Nein, Trojaner sind keine Viren. Viren sind kleine, nicht selbständig lauffähige Programmausschnitte, die andere Programme infizieren. Wird ein solches infiziertes Programm ausgeführt, kann der Viruscode sich selbst in weitere Programme kopieren und damit diese ebenfalls infizieren. Trojanische Pferde sind selbständig lauffähig. Sie werden als nützliches Programm "getarnt" oder in Verbindung mit einem nützlichen Programm verbreitet, führen aber (meist im Verborgenen) unerwünschte Aktionen durch. Viren und Trojaner gehören zur Gruppe der Malware (malicious = englisch "böse, niederträchtig"), wie beispielsweise auch Computerwürmer. Es gibt allerdings Malware, die gleichzeitig die Eigenschaften z. B. eines Trojaners und eines Wurms hat. In der Öffentlichkeit wird der Begriff "Computervirus" auch für jede Art von Malware verwendet. Tatsächlich sind die "Viren", die von Zeit zu Zeit durch die Medien gehen, in den meisten Fällen eigentlich Würmer.
Zur zweiten Frage: Wenn ein Virus ein Programm bereits infiziert hat, soll das nicht noch einmal geschehen. Deshalb kann ein Virus an bestimmten Eigenschaften des veränderten Programmes erkennen: "Hier war ich (oder meinesgleichen) schon mal, hier muß ich nicht mehr". Das nennt man die "Signatur", quasi die "Unterschrift" des Virus. Allerdings können daran natürlich auch Virenscanner infizierte Dateien erkennen und Alarm schlagen. Dagegen kann ein Virus unterschiedliche Strategien anwenden.
Eine ist, er benutzt mehrere Signaturen im Wechsel oder baut zufällige Bereiche ein. Dann kann der Virenscanner nicht mehr einfach sagen "Da steht das und das -> Virus!", sondern muß diesen Polymorphismus ("Vielgestaltigkeit") mit berücksichtigen.
Eine zweite Möglichkeit ist, die Signatur sehr kurz zu machen. Das hat statistische Gründe: Je länger eine Zeichenkette ist, desto unwahrscheinlicher ist es, daß eine bestimmte Zeichenfolge zufällig entsteht. Das bedeutet, je länger eine Virussignatur ist es, desto unwahrscheinlicher ist es, daß genau diese Bytefolge sich zufällig in einer nicht infizierten Datei wiederfindet. Damit kann der Virenscanner relativ sicher sein, wenn er diese Signatur findet, hat er auch den Virus gefunden.
Umgekehrt gilt natürlich das gleiche: Je kürzer eine Signatur ist, desto größer die Wahrscheinlichkeit, daß in einem Programm diese Bytefolge zufällig auftaucht, auch ohne daß die Datei infiziert ist. Der Virenscanner wird also vergleichsweise häufig "Feuer" schreien, ohne daß wirklich ein Virus da ist. Diese Fehlalarme nennt man "false positives". Damit wird der Virus zwar ebenfalls in einigen Fällen uninfizierte Dateien nicht infizieren, weil er sie für bereits infiziert hält, aber das ist - aus Sicht des Virus - weniger schlimm.
Bis dann,
scribble
Lesezeichen