Die Erreger werden immer hinterhältiger

Wenn die Programme auf der Platte Amok laufen

02.02.1990

Spätestens mit "Datacrime" im letzten Herbst wurden Computerviren zu einem öffentlichen Thema. Daß Leichtsinn teuer zu stehen kommen kann, wissen seither die meisten. Zu Panik besteht trotzdem keine Veranlassung. Denn wer die Gefahren kennt, kann sich schützen.

Anfangs wurden Computer-Viren von den DV-Profis nicht ernst genommen. Man hielt sie für ein Problem von Spielzeug-Computern und Spielprogrammen. Das hat sich in letzter Zeit grundlegend geändert. Eine Flut von Artikeln, Büchern und Symposien beschäftigt sich mit den elektronischen Parasiten. Über das Datacrime-Virus im letzten Herbst berichtete sogar die ARD in den "Tagesthemen". Trotzdem ist es nach wie vor schwer, vernünftige Informationen zu bekommen. Denn die Berichte in den Medien stellen häufig Gefahren und Schäden verzerrt dar und erzeugen bei den Anwendern nur wenig hilfreiche Panik.

Die von Viren eingesetzten Mechanismen werden ständig weiterentwickelt und sind mittlerweile sehr komplex geworden. Aber immer noch gibt es erst wenige Spezialisten, die über ausreichende Kenntnisse und Erfahrungen auf diesem Gebiet verfügen.

Die Hard- und Softwarehersteller reagieren recht unterschiedlich auf die

Virenproblematik. Einige schweigen beharrlich (sie möchten ihre Kunden nicht verunsichern), andere suchen nach dem "Ei des Kolumbus" (um ihr Image zu pflegen). Und die "Anti-Viren-Programme" (recht unterschiedlicher Qualität), mit denen einige Software- Anbieter versuchen, in diesem expansiven Markt Fuß zu fassen, bringen den PC-Anwender in eine schwierige Situation: Er muß zu seinem Schutz Programme kaufen, die er nicht

testen und meist auch nicht beurteilen kann - und die er hoffentlich nie benötigt.

Halbwahrheiten über Viren verunsichern manchen PC-Anwender. Andere nehmen die Gefahren nicht ernst und stehen dann einem Virenbefall hilflos gegenüber. Nüchterne Aufklärung ist deshalb für eine vorbeugende Bekämpfung von größter Wichtigkeit.

Viren sind Programme, die sich selbst reproduzieren und dadurch verbreiten. Sie nutzen dafür Disketten und Netzwerke. Unabhängig von ihrer Vermehrung müssen die Wirkungen der Viren - wie etwa die Manipulation von Bildschirminhalten (Herbst-Virus), das Zerstören von Programmen (Israeli-Virus), das teilweise Formatieren von Platten (Datacrime) oder die Manipulation von Daten (Dbase-Virus) - diskutiert werden.

File- und Boot-Viren

Nach der Art ihrer Vermehrung und ihrer Einbindung wird (grob) zwischen File- und Boot-Viren unterschieden. File-Viren (auch als Programm- oder Link-Viren bezeichnet) wie das Israeli-Virus kopieren sich in ein Programm (meist COM- oder EXE-File). Das

eingeschmuggelte Virus-Programm wird beim Aufruf des infizierten "Wirtsprogrammes", unabhängig von seiner Position, immer als erstes ausgeführt.

Boot-Viren (oder auch System-Viren), wie etwa das "Ping-Pong-Virus", hängen sich an das Boot-Programm an, das nach dem Einschalten des Computers das Betriebssystem in den Speicher lädt. Sie ersetzen oder verändern dazu den Boot-Sektor von Disketten oder Festplatten, der dieses Startprogramm enthält. Den ausgelagerten originären Inhalt des Boot-Sektors und ihren eigenen Code verstecken sie, beispielsweise in Sektoren, die sie dann (unter DOS) in der Dateiverwaltungstabelle der Platte, der File Allocation Table (FAT), als defekt markieren. Der wesentliche Unterschied zu File-Viren besteht darin, daß Boot-Viren aufgerufen werden, noch ehe das Betriebssystem geladen wurde. Schutzprogramme können in diesem Fall nicht wirksam werden.

Viren und lokale Netze

Zunehmend werden in den Unternehmen lokale PC-Netze (LANs) eingesetzt. Viren können diese Netze für ihre schnelle Ausbreitung nutzen. Obwohl die Netzsoftware im allgemeinen mehr Möglichkeiten bietet sich gegen eine Infektion zu schützen, als Betriebssysteme wie MS-DOS, treten Viren doch in zunehmendem Maße auch in Netzen auf. Dabei handelt es sich (noch) keineswegs um spezielle Netz-Viren, sondern um die bekannten PC-Parasiten.

Falsche Angst vor aggressiven Viren

Aggressive Viren werden programmiert, um Schaden anzurichten. Manche, wie das Israeli-Virus, zerstören Programme. Das klingt schrecklich, doch der angerichtete Schaden hält sich - vorausgesetzt, man hat ein Programmarchiv angelegt und gepflegt - in überschaubaren Grenzen.

