Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Sunday, November 9, 2008

Aufbau von Computer Viren

Quelle May 08
default user iconBS Sicherheit - Teresa Barbas

Nachdem hier bereits sehr viele spezifische
Einträge zu Antiviren Programmen vorhanden sind, werde ich kurz auf den
allgemeinen Aufbau eines Computer – Virus eingehen.

Computerviren
haben sehr viele unterschiedliche Formen, daher ist die folgende Erklärung keineswegs ein Standard für alle Viren. Manche Viren können mehr Funktionen haben, andere wiederum weniger.

Da ein Computervirus immer ein Programm zu seiner Ausführung (Wirtsprogramm) benötigt, werden nur ausführbare oder interpretierbare Dateien infiziert.

Entschlüsselungsroutine:
Dieser Teil sorgt bei verschlüsselten Viren dafür, dass die verschlüsselten Daten wieder zur Ausführung gebracht werden können.
Nicht alle Viren besitzen diesen Teil, da nicht alle verschlüsselt sind.

Reproduktionsteil
: Mit diesem Programmteil wird die Vermehrung des Virus durchgeführt. Es ist der einzige Teil, den jedes Virus hat.

Erkennungsteil:
Im Erkennungsteil wird geprüft, ob die Infektion eines Programms oder Systembereichs bereits erfolgt ist. Jedes Wirts-Programm wird nur einmal infiziert. Hiermit wird auch die Entdeckung des Virus verzögert, da durch mehrfache Anlagerung des Virus-Codes die Dateien sonst so groß
werden, dass sie entweder nicht mehr ausführbar oder aber dem Benutzer die Größenveränderung schneller auffällt.

Schadensteil:
In einigen Viren ist absichtlich eine Schadensfunktion programmiert,
wobei im Verhältnis zur Zahl der Computerviren nur sehr wenige einen Schadensteil (Payload) haben.

Bedingungsteil(Triggerroutine): Der Bedingungsteil ist dafür verantwortlich, dass der Schadensteil ausgeführt wird. Bei einigen Viren tritt zum Beispiel der Schaden an einem bestimmten Datum oder bei einer bestimmten Anzahl von Aufrufen ein. Dieser Teil kann ebenfalls fehlen.

Tarnungsteil:
Der Tarnungsteil kann das Virus beispielsweise verschlüsseln, um die Entdeckung im infizierten System zu erschweren. Dieser Teil ist meist nur in wenigen, komplexen, neueren Viren vorhanden. Es gibt aber nur eine sehr geringe Anzahl von Viren, die nicht vollständig erkannt werden können (z. B.: Win32.ZMist, ACG, Win32.MetaPHOR oder OneHalf).

Bei
einer Infektion klinkt sich ein Virus in den Code eines Wirtsprogramms ein und platziert an dessen Beginn einen Sprungbefehl. Dieser ruft beim Start der verseuchten Datei den angehängten Virus auf. Der kann nun seine Instruktionen ausführen und übergibt am Schluss die Kontrolle wieder an das ursprüngliche Programm, das ganz normal weiterarbeitet.
Daher bemerkt der Anwender im Allgemeinen nichts von diesem Vorgang.

No comments: