Computervirus

Ein Computervirus (lateinisch virus ,Gift, Schleim'; Plural -viren) ist ein sich selbst verbreitendes Computerprogramm, welches sich in andere Computerprogramme, einen Bootsektor oder den RAM einschleust und sich damit reproduziert. Die Klassifizierung als Virus bezieht sich hierbei auf die Verbreitungs- und Infektionsfunktion.

Einmal gestartet, kann es Veranderungen am Betriebssystem oder an weiterer Software vornehmen (Schadfunktion), mittelbar auch zu Schaden an der Hardware fuhren. Als typische Auswirkung sind Datenverluste moglich. Computerviren beeintrachtigen die Computersicherheit und zahlen zur Malware.

Der Ausdruck Computervirus wird umgangssprachlich auch fur Computerwurmer und Trojanische Pferde genutzt, da es oft Mischformen gibt und fur Anwender der Unterschied kaum zu erkennen ist.

Wie sein biologisches Vorbild benutzt ein Computervirus die Ressourcen seines Wirtcomputers und schadet ihm dabei haufig. Auch vermehrt es sich meist unkontrolliert. Durch vom Virenautor eingebaute Schadfunktionen oder durch Fehler im Virus kann das Virus das Wirtssystem oder dessen Programme auf verschiedene Weisen beeintrachtigen, von harmloseren Storungen oder Datenverlust bis zu Hardwareschaden.

Viren sind oft in einem Wirtsprogramm eingebettet. Wird dieses Wirtsprogramm aufgerufen, wird das Virus ausgefuhrt, und kann sich weiter verbreiten.

Heutzutage sind Computerviren fast vollstandig von Wurmern verdrangt worden, da fast jeder Rechner an das Internet oder lokale Netze angeschlossen ist und die aktive Verbreitungsstrategie der Wurmer in kurzerer Zeit eine grossere Verbreitung ermoglicht. Viren sind nur noch in neuen Nischen (siehe unten) von Bedeutung.

Computerviren und -Wurmer verbreiten sich beide auf Rechnersystemen, jedoch basieren sie zum Teil auf vollkommen verschiedenen Konzepten und Techniken.

Ein Virus verbreitet sich, indem es sich selbst in noch nicht infizierte Dateien kopiert und diese so anpasst, dass das Virus mit ausgefuhrt wird, wenn das Wirtsprogramm gestartet wird. Zu den infizierbaren Dateien zahlen normale Programmdateien, Programmbibliotheken, Skripte, Dokumente mit Makros oder anderen ausfuhrbaren Inhalten sowie Bootsektoren (auch wenn letztere normalerweise vom Betriebssystem nicht als Datei reprasentiert werden).

Die Verbreitung auf neue Systeme erfolgt durch Kopieren einer infizierten Wirtsdatei auf das neue System durch einen Anwender. Dabei ist es unerheblich, auf welchem Weg diese Wirtsdatei kopiert wird: Fruher waren die Hauptverbreitungswege Wechselmedien wie Disketten, heute sind es Rechnernetze (zum Beispiel via E-Mail zugesandt, von FTP-Servern, Web-Servern oder aus Tauschborsen heruntergeladen). Es existieren auch Viren, die Dateien in freigegebenen Ordnern in lokalen Netzwerken infizieren, wenn sie entsprechende Rechte besitzen.

Im Gegensatz zu Viren warten Wurmer nicht passiv darauf, von einem Anwender auf einem neuen System verbreitet zu werden, sondern versuchen, aktiv in neue Systeme einzudringen. Sie nutzen dazu Sicherheitsprobleme auf dem Zielsystem aus, wie zum Beispiel:

• Netzwerkdienste, die Standardpassworter oder gar kein Passwort benutzen,
• Design- und Programmierfehler in Netzwerkdiensten,
• Design- und Programmierfehler in Anwenderprogrammen, die Netzwerkdienste benutzen (zum Beispiel E-Mail-Clients).

Ein Wurm kann sich dann wie ein Virus in eine andere Programmdatei einfugen; meistens versucht er sich jedoch nur an einer unauffalligen Stelle im System mit einem unauffalligen Namen zu verbergen und verandert das Zielsystem so, dass beim Systemstart der Wurm aufgerufen wird (wie etwa die Autostart-Funktion in Windows-Systemen).

In der Umgangssprache werden Computerwurmer wie ,,I Love You" oft als Viren bezeichnet, da der Unterschied fur Anwender oft nicht ersichtlich ist.

Das verwendete Betriebssystem hat grossen Einfluss darauf, wie hoch die Wahrscheinlichkeit einer Virusinfektion ist oder wie hoch die Wahrscheinlichkeit fur eine systemweite Infektion ist. Grundsatzlich sind alle Betriebssysteme anfallig, die einem Programm erlauben, eine andere Datei zu manipulieren. Ob Sicherheitssysteme wie beispielsweise Benutzerrechtesysteme vorhanden sind und verwendet werden, beeinflusst, inwieweit sich ein Virus auf einem System ausbreiten kann.

Betriebssysteme ohne jegliche Rechtesysteme wie DOS, darunter PC-kompatibles DOS wie MS-DOS, auf DOS bzw. MS-DOS basierende Windows-Systeme (Windows bis Version 3.x, aber auch Windows 9x) und Amiga-Systeme, sind grundsatzlich anfalliger als Systeme mit Zugriffskontrollen. Wenn der Benutzer ausschliesslich als Administrator arbeitet und somit in das Rechtesystem des Betriebssystems eingreifen kann, sind neuere Windows-Versionen (ab Windows NT), Unix und unixoide Systeme wie Linux und macOS genauso anfallig.

Besonders bei Windows NT und darauf basierenden Systemen wie Windows 2000 oder XP besteht das Problem, dass zwar ein gutes Benutzerrechtesystem vorhanden ist, dieses aber in der Standardeinstellung nicht verwendet wird, um die Rechte des Anwenders einzuschranken. Ein Grund dafur ist, dass nach der Installation von einigen Windows-Versionen die automatisch eingerichteten Benutzerkonten Administratorenrechte besitzen. Anders jedoch ab Windows Vista, wo die Einrichtung eines Standardkontos nicht die vollen Administratorrechte hat, und mit Hilfe der Benutzerkontensteuerung (UAC) wird zudem das System geschutzt. Die meisten Linux-Distributionen richten bei der Installation ein Nutzerkonto ohne administrative Rechte ein, so dass beim normalen Benutzen des Computers zunachst nur beschrankte Rechte zur Verfugung stehen und nur der spezielle Root-Account Administratorenrechte besitzt.

Wenn ein Anwender mit einem Benutzerkonto mit eingeschrankten Rechten arbeitet, kann ein Virus sich nur auf Dateien verbreiten, fur die der Benutzer die entsprechenden Rechte zur Veranderung besitzt. Dieses bedeutet normalerweise, dass Systemdateien vom Virus nicht infiziert werden konnen, solange der Administrator oder mit Administratorrechten versehene Systemdienste nicht Dateien des infizierten Benutzers aufrufen. Eventuell auf dem gleichen System arbeitende Benutzer konnen meist ebenfalls nicht infiziert werden, solange sie nicht eine infizierte Datei des infizierten Benutzers ausfuhren oder die Rechte des infizierten Benutzers es erlauben, die Dateien von anderen Benutzern zu verandern.

Da Windows-Systeme heute die weiteste Verbreitung auf PCs haben, sind sie derzeit das Hauptziel von Virenautoren. Die Tatsache, dass sehr viele Windows-Anwender mit Konten arbeiten, die Administratorrechte haben, sowie die Unkenntnis von Sicherheitspraktiken bei der relativ hohen Zahl unerfahrener Privatanwender macht Windows-Systeme noch lohnender als Ziel von Virenautoren.

