[Informatik] Computerviren

**imported_Wave** · 11.10.2005, 15:00

Ich muss ein Projekt über Computerviren machen, das geht eigentlich noch aber ich habe eine Frage. Wozu gehören Trojaner? Sind das auch Viren?

Außerdem vestehe ich diesen Satz nicht:
Viele Viren benutzen anstatt von polymorphen Signaturen sehr kleine Kennzeichnungen, wie zum Beispiel ein ungenutzes Byte im PE-Format. Ein Virenscanner kann dieses eine Byte nicht als Erkennungsmuster nutzen, da es zu viele "false positives" geben würden. Für einen Virus ist es jedoch kein Problem, wenn er unter ungünstigen Verhältnissen einige Dateien nicht infiziert.

**imported_scribble** · 11.10.2005, 16:17

Nein, Trojaner sind keine Viren. Viren sind kleine, nicht selbständig lauffähige Programmausschnitte, die andere Programme infizieren. Wird ein solches infiziertes Programm ausgeführt, kann der Viruscode sich selbst in weitere Programme kopieren und damit diese ebenfalls infizieren. Trojanische Pferde sind selbständig lauffähig. Sie werden als nützliches Programm "getarnt" oder in Verbindung mit einem nützlichen Programm verbreitet, führen aber (meist im Verborgenen) unerwünschte Aktionen durch. Viren und Trojaner gehören zur Gruppe der Malware (malicious = englisch "böse, niederträchtig"), wie beispielsweise auch Computerwürmer. Es gibt allerdings Malware, die gleichzeitig die Eigenschaften z. B. eines Trojaners und eines Wurms hat. In der Öffentlichkeit wird der Begriff "Computervirus" auch für jede Art von Malware verwendet. Tatsächlich sind die "Viren", die von Zeit zu Zeit durch die Medien gehen, in den meisten Fällen eigentlich Würmer.

Zur zweiten Frage: Wenn ein Virus ein Programm bereits infiziert hat, soll das nicht noch einmal geschehen. Deshalb kann ein Virus an bestimmten Eigenschaften des veränderten Programmes erkennen: "Hier war ich (oder meinesgleichen) schon mal, hier muß ich nicht mehr". Das nennt man die "Signatur", quasi die "Unterschrift" des Virus. Allerdings können daran natürlich auch Virenscanner infizierte Dateien erkennen und Alarm schlagen. Dagegen kann ein Virus unterschiedliche Strategien anwenden.

Eine ist, er benutzt mehrere Signaturen im Wechsel oder baut zufällige Bereiche ein. Dann kann der Virenscanner nicht mehr einfach sagen "Da steht das und das -> Virus!", sondern muß diesen Polymorphismus ("Vielgestaltigkeit") mit berücksichtigen.

Eine zweite Möglichkeit ist, die Signatur sehr kurz zu machen. Das hat statistische Gründe: Je länger eine Zeichenkette ist, desto unwahrscheinlicher ist es, daß eine bestimmte Zeichenfolge zufällig entsteht. Das bedeutet, je länger eine Virussignatur ist es, desto unwahrscheinlicher ist es, daß genau diese Bytefolge sich zufällig in einer nicht infizierten Datei wiederfindet. Damit kann der Virenscanner relativ sicher sein, wenn er diese Signatur findet, hat er auch den Virus gefunden.

Umgekehrt gilt natürlich das gleiche: Je kürzer eine Signatur ist, desto größer die Wahrscheinlichkeit, daß in einem Programm diese Bytefolge zufällig auftaucht, auch ohne daß die Datei infiziert ist. Der Virenscanner wird also vergleichsweise häufig "Feuer" schreien, ohne daß wirklich ein Virus da ist. Diese Fehlalarme nennt man "false positives". Damit wird der Virus zwar ebenfalls in einigen Fällen uninfizierte Dateien nicht infizieren, weil er sie für bereits infiziert hält, aber das ist - aus Sicht des Virus - weniger schlimm.

Bis dann,

scribble

**imported_Wave** · 18.10.2005, 14:48

Danke für die Antwort. Könnt ihr mir sagen, was ein 0190-Dialer ist und was das mit meinem Thema, also Computerviren zu tun hat, denn bei wikipedia habe ich nicht wirklich viel gefunden.

**imported_scribble** · 18.10.2005, 21:32

Wenn Du mit einem analogen Modem oder ISDN ins Internet gehst, ruft Dein Computer ja eine bestimmte Telefonnummer bei Deinem Provider an. Über dieses "Telefongespräch" läuft dann Deine Verbindung ins Internet. Das Wählen beim Telefon heißt auf Englisch "to dial", und ein Dialer ist allgemein einfach ein Programm, das Deinen Computer irgendwo anrufen läßt.

Das wird dann zum Problem, wenn das Wählen heimlich und ohne Zustimmung des Benutzers passiert. Rufnummern, die mit 0190 anfangen, können bekanntlich sehr teuer werden. Denn hier bezahlst Du die Dienstleistung desjenigen, den Du anrufst, über die Telefonrechnung. Das kann eine Computer-Hotline sein, die für ihre Dienste soundsoviel Euro pro Minute berechnet, irgendein Entertainment-Angebot oder auch Schweinkram für Erwachsene

Einige Seiten versuchen jetzt, heimlich auf den Rechnern ihrer Besucher Dialer zu installieren. Die trennen dann die Verbindung zu eigentlich gewünschten Internet-Anbieter und wählen sich bei einer teuren 0190er-Rufnummer neu ein. Der Benutzer merkt davon im schlimmsten Fall gar nichts, und die nächste Telefonrechnung lautet dann über ein paar tausend Euro...

Um dem Dialer-Unwesen Herr zu werden, gibt es verschiedene Ansätze. Ähnlich wie bei Virenscanner oder Anti-Spyware-Programmen gibt es auch Dialer-Schutzsoftware. Außerdem sollte man immer sehr mißtrauisch werden, wenn das Modem bzw. die ISDN-Karte plötzlich zu wählen beginnt, ohne daß man es selbst dazu aufgefordert hat

Bei vielen Telefonanbietern kann man auch Verbindungen zu 0190er-Nummern komplett oder teilweise sperren.

Außerdem müssen seit einiger Zeit alle Dialer bei der Regulierungsbehörde registriert sein. Um dort registriert zu werden, müssen sie einige Bedingungen erfüllen, z. B. sich nicht heimlich einwählen, ausreichend deutlich über den Preis informieren, etc. Ist ein Dialer nicht registriert, kann wenn ich mich richtig erinnere der Anbieter sein Geld nicht gerichtlich einklagen. Zum Jahresende werden alle 0190er-Nummern übrigens abgeschaltet. Die Mehrwertdienste laufen dann über die neue Vorwahl 0900. Bei der soll durch verschiedene Maßnahmen Mißbrauch besser bekämpft werden.

0190-Dialer sind keine Viren im eigentlichen Sinne, aber allemal Malware (siehe oben).

Bis dann,

scribble