Stellen Sie sich vor, Sie schalten Ihren PC ein - und er bootet nicht. Ursache dafür könnte ein Bootvirus wie Parity.B sein. Dieser Uraltvirus von 1992 ist durchaus in der Lage, ein System mit Windows NT und NTFS-Dateisystem völlig lahm zu legen.
Als noch unangenehmer können sich Würmer erweisen, besonders solche, die gezielt nach nicht gestopften Windows-Sicherheitslücken Ausschau halten. Nimda und Code Red haben gezeigt, dass vor allem viele Server offen wie Scheunentore sind. Offenbar kommen die Admins mit dem Einspielen von Patches nicht mehr nach - oder sie testen zunächst an einigen wenigen Systemen, ob der Microsoft-Fix selbst nicht unangenehme Nebenwirkungen mit sich bringt.
Trotz aller modernen Angriffstaktiken, seien sie technischer oder psychologischer Natur, ist der Anwender den ungebetenen Gästen nicht machtlos ausgeliefert. Wir zeigen, wie die verschiedenen Arten von Malware funktionieren und wie man sich gegen sie wappnen kann.
Neu: Aufbau von Viren
Viren sind Programme, die sich selbst kopieren und auf diese Weise verbreiten. Dazu benötigen sie einen Wirt, dessen Code sie manipulieren. Der interne Aufbau eines Computervirus besteht in der Regel aus drei Modulen: Infektionsroutine, Kopierroutine sowie Statusroutine.
Der Infektorteil ist der elementarste Bestandteil eines Computervirus. Er spürt ein geeignetes Wirtsprogramm auf und infiziert es. Außerdem beinhaltet dieses Modul die Aktivierungsbedingung (Trigger) und die Schadensroutine (Payload). Um eine frühzeitige Entdeckung des Virus zu vermeiden, versucht der Infektor auch, alle verdächtigen Aktivitäten zu tarnen.
Die Kopierroutine überträgt den viralen Code in andere Wirtsdateien. Dieser Programmteil kann zusätzlich das Zwischenspeichern von Daten übernehmen, die der Virus verlagert hat, etwa aus dem Bootsektor oder MBR.
Die Statusroutine schließlich dient zur Kontrolle und soll Mehrfachinfektionen verhindern. In der Regel setzt der Statusteil ein bestimmtes Bit als Flag in der Wirtsdatei, an dem der Virus erkennt, ob er das File bereits infiziert hat oder nicht.
Bei einer Infektion klinkt sich ein Virus in den Code eines Wirtsprogramms ein und platziert an dessen Beginn einen Sprungbefehl. Dieser ruft beim Start der verseuchten Datei den angehängten Virus auf. Der kann nun seine Instruktionen ausführen und übergibt am Schluss die Kontrolle wieder an das ursprüngliche Programm, das ganz normal weiterarbeitet. Daher bemerkt der Anwender im Allgemeinen nichts von diesem Vorgang.
Wie kommt der Virus auf den PC?
Wie kommt ein Virus auf Ihren PC? Zunächst bekommen Sie von irgendwoher - von einer Diskette, einer CD oder als Download aus dem Internet - eine Programmdatei oder ein makrofähiges Dokument, das einen Virus enthält.
Wenn Sie das Programm starten oder das Dokument öffnen, wird der Virus aktiv. Er nistet sich als Erstes so im System ein, dass er von nun an bei jedem PC-Start automatisch aktiv wird - Makroviren beispielsweise in der Datei normal.dot, die WinWord bei jedem Start lädt. Dateiviren befallen eine Programmdatei, die Windows bei jedem Systemstart automatisch ausführt. Bootviren werden ganz automatisch noch während des PC-Startvorgangs aktiviert.
Entscheidend für die Virenabwehr ist es, dieses Einnisten im System zu verhindern. Solange der Virus nicht gestartet ist, kann er auch keinen Schaden anrichten. Wie schaffen es nun Viren, das erste Mal aktiv zu werden?
Infektionswege
Bei Makroviren für Microsoft-Programme ist die Geschichte einfach: Die Makros sind Teil des Office-Dokuments. Bestimmte Makros wie AutoOpen führen Excel, Word oder Access automatisch aus, wenn Sie das Dokument öffnen. Und der Makrovirus klinkt sich - im einfachsten Fall - in dieses AutoOpen-Makro ein.
Bootviren werden bei einem Systemstart nur dann aktiv, wenn eine verseuchte Diskette zufällig im Laufwerk steckt. Versucht der PC, von dieser Diskette zu booten, aktiviert er den Virus. Der einfachste Schutz: Schalten Sie im BIOS das Booten von Diskette aus. Im Zweifelsfall lässt es sich leicht wieder einschalten.
Multipartite-Viren und Dropper unterlaufen diese simple Abhilfe: Multipartite-Viren nutzen mehrere der bisher bekannten Techniken zugleich, sind etwa sowohl Datei- als auch Bootviren. Dropper sind einfache Programme, die beim Start einen Bootvirus in den Systembereich der Festplatte oder Diskette schreiben. Es gibt sogar Makroviren, die als Schadensroutine einen klassischen Bootvirus installieren.
Bei Dateiviren ist die Sache ziemlich klar: Sie bekommen von irgendwoher eine infizierte Programmdatei und starten sie. Damit wird zuerst der Virus aktiv und infiziert weitere Dateien oder nistet sich im System ein. Anschließend startet der Virus das Originalprogramm, so dass Sie von seiner Anwesenheit gar nichts bemerken - vorerst zumindest.
Update: In freier Wildbahn
Von den über 20.000 verschiedenen Viren spielt nur ein Bruchteil auf der öffentlichen Bühne, also den PCs der Anwender, eine Rolle.
Seit 1993 sammelt der Amerikaner Joe Wells aus aller Welt Berichte über Virenbefall und stellt sie monatlich in seiner WildList zusammen. Etwa Hundert verschiedene Viren machen 99 Prozent der Infektionen aus. Es fällt auf, dass die Verbreitung des Internet dafür sorgt, dass neue Viren schneller Einzug in die WildList halten und auch wieder daraus verschwinden.
So ist die Zahl der Makroviren in der WildList für August 2001 zurückgegangen. Dennoch behaupten sich Veteranen dieser Spezies wie O97M/Tristate.C, der WinWord-, Excel- und PowerPoint-Dokumente befällt. Die Dateiviren haben durch die Verbreitung als E-Mail-Anhang neuen Aufwind erhalten. Sie sind jedoch meist leicht zu finden und zu entfernen. Ein langes Leben haben dagegen Bootviren, die sich auf Disketten jahrelang unbemerkt verstecken können.
Name | Typ | Alternative Namen |
|---|---|---|
| ||
W32/MTX-m | Datei | Matrix, Apology |
W32/Hybris.B-mm | Datei | Hybris.23040-mm |
W32/Magistr.A-mm | Datei | Disembowler |
VBS/VBSWG.J-mm | Skript | Anna K, SST, Kalamar.A, I-Worm.Lee.o |
VBS/LoveLetter.A-mm | Skript | --- |
W32/Navidad.A-m | Datei | Navidad-m |
VBS/Stages.A-mm | Skript | VBS/ShellScrap-mm |
VBS/VBSWG.X-mm | Skript | HomePage, SST |
JS/Kak.A-m | Skript | --- |
W95/CIH.1003 | Datei | Spacefiller |
W32/Ska.A-m | Datei | HAPPY99 |
W97M/Ethan.A | Makro | --- |
W32/PrettyPark.37376-mm | Datei | --- |
W97M/Marker.C | Makro | W97M/Spooky.C |
W32/BadTrans.A-mm | Datei | 13312 |
W32/Funlove.4099 | Datei | --- |
W32/Qaz | Datei | --- |
W97M/Melissa.A-mm | Makro | Maillissa |
W97M/Thus.A | Makro | W97M/Thursday.A |
O97M/Tristate.C | Makro | O97/Crown.B |
VBS/LoveLetter.AS-mm | Skript | VBS/Plan.A-mm |
W32/Navidad.B-m | Datei | Emanuel-m |
W32/BleBla.B-mm | Datei | W32/Verona.B-mm |
W32/Prolin.A-mm | Datei | Creative.A-mm |
VBS/Haptime.A | Skript | VBS/Help |
W32/SirCam.A-mm | Datei | --- |
WM/CAP.A | Makro | --- |
Boot- und Dateiviren
Mit einem Bootvirus fing alles an: 1986 verbreitete sich Pakistani Brain innerhalb eines Jahres rund um die Welt, obwohl der Virus nur Disketten und keine Festplatten infizierte. Bootviren funktionieren ähnlich wie ein Betriebssystem: Beim Start eines PCs führt das eingebaute BIOS-Programm eine kleine Startroutine von der Festplatte aus. Sie ist im MBR am Anfang der Festplatte gespeichert. Dieses Startprogramm ruft den Startcode von Windows oder eines anderen Betriebssystems im Bootsektor der aktiven Partition auf.
