Computerviren: Grundlagen

Neu: Aufbau von Viren

Viren sind Programme, die sich selbst kopieren und auf diese Weise verbreiten. Dazu benötigen sie einen Wirt, dessen Code sie manipulieren. Der interne Aufbau eines Computervirus besteht in der Regel aus drei Modulen: Infektionsroutine, Kopierroutine sowie Statusroutine.

Der Infektorteil ist der elementarste Bestandteil eines Computervirus. Er spürt ein geeignetes Wirtsprogramm auf und infiziert es. Außerdem beinhaltet dieses Modul die Aktivierungsbedingung (Trigger) und die Schadensroutine (Payload). Um eine frühzeitige Entdeckung des Virus zu vermeiden, versucht der Infektor auch, alle verdächtigen Aktivitäten zu tarnen.

Die Kopierroutine überträgt den viralen Code in andere Wirtsdateien. Dieser Programmteil kann zusätzlich das Zwischenspeichern von Daten übernehmen, die der Virus verlagert hat, etwa aus dem Bootsektor oder MBR.

Die Statusroutine schließlich dient zur Kontrolle und soll Mehrfachinfektionen verhindern. In der Regel setzt der Statusteil ein bestimmtes Bit als Flag in der Wirtsdatei, an dem der Virus erkennt, ob er das File bereits infiziert hat oder nicht.

Bei einer Infektion klinkt sich ein Virus in den Code eines Wirtsprogramms ein und platziert an dessen Beginn einen Sprungbefehl. Dieser ruft beim Start der verseuchten Datei den angehängten Virus auf. Der kann nun seine Instruktionen ausführen und übergibt am Schluss die Kontrolle wieder an das ursprüngliche Programm, das ganz normal weiterarbeitet. Daher bemerkt der Anwender im Allgemeinen nichts von diesem Vorgang.