Wie infiziert ein Virus eine Datei…
(am) – Die größten Unterschiede bei der Infektion von Dateien liegen in der Art wie ein Virus sich in einem Programm festsetzt. Viele Viren hängen ihren eigenen Programmcode an das Ende einer ausführbaren Datei und setzen am Anfang einen Zeiger auf diesen Code. Wird das Programm gestartet, springt es vor der Ausführung seiner eigendlichen Aufgaben zuerst auf das Virusprogramm. Ist dieses ausgeführt, springt es wieder an die Stelle zurück, an der der Ablauf ursprünglich unterbrochen wurde. Der Benutzer bemerkt allenfalls eine minimale Veränderung an der Aufrufgeschwindigkeit.
Jedesmal, wenn das Programm jetzt aufgerufen wird, startet zuerst der Virus. Er sucht von diesen Moment an nach nicht infizierten, ausführbaren Dateien, um sich auch an diese heranzumachen. Die Infektion durch dieses Anhängen, des Virencodes richtet keinen bleibenden Schaden, an der befallenen Datei an – diese Viren lassen sich wieder entfernen. Manche Viren gehen allerdings viel radikaler vor und überschreiben einfach so viel von der Datei, wie sie für ihren Programmcode benötigen. Ist das Wirtsprogramm genauso groß oder größer als der Virus, geschieht das relativ unauffällig. Ist der Virus größer als sein Wirt, überschreibt er die Datei komplett und verlängert sie um den Platz, den er darüberhinaus benötigt.
Eine Sorte von Viren verschiebt den Orginal-Bootsektor, schreibt das eigene Ladeprogramm in den Bootstrap (eine Routine, die das Bios auffordert, das Betriebssystem zu laden) und versteckt sich dann selbst irgendwo auf dem Datenträger. Wird beim Rechnerstart auf den Bootsektor zugegriffen, startet der Virus-Lader zuerst den Virus und leitet den Zugriff danach auf den verpflanzten Original-Bootstrap um. Dadurch kann sich ein Virus auch auf Disketten verbreiten, die nur Dateien und keine Programme enthalten, da auch nicht-bootfähige Disketten einen minimalen Bootsektor haben. Wird bei einem Bootversuch kein Betriebssystem gefunden, gibt das Ladeprogramm lediglich die Meldung am Bildschirm aus: “keine Systemdiskette…” Eine solche Diskette kann einen Virus dann als Krücke zum Starten verwenden. Andere Viren überschreiben die in der FAT enthaltenen Informationen über ein Verzeichnis und geben bei jedem Programm als Adresse die des Virusprogramms an. Die Original-Adressen legt der Virus selbst in einer geordnete Liste ab. Wird nun ein Programm aufgerufen, startet es zuerst den Virus. Dieser leitet den Zugriff dann an die richtige Adresse weiter. Von jedem dieser Infektionswege gibt es einige Varianten. Auch Kombinationen aus mehreren Methoden kommen häufig vor. Desswegen lassen sich Viren auch zunehmend schwerer klassifizieren.
Als nächstes folgen:
Teil 5 – Killerprogramme und Logische Bomben
Teil 6 – Macro-Viren und Pholymorphe Viren
Teil 7 – Stealth- oder Tarnkappen-Viren
Teil 8 – Trojanische Pferde und TSR-Dateiviren
Teil 9 – Update-Viren, Würmer und Zeitzünder