Auch jede Diskette hat einen Bootsektor. Dort und/oder im MBR ersetzen Bootviren den Startcode. So wird der Schädling vor allen anderen Programmen aktiv und kann jede eingelegte Diskette infizieren. Danach aktiviert er den normalen Bootcode des Betriebssystems - der Anwender merkt davon nichts.
Der Infektionsweg für einen Bootvirus ist klar: Beim Einschalten des PCs liegt eine Diskette im Laufwerk, und der PC versucht, davon zu booten. Weil ein Bootvirus keine Datei zur Verbreitung benötigt, kann auch eine ganz "leere" Diskette einen Bootvirus enthalten. Da Bootviren auf diese Weise lange Zeit unbemerkt bleiben, gehören Sie zu den hartnäckigsten Vertretern ihrer Art.
Ein beliebiges Programm - ein so genannter Dropper - kann beim Start ebenfalls einen Bootvirus auf die Festplatte oder Diskette kopieren. Selbst einige Makroviren gehen so vor. Darüber hinaus gibt es so genannte Multipartite-Viren, die die Eigenschaften von Boot- und Dateiviren vereinen.
Dateiviren attackieren ausführbare Programmdateien, in die sie ihren eigenen Code kopieren. Wenn das manipulierte Programm gestartet wird, aktiviert das zunächst den Virus, der nun weitere Programme infizieren oder seine Schadensfunktion ausüben kann. Dann lädt er das Originalprogramm.
Neu: Angriff über NTFS-Streams
Anfang September 2000 sahen sich Windows-NT/2000-User einer völlig neuen Virengattung ausgesetzt, die alle bis dato implementierten Abwehrmaßnamen unterlief. W2K.Stream, so der Name des Schädlings, nutzt ein spezielles Feature des NTFS-Filesystems: Die Aufteilung von Dateien in mehrere Streams.
In Windows 9x beispielsweise existiert lediglich ein Stream, der Programmcode selbst. Windows NT/2000 ermöglicht dagegen, eine Datei über mehrere Streams (über filename:streamname) anzusprechen. Zu diesen können unabhängig ausführbare Programm-Module oder auch Service-Streams (Zugriffsrechte, Verschlüsselungsdaten, Verarbeitungszeit usw.) zählen. Dieses Merkmal macht das NTFS-Dateisystem sehr vielseitig verwendbar, da sich für spezifische Aufgabenstellungen jeweils angepasste Daten-Streams erzeugen lassen.
W2K.Stream ist der erste bekannte Virus, der dieses Feature nutzt, um über multiple Streams Dateien auf NTFS-Filesystemen zu infizieren. Dazu erzeugt das neue Virus einen Stream namens STR und kopiert den ursprünglichen Datei-Inhalt dorthin. Dann ersetzt es den Haupt-Stream durch den Virus-Code. Wird das so infizierte Programm später gestartet, übernimmt der Virus die Kontrolle und beginnt mit seiner Replikation in andere Daten-Streams. Anschließend übergibt er durch die Erzeugung eines neuen Prozesses für filename:STR die Kontrolle an den eigentlichen Programm-Code.
Würmer
Würmer infizieren keinen fremden Code, um sich fortzupflanzen. Vielmehr sind sie auf die selbstständige Verbreitung in Netzwerken ausgerichtet, wodurch sie sich von Viren und Trojanern unterscheiden.
Bekannte Vertreter dieser Spezies sind W32/ExploreZip, W32/Ska (auch als Happy99 bekannt) oder W32/PrettyPark. Das Präfix W32 bedeutet, dass es sich um 32-Bit-Programme für Windows 9x und NT handelt.