Wahrend fur Windows-Systeme uber hunderttausende Viren bekannt sind, liegt die Zahl der bekannten Viren fur Linux und das klassische Mac OS deutlich niedriger. In ,,freier Wildbahn" werden allerdings weitaus weniger verschiedene Viren beobachtet, als theoretisch bekannt sind. Das erste Virus fur Apples Mac-OS-X-Betriebssystem wurde am 13. Februar 2006 im Forum einer US-amerikanischen Geruchteseite veroffentlicht. Bis dahin galt das Betriebssystem der Macintosh-Computer als ganzlich von Viren und Wurmern unbelastet. Der Hersteller von Windows-Antivirenprogrammen Sophos stellt in seinem Security Report 2006 offentlich fest, dass Mac OS X (nach 2012 ,,OS X" und seit 2016 ,,macOS") sicherer sei als Windows.^[1]

Bei Unix- und Linux-Systemen sorgen ebenfalls die hohen Sicherheitsstandards und die geringe Verbreitung dieser Systeme bei Endanwendern dafur, dass sie fur Virenautoren momentan kein lohnendes Ziel darstellen und Viren ,,in freier Wildbahn" praktisch nicht vorkommen. Anders sieht es bei Computerwurmern aus. Unix- bzw. Linux-Systeme sind wegen der hohen Marktanteile bei Internet-Servern mittlerweile ein haufiges Ziel von Wurmautoren.

Zur Pravention gegen Viren sollten Anwender keine unbekannte Dateien oder Programme aus unsicherer Quelle ausfuhren und generell beim Offnen von Dateien Vorsicht walten lassen. Das gilt insbesondere fur Dateien, die per E-Mail empfangen wurden, sowohl von unbekannten als auch von bekannten Absendern, insbesondere, wenn die Nachricht ungewohnlich oder nichtssagend erscheint. Bei heruntergeladener Software kann es ratsam sein, mehrere Tage mit der Benutzung zu warten und danach zu schauen, ob zwischenzeitlich ein Virus in der Software gefunden wurde. Bei bestehenden Dateien auf dem Computer kann auf das Datum der letzten Anderung geschaut werden. Verdachtig ist es, wenn eine altere Datei ein ungewohnlich neues Datum aufweist.^[2]

Eine weitere starke Schutzmoglichkeit ware es, die Konnektivitat zwischen Computern einzuschranken. Wurde man sicherstellen, dass ein Computer nur eigene Dateien verschicken darf, aber nicht solche Dateien, die seinerseits von anderen Computern empfangen wurden, wurde dies die Verbreitung von Viren stark einschrankten. Allerdings ist eine solche Massnahme in der Praxis nur schwer umzusetzen.^[2]

Auch durch eine Limitierung der Moglichkeiten, empfangene Daten auszufuhren, kann die Verbreitung eingeschrankt werden. Computer, die beispielsweise nur fur eine bestimmte Aufgabe gebraucht werden, konnen so eingestellt werden, dass empfangene Daten nur interpretiert aber nicht ausgefuhrt werden.^[2]

Betriebssystem und Anwendungen sollten regelmassig aktualisiert werden und vom Hersteller bereitgestellte Service Packs und Patches/Hotfixes eingespielt werden. Dabei ist zu beachten, dass es einige Zeit dauern kann, bis Patches bereitgestellt werden.^[3] Einige Betriebssysteme vereinfachen diese Prozedur, indem sie das automatische Herunterladen und Installieren von Aktualisierungen unterstutzen. Manche unterstutzen sogar das gezielte Herunterladen und Installieren nur derjenigen Aktualisierungen, die sicherheitskritische Probleme beheben. Dazu gibt es auch die Moglichkeit, die Service Packs und Hotfixes fur Windows 2000 und Windows XP via ,,Offline-Update" einzuspielen. Diese Offline-Updates sind besonders bei neuen PCs zu empfehlen, da andernfalls der PC bereits beim ersten Verbinden mit dem Internet infiziert werden konnte.

Die eingebauten Schutzfunktionen des Betriebssystems sollten ausgenutzt werden. Dazu zahlt insbesondere, nicht als Administrator mit allen Rechten, sondern als Nutzer mit eingeschrankten Rechten zu arbeiten, da dieser keine Software systemweit installieren darf.

Das automatische Offnen von Dateien aus dem Internet sowie das automatische Ausblenden von bekannten Dateianhangen sollte deaktiviert werden, um nicht versehentlich Dateien auszufuhren, die man sonst als getarnten Schadling erkennen wurde. Auch durch die Autostartfunktion fur CD-ROMs und DVD-ROMs konnen Programme bereits beim Einlegen eines solchen Datentragers ausgefuhrt und damit ein System infiziert werden.

Es existieren auch Computerviren fur Nicht-Microsoft-Betriebssysteme wie Symbian, Linux, Mac OS und Betriebssysteme der BSD-Reihe. Da diese Viren jedoch kaum verbreitet sind, stellen sie fur den Benutzer keine grosse Gefahr dar. Ein Grund dafur ist einerseits die geringere Verbreitung dieser Plattformen (deren Verbreitung lag Anfang 2009 bei ca. funf Prozent),^[4] sodass Virenentwickler diese Systeme in der Vergangenheit eher verschont haben und es andererseits fur die Schadprogramme eine erhebliche Schwierigkeit bietet, weitere Infektionsopfer zu finden. Ein weiterer, technischer Grund ist die explizite Rechtetrennung vieler anderer Betriebssysteme. Bei quelloffenen Betriebssystemen kommt noch hinzu, dass es viele verschiedene Distributionen gibt, was wiederum eine Einschrankung fur Viren darstellt.

Personal Firewalls zeigen gegen Viren keine Wirkung, da ihre Funktionalitat auf die Arbeitsweise von Wurmern zugeschnitten ist und Viren nicht beeintrachtigt.

Antivirenprogramme schutzen im Wesentlichen nur vor bekannten Viren. Daher ist es bei der Benutzung eines solchen Programms wichtig, regelmassig die von den Herstellern bereitgestellten aktualisierten Virensignaturen einzuspielen. Viren der nachsten Generation (Tarnkappenviren) konnen von Antivirensoftware fast nicht mehr erkannt werden^[5] (siehe auch Rootkit).

Mit Hilfe dieser Programme werden Festplatte und Arbeitsspeicher nach schadlichen Programmen durchsucht. Antivirenprogramme bieten meist zwei Betriebsmodi: einen manuellen, bei dem das Antivirenprogramm erst auf Aufforderung des Benutzers alle Dateien einmalig uberpruft (on demand), und einen automatischen, bei dem alle Schreib- und Lesezugriffe auf die Festplatte und teilweise auch auf den Arbeitsspeicher uberpruft werden (on access). Es gibt Antivirenprogramme, die mehrere fur das Scannen nach Viren verantwortliche Programmmodule (engines) nutzen. Wenn diese unabhangig voneinander suchen, steigt die Erkennungswahrscheinlichkeit.

Antivirenprogramme bieten nie vollstandigen Schutz, da die Erkennungsrate selbst bei bekannten Viren nicht bei 100 % liegt. Unbekannte Viren konnen von den meisten dieser Programme anhand ihres Verhaltens entdeckt werden (,,Heuristik"); diese Funktionen arbeiten jedoch sehr unzuverlassig. Auch entdecken Antivirenprogramme Viren oft erst nach der Infektion und konnen das Virus unter Umstanden nicht im normalen Betrieb entfernen.

Besteht der berechtigte Verdacht einer Infektion, sollten nacheinander mehrere On-Demand-Programme eingesetzt werden. Dabei ist es sinnvoll, darauf zu achten, dass die Programme unterschiedliche Engines nutzen, damit die Erkennungsrate steigt. Es gibt Antivirenprogramme verschiedener Hersteller, welche die gleichen Scan-Methoden anwenden, also damit auch ein ahnliches Risiko haben, bestimmte Viren zu ubersehen. Verschiedene On-Access-Antivirenprogramme (,,Wachter", ,,Guard", ,,Shield" usw.) sollten nie gleichzeitig installiert werden, weil das zu Fehlfunktionen des PC fuhren kann: Da viele dieser On-Access-Scanner bereits beim Hochfahren des Betriebssystems nach Bootsektorviren suchen, werden sie quasi gleichzeitig gestartet und versuchen einen alleinigen und ersten Zugriff auf jede zu lesende Datei zu erlangen, was naturgemass unmoglich ist und daher zu schweren Systemstorungen fuhren kann bzw. muss.

