Virenschutz - Trojaner, Würmer, Hacker & Co.

Was ist ein Computervirus? Welches Ziel verfolgt ein Computervirus? Welche Arten von Computerviren gibt es? Wie kommt ein Computervirus auf meinen PC? Was kann man gegen einen Computervirus unternehmen? Was tun, wenn ich einen Virus vermute? 

Was ist ein Computervirus?

Ein Computervirus ist ein Schadprogramm, welches analog zu seinem biologischen Vorbild die Ressourcen seines Wirtes nutzt, um schaden anzurichten, sich zu vervielfältigen oder auch die Rechenleistung des befallenen Computers unbemerkt zu nutzen.
Während Computerviren in der Vergangenheit häufig von Jugendlichen und Studenten aus einfachen Virenbaukästen zusammengebaut wurden, werden heutige Computerviren zumeist von professionellen Programmierern, den so genannten Virenautoren erstellt.
Die bisher genutzte Unterteilung der Schadsoftware hat sich durch deren Komplexität und Kombinationsmöglichkeit insofern geändert, daß der Begriff Virus im alltäglichen Sprachgebrauch als Oberbegriff für Schadsoftware gilt, welche dann wiederum in Gruppen wie zum Beispiel Trojaner, Würmer, Spyware, Keylogger usw. unterteilt wird.

Welches Ziel verfolgt ein Computervirus?

Ziel eines Computervirus ist immer die illegale Nutzung von Ressourcen des infizierten Computers.
Zu Zeiten des Commodore C64, Amiga oder Schneider-PC war zumeist die Schädigung des Systemes, zum Beispiel durch Formatieren der Festplatte oder das plötzliche Löschen von Disketten Ziel von Virenschreibern. Hierdurch konnte man sich in der "Szene" mit anderen Virenschreibern messen. Je größer die damals noch schwierige Verbreitung über Disketten oder Kassetten war, deste höher stand man im Ranking. Gleiches galt für die Auffälligkeit der Aktion und den angerichteten Schaden.
Heutzutage werden Viren zum Großteil für kriminelle Zwecke genutzt. Häufig merkt der Nutzer von einer Infektion erst sehr spät etwas, oder bemerkt es gar nicht. Während er an seinem PC oder Notebook Spiele spielt, Briefe schreibt oder im Internet surft arbeiten im Hintergrund eines infizierten PC die Schadprogramme unbemerkt und effizient. Sie erfassen Nutzerdaten wie Kontonummer, PIN und TAN, sie leiten Seitenaufrufe auf gefälschte Seiten um, sie speichern Passwörter der Nutzer für Anwendungen und Internetseiten oder sie nutzen einfach die Rechenleistung heutiger PC-Systeme zum gemeinsamen und zeitgleichen Angriff auf ein Ziel wie beispielsweise eine Bank oder eine Institution.
Am häufigsten jedoch zielt heutige Schadsoftware auf den Versand von SPAM-eMails ab, welches unbemerkt vom Benutzer im Hintergrund erfolgt und zugleich die Kontaktdaten seiner Adressbücher zu Hilfe nimmt.
Fazit: Computerviren und Schadsoftware haben sich vom offensichtlichen Schädling zu einem kriminellen Werkzeug hinter den Kulissen entwickelt. Ihr Ziel lautet nicht mehr, den einzelnen Computer zu schädigen, sondern Ressourcen zu bündeln und großflächigen Schaden, häufig mit finanziellem Hintergrund anzurichten.

Welche Arten von Computerviren gibt es?

Die heute anzutreffenden Schadprogramme lassen sich nicht mehr wie in früheren Zeiten in feste Kategorien klassifizieren. Häufig sind die Techniken verschiedener Virentypen miteinander in einer komplexeren Schadsoftware oder Routine verzahnt.
Ein grober Überblick zeigt jedoch die bisherige Entwicklung und deren grundlegenden Zweck.