Unter dem Namen ExploreZip beziehungsweise ZippedFiles verbreitete sich Anfang Juni 1999 ein solcher Wurm für Windows 9x-Systeme. Das Opfer bekommt eine englischsprachige E-Mail mit persönlicher Anrede, an die eine .exe-Datei mit dem Namen ZippedFiles angehängt ist. Das wirkt wie ein normales Zip-Archiv, das sich per Doppelklick öffnen lässt. Stattdessen aktiviert ein Doppelklick den Wurm. Der gibt eine Fehlermeldung aus, die ein korruptes Zip-Archiv bemängelt. Im Hintergrund kopiert er eine Datei namens explore.exe ins System-Verzeichnis von Windows und ändert die win.ini. Damit wird der Wurm bei jedem PC-Start aktiv.
Dann wartet er auf den Start von Outlook, durchsucht den Posteingang und schickt allen Absendern eine Antwort. Dabei benutzt er den Vornamen als Anrede und verspricht eine baldige Antwort auf die ursprüngliche E-Mail. In der Zwischenzeit soll der Empfänger einen Blick auf das angehängte Zip-Archiv werfen - schon ist ein neuer PC infiziert.
Der Schaden, den ExploreZip anrichten kann, ist enorm. Er durchsucht gezielt alle verfügbaren Laufwerke, auch im Netz, nach Quelldateien diverser Programmiersprachen sowie Word-, Excel- und PowerPoint-Dokumenten. Anschließend setzt es die Länge dieser Dateien auf Null. Das erschwert - im Gegensatz zum einfachen Löschen - das Wiederherstellen der Dateien erheblich.
Neu: Siegeszug der Internet-Würmer
Äußerst erfolgreich behaupten sich seit Code Red Würmer, die zu ihrer Verbreitung bekannte Windows-Sicherheitslücken nutzen. Und das, obwohl Microsoft für diese Schwachstellen bereits entsprechende Patches herausgebracht hat.
So ist am 18. September 2001 mit W32/Nimda ein äußerst aggressiver Wurm aufgetreten. Er nutzt zwei bekannte Sicherheitslücken im Internet Explorer und Internet Information Server, um sich über 32-Bit-Windows-Systeme fortzupflanzen. So sorgt etwa der manipulierte MIME-Header von HTML-Mails dafür, dass bereits bei der Vorschau einer Nachricht in Outlook (Express) das verseuchte Attachment readme.exe ausgeführt wird. Einmal aktiv, verschickt sich der Parasit über einen eigenen SMTP-Server an weitere Opfer. Deren E-Mail-Adressen extrahiert der Wurm aus HTML-Seiten oder über MAPI aus der Inbox des Mail-Clients.
Nimda befällt ebenfalls Microsofts Internet Information Server, indem er mittels Portscan verwundbare Rechner aufspürt. In deren Webseiten baut der Schädling JavaScript-Code ein, der beim Besuch einer solchen Seite die präparierte Datei readme.eml auf den lokalen Rechner lädt und sie ausführt. Gegen diese Gefahr hilft das Deaktivieren der JavaScript- und Download-Funktion im Browser.
Der Wurm kann sich auch über Windows-Freigaben ausbreiten, die er für jedes lokale Laufwerk versteckt anlegt. Findet Nimda im Netzwerk Shares mit Schreibzugriff, erzeugt er auf diesen Laufwerken Kopien von sich im NWS- oder EML-Format. Der dabei gewählte Dateiname wird zufällig generiert.
Obwohl für die Schwachstellen, über die der Schädling eindringt, seit geraumer Zeit Patches verfügbar sind, hat sie offenbar kaum jemand eingesetzt. So konnte sich der Wurm rasant verbreiten und weltweit die Computernetze verstopfen.
Trojaner
Während sich Viren und Würmer nach Möglichkeit verstecken, treten Trojanische Pferde offen auf. Sie geben sich als Bildschirmschoner, Passwortverwaltung oder ein anderes nützliches Tool aus. Diese Funktion erfüllen Trojaner gelegentlich sogar mehr oder weniger gut. Meistens geht es aber nur darum, den Empfänger dazu zu verlocken, die Malware zu starten, so dass der Schädling zuschlagen kann: Die Festplatte löschen, einen Bootvirus oder ein Remote-Administrations-Tool installieren.