Werden mehrere On-Demand-Scanner installiert und - auch unabhangig, also nicht gleichzeitig - gestartet und ausgefuhrt, sind falsche Virenfunde haufig, bei denen das eine Programm die Virensignaturen des anderen auf der Festplatte oder im Arbeitsspeicher als Virus erkennt bzw. schon gesicherte Virendateien im sogenannten ,,Quarantane-Ordner" des anderen Programms findet. Auch ein On-Access-Scanner kann deshalb bei einem zusatzlich gestarteten On-Demand-Scanvorgang eines anderen Virensuchprogramms im Konkurrenzprodukt also falschlich eine oder mehrere Viren finden.

Grundsatzlich sollte gelegentlich, aber regelmassig der gesamte PC auf Viren untersucht werden, da - mit Hilfe neuer Virensignaturen - alte, fruher nicht erkannte Virendateien entdeckt werden konnen und daruber hinaus auch die ,,Wachtermodule" ein und desselben Herstellers manchmal anders suchen und erkennen als der zugehorige On-Demand-Scanner.

Live-Systeme wie Knoppix, die unabhangig vom installierten Betriebssystem von einer CD gestartet werden, bieten nahezu vollstandigen Schutz, wenn keine Schreibgenehmigung fur die Festplatten erteilt wird. Weil keine Veranderungen an Festplatten vorgenommen werden konnen, kann sich kein schadliches Programm auf der Festplatte einnisten. Speicherresidente Malware kann aber auch bei solchen Live-Systemen Schaden anrichten, indem diese Systeme als Zwischenwirt oder Infektionsherd fur andere Computer dienen konnen. Malware, die direkt im Hauptspeicher residiert, wird erst bei einem Reboot unschadlich gemacht.

Bootviren zahlen zu den altesten Computerviren. Diese Viren waren bis 1995 eine sehr verbreitete Form von Viren. Ein Bootsektorvirus infiziert den Bootsektor von Disketten und Festplattenpartitionen oder den Master Boot Record (MBR) einer Festplatte.

Der Bootsektor ist der erste physische Teil einer Diskette oder einer Festplattenpartition. Festplatten haben ausserdem einen sogenannten Master Boot Record. Dieser liegt wie der Bootsektor von Disketten ganz am Anfang des Datentragers. Bootsektoren und MBR enthalten mit den Bootloadern die Software, die von einem Rechner direkt nach dessen Start ausgefuhrt wird, sobald die Firmware bzw. das BIOS den Rechner in einen definierten Startzustand gebracht hat. Ublicherweise laden Boot-Loader das installierte Betriebssystem und ubergeben diesem die Kontrolle uber den Computer.

Wie beschrieben sind Boot-Loader solche Programme, die vor dem Betriebssystem ausgefuhrt werden und deshalb fur Viren sehr interessant: Bootviren konnen in das Betriebssystem, das nach ihnen geladen wird, eingreifen und dieses manipulieren oder komplett umgehen. Dadurch konnen sie sich beispielsweise auf Bootsektoren eingelegter Disketten verbreiten.

Ladt ein Rechner nicht den MBR der Festplatte, sondern den infizierten Bootsektor einer Diskette, versucht das enthaltene Bootvirus meist, sich in den MBR der Festplatte zu verbreiten, um bei jedem Start des Computers ohne Diskette aktiv werden zu konnen.

Bootviren haben jedoch mit den technischen Limitierungen, die mit dem Speicherort ,,Bootsektor" oder vor allem ,,MBR" einhergehen, zu kampfen: Sie konnen maximal 444 Bytes gross sein, sofern sie nicht noch weitere Bestandteile auf anderen Bereichen der Festplatte verstecken. Der MBR ist nach Industrienorm ein Sektor, also 512 Byte gross, aber einige Bytes werden fur die Hardware- und BIOS-Kompatibilitat verbraucht. Ausserdem mussen sie die Aufgaben des Boot-Loaders ubernehmen, damit das System funktionsfahig bleibt, was von dem ohnehin schon sehr geringen Platz fur die Virenlogik noch weiteren Platz wegnimmt. Da sie vor einem Betriebssystem aktiv werden, konnen sie ausserdem nicht auf von einem Betriebssystem bereitgestellte Funktionen wie das Finden und Offnen einer Datei zuruckgreifen.

Seit 2005 gibt es auch Bootsektorviren fur CD-ROMs. Diese infizieren bootfahige CD-ROM-Abbilddateien. Es ist technisch moglich, einen Bootsektorvirus fur ein bootfahiges lokales Netzwerk oder fur einen USB-Stick zu erstellen, dies ist aber bis jetzt noch nicht geschehen.

Heutzutage gibt es beinahe keine Bootsektorviren mehr, da BIOS und Betriebssysteme meistens einen gut funktionierenden Schutz vor ihnen haben. Zwar gibt es Bootsektorviren, die diesen Schutz umgehen konnen, doch ist ihre Verbreitung im Allgemeinen sehr langsam. Durch die technischen Probleme, die mit diesem Virentyp einhergehen, fordern sie vom Virenautor ausserdem deutlich mehr Wissen und Programmierfertigkeiten als bei anderen Virenformen notwendig, wahrend sie zugleich seine Moglichkeiten stark einschranken.

Linkviren oder Dateiviren sind der am haufigsten anzutreffende Virentyp. Sie infizieren ausfuhrbare Dateien oder Programmbibliotheken auf einem Betriebssystem.

Um eine ausfuhrbare Datei zu infizieren, muss das Virus sich in diese Wirtsdatei einfugen (oft direkt am Ende, da dies am einfachsten ist). Ausserdem modifiziert das Virus die Wirtsdatei so, dass das Virus beim Programmstart aufgerufen wird. Eine spezielle Form von Linkviren wahlt eine andere Strategie und fugt sich in eine bestehende Programmfunktion ein.

Zu den verschiedenen Arten von Linkviren siehe Infektionsarten.

Makroviren benotigen Anwendungen, die Dokumente mit eingebetteten Makros verarbeiten. Sie befallen Makros in nicht-infizierten Dokumenten oder fugen entsprechende Makros ein, falls diese noch nicht vorhanden sind.

Makros werden von vielen Office-Dokument-Typen verwendet. Aber auch andere Dokumentdateien konnen Makros enthalten. Sie dienen normalerweise dazu, in den Dokumenten wiederkehrende Aufgaben zu automatisieren oder zu vereinfachen.

Haufig unterstutzen Anwendungen mit solchen Dokumenten ein spezielles Makro, das automatisch nach dem Laden des Dokuments ausgefuhrt wird. Dies ist ein von Makroviren bevorzugter Ort fur die Infektion, da er die hochste Aufrufwahrscheinlichkeit hat. Wie Linkviren versuchen auch Makroviren, noch nicht infizierte Dateien zu befallen.

Da die meisten Anwender sich nicht bewusst sind, dass beispielsweise ein Textdokument ausfuhrbare Inhalte und damit ein Virus enthalten kann, gehen sie meist relativ sorglos mit solchen Dokumenten um. Sie werden sehr oft an andere Anwender verschickt oder auf offentlichen Servern zum Herunterladen angeboten. Dadurch konnen sich Makroviren recht gut verbreiten. Um das Jahr 2000 herum stellten sie die grosste Bedrohung dar, bis sie darin von den Computerwurmern abgelost wurden.

Ein Schutz gegen Makroviren besteht darin, dafur zu sorgen, dass nur zertifizierte Makros von der Anwendung ausgefuhrt werden. Dies ist insbesondere fur (grossere) Unternehmen und Behorden von Interesse, wo eine zentrale Zertifizierungsstelle Makros zum allgemeinen Gebrauch vor deren Freigabe uberpruft und akzeptierte Makros zertifiziert.