Bootviren
Diese "veraltete" Schadsoftware schrieb sich automatisch (zum Beispiel von einer Diskette) in den Bootsektor der Festplatte. Da dieser immer beim Start des Computers gelesen wurde, konnte sich der Virus schon vor dem Start des Betriebssystemes aktivieren und Änderungen an den Abläufen vornehmen. Durch die technischen Grenzen in Form des geringen Speicherplatzes für den Bootsektor bzw. den MBR konnten diese Viren nicht besonders komplex sein und sind somit für heutige "Anforderungen" an Schadsoftware nicht mehr brauchbar.

Dateiviren
Diese wohl am weitesten verbreitet Art unter den Viren fügt sich selbst in ein harmloses Programm ein und modifiziert es entsprechend, um beim Aufruf des Programmes mit gestartet zu werden. Bei dem infizierten Programm kann es sich um jede ausführbare Datei oder Routine handeln. So besteht die Möglichkeit bei Infektion von Betriebssystemdateien, daß der Virus schon allein durch den Start des Betriebssystemes ausgeführt wird.

Makroviren
Eine sehr gefährliche Virenvariante stellen die Makorviren dar, da es sich dabei um Viren in Dokumentendateien handelt. So kann das alleinige Öffnen eines Textdokumentes mit integrierten Makros das Ausführen eines Virus zur Folge haben. Da viele Anwender mit Office-Dokumenten, zum Beispiel aus Open Office oder auch Microsoft-Office, recht sorglos umgehend wird diese Form der Virenverbreitung häufig genutzt. Schutz bietet hierbei die Office-Einstellung, nur zertifizierte Makros zuzulassen oder im Zweifelsfall auf Makros im Office-Programm zu verzichten.

Skriptviren
Bei Skriptviren (oder Scriptviren) spricht man von Viren, welche häufig in Webseiten eingebettet sind und durch das Aufrufen dieser Seite ausgeführt werden. Die hierfür häufig verwendeten Skriptsprachen sind Perl, PHP und Javascript.
Um sich mit einem Skriptvirus zu infizieren reicht das aufrufen/betrachten einer Internetseite vollkommen aus. In Zeiten von Web 2.0 muss nicht einmal die aufgerufene Seite bösartigem Ursprungs sein. Es bestehen immer wieder die Möglichkeiten, auch seriösen Webangeboten bösartige Skripte unterzuschieben. Dies hat zur Folge, daß ein Besucher der Seite sich in Sicherheit wiegt und somit weniger auf eventuelle Auffälligkeiten und Meldungen achtet.

Würmer
Hierbei handelt es sich um eine der gefährlichsten Versionen von Schadsoftware. Allein durch Zugriff auf das Internet sind diese Programme in der Lage, sich selbst zu versenden, zu vervielfachen und somit zu verbreiten.
Besonders effiziente Würme haben es in der Vergangenheit geschafft, sich nach dem "Freisetzen" in das Internet durch den Autor innerhalb von 2 Stunden weltweit (!!) zu verbreiten und enormen wirtschaftlichen und finanziellen Schaden anzurichten.
Würmer nutzen für die Verbreitung verschiedene Wege. So können sie sich über Netzwerkprotokolle im Netzwerk ebenso verbreiten wie auch über reine Internetseiten oder Instant-Messaging-Dienste.
Häufiges Angriffsziel für Würmer sind so genannte Social-Networking-Seiten, durch deren Struktur sich ein Wurm weiterverbreiten kann.
Tests haben ergeben, daß sich mit einer Wahrscheinlichkeit von über 50 Prozent ein frisch installierter PC, welcher nur mit dem Internet verbunden ist und über keinen wirkungsvollen Virenschutz verfügt in weniger als 12 Minuten (!!) mit einem Wurm infiziert. Hierzu ist im Regelfall noch nicht einmal das Aufrufen einer Internetseite notwendig.
Würmer sind das aktive Pondon zum passiven Virus.

