren infizieren und verbreiten sich nicht durch ausführbare Programme, sondern durch Datendateien wie Dokumente und Tabellen. Sie greifen dabei auf die umfangreichen Makro-Sprachen von Programmen wie Word oder Excel zurück. Diese Makro-Sprachen dienen normalerweise zur Automatisierung von Arbeitsabläufen oder zur Implementierung neuer Funktionen. Eines der ersten Viren dieses Typs war "Concept", das Word-Dokumente infizierte. Concept nutzt zur Aktivierung das Makro "AutoOpen", das beim Öffnen eines Dokuments ausgeführt wird und das Virus selbst startet. Danach infizierte es die globale Dokumentvorlage "NORMAL.DOT" und installierte weitere Makros wie "FileSaveAs". Das Infizieren der Dokumentvorlage aktivierte das Virus bei jedem Aufruf von Word, da immer zuerst die Makros der Dokumentvorlage ausgeführt werden. Das Makro "FileSaveAs" sogte für die Verbreitung, es kopierte das Virus beim Abspeichern eines Dokuments mit mit diesem Dokument.
Das Word-Virus "Melissa", das sich zusätzlich durch Outlook-Schnittstelle selbst per E-Mail verschicken kann ist nur ein Beispiel der Möglichkeiten, die man bei der Virenentwicklung ausnutzen kann.

Gegenmaßnahmen

Man kann mit verschiedenen Programmen ein System auf Virenbefall prüfen, Viren entfernen oder eine Infektion verhindern.
  • Prüfsummenprogramme
    Ein Prüfsummenprogramm generiert in einem ersten Lauf für jede Datei eines Datenträgers eine Prüfsumme und legt diese in einer Datenbank ab. Nun kann zu einem beliebigen Zeitpunkt die frühere Prüfsumme aus der Datenbank mit der aktuell generierten verglichen werden. Vorteilhaft ist, daß Änderungen sofort erkannt und neue Viren gefunden werden. Jedoch ändern sich Programme und Daten auch ohne Viren-Einfluß. Neue Viren sind daher schwer von Fehlalarm zu unterscheiden. Das System muß bei Prüfsummengenerierung garantiert virenfrei sein.
  • Virenscanner
    Virenscanner suchen anhand verschiedener Merkmale (Signaturen) nach Viren. Der Suchvorgang wird entweder manuell ausgelöst oder läuft ständig im Hintergrund. Auch wird der Arbeitsspeicher überwacht, so daß schon beim Aufruf eines infizierten Programmes die Virenausführung sofort beendet werden kann. Virenscanner bringen meist auch Mittel zur Beseitigung der von ihnen gefunden Viren mit - wobei die Beseitungsroutinen nicht immer zum Erfolg führen und mitunter das System sogar irreparabel schädigen. Damit ein Virenscanner die neuesten Viren erkennen kann, bedient er sich einer Datei mit charakteristischen Merkmalen der Viren. Diese Datei muß ständig aktuell gehalten werden, da ansonsten eine Erkennung neuer Viren nicht möglich ist. Bei Virenscan werden zwei Methoden unterschieden:
    • Signaturbasierte Suche, mit der sich nicht-polymorphe Viren leicht aufspüren lassen. Eine charakteristische Byte-Folge aus dem Viruscode wird als Signatur festgehalten. Mit Hilfe dieser Signatur kann nun nach dem Virus gezielt gesucht werden.
    • Heuristische Suche, mit der auch polymorphe Viren entdeckt werden. Dabei bedient man sich heuristischer Methoden. Diese gehen davon aus, daß jedes Virus eine gewisse virentypische Struktur aufweisen muß. Man sucht daher nach Befehlsfolgen und -kombinationen, die ein Virus gewöhnlich aufweist. Aus der Häufigkeit der gefundenen Merkmale läßt sich eine Wahrscheinlichkeit für eine Infektion ermitteln. Der Schwellenwert für die Wahrscheinlichkeit legt fest, ob ein Alarm erfolgt. Dabei kann es vorkommen, daß ein "Bösewicht durchrutscht.