Ein besonders krasses Beispiel: Anfang 1998 entschlüsselten zwei 16-jährige Kölner Realschüler, Aron Spohr und Marcel Henning, die Verschlüsselung des T-Online-Passworts. Anschließend programmierten sie die T-Online Power Tools, ein Hilfsprogramm für den T-Online-Decoder, das rasch Verbreitung fand. Sobald jemand die Online-Registrierung benutzte, schickte der Trojaner über das Internet auch die Zugangsdaten zum jeweiligen T-Online-Anschluss mit. Die Verschlüsselung des Decoders war nur mangelhaft. So kamen in kurzer Zeit 600 Passwörter zusammen. Zum Glück für die Ausgespähten ging es den Schülern nur darum, die Machbarkeit nachzuweisen. Sie veröffentlichten ihre Erkenntnisse in der Presse.
Ähnlich arbeitet das Freeware E-Mail-Programm ProMail 1.21. Erwartungsgemäß tippt der Anwender die Zugangsdaten für seinen Mail-Account ein. Diese Daten schickt das Programm im Hintergrund an eine E-Mail-Adresse. Damit kann der Urheber die elektronische Post seiner Opfer abrufen.
Der Trojaner Back Orifice nistet sich im Systemkern von Windows ein. Dann wartet das Programm, bis es ein Hacker über das Internet aktiviert. Es lässt den ungebetenen Gast Dateien kopieren, sämtliche Tastatureingaben mitlesen, Programme starten und vieles mehr. Es ist zu erwarten, dass in Zukunft mehr solcher "Tools" in Umlauf gebracht werden. Auch vor solchen Programmen sollte Sie ein gutes Antiviren-Programm schützen.
Enten: Hoaxes
Im Bestiarium der Schadensprogramme, auch als Malware bezeichnet, gibt es noch eine weitere Variante: Hoaxes. Als deutsche Übersetzung trifft "Ente" wohl den Kern der Sache. Ein Hoax ist eine gezielte Falschmeldung per E-Mail über einen Virus oder ein anderes Schadensprogramm. In der Regel wird der Empfänger aufgefordert, die E-Mail an alle Bekannten als Warnung weiterzuleiten. Und genau das ist die Schadenswirkung eines Hoax: Er kostet Arbeitszeit in Firmen und verbreitet sich rasend schnell.
Einer der ersten Hoaxes tauchte mit "GoodTimes" Ende 1994 auf. Die Mail warnte vor einem Virus, der alleine durch Lesen einer E-Mail einen PC infizieren könne. Erkennbar sei die Nachricht durch die Worte "Good Times" im Betreff. Der Virus würde dann den Festplatteninhalt löschen oder gar den Prozessor des Computers zerstören. Ins Deutsche übersetzt liest sich die englische Originalnachricht über Good Times so:
FYI: Eine Datei mit dem Namen "Good Times" wird von einigen Internet-Usern versendet, die bei Online-Services (CompuServe, Prodigy und AOL) angemeldet sind. Wenn Sie diese Datei empfangen sollten, NICHT downloaden! Sofort löschen. Ich weiß, dass in dieser Datei ein Virus enthalten ist, der, sofern auf Ihren PC geladen, alle Ihre Dateien ruiniert.
Nach diesem Muster funktionieren alle gängigen Falschmeldungen über vermeintliche Viren. Oft findet sich im Text der entsprechenden Mail noch der Hinweis, dass namhafte Computerfirmen die Warnung vor dem neuen Virus ausgegeben hätten. Eine ständig aktualisierte Übersicht von Hoaxes findet sich beispielsweise auf den Internet-Seiten von VMyths.com oder der TU Berlin. Daneben wird man ebenfalls bei den großen Antivirenherstellern fündig, etwa bei Network Associates oder Symantec.
Makroviren
In den letzten Jahren sind Makroviren zur größten Gefahr geworden. Denn das Officepaket von Microsoft verfügt über eine ausgefeilte Makrosprache mit mächtigen Befehlen: VBA, Visual Basic für Applikationen. Mit diesen Befehlen kann ein Makro zum Beispiel Dateien und andere Officedokumente manipulieren oder Windows-Programme fernsteuern.