Überschreibt das Virus dagegen, wie etwa Datacrime, die ersten Spuren einer Platte, so sind die Folgen weitaus schlimmer. In der Regel werden dadurch zentrale Verwaltungsdaten der Platte zerstört. Eine auch nur teilweise Restaurierung des Platteninhalts ist damit so gut wie unmöglich. In diesem Fall muß der gesamte Inhalt der Platte aus dem Programm-Archiv und der Datensicherung neu aufgebaut werden.

Ein Gutes allerdings hat ein solcher "Totalschaden": Weil alles vernichtet wurde, also auch sämtliche infizierten Programme auf der Platte, wird dadurch die Verbreitung und Vermehrung solcher Viren beeinträchtigt. Auch "Zeitzünder", die beispielsweise den Israeli-Virus auf einen Freitag, den 13., warten lassen, erleichtern die Bekämpfung. Durch regelmäßige Prüfungen mit einem guten Erkennungsprogramm können sie entdeckt und elimiert werden, ehe sie Schaden anrichten.

Gefahren durch produktspezifische Viren

Im Normalfall betrifft die Schädigung durch aggressive Viren mehr oder weniger wahllos alle Dateien auf der Platte. Neuere Viren indes arbeiten gezielter. Ein Beispiel ist das 1-2-3-Virus, das bewirkt, daß nur ein Teil des mit dem Lotus-Kalkulationsprogramm bearbeiteten Arbeitsblattes abgespeichert wird. Wird es erneut geladen rekonstruiert das Virus den ursprünglichen Zustand aus einer versteckt angelegten Datei, so daß die Manipulation nicht feststellbar ist. Der Schaden wird erst dann sichtbar, wenn man beispielsweise eine Sicherungskopie dieses Arbeitsblattes einspielt oder versucht, es auf einen anderen Rechner zu übertragen.

Ganz ähnlich wirkt das Dbase-Virus, das beliebige COM- und EXE-Files infiziert. Es manipuliert DBF-Dateien (die Dbase-Datendateien) während des Kopierens beispielsweise mit COPY oder BACKUP. Datensicherungen solcher Dateien werden dadurch wertlos. Der Schaden wird erst erkannt, wenn die Datensicherung benötigt wird. Offensichtlich zeigt sich hier ein neuer Trend. Auch die Zahl der Filetypen, die infiziert werden können, wächst. So befällt das Vacsina-Virus nicht nur EXE- und COM-, sondern auch Overlay- und APP-Files (GEM).

Verbannung von Public-Domain-Programmen?

Programme zum Nulltarif stehen in dem Ruf, die Hauptursache für die Verbreitung von Viren zu sein. Dies gilt nur bedingt. Alle Programme, die legal oder illegal - häufig kopiert und auf Disketten weitergegeben werden, laufen Gefahr auf ihrem Weg über viele PCs früher oder später infiziert zu werden. Kopien von Anti-Viren-Programmen zählen deshalb zu den besonders gefährdeten Objekten!

Ein gewisser Schutz gegen solche Viren-Angriffe läßt sich leicht realisieren: Jede Diskette sollte vor ihrer ersten Benutzung mit einem guten Viren-Erkennungsprogramm geprüft werden. Das gleiche Verfahren sollte verwendet werden, wenn aus einer Mailbox Programme übertragen wurden. Allerdings entdecken diese Programme nur Viren, die sie kennen. Für neue Erreger sind sie blind.

Infektionen durch Daten-Disketten

Die heute bekannten Viren infizieren ausschließlich Programmdateien. Files, die nur Daten enthalten, sind also virenfrei. Allerdings können Datendisketten mit einem Boot-Virus infiziert sein. Befindet sich eine solche Diskette beim Einschalten des PCs im geschlossenen Laufwerk, so wird das Virus von der Diskette in den Speicher übertragen und dort resident. Es infiziert von dort die Festplatte und weitere Disketten. Daten-Disketten sollten deshalb ebenfalls auf Virenfreiheit geprüft werden. Diese Vorsichtsmaßnahme empfiehlt sich auch bei Originalsoftware! VGA-Treiberdisketten enthielten beispielsweise das Stoned-Virus.

Schäden durch fehlerhafte Viren-Programme

Programmierer, die Viren-Programme schreiben, sind auch nur Menschen und produzieren Fehler. Das mehrfache Infizieren von EXE-Files durch das Israeli-A-Virus ist ein Beispiel dafür. Auch (offensichtlich) unbeabsichtigte Nebeneffekte "harmloser" Viren können Schaden verursachen. Das Denzuk-Virus versteckt seinen Code in der von 360-KByte-Disketten nicht benutzten Spur 40. Werden Disketten mit 80 Spuren eingesetzt, so können durch die Infektion Dateien ungewollt überschrieben und zerstört werden. Ähnliches gilt im Fall des Marihuana-Virus, das bei einigen Festplatten ganz oder teilweise die File-Allocation Table überschreibt. +

(wird fortgesetzt)