Trojaner
Diese Art von Schadsoftware wird häufig durch eine der bereits erwähnten Viren installiert und öffnet eine "Hintertür" im infizierten System. Durch diese Hinterür ist es dann dem Autor der Schadsoftware möglich, den infizierten PC unter seine Kontrolle zu bringen, weitere Schadsoftware nachzuladen und auf dem infizierten System zu installieren oder die Rechenleistung des Systems für illegale Aktivitäten unbemerkt zu verwenden. Häufig werden so gekaperte Rechner für den Versand von SPAM, zum knacken von Passwörtern oder für Angriffe auf andere Rechner und Webseiten genutzt. Und dies alles OHNE das Wissen oder die Kenntnis des harmlosen Computernutzers.

Keylogger
Ein solches Programm wird meist durch einen Wurm, einen Virus oder einen Trojaner auf dem infizierten Computer installiert und dient dem Ausspionieren des Zielsystemes.
Ist die Schadsoftware ersteinmal aktiv, speichert sie jegliche Tastatureingabe in einer Datei. Hat diese Datei eine gewissen Größe erreicht, versendet der Keylogger sie an seinen Autor oder Besitzer. Somit ist der Besitzer in der Lage, die Eingaben des Benutzers nachzuvollziehen und erhält Zugriff auf alle relevanten Informationen zu Surfverhalten, aufgerufenen Internetadressen und Passwörtern.

Bots und Botnetze
Bots sind ebenso Programme, welche zumeist über Würmer oder Trojaner installiert werden. Diese Schadsoftware meldet sich nach Installation bei seinem Besitzer bzw. Autor als "bereit". Hat der Besitzer auf diesem Weg eine gewünschte Anzahl von Systemen unter seine Kontrolle gebracht, steht ihm die Rechenleistung von zumeist mehreren 10.000 Computern zur Verfügung. Mit deren Hilfe ist es dann unter Anderem möglich komplexe Passwörter zu knacken, was auf einem einzelnen Rechner ggf. Jahre gedauert hätte. Auch sind so genannte DDoS-Atacken möglich, bei welcher zeitgleich alle gekaperten Computer Anfragen an ein Ziel senden und somit ganze Internetseiten oder auch Provider lahmlegen. Dies kann, wie auch in der nahen Vergangenheit, für politische Zwecke aber auch zur Erpressung von Unternehmen und Institutionen genutzt werden.
Einen großen Markt haben die Programmierer und Botnetzbetreiber im SPAM-Versand entdeckt. Hier werden ganze Netze, also die unwissentlich gekaperten Rechner der Nutzer, komplett oder teilweise an SPAM-Versender vermietet, welche dann über diese Computer SPAM-Nachrichten versenden.

Wie kommt ein Computervirus auf meinen PC?

Die lang gehegte Meinung, daß Viren nur über eMail-Anhänge einen Computer infizieren können ist zwar schon seit langer Zeit überholt, hält sich jedoch dank mangelnder Aufklärung und Über- bzw. häufig auch Fehlinformation einschlägiger Computerzeitschriften hartnäckig.
Da die Virenautoren immer neue Wege zur Infektion finden, wird es nie eine vollständige Liste hierüber geben. Einige können jedoch genannt werden.

eMail
Der Klassiker unter den Verbreitungsarten. Als Grusskarte oder Datei mit doppelter Erweiterung getarnt werden diese an vermeintlich von Bekannten stammende eMails angehängt und oft sorglos vom Nutzer geöffnet. Zumeist folgt eine Fehlermeldung oder es wird sogar wirklich eine Grußkarte angezeigt. Im Hintergrund hat sich jedoch schon der Virus unbemerkt installiert und treibt von nun an sein Unwesen.
Klassische Beispiele sind Bildschirmschonerdateien mit der Endung .scr , oder auch veremeintliche PDF-Dateien mit doppelter Erweiterung, welche datei.pdf.exe heissen, jedoch in Windows nur als datei.pdf angezeigt werden. Durch ein Doppelklick hierauf wird die ausführe Datei gestartet und der Virus installiert sich. Die erwartete PDF-Datei wird nicht angezeigt; es geschieht offensichtlich zumeist überhaupt nichts.
Auch bei Dateien mit der Endung .pif handelt es sich um ausführbare Dateien, welche sehr häufig zur Virenverbreitung per eMail genutzt werden.

offene Ports
Hierbei installieren sich Viren über offene Ports an der Internet-/Netzwerkverbindung. Diese Ports sind immer speziellen Diensten oder Programmen zugeordnet und somit in vielen Fällen auch über das Internet erreichbar. Bekannte Sicherheitslücken in bestimmten Programmen und Diensten stellen hierbei zumeist das Einfallstor für die Schadsoftware dar.

Internetseiten
Eine immer weiter Verbreitung findende Form der Virusinfektion sind harmlose Internetseiten. Hierbei wird durch spezielle Techniken (häufig iFrames in Verbindung mit JavaScript) eine seriöse Internetseite kompromittiert. Dies kann zum beispiel durch ein infiziertes Werbebanner oder einen Eintrag in einem Forum oder Gästebuch mit darin enthaltenem bösartigem Programmcode erfolgen. Wird die harmlose Seite aufgerufen wird auch der Schadcode ausgeführt und kann Software, also auch Viren auf dem PC installieren.

Tauschbörsen
Mit zunehmender Verbreitung von Tauschbörsen für Musik, Videos und Filme wurden auch immer mehr Computer auf diesem Weg mit Viren infiziert. Hierzu wurden Viren als Musikdatei oder Video getarnt und beim Start auf dem Zielrechner installiert. Häufig folgte anschliessend, um den Benutzer in Sicherheit zu wiegen, die Meldung die Datei sei beschädigt gewesen und könne nichtabgespielt werden.

Instant-Messaging
Immer mehr Internetnutzer kommunizieren über Dienste wie ICQ, GoogleTalk oder Live-Messenger. Und je bekannter diese Dienste werden, um so interessanter und anfälliger werden Sie für Virenautoren. Immer wieder werden Fälle bekannt, in denen eine Sicherheitslücke in dem einen oder anderen Messenger ausgenutzt wurde, um unbemerkt Schadsoftware auf dem PC zu installieren.

Wechseldatenträger
Auch externe Festplatten, USB-Sticks oder auch Disketten und CD/DVD können Viren enthalten. Ein sehr interessanter und spektakulärer Fall war ein elektronischer Bilderrahmen für Fotos, welcher über einen USB-Anschluss zum Kopieren des Bildes vom PC auf den Bilderrahmen verfügte. Dieser Bilderrahmen wurde ab Werk unwissentlich mit Schadsoftware ausgeliefert und installierte diese beim ersten Kontakt auf dem Computer.
Auch Datenträger direkt von Softwareherstellern können mit Schadsoftware infiziert sein. So wurde von einem Hersteller für EIB-Systemsoftware in der Elektrobranche im Jahr 2006/2007 eine ganze Charge angeblicher EIB-Steuerungsssoftware nach Kauf an den Kunden versendet. Auf dem Datenträger befand sich jedoch nur ein recht anrüchiges Musikvideo. Grund waren Hacker, welche das Netzwerk des Unternehmens gehackt und die original Software durch das Musikvideo ersetzt hatten. Genau so gut hätte es sich statt um eine Musikvideo um die Installationsroutine von Schadsoftware handeln können.

Multimediadateien
Aktuellstes Beispiel hierfür ist der Hype um ein angebliches Sex-Video der der "Germany's Next Topmodel"-Kandidatin Gina-Lisa. Hier hat ein großes Boulevardblatt über das angebliche Vorhandensein eines solchen Videos berichtet. Kurze Zeit später wurden deutlich erhöhte Werte bei den Suchanfragen nach "Video, Sex, Gina, Lisa" etc. verzeichnet. Dies machten sich auch Virenschreiber zu nutze und stellten angebliche Versionen des Videos in das Internet. Nach dem Download und Start der Datei installiert der hierfür angeblich notwendige Codec lt. Meldung von Heise-Online und n-tv einen Trojaner und bleibt natürlich das Video schuldig.