Es empfiehlt sich weiterhin, das automatische Ausfuhren von Makros in der entsprechenden Anwendung auszuschalten.

Ein Skript ist ein Programm, welches nicht durch einen Compiler in Maschinensprache ubersetzt wird, sondern durch einen Interpreter Schritt fur Schritt ausgefuhrt wird. Ein Skript wird haufig auf Webservern verwendet (zum Beispiel in Form der Skriptsprache Perl oder PHP) sowie clientseitig durch in Webseiten eingebettete Skriptsprachen (zum Beispiel JavaScript).

Ein Skript wird gerne in Webseiten zusatzlich zu normalem HTML oder XML eingesetzt, um Funktionen zu realisieren, die sonst nur unter Zuhilfenahme ausfuhrbarer Programme auf dem Server (CGI-Programme) realisierbar waren. Solche Funktionen sind zum Beispiel Gastebucher, Foren, dynamisch geladene Seiten oder Webmailer. Skriptsprachen sind meist vom Betriebssystem unabhangig. Um ein Skript auszufuhren, wird ein passender Interpreter - ein Programm, das das Skript von einer fur den Menschen lesbaren Programmiersprache in eine interne Reprasentation umsetzt und dann ausfuhrt - benotigt. Wie alle anderen Viren auch sucht das Skriptvirus eine geeignete Wirtsdatei, die es infizieren kann.

Im Falle von HTML-Dateien fugt sich das Skriptvirus in einen speziellen Bereich, den Skriptbereich, einer HTML-Datei ein (oder erzeugt diesen). Die meisten Browser laden diesen Skriptbereich des HTML-Dokuments, um ihn schliesslich auszufuhren. Diese speziellen Skriptviren verhalten sich also fast genauso wie die oben beschriebenen Makroviren.

Unix-, macOS- und Linux-Systeme benutzen fur die Automatisierung vieler Aufgaben Skripte, welche zum Beispiel fur eine Unix-Shell wie Bash, in Perl oder in Python geschrieben wurden. Die Kommandozeileninterpreter aus MS-DOS und Windows konnen ebenfalls spezielle Skripte ausfuhren. Auch fur diese Skriptsprachen gibt es Viren, die allerdings nur Laborcharakter haben und in der ,,freien Wildbahn" so gut wie nicht anzutreffen sind. Sie konnen ausserdem nicht, wie in HTML eingebettete Skriptviren, versehentlich eingefangen werden, sondern man muss - wie bei einem Linkvirus - erst ein verseuchtes Skript auf sein System kopieren und ausfuhren.

Nicht alle Computerviren fallen eindeutig in eine spezielle Kategorie. Es gibt auch Mischformen wie zum Beispiel Viren, die sowohl Dateien als auch Bootsektoren infizieren (Beispiel: Kernelviren) oder Makroviren, die auch Programmdateien infizieren konnen. Bei der Zusammensetzung ist beinahe jede Variation moglich.

Die EICAR-Testdatei ist eine Datei, die benutzt wird, um Virenscanner zu testen. Sie ist kein Virus und enthalt auch keinen ,,viralen" Inhalt, sondern ist nur per Definition als Virus zu erkennen. Jeder Virenscanner sollte diese Datei erkennen. Sie kann deswegen benutzt werden, um auf einem System - das von keinem Virus infiziert wurde - zu testen, ob der Virenscanner korrekt arbeitet.

Companion-Viren infizieren nicht die ausfuhrbaren Dateien selbst, sondern benennen die ursprungliche Datei um und erstellen eine Datei mit dem ursprunglichen Namen, die nur das Virus enthalt, oder sie erstellen eine Datei mit ahnlichem Namen, die vor der ursprunglichen Datei ausgefuhrt wird. Es handelt sich also nicht um ein Virus im eigentlichen Sinne, da kein Wirtsprogramm manipuliert wird.

Unter MS-DOS gibt es beispielsweise Companion-Viren, die zu einer ausfuhrbaren EXE-Datei eine versteckte Datei gleichen Namens mit der Endung ,,.com" erstellen, die dann nur das Virus enthalt. Wird in der Kommandozeile von MS-DOS ein Programmname ohne Endung eingegeben, sucht das Betriebssystem zuerst nach Programmen mit der Endung ,,.com" und danach erst nach Programmen mit der Endung ,,.exe", so dass der Schadling vor dem eigentlichen Programm in der Suchreihenfolge erscheint und aufgerufen wird. Der Schadling fuhrt, nachdem er sich meist im Arbeitsspeicher festgesetzt hat, das ursprungliche Programm aus, so dass der Benutzer oft nichts von der Infektion bemerkt.

Uberschreibende Computerviren sind die einfachste Form von Viren, wegen ihrer stark zerstorenden Wirkung aber am leichtesten zu entdecken. Wenn ein infiziertes Programm ausgefuhrt wird, sucht das Virus nach neuen infizierbaren Dateien und uberschreibt entweder die ganze Datei oder nur einen Teil derselben (meist den Anfang) mit einer benotigten Lange. Die Wirtsdatei wird dabei irreparabel beschadigt und funktioniert nicht mehr oder nicht mehr korrekt, wodurch eine Infektion praktisch sofort auffallt.

Diese Art von Computerviren fugt sich am Anfang der Wirtsdatei ein. Beim Ausfuhren der Wirtsdatei wird zuerst das Virus aktiv, das sich weiterverbreitet oder seine Schadwirkung entfaltet. Danach stellt das Virus im Arbeitsspeicher den Originalzustand des Wirtsprogramms her und fuhrt dieses aus. Ausser einem kleinen Zeitverlust merkt der Benutzer nicht, dass ein Virus gerade aktiv wurde, da die Wirtsdatei vollkommen arbeitsfahig ist.

Ein Appender-Virus fugt sich an das Ende einer zu infizierenden Wirtsdatei an und manipuliert die Wirtsdatei derart, dass es vor dem Wirtsprogramm zur Ausfuhrung kommt. Nachdem das Virus aktiv geworden ist, fuhrt es das Wirtsprogramm aus, indem es an den ursprunglichen Programmeinstiegspunkt springt. Diese Virusform ist leichter zu schreiben als ein Prepender, da das Wirtsprogramm nur minimal verandert wird und es deshalb im Arbeitsspeicher nicht wiederhergestellt werden muss. Da Appender einfach zu implementieren sind, treten sie relativ haufig auf.

Der Fachbegriff ,,Entry Point Obscuring" (kurz: EPO) heisst ubersetzt ,,Verschleierung des Einsprungspunktes". Viren, die diese Technik benutzen, suchen sich zur Infektion einen bestimmten Punkt in der Wirtsdatei, der nicht am Anfang oder am Ende liegt. Da dieser Punkt von Wirt zu Wirt variiert, sind Viren dieses Typs relativ schwierig zu entwickeln, da unter anderem eine Routine zum Suchen eines geeigneten Infektionspunktes benotigt wird. Der Vorteil fur diesen Virentyp besteht darin, dass Virenscanner die gesamte Datei untersuchen mussten, um EPO-Viren zu finden - im Gegensatz zum Erkennen von Prepender- und Appender-Viren, bei denen der Virenscanner nur gezielt Dateianfang und -ende untersuchen muss. Sucht ein Virenscanner also auch nach EPO-Viren, benotigt er mehr Zeit - wird der Virenscanner so eingestellt, dass er Zeit spart, bleiben EPO-Viren meist unentdeckt.

Fur das Entry Point Obscuring sucht sich das Virus einen speziellen Ort, wie etwa eine Programmfunktion, irgendwo in der Datei, um diese zu infizieren. Besonders lohnend ist zum Beispiel die Funktion zum Beenden des Programms, da sie meist ein leicht zu identifizierendes Erkennungsmuster hat und genau einmal aufgerufen wird. Wurde das Virus eine zeitkritische Funktion oder eine sehr haufig aufgerufene Funktion infizieren, fiele es leichter auf. Das Risiko fur EPO-Viren besteht darin, dass sie sich unter Umstanden einen Punkt in einem Wirt aussuchen konnen, der nie oder nicht bei jeder Ausfuhrung des Wirtes aufgerufen wird.