Der Knackpunkt bei MS-Office: Die Makros sind direkt im Dokument gespeichert. Wenn Sie ein WinWord-, Excel- oder PowerPoint-Dokument weitergeben, sind eventuell Makros mit dabei. Und es gibt eine Autostart-Funktion. Sobald Sie ein Dokument mit einem entsprechend deklarierten Makro öffnen, wird das Makro aktiv. Dann verändern die meisten Makroviren die Standard-Dokumentvorlage normal.dot so, dass der Virus bei jedem Start von Word aktiv wird. Die Vorgehensweise bei den anderen Office-Applikationen basiert auf demselben Prinzip.
Besondere Brisanz haben Makroviren, die sich selbstständig über E-Mail weiterverbreiten. Das bekannteste Beispiel dafür ist Melissa: Der Virus sucht sich aus der Outlook-Datenbank 50 Empfänger aus und schickt ihnen eine E-Mail mit dem Virus als Anhang. Wenn die Empfänger den Anhang per Doppelklick aktivieren, nistet sich Melissa im System ein. Dass die E-Mail von einem bekannten Absender stammt, vergrößert die Chance auf einen unbedachten Doppelklick. Mittlerweile gibt es etliche Nachahmer, auch für Excel.
Der Schaden, den Makroviren anrichten können, ist beträchtlich. Denken Sie beispielsweise an eine große Excel-Tabelle mit einer statistischen Auswertung. Ein Virus könnte hier zufällig einige Werte ändern, in einen WinWord-Text Tippfehler einbauen oder einzelne Wörter ersetzen. Der Aufwand, die Originaldaten wieder herzustellen, kann enorm sein.
Sicherheitsrisiko VBScript
Eine der brennendsten Fragen zu Viren und Internet: Kann ich mir einen Virus einfangen, indem ich einfach nur eine Webseite aufrufe oder eine E-Mail empfange? Generell gesagt: Nein. Die beiden Programmiersprachen des WWW, Java und JavaScript taugen nicht zur Verbreitung von Viren. Abgesehen von Sicherheitslücken, die in der Regel rasch durch Updates geschlossen werden, lassen sie keinen Zugriff außerhalb des Browsers auf das System zu.
Ganz anders sieht das mit VBScript aus. Diese Untermenge von Visual Basic hat Microsoft in seinen Internet Explorer eingebaut - andere Browser unterstützen es nicht. VBScript lässt weitreichende Zugriffe auf das System zu, etwa die Manipulation von Dateien oder der Registry. Auch hier können zusätzliche Schwachstellen in Form von Sicherheitslücken auftreten, die etwa VBS/BubbleBoy zum Zugriff auf die Festplatte nutzt.
Allerdings hängen diese Fähigkeiten von vielen Randbedingungen ab. Laden Sie eine Webseite aus dem Internet, erlaubt der Internet Explorer einem VBScript keine Eingriffe ins System. Ganz anders sieht die Sache aus, wenn Sie eine HTML-Datei von der lokalen Festplatte öffnen. Wenn die Sicherheitseinstellungen des Internet Explorers auf Sehr niedrig eingestellt sind, kann ein VBScript-Virus Dateien auf der Festplatte ändern. Weil immer mehr Programme ihre Online-Hilfe im HTML-Format mitliefern und auch die Windows-Hilfe selbst in HTML programmiert ist, handelt es sich dabei um eine reale Gefahr. Unser Testvirus HTML.Reality infiziert zum Beispiel alle HTML-Dateien in bestimmten Systemlaufwerken, setzt die Sicherheitseinstellungen des Internet Explorer zurück und schreibt dann einen klassischen Virus ins System. Zu allem Überfluss hat der Internet Explorer keine getrennten Einstellungen für JavaScript und VBScript. Unter der Option Scripting können Sie nur alle Skripte deaktivieren oder erlauben.