Was kann man gegen einen Computervirus unternehmen?

Der wirksame Schutz gegen Computerviren gehört zum Basisschutz eines Computers oder eine Netzwerkes. Er sollte im Stellenwert ganz oben angesiedelt sein.

Installieren Sie wichtige Sicherheitsupdates und Servicepacks für Ihr Betriebssystem
Die von Betriebssystem- und Softwareherstellern bereitgestellten Sicherheitsupdates basieren zumeist auf einer kurze Zeit vorher bekannt gewordenen Sicherheitslücke. Diese Sicherheitslücken werden häufig von Hackern entdeckt und auf einer Platform (ähnlich eBay) in der Szene versteigert. Kurze Zeit nach dem Bekanntwerden dieser Lücken werden diese auch schon aktiv ausgenutzt, um unbemerkt die Kontrolle des Computers oder Servers zu erlangen. Dem Benutzer fällt dies meist nicht auf, da er normal weiterarbeiten kann, während die Installation des Virus im Hintergrund stattfindet.
Solche Sicherheitslücken können ebenso durch speziell präparierte Videos, Bilder, Textdateien oder Internetseiten ausgenutzt werden, wie auch durch direkten Zugang auf den Rechner über das Internet.

Verwenden Sie einen zuverlässigen Virenschutz
Nicht immer ist kostenlos auch gut. Oder würden Sie ein Auto kaufen, bei dem der Airbag 2 Minuten nach dem Unfall aufgeht? Sicher nicht.
Zu empfehlen sind separate Virenschutzsysteme (z.Bsp. Norman Virus Control), welche nicht nur bisher bekannte Viren erkennen, sondern auch die Chance bieten, bisher unbekannte Viren aufzuspühren und zu entfernen. Das Zauberwort lautet in diesem Fall "Sandbox" - auch mit Sandkasten zu übersetzen. Der Virenschutz läßt die zu prüfende Datei vorab in dem "Sandkasten spielen" und beobachtet das Verhalten der Datei. Möchte die Datei verdächtige Aktionen wie das herunterladen weiterer Dateien, daß Durchsuchen von Adressbüchern oder auch das Ändern von Windows-Systemdateien durchführen, wird sie als potentieller Virus in die Quarantäne gestellt. Einen unterhaltsamen Kurzfilm hierzu findet man auf der Seite von BlueColors + bluEvent (klicken).
Häufig werden auch Sicherheitslücken zum infizieren von Computern genutzt, um diese dann mit Hilfe eines Trojaners fernzusteuen.
Auch werden in vielen Fällen zusätzlich Würmer eingesetzt, welche sich selbständig an alle in einem Adressbuch (z.Bsp. Outlook oder Outlook Express) enthaltenen eMail-Adressen weiterversenden und diese Adressen sammeln, um sie später als Spamempfänger zu nutzen.

Nutzen Sie eine qualitativ hochwerte, aber verständliche Firewall
Einen häufigen Fehler bei der Absicherung von Computersystemen, zumeist im privaten Bereich, stellt die Verwendung der falschen bzw. unpassenden Firewallsoftware dar. Lassen Sie sich hierzu beraten und seien Sie sich selbst gegenüber ehrlich, was Sie verstehen und was nicht. Zu oft öffnen sich bei den kostenlos verfügbaren Firewallsystemen, welche immer wieder in einschlägigen Computerzeitschriften aufgeführt werden, unverständliche Meldungsfenster mit kryptischen Abfragen zu Diensten, Ports und Zugriffsweise. Folge sind zumeist größere Sicherheitslücken als ohne diese zusätzliche Firewall, da der Nutzer häufig durch fehlende Kenntnis über jeden einzelnen Prozess oder Port in seinem Betriebssystem auch gefährliche Zugriffe erlaubt um sich nicht auszusperren. Weniger gefährlich, dafür um so ärgerlicher sind Situationen, in denen man sicher sein wollte und sich dann ungewollt aus dem Interenet ausgesperrt hat.
Microsofts Windows XP ab SP2 und folgende Betriebssysteme bringen "ab Werk" schon eine eigene Firewall zur Grundsicherung mitbringen. Zusätzliche Firewallsystem sind nicht generell abzulehnen, sollten jedoch vorab mit einem Computer-Spezialisten Ihres Vertrauens abgesprochen werde, um unnötige Kosten durch spätere Fehlersuche und Konfigurationsanpassungen zu vermeiden.