Speicherresidente Viren verbleiben auch nach Beendigung des Wirtprogramms im Speicher. Unter MS-DOS wurde eine Technik namens TSR (Terminate and Stay Resident) verwendet, in Betriebssystemen wie Windows, Unix oder Unix-ahnlichen Systemen (Linux, macOS) erzeugt das Virus einen neuen Prozess. Das Virus versucht in diesem Fall, dem Prozess einen unverdachtig wirkenden Prozessnamen zu geben oder seinen Prozess komplett zu verstecken. Gelegentlich versuchen diese Viren auch, Funktionen des Betriebssystems zu manipulieren oder auf sich umzuleiten, sofern das Betriebssystem dieses ermoglicht bzw. nicht verhindert.

Computerviren dieser Art ergreifen besondere Massnahmen, um ihre Existenz zu verschleiern. So werden Systemaufrufe abgefangen, so dass zum Beispiel bei der Abfrage der Grosse einer infizierten Datei die Grosse vor der Infektion angegeben wird (manche Viren verandern die ursprungliche Grosse auch gar nicht, weil sie sich in unbenutzte Bereiche der Datei kopieren) oder auch beim Lesen der Datei die Daten der ursprunglichen Datei zuruckgeben.

Dieser Typ von Viren verschlusselt sich selbst. Der Schlussel kann dabei von Infektion zu Infektion variieren. Das soll Antivirenprogramme daran hindern, einfach nach einer bestimmten Zeichenfolge in Dateien suchen zu konnen. Die Routine zum Entschlusseln muss aber naturgemass in normaler Form vorliegen und kann von Antivirenprogrammen erkannt werden.

Diese Art von Viren andern ihre Gestalt von Generation zu Generation, teilweise vollkommen. Das geschieht oft in Kombination mit Verschlusselung - hierbei wird eine variable Verschlusselung benutzt. Ein Teil des Virus muss jedoch in unverschlusselter Form vorliegen, um bei der Ausfuhrung den Rest zu entschlusseln. Um auch diesen Teil variabel zu gestalten, wird die Entschlusselungsroutine bei jeder Infektion neu erstellt. Die Routine, die die Entschlusselungsroutine immer neu erstellt, befindet sich dabei selbst im verschlusselten Teil des Virus und kann zum Beispiel voneinander unabhangige Befehle austauschen und Operationen mit verschiedenen Befehlssequenzen kodieren, so dass verschiedene Varianten entstehen.

Im Gegensatz zu polymorphen Viren, die nur die Gestalt des Codes (durch variable Verschlusselung oder Permutation) andern, wird bei Metamorphismus der Virus temporar in eine Metasprache umgeschrieben (daher der Name). Die Metasprache wird unter Anwendung von einem Obfuscator wieder kompiliert. Die formale Grammatik des Virus bleibt immer dieselbe.^[6]

Diese Technik ist moglich, da die Assemblersprache fur einen Befehl verschiedene Moglichkeiten bietet, diesen auszufuhren. Zum Beispiel kann der Befehl mov eax, 0x0 in xor eax, eax oder sub eax, eax umgewandelt werden. Da eine Mutation eine Veranderung der Befehlsfolge des Virus ist (und nicht nur eine andere Darstellung der gleichen Befehlsfolge), sind metamorphe Viren schwerer zu erkennen als polymorphe.^[7]

Beispiele sind Win32.ZMist, Win32.MetaPHOR oder Win32.SK. Obwohl diese Viren hochkomplex sind und vielen Antiviren-Herstellern Probleme bereitet haben,^[8] sind sie vom theoretischen Standpunkt aus gesehen noch trivial.^[9]

Retroviren zielen darauf ab, Virenschutzprogramme und Personal Firewalls zu deaktivieren. Da sie sich dadurch nicht nur selbst vor Entdeckung schutzen, sondern auch anderen Schadprogrammen Tur und Tor offnen, gelten sie als sehr gefahrlich.

Computerviren sind vor allem gefurchtet, weil sie den Ruf haben, samtliche Daten zu zerstoren. Das ist aber nur in sehr wenigen Fallen richtig. Die meisten Computerviren versuchen hauptsachlich, sich selbst moglichst weit zu verbreiten und deswegen nicht aufzufallen.

Harmlose Auswirkungen

Eine Eigenschaft, die jedes Virus hat, ist das Stehlen von Rechnerzeit und -speicher. Da ein Virus sich selbst verbreitet, benutzt es die Leistung des Prozessors und der Festplatten. Viren sind aber im Normalfall so geschrieben, dass sie fur das System keine spurbare Beeintrachtigung darstellen, so dass sie der Benutzer nicht erkennt. Bei der Grosse aktueller Festplatten fallt auch der zusatzlich benotigte Festplattenplatz nicht mehr auf.

Ungewollte Schaden - Programmierfehler

Viele Computerviren enthalten Fehler, welche unter gewissen Umstanden zu fatalen Folgen fuhren konnen. Diese Fehler sind zwar meistens unbeabsichtigt, konnen trotzdem Dateien durch eine falsche Infektion zerstoren oder gar in Einzelfallen ganze Datenbestande vernichten.

,,Existenzbericht" - Meldungen an den Benutzer

Manche Viren geben dem Benutzer ihre Existenz bekannt. Beispiele fur Meldungen von Viren konnen zum Beispiel sein:

• Piepsen bzw. Musik
• Meldungsboxen oder plotzlich auftauchende Texte auf dem Bildschirm mit oft (fur den Virusautor) amusanten Nachrichten oder gar politischem Inhalt
• Manipulation des Bildschirminhaltes wie herunterfallende Buchstaben, Verzerrungen oder uber den Bildschirm wandernde Objekte.

Die meisten dieser Existenzmeldungen sind harmlos und erfolgen oft nur zu bestimmten Uhrzeiten oder nur an bestimmten Tagen, um nicht zu schnell aufzufallen und so eine hohere Verbreitung zu erlangen. Es gibt auch ,,Viren", die keine eigentliche Schadroutine enthalten, sondern lediglich derartige Meldungen. Dabei handelt es sich um sogenannte Joke-Programme. Beispiele hierfur sind etwa Eatscreen oder FakeBlueScreen.

Datenzerstorung

Durch das Infizieren von Dateien werden die darin enthaltenen Daten manipuliert und moglicherweise zerstort. Da jedoch die meisten Viren vor Entdeckung geschutzt werden sollen, ist eine Rekonstruktion der Daten in vielen Fallen moglich.

Einige wenige Viren wurden speziell zur Zerstorung von Daten geschrieben. Das kann vom Loschen von einzelnen Dateien bis hin zum Formatieren ganzer Festplatten fuhren. Diese Art von Payload wird von den meisten Menschen unmittelbar in Verbindung mit allen Viren gebracht. Da der Speicher der ,,Lebensraum" von Viren ist, zerstoren sie sich mit diesen Aktionen oft selbst.

Hardwarezerstorung

Direkte Hardwarezerstorung durch Software und somit durch Computerviren ist nur in Einzelfallen moglich. Dazu musste dem Virenautor bekannt sein, wie eine bestimmte Hardware so extrem oder fehlerhaft angesteuert werden kann, dass es zu einer Zerstorung kommt. Einige (z. T. eher theoretische) Beispiele fur solche Moglichkeiten sind:

• Das Senden extremer Bildsignale an Bildschirme. Heute nicht mehr gebrauchliche Festfrequenzmonitore waren dafur anfallig, es gab Viren, die diese Angriffe auf solche Monitore tatsachlich durchgefuhrt haben. Heute ist eine Beschadigung durch fehlerhafte bzw. extreme Bildsignale so gut wie ausgeschlossen.
• Ubertakten von Grafikkarten, die es erlauben, die Taktfrequenz der Bausteine per Software einzustellen. Bei einer zu hohen Ubertaktung und nicht ausreichenden Kuhlung konnen Bausteine uberhitzen und beschadigt oder zerstort werden.
• Ubertakten von Bausteinen auf der Hauptplatine, die dadurch selbst uberhitzen oder andere Bauteile uberlasten konnen (Widerstande, integrierte Bausteine).
• Unbenutzbarkeit von Festplatten durch bestimmte inoffizielle ATA-Kommandos.
• Reduzierung der Luftergeschwindigkeit, um Uberhitzung der Komponenten zu verursachen.