Vorbeugen gegen Viren
Absolut sicher sind Sie vor Viren nur, wenn Sie keine fremden CDs und Disketten in Ihren PC stecken und auch keine Dateien aus dem Internet laden - aber wer will das schon? Selbst originalverpackte Programme direkt vom Hersteller sind gelegentlich infiziert. 1998 hat Corel mit der Mac-Version von Corel Draw 8.0 unwissentlich einen Virus ausgeliefert; Microsoft verteilte 1995 unabsichtlich einen der ersten WinWord-Makroviren WM/Concept mit einem Dokument auf einer Probe-CD.
Mit einem gewissen Maß an Vorbereitungen ist man Viren trotzdem nicht hilflos ausgeliefert. Die folgenden Regeln stellen zwar keine Garantie dar, schränken Infektionswege aber drastisch ein und begrenzen den Schaden im Ernstfall.
Legen Sie mit der entsprechenden Funktion Ihres Antiviren-Programms eine bootfähige Notfalldiskette an. Verlassen Sie sich nicht auf die fertig mitgelieferte Diskette. Die ist oft nicht bootfähig. Stellen Sie sicher, dass Sie Installationsdisketten oder -CDs von Windows und den wichtigen Programmen griffbereit haben. Außerdem brauchen Sie zur Sicherheit eine DOS- oder Windows-Startdiskette mit CD-ROM-Treibern.
Machen Sie regelmäßig Backups wichtiger Daten und Dokumente - ihre Wiederherstellung kostet viel Zeit und Mühe. Windows und Programme lassen sich relativ leicht wieder installieren. Noch besser: Bewahren Sie mehrere Backup-Versionen auf.
Schalten Sie im BIOS das Booten von Diskette aus. Damit ist das Risiko, sich einen Bootvirus von einer Diskette einzufangen, praktisch auf Null reduziert. Im Bedarfsfall lässt sich die Boot-Reihenfolge leicht wieder umstellen.
Lassen Sie im Hintergrund immer einen Virenwächter mitlaufen.
Durchsuchen Sie die ganze Festplatte regelmäßig, mindestens einmal die Woche, mit dem Virenscanner. Nutzen Sie dazu den Terminplaner des Scanners.
Besorgen Sie sich regelmäßig Updates für Ihren Virenscanner. Nur so findet er auch neue Viren.
Achten Sie auf ungewöhnliche Reaktionen Ihres PCs, sie könnten ein Anzeichen für eine Infektion sein.
Neu: Virenscanner
Moderne Antivirenprogramme bestehen aus On-Demand-Scanner und On-Access-Scanner, auch Virenwächter genannt.
Der On-Demand-Scanner untersucht nach dem Start die virusgefährdeten Dateien auf Datenträgern. Da ein Virenscanner nur Sinn macht, wenn man ihn regelmäßig benutzt, ist ein Zeitplaner Standard. Er gibt vor, an welchen Tagen und zu welcher Uhrzeit der Scanner aktiv wird.
Der On-Access-Scanner läuft als Betriebssystemtreiber im Hintergrund und untersucht bei jedem Zugriff auf eine Datei, ob ein Virus enthalten ist. Zudem sind einzelne Wächterprogramme in der Lage, auch Online-Verbindungen und den E-Mail-Datenverkehr zu prüfen.
Virenscanner erkennen nur die Schädlinge sicher, die bereits bekannt sind. Deshalb ist es entscheidend, dass Sie sich regelmäßig Updates der Virensignaturen besorgen. Die Signatur ist das typische Merkmal eines Virus, anhand dessen der Virenscanner eine befallene Datei erkennt. Mindestens einmal pro Woche ist ein Update fällig. Am praktischsten sind Virenscanner, die sich die Aktualisierungen selbst über das Internet besorgen.
Noch weiter geht die heuristische Suche, die Programme auf virentypische Befehlssequenzen prüft. Das ist besonders für polymorphe Viren wichtig, und auch für Makroviren sollte so eine Heuristik vorhanden sein. Mit dieser Technik kann der Scanner auch neue Viren als verdächtig deklarieren. Derartige Dateien schicken Sie am besten per Internet an den Hersteller, der dann innerhalb kurzer Zeit ein Update verfügbar macht.
Was tun bei Virenbefall?
Bei einem Virenvorfall gilt es zwei Zustände zu unterscheiden: Entweder der Virenscanner hat eine Datei oder Diskette mit einem Virus entdeckt, dieser ist jedoch noch nicht aktiv. Oder aber der Scanner entdeckt einen Virus, der bereits im System aktiv ist.