Ein zweckmäßiger Aufbau des lokalen Netzes ist eine Voraussetzung für einen hohen Grad an Sicherheit vor Virenangriffen. Eine konsequente Trennung von Daten- und ausführbaren Dateien hat große Bedeutung für die Sicherung vor Vireninfektionen und -ausbrüchen. Nur der Systemverwalter darf Schreibberechtigungen für Datenbereiche mit ausführbaren Dateien haben. Der Systemverwalter ist damit verantwortlich, die Software zu kontrollieren, ehe sie im LAN installiert wird. Datenbereiche mit Dateien, zu denen viele Benutzer Schreibberechti-gungen haben, müssen von ausführbaren Dateien freigehalten werden. Das hilft zwar nicht gegen Makro-Viren in Datendateien, hält jedoch viele Viren fern. Der zweite Vorteil einer solchen Trennung ist die schnelle Wiederherstellung eines Client- oder Serverrechners. Da sich die Programmbereiche nicht ändern (sollten), kann ein solcher Bereich schnell durch Einspielen eines Backups oder, falls der älteste Backup auch schon verseucht sein sollte, durch Neuinstallation restauriert werden.
Alle Netzlaufwerke werden regelmäßig auf Viren gescannt (mindestens wöchentlich). Lokale Festplatten werden täglich gescannt. Die Benutzer sind verpflichtet, Disketten zu scannen, ehe sie in ihren PC eingelesen werden. Alle Benutzer werden in den Gebrauch von Antiviruspro-grammen eingeführt, und es wird festgelegt, wann virusähnliche Probleme dem System-verwalter überlassen werden. Es gilt der Grundsatz "lieber ein Virusverdacht zu viel als einer zu wenig", damit die Benutzer ermutigt werden, bei einem Versacht sofirt Alarm zu schlagen.
Der Rechner des einzelnen Benutzers stellt einen Zugangsweg zum LAN dar und ist auch selbst verletzbar. Ein wichtiger Teil der vorbeugenden Arbeit ist die Benutzerdisziplin, die das Risiko von Vireninfektionen verringert. Programme unbekannter Herkunft und unbekannter Wirkung dürfen nicht ohne ein Virusscannen ausgeführt werden. Unbekannte Disketten müssen mit einem Antivirusprogramm kontrolliert werden, ehe sie ausgeführt oder auf Festplatte kopiert werden. Checken Sie regelmäßig Festplatten mit aktualisierten Antivirusprogrammen, und verwenden Sie ein residentes Antivirusprogramm, das den Rechner beim Start checkt.
Trotz ausgedehnter Sicherheitsmaßnahmen können Arbeitsstationen oder das lokale Netz von Viren angegriffen werden. In dem Maî wie LAN-Benutzer und -Verantwortliche sicherheitsbewuîter werden, werden Viren fortschrittlicher. Identifizieren Sie Ursprung und Art der Infektion. Wenn der Ursprung nicht unmittelbar festgestellt werden kann, ist es ausreichend, die Art der Infektion festzustellen. Suchen Sie den Schaden im Netz und identifizieren sie die betroffenen Rechner. Isolieren Sie eventuelle Schäden und soweit möglich die Quelle der Infektion. Entfernen Sie sofort infizierte Rechner vom Netz. Nehmen Sie kein Logoff vor, sondern ziehen Sie das Netzwerkkabel ab. Ein reguläres Logoff kann zur weiteren Verbreitung beitragen. Nur 100% desinfizierte PCs werden an das Netz angeschlossen. Wenn die Infektion nicht isoliert werden kann, ist es notwendig, das ganze Netz herunterzufahren, und die Festplatten in den Servern und Arbeitsstationen mit zwei oder mehr verschiedenen Virusscannern zu scannen. Nachdem die feindlichen Programme entfernt worden sind, wird ein Restore der verlorenen oder beschädigten Daten und auch der Boot- und Master-Boot-Sektoren vorgenommen.

Umgang mit Viren-Fehlalarmen - "HOAX"

Virenwarnungen, die die gesamte DV-Branche in Aufruhr versetzen und sich danach in Wohlgefallen auflösen, sind bereits seit einigen Jahren bekannt. Die vergeudete Arbeitszeit im Einzelfall kann mehr Schaden anrichten als ein real existierendes Virus. Im Fachjargon werden solche Fehlwarnungen als HOAX bezeichnet. Ein Hoax warnt vor großen Schäden bis hin zur totalen Rechnerzerstörung, und bittet darum, diese Warnung an alle Bekannten weiterzugeben Ein Hoax besitzt keinen internen Verbreitungsmechanismus. Stattdessen werden menschliche Schwächen für die Verbreitung ausgenutzt. Über den Lotus-Notes-Verbund oder anderen E-Mail-Anbindungen werden die vermeintlichen Virenwarnungen verteilt. die Wurzel des Hoaxproblems liegt darin, daß sich Warnmeldungen häufig schneller als die Viren verbreiten. Zudem ist der Einsatz eines Hoax wesentlich effektiver ist als die Programmierung eines realen Virus, da der Hoax von Virensuchprogrammen nicht erkannt wird und die Gutgläubigkeit und Sorglosigkeit der Nutzer zur Weiterverbreitung nutzt. Zur Herstellung wird statt tiefergehender Systemkenntnisse nur ein quasitechnisches Wissen benötigt. Der Kreis der Personen, die einen Hoax erzeugen können, ist damit wesentlich größer als der Kreis potentieller Virenprogrammierer.