Da im heutigen PC-Bereich die Hardwarekomponentenauswahl sehr heterogen ist, gilt bisher die Meinung, dass es sich fur Virenautoren nicht lohnt, solche Angriffe durchzufuhren.

Firmwarezerstorung

Ein als Hardwareschaden missinterpretierter Schaden ist das Uberschreiben des BIOS, das heute meist in Flash-Speichern gespeichert ist. Wird dieser Flash-Speicher boswillig uberschrieben, kann der Rechner nicht mehr starten. Da der Rechner nicht mehr startet, wird oft falschlicherweise ein Hardwareschaden angenommen. Der Flash-Speicher muss in diesem Fall ausgebaut und mit einem korrekten BIOS neu bespielt werden. Ist der Flash-Speicher fest eingelotet, ist das Ausbauen wirtschaftlich oft nicht rentabel und die gesamte Hauptplatine muss ausgetauscht werden.^[10] Bei Hauptplatinen mit SPI- oder JTAG-Interface fur den Flash-Speicher kann ein geloschtes oder uberschriebenes BIOS mittels geeigneter Programmiergerate erneuert werden.

Der wirtschaftliche Schaden durch Computerviren ist geringer als der Schaden durch Computerwurmer. Grund dafur ist, dass sich Viren nur sehr langsam verbreiten konnen und dadurch oft nur lokal verbreitet sind.

Ein weiterer Grund, warum der wirtschaftliche Schaden bei Computerviren nicht so hoch ist, ist die Tatsache, dass sie den angegriffenen Computer oder die angegriffene Datei im Allgemeinen fur einen langeren Zeitraum brauchen, um sich effektiv verbreiten zu konnen. Computerviren, die Daten sofort zerstoren, sind sehr ineffektiv, da sie mit dieser Aktion auch ihren eigenen Lebensraum zerstoren.

Im Zeitalter der DOS-Viren gab es trotzdem einige Viren, die erheblichen Schaden angerichtet haben. Ein Beispiel ist das Virus DataCrime, das gesamte Datenbestande vernichtet hat. Viele Regierungen reagierten auf dieses Virus und verabschiedeten Gesetze, die das Verbreiten von Computerviren zu einer Straftat machen.

Auch unter Windows gab es vereinzelt Falle von Computerviren, die gravierende finanzielle Schaden fur einzelne Unternehmen bedeuteten. So wurde Anfang 1998 das XM/Compat-Virus entdeckt, ein Makro-Virus, das Microsoft-Excel-Dateien mit einer ausserst bosartigen Schadfunktion befallt: Immer, wenn Excel beendet wird, durchforstet der Schadling ein zufalliges Dokument aus der Bearbeitungs-History nach ungeschutzten Zellen mit numerischen Werten. In diesen Zellen andert er die Werte mit einer einprozentigen Wahrscheinlichkeit zufallig in einem Rahmen von +5 bis -5 % ab. Aufgrund der zunachst nur unwesentlichen Veranderungen fallen die so manipulierten Daten moglicherweise erst nach Wochen oder gar Monaten auf. Wird der Schaden entdeckt, lasst er sich nur durch die Einspielung eines Backups wieder beheben - dazu muss naturlich bekannt sein, wann der Erstbefall genau stattgefunden hat. Zwar hat der Schadling keine sonderlich hohe Verbreitung gefunden, aber es gab Falle von Unternehmen, deren Geschaftsbilanzen und Umsatzberichte durch einen XM/Compat-Befall vollig unbrauchbar geworden sind.

Ein Virus mit hohem wirtschaftlichen Schaden war auch Win9x.CIH, auch ,,Tschernobyl-Virus" genannt (nach dem Atomunfall von Tschernobyl vom 26. April 1986), das sich grossflachig verbreitete und am 26. April 2000 den Dateninhalt von mehr als 2000 BIOS-Chips in Sudkorea zerstorte. Laut dem Antivirenhersteller Kaspersky sollen im Jahr davor sogar 3000 PCs betroffen gewesen sein.

Ein weiterer wirtschaftlicher Faktor war fruher vor allem der Image-Schaden der betroffenen Unternehmen, heute ist dieser immaterielle Schaden nicht mehr so hoch, da ein Computervirus schon eher als normale und ubliche Gefahr akzeptiert wird.

Computerviren haben viele unterschiedliche Formen, daher ist es nur schwer moglich, zu beschreiben, wie ein Virus grundsatzlich aufgebaut ist. Der einzige notige Bestandteil, der aus einem Computerprogramm per Definition einen Computervirus macht, ist die Vermehrungsroutine.

Die folgende Erklarung ist keineswegs ein Standard fur alle Viren. Manche Viren konnen mehr Funktionen haben, andere wiederum weniger.

• Entschlusselungsroutine: Dieser Teil sorgt bei verschlusselten Viren dafur, dass die verschlusselten Daten wieder zur Ausfuhrung gebracht werden konnen. Nicht alle Viren besitzen diesen Teil, da nicht alle verschlusselt sind. Oft wird die Entschlusselungsroutine der Viren von Antiviren-Herstellern dazu benutzt, das Virus zu identifizieren, da dieser Teil oft klarer erkennbar ist als der Rest des Virus.
• Vermehrungsteil: Dieser Programmteil sorgt fur die Vermehrung des Virus. Es ist der einzige Teil, den jedes Virus hat (Definition).
• Erkennungsteil: Im Erkennungsteil wird gepruft, ob die Infektion eines Programms oder Systembereichs bereits erfolgt ist. Jedes Wirtsprogramm wird nur einmal infiziert. Dieser Teil ist in fast allen nicht-uberschreibenden Computerviren vorhanden.
• Schadensteil: Im Verhaltnis zur Zahl der Computerviren haben nur sehr wenige einen Schadensteil (Payload). Der Schadensteil ist der Grund fur die Angst vieler Menschen vor Computerviren.
• Bedingungsteil: Der Bedingungsteil ist dafur verantwortlich, dass der Schadensteil ausgefuhrt wird. Er ist in den meisten Computerviren mit einem Schadensteil enthalten. Viren ohne Bedingungsteil fuhren den Schadensteil entweder bei jeder Aktivierung oder - in ganz seltenen Fallen - niemals aus. Der Bedingungsteil (Trigger) kann zum Beispiel die Payload an einem bestimmten Datum ausfuhren oder bei bestimmten Systemvoraussetzungen (Anzahl der Dateien, Grosse des freien Speicherplatzes usw.) oder einfach zufallig.
• Tarnungsteil: Ein Tarnungsteil ist nur in wenigen, komplexen Viren vorhanden. Er kann das Virus zum Beispiel verschlusseln oder ihm eine andere Form geben (Polymorphismus, Metamorphismus). Dieser Teil dient zum Schutz des Virus vor der Erkennung durch Anti-Viren-Software. Es gibt aber nur eine sehr geringe Anzahl von Viren, die nicht vollstandig erkannt werden konnen (zum Beispiel: Win32.ZMist, ACG, Win32.MetaPHOR oder OneHalf).

Damit ein klassischer reaktiver Virenscanner ein Virus identifizieren kann, benotigt er dessen Signatur. Ein Virus versucht ein System zu infizieren, und dies geschieht zum Beispiel bei einem Linkvirus durch das Anhangen an ein bestehendes Programm. Dabei muss es (abgesehen von uberschreibenden Viren) zuerst prufen, ob es dieses Programm bereits infiziert hat - sprich, es muss in der Lage sein, sich selbst zu erkennen. Wurde es dies nicht machen, konnte es ein Programm theoretisch beliebig oft infizieren, was aufgrund der Dateigrosse und der CPU-Belastung sehr schnell auffallen wurde. Dieses Erkennungsmuster - die Signatur - kann unter gewissen Umstanden auch von Virenscannern genutzt werden, um das Virus zu erkennen. Polymorphe Viren sind in der Lage, mit verschiedenen Signaturen zu arbeiten, die sich verandern konnen, jedoch stets einer Regel gehorchen. Daher ist es den Herstellern von Anti-Viren-Software relativ einfach und schnell moglich, ein neues Virus nach dessen Bekanntwerden zu identifizieren.

Viele Viren benutzen anstelle von polymorphen Signaturen sehr kleine Kennzeichnungen wie zum Beispiel ein ungenutztes Byte im Portable-Executable-Format. Ein Virenscanner kann dieses eine Byte nicht als Erkennungsmuster nutzen, da es zu viele falsch positive Treffer gabe. Fur ein Virus ist es jedoch kein Problem, wenn es unter ungunstigen Verhaltnissen einige Dateien nicht infiziert.

John von Neumann veroffentlichte im Jahr 1949 seine Arbeit Theory and Organization of Complicated Automata. Darin stellt er die These auf, dass ein Computerprogramm sich selbst reproduzieren kann. Das war die erste Erwahnung von computervirenahnlicher Software. Im Jahr 1961 wurde die Theorie von Victor Vyssotsky, Robert Morris Sr. und Doug McIlroy, Forscher der Bell Labs, erfolgreich in ein Computerspiel mit dem Namen Darwin umgesetzt.^[11] Zwei oder mehrere Spieler liessen Software-Organismen um die Kontrolle uber das System kampfen. Die Programme versuchten dabei, einander zu uberschreiben. Spatere Versionen des Spiels wurden als Core Wars bekannt. Breite Bekanntheit erfuhr das Konzept Core Wars durch einen Artikel von Alexander K. Dewdney in der Kolumne Computer Recreations der Zeitschrift Scientific American.

1972 veroffentlichte Veith Risak den Artikel Selbstreproduzierende Automaten mit minimaler Informationsubertragung. Darin wird uber ein zu Forschungszwecken geschriebenes Virus berichtet. Dieses enthielt alle wesentlichen Komponenten. Es wurde im Maschinencode des Rechners SIEMENS 4004/35 programmiert und lief einwandfrei. Der Science-Fiction-Autor David Gerrold hat 1972 in der Geschichte When Harlie Was One (in Teilen in GOD Machine u. a. vorveroffentlicht) uber die G.O.D.-Maschine als Erster den Begriff ,,Computervirus" erwahnt.^[12]

1975 veroffentlichte der britische Autor John Brunner den Roman Der Schockwellenreiter, in dem er die Gefahr von Internetviren vorausahnt. Sein Kollege Thomas J. Ryan schilderte 1979 in The Adolescence of P-1, wie sich eine Kunstliche Intelligenz virenahnlich uber das nationale Computernetz ausbreitet.

Im Jahr 1980 verfasste Jurgen Kraus an der Universitat Dortmund eine Diplomarbeit, in welcher der Vergleich angestellt wurde, dass sich bestimmte Programme ahnlich wie biologische Viren verhalten konnen.^[13]

1982 wurde von dem 15-jahrigen amerikanischen Schuler Rich Skrenta ein Computerprogramm geschrieben, das sich selbst uber Disketten auf Apple-II-Systemen verbreitete. Das Programm hiess Elk Cloner und kann als das erste Bootsektorvirus bezeichnet werden.^[14]

Die Grenze von Theorie und Praxis bei Computerviren verschwimmt jedoch, und selbst Experten streiten sich, was tatsachlich das erste war.

Professor Leonard M. Adleman verwendete 1984 im Gesprach mit Fred Cohen zum ersten Mal den Begriff ,,Computervirus" als Fachbegriff.

Fred Cohen lieferte 1984 seine Doktorarbeit Computer Viruses - Theory and Experiments ab.^[15] Darin wurde ein funktionierendes Virus fur das Betriebssystem Unix vorgestellt. Dieses gilt heute als das erste Computervirus.

Im Januar 1986 wurde die erste Vireninfektion auf einem Grossrechner an der FU Berlin entdeckt.

Zwei Software-Handler aus Pakistan verbreiteten im Jahr 1986 das erste Virus fur das Betriebssystem MS-DOS, das Pakistani-, Ashar- oder auch Brain-Virus genannt wird. Diese Handler verkauften billige Schwarzkopien von Originalsoftware. Dies war moglich, da dort das Kopieren von Software nicht strafbar war. Jeder Softwarekopie legten sie das Virus bei, das den Zweck haben sollte, die Kunden an den Handler zu binden. Uberraschenderweise verbreitete sich dieses Virus sogar bis in die Vereinigten Staaten. Das Programm war relativ harmlos, da es nur das Inhaltsverzeichnis der befallenen Disketten in Brain umbenannte.

Schliesslich wurde 1987 das erste Virus fur Macintosh-Rechner entdeckt. Apple lieferte daraufhin sein System gleich komplett mit einem Virensuchprogramm aus. Allerdings konnte es nur diese eine Virenfamilie finden und war fur andere Virustypen sozusagen blind, das Programm war somit nur bedingt brauchbar.

Kurz darauf wurde in Deutschland zum ersten Mal das Cascade-Virus gefunden. Es war das erste Virus, das speicherresident wurde und in Dateien auch verschlusselt auftrat. Aufgrund dieser Eigenschaften wird es zur zweiten Generation der Viren gerechnet.

Zu einem der ersten Viren gehort auch das Jerusalem- oder PLO-Virus. Es wurde auch unter dem Namen Freitag-der-13.-Virus bekannt, da es an einem solchen Tag alle COM- und EXE-Dateien loscht. An allen anderen Tagen verlangsamt es nach etwa 30 Minuten die Rechnergeschwindigkeit.

Nicht nur MS-DOS wurde von Viren angegriffen, sondern auch andere Systeme wie Macintosh, Amiga, Atari und Unix.

Im selben Jahr, 1987, erschien im Data-Becker-Verlag das erste Buch zum Thema Computerviren, Das grosse Computervirenbuch von Ralf Burger. Da Burger den Quellcode einiger Viren im Buch veroffentlichte, erschienen in den folgenden Monaten Dutzende Varianten der von ihm beschriebenen Viren in der Offentlichkeit.

1988 erschien der erste Baukasten fur Viren (Virus Construction Set). Damit war es auch Anfangern moglich, Viren nach Mass zu erstellen. Das Programm wurde fur den Computer Atari ST geschrieben.

In diesen Jahren wurden die ersten Antivirenprogramme herausgebracht, vor allem, um grosse Unternehmen zu schutzen. Im Jahr 1989 erschien mit V2Px dann das erste polymorphe Virus, das sich selbst immer wieder neu verschlusseln konnte und nur sehr schwer zu entdecken war.

In diesen Jahren wurden Viren zunehmend komplexer konstruiert, um sich besser weiterverbreiten zu konnen und gegen die Entdeckung durch Antivirenprogramme geschutzt zu sein. Am Anfang des Jahres 1991 verbreitet sich der erste polymorphe Virus, der Tequilavirus. Wenig spater, 1992, veroffentlichte ein Virenschreiber namens Dark Avenger den ersten polymorphen Programmgenerator, MTE. Damit konnten sich auch einfachste Viren leicht vor einer Erkennung schutzen. Einige der damaligen Hersteller von Antiviren-Software konnten dieses Problem nicht losen und stoppten die Entwicklung ihres Programms.

1992 loste auch das Michelangelo-Virus eine enorme Medienhysterie aus. Mit ihm wurde die Existenz der Viren in der breiten Offentlichkeit bekannt.