Im ersten Fall ist der Virenscanner meistens in der Lage, den Virus zu entfernen, bevor er Schaden anrichtet. In manchen Fällen geht dabei aber die befallene Datei verloren, weil der Virus Teile davon unwiederbringlich überschrieben hat. Ist der Virus bereits aktiv, sollten Sie vorsichtig vorgehen und die nachfolgende To-do-Liste berücksichtigen:
Bei einem Virenbefall gilt vor allem eins: Keine Panik, die erforderlichen Maßnahmen in Ruhe ergreifen. Das Formatieren der Festplatte ist die allerletzte Aktion - und bestimmte Viren überstehen sogar das.
Wie alt ist das letzte Backup? Im Zweifelsfall legen Sie sofort ein aktuelles Backup an - ohne das letzte zu überschreiben! Denn eine virenverseuchte Sicherung ist besser als gar keine. Wenn etwas schief geht, kann ein Profi vielleicht die Daten retten. Ein Disk Imager wie Drive Image oder Ghost sichert den gesamten Festplatteninhalt.
Nehmen Sie das Handbuch Ihres Antiviren-Programms zur Hand und lesen Sie genau durch, was dort für den Ernstfall empfohlen wird. Bisweilen kommt es nämlich darauf an, mit welchem Betriebs- und Dateisystem (Windows NT mit NTFS, Windows 95B mit FAT32X etc.) Sie arbeiten.
Bei Bootviren gilt: Erst jetzt sollten Sie daran gehen, den PC mit der Notfalldiskette Ihres Antiviren-Programms beziehungsweise der DOS- oder Windows-Startdiskette zu booten. Nur so ist gewährleistet, dass kein Virus aktiv ist. Achten Sie aber darauf, dass der Schreibschutz-Schieber der Diskette aktiviert ist.
Nicht vergessen: Nachsorge
Um zu verhindern, dass der Virus in einer versteckten Datei überlebt und später erneut wichtige Dateien infiziert, sollten Sie alle Festplatten, Disketten und sonstige Wechselmedien einer genauen Prüfung mit dem Virenscanner unterziehen.
Versuchen Sie auch festzustellen, woher der Virus kam: via E-Mail, per Dokument auf Diskette oder über Downloads aus dem Internet. Benachrichtigen Sie den Absender oder Anbieter mit möglichst genauen Angaben.
Stellen Sie den Zeitplaner Ihres Virenscanners für die nächsten Wochen so ein, dass er täglich einen kompletten Scan aller Laufwerke durchführt. Damit verhindern Sie die Neuinfektion Ihres Systems aus einem bisher nicht entdeckten "Rückzugsgebiet" des Virus.
Bei Makroviren sollten Sie sich über den Virus und seine Schadensfunktion in der Virendatenbank Ihres Scanners oder auf der Webseite des Herstellers informieren. Denn es kann sein, dass der Virus den Inhalt von Dokumenten manipuliert hat. Es besteht die Gefahr, dass Sie mit den veränderten Daten weiterarbeiten.
Fazit
Die Bedrohung durch Viren, Würmer und Trojaner dürfte weiter zunehmen. Selbst Laien können heutzutage Sabotage-Programme mit Hilfe von Construction-Kits erstellen: Über ein komfortables Frontend lassen sich Schädlinge nach dem Baukastenprinzip zusammenklicken. Auf diese Weise generierte Malware ist oft erstaunlich effektiv.
Als E-Mail-Anhang verbreiten sich die digitalen Parasiten in Windeseile über das Internet. Eine eindeutig gewählte Betreffzeile - etwa "Sex Pics for free" - sorgt dafür, dass möglichst viele Empfänger alle Vorsicht fahren lassen und das verseuchte Attachment starten.
Ein sicherer Schutz vor Viren bedarf einer gewissen Selbstdisziplin. Virenscanner müssen up to date gehalten werden, auf manch komfortables Software-Feature sollte man besser verzichten und nicht alles, was klickbar ist, sollte auch geöffnet werden. Doch wer sich an ein paar Grundregel hält, ist vor Virenangriffen auch in Zukunft weitgehend sicher. (tri)