Mit der Verteilung des Hoax beginnt eine Kettenreaktion, die häufig durch zwei Entwicklungen gekennzeichnet ist. Gutmeinende Nutzer fügen eigene Warnungen hinzu, andere nicht so gutmeinende Nutzer erweitern die beschriebene Gefahr noch durch selbst erdachte Szenarien. Somit unterliegen die Benachrichtigungen, die einen Hoax charakterisieren Änderungen. Daher kann ein Hoax in verschiedenen Variationen existieren und so mehr als einmal durch ein Netz rollen. So gab es zum Beispiel im Jahr 1996 die Warnung vor einem angeblichen "Penal"-Virus. Für einen aufmerksamen Beobachter der Szene war klar, daß diese Warnung identisch war mit einer früheren, die vor dem nicht existenten "Penpal"-Virus warnte. Nachdem also auf irgendeine Art und Weise das "p" entfernt wurde, suchte sich auch diese Hoax-Variation ihren Weg durch das Internet. Oft sind auch genaue Anweisungen in den Warnungen enthalten, wie man das Virusprogramm beseitigen kann, beispielsweise durch Löschen einer bestimmten Daten. Der gutgläubige Benutzer, der dieser Anweisung folgt, schädigt erst dadurch sein System und macht es gegebenenfalls unbenutzbar.

Wenn man die Hoax-Nachrichten der letzten Jahre betrachtet, lassen sich gemeinsame Faktoren erkennen. Normalerweise besteht ein Hoax aus einer Kombination der folgenden Faktoren:

  • Gewarnt wird vor Viren und Trojanischen Pferden, die mittels E-Mail über das Internet versandt wurden.
  • Üblicherweise stammt die E-Mail von einer Person, manchmal von einem Unternehmen, niemals jedoch von einer Behörde.
  • Die Nachricht warnt vor dem Lesen oder "Downloaden" des Virus und verspricht Rettung beim Löschen der den Virus enthaltenden Nachricht.
  • Die beschriebene schadensstiftende Software soll unvergleichbar zerstörerische Wirkung, quasi "gottgleiche" Macht ausüben können. Ihr wird häufig die Fähigkeit zugeschrieben, sich über E-Mail selbständig weiterzuverbreiten. Die beschriebene schadensstiftende Wirkung ist in der Regel weit von dem entfernt, was technisch heute möglich ist.
  • Im Verlauf der Nachricht wird der Leser mehrmals aufgefordert, jede Person im Bekanntenkreis via E-Mail zu warnen.
  • Der Hoax gibt sich unter Bezugnahme auf irgendeine anerkannte öffentliche Institution den Anschein der Seriosität. Meistens wird die schadensstiftende Software von der Institution als "bad" oder "worried" bezeichnet.
  • Die gesamte Nachricht ist in einem technischen Sprachjargon verfaßt.

Wenn eine Nachricht als Hoax erkannt wird, sollten folgende Schritte unternommen werden:

  • Leiten sie die Nachricht nicht weiter, um zumindest an dieser Stelle die Wanderschaft des Hoax zu unterbrechen.
  • Unterrichten sie den Sender der Nachricht über die wahre Natur der von ihm versandten E-Mail.
  • Übermitteln sie ihm Informationen über den Aufbau und die Wirkungsweise eines Hoax. Auf diese Art und Weise kann er in Zukunft ebenfalls einen zugesandten Hoax erkennen.
  • Sollten sie sich nicht sicher sein, ob eine Nachricht ein Hoax ist, überprüfen sie auf Datenbanken von Anti-Virus-Unternehmen oder über anerkannte Institutionen oder Fachliteratur, ob dieses Virus dort bekannt ist oder bereits als Hoax registriert wurde (www.hoax-info.de).

DIPLOMARBEITEN UND BÜCHER

Diplomarbeiten zum Runterladen:

Suche im Katalog:
Architektur / Raumplanung
Betriebswirtschaft - Funktional
Erziehungswissenschaften
Geowissenschaften
Geschichtswissenschaften
Informatik
Kulturwissenschaften
Medien- und Kommunikationswissenschaften
Medizin
Psychologie
Physik
Rechtswissenschaft
Soziale Arbeit
Sozialwissenschaften


JOBS
HOME | E-LEARNING | SITEMAP | LOGIN AUTOREN | SUPPORT | FAQ | KONTAKT | IMPRESSUM
Virtual University in: Italiano - Français - English - Español
VirtualUniversity, WEB-SET Interactive GmbH, www.web-set.com, 6301 Zug

Partner:   Seminare7.de - PCopen.de - HTMLopen.de - WEB-SET.com - YesMMS.com - Ausbildung24.ch - Manager24.ch - Job und Karriere