Was tun, wenn ich einen Virus vermute?

Auch der beste Schutz wird Sie nie 100%ig schützen können. Dies ist auf logischen Wege einfach nicht möglich. Sollten Sie doch einmal einen Virus vermuten, bewahren Sie Ruhe und folgen Sie dieser Empfehlung.

Datum und Uhrzeit
Notieren Sie sich Datum und Uhrzeit des aufgetretenen Problemes, welches Sie zu der Annahme einer Vireninfektion geführt hat. Nutzen Sie hierfür nach Möglichkeit eine Funkuhr und zusätzlich (!!) die Datums und Zeitangabe des vermeintlich befallenen Computers.

Notizen
Notieren Sie sich die Auffälligkeiten, welche Sie zur Annahme einer Infektion führen möglichst genau inklusive eventueller Fehlermeldungen. Notieren Sie besser zu viele Informationen als zu wenig.

Tätigkeit vor Auftreten der Auffälligkeit
Fassen Sie möglichst genau zusammen, welche Software Sie zuletzt installiert haben und woher Sie die Software erhalten haben (inkl. Datenträger). Schreiben Sie Internetadressen (soweit noch bekannt) auf, nach deren Aufruf sich die Auffälligkeiten gezeigt haben. Je mehr Umgebungsinformationen vorliegen, um so effektiver gestalten sich Datenrettung und Systembereinigung.

System abschalten und vom Netz nehmen
Halten Sie umgehend Rücksprache mit Ihrem Partner für Computer-Service. Hier aufgeführte Hinweise werden ohne Gewähr auf eigene Verantwortung getätigt.
Trennen Sie den PC vom Internet. Stecken Sie hierzu das für Ihre Verbindung verantwortliche Netzwerkkabel / Modemkabel aus oder trennen Sie die WLAN-Verbindung.
Schalten Sie schnellstmöglich das entsprechende System ab. Im Bezug auf die Vireninfektion empfiehlt sich hierbei das Ausschalten des PC am Netzschalter des Netzteiles an der Rückseite bzw. das Herausziehen des Netzsteckers. Vermeiden Sie nach Möglichkeit das klassische Herunterfahren des Betriebssystemes, da im Rahmen dieses Prozesses weitere Installationen zur Virusinfektion möglich sind.
Legen Sie alle Datenträger, welche zum Computersystem gehören zurecht. Hierzu zählen Betriebssystemdatenträger, installierte Software, Lizenzdaten inkl. Lizenzschlüssel und Datenträger mit Betriebssystemtreibern.

Vermeiden Sie halbwissentliche Fehlersuche und Selbstversuche
"Der Nachbar wird's schon richten ..." ist hier in fast allen Fällen der falsche Ansatz; egal ob Nachbar, Nachbarsjunge, Bekannter oder Arbeitskollege. Viel Halbwissen aus angeblichen Fachzeitschriften gepaart mit hohem Selbstvertrauen führt erfahrungsgemäß zu mehr Schaden als bereits eingetreten.
Der Computer-Partner vor Ort oder im Service-Punkt in Ihrer Nähe ist immer der bessere Tipp. Denn, Ihr Vertrauen vorausgesetzt, finden Sie hier schnelle und effektive Hilfe durch fundierte Kentnisse und Know-How.