In Europa sind von 1993 bis 1996 zwei Versionen von Parity Boot die haufigsten Viren.

In diesen Jahren wurden immer wieder neue Techniken in Viren entdeckt, wie zum Beispiel die gleichzeitige Infektion von Dateien und Bootsektor, OBJ-Dateien oder Quellcode-Dateien. 1992 wurde mit Win16.Vir_1_4 das erste Computervirus fur das Betriebssystem Windows 3.11 registriert. Dieses Proof-of-Concept-Virus wurde nie in ,,freier Wildbahn" entdeckt.

Viren wie ACG und OneHalf markieren das Ende der MS-DOS-Viren. Bis heute zahlen sie zu den komplexesten Viren uberhaupt. Sie sind stark polymorph und enthalten auch Techniken wie Metamorphismus.

Ab 1995, mit dem Erscheinen von Windows 95 und dem standigen Zuwachs an Benutzern, wurden auch Viren fur dieses Betriebssystem (und dessen obligate Programme wie Microsoft Office) geschrieben. 1995 erschien das erste Makrovirus fur Microsoft Word. Da Dokumente ofter als Programme getauscht wurden, wurden Makroviren ein sehr grosses Problem fur die Anwender. In den Jahren darauf erschienen die ersten Makroviren fur Excel (1997), Powerpoint und Access (beide 1998) und Visio (2000). 1996 wurde das erste Virus Constructor Kit fur Makroviren geschrieben, das es auch Personen ohne Programmierkenntnisse ermoglichte, Viren zu erstellen.

1996 erschien dann mit Boza das erste Virus fur Windows 95. Damit wurde gezeigt, dass das neueste Microsoft-Betriebssystem fur Viren doch nicht, wie vorher behauptet, unantastbar war.

Als der Kampf zwischen Antivirenherstellern und Virenautoren zugunsten der Antivirenhersteller gewonnen schien, wurden 1998 mit W32.HPS und W32.Marburg die ersten polymorphen Windows-32-Bit-Viren geschrieben. Kurze Zeit spater entstand mit Regswap das erste metamorphe Virus fur diese Betriebssysteme.

1998 und 1999 erschienen die ersten VBS- und JavaScript-Viren und als logische Konsequenz auch die ersten HTML-Viren. Diese Viren arbeiteten mit dem umstrittenen Zusatzprogramm ,,Windows Scripting Host". Nun konnten auch Webseiten von Viren infiziert werden.

In dieser Zeit wurden einige andere, fur den Benutzer ungefahrliche Viren geschrieben, die dennoch interessant sind. Beispiele sind das OS2.AEP-Virus, das als erstes ausfuhrbare Dateien des Betriebssystems OS/2 infizieren konnte, oder die ersten Viren fur HLP-Dateien, fur PHP-Dateien, fur Java, fur AutoCAD, fur Bash, fur Palm OS und fur Flash.

Am Ende dieser Ara tauchten wieder (wie in der DOS-Ara) die komplexesten Viren auf, die es bis zu dieser Zeit gab. Beispiele sind Win32.MetaPHOR oder Win32.ZMist, die sehr stark metamorph sind und nicht von Antivirenprogrammen aller Hersteller vollstandig entdeckt werden konnen. Diese Viren wurden von Mitgliedern der Virenschreibergruppe 29A geschrieben, die die Techniken Polymorphismus und Metamorphismus in den vorangegangenen Jahren signifikant weiterentwickelt haben.

Ungefahr ab 2002 traten Viren mehr und mehr in den Hintergrund und wurden durch Wurmer ersetzt. Die Entwicklung von Viren geht trotzdem weiter und bezieht sich vor allem auf neue Nischen.

Im Jahr 2002 wurde das erste Virus geschrieben, das sowohl Win32-Anwendungen als auch ELF-Dateien (zum Beispiel Linux-Anwendungen) infizieren konnte. Dieses Virus kann als das Einlauten eines neuen Zeitalters der Viren gesehen werden.

Im Jahr 2004 brach dann endgultig eine neue Ara fur Viren an: Das erste Virus fur PocketPCs (mit dem Betriebssystem Windows CE) tauchte auf und zeigte, dass auch diese viel verwendeten Kommunikationsgerate nicht verschont werden.

Einige Monate spater wurde das Virus Win64.Rugrad entdeckt. Dieses Virus konnte die Anwendungen des neu erschienenen Windows XP 64-bit Edition infizieren und hat eine Vorreiterrolle in der Entwicklung neuer Viren.

Wieder einige Monate spater, im Jahr 2005, wurde das erste Virus fur Handys (mit dem Betriebssystem Symbian) geschrieben. Es kann, nachdem vorher schon Wurmer fur dieses Betriebssystem erschienen sind, auch Dateien infizieren.

Mitte 2005, kurz nach der Veroffentlichung der ersten Beta-Version des XP-Nachfolgers Windows Vista, wurde das erste Virus fur die Microsoft Command Shell (Codename Monad) veroffentlicht. Zunachst wurde propagiert, dass es ein erstes Virus fur das neue Windows gabe. Jedoch liess Microsoft nach Bekanntwerden der Viren verlautbaren, dass Monad doch nicht wie geplant in Vista enthalten sein werde. Somit ware dies ein Virus fur eine Betaversion mit extrem geringen Chancen auf Verbreitung.

Das erste wirkliche Computervirus fur Windows Vista trat einige Monate spater, im Oktober 2005, auf. MSIL.Idoneus nutzt das .NET Framework 2.0, um sich zu verbreiten.

In dieser Zeit wurden die ersten Viren fur Ruby, MenuetOS, F#, CHM und Microsoft Office Infopath entdeckt, die aber weder jetzt noch in Zukunft eine Gefahr fur Anwender sein werden, da diese Plattformen kaum verbreitet sind und sich die Viren daher kaum vermehren konnen.^[16]

• Eric Amberg: KnowWare 183. Sicherheit im Internet. IPV, Hamburg 2004, ISBN 87-91364-38-8.
• Klaus Brunnstein: Computer-Viren-Report. WRS Verl. Wirtschaft Recht und Steuern, Munchen 1989, ISBN 3-8092-0530-3.
• Ralf Burger: Das grosse Computer-Viren-Buch. Data Becker, Dusseldorf 1989, ISBN 3-89011-200-5.
• Andreas Janssen: KnowWare 170. Viren, Hacker, Firewalls. KnowWare, Osnabruck 2005, ISBN 87-90785-83-5.
• Eugene Kaspersky: Malware: Von Viren, Wurmern, Hackern und Trojanern und wie man sich vor ihnen schutzt Hanser-Verlag, Munchen 2008, ISBN 978-3-446-41500-3.
• Mark A. Ludwig: The Giant Book of Computer Viruses. American Eagle Publications, Show Low, Ariz. 1998, ISBN 0-929408-23-3.
• Rune Skardhamar: Virus. Detection and Elimination. AP Professional, Boston 1995, ISBN 0-12-647690-X.
• Peter Szor: The Art Of Computer Virus Research And Defense. Addison-Wesley, Upper Saddle River NJ 2005, ISBN 0-321-30454-3.

• botfrei.de: Das Anti-Botnet-Beratungszentrum - Eine Initiative der deutschen Internetwirtschaft
• Artikel uber Viren - freie deutschsprachige Publikationen zum Thema
• Geschichte der Virenprogrammierung (Memento vom 14. Januar 2005 im Internet Archive) auf Telepolis
• Zum 20-jahrigen Bestehen von Computerviren auf Telepolis
• Journal in Computer Virology - wissenschaftliches Magazin zum Thema Computerviren und Wurmer (englisch)
• VX Heavens - Archiv von Computerviren, Virusprogrammierermagazinen usw. (englisch)
• Die Pakistan-Grippe im Westen auf Telepolis - uber das angeblich erste MS-DOS-Computervirus

1. | Sophos Security Report 06. In: sophos.com. (PDF; 1,1 MB, englisch)
2. | ^{a b c} David Salomon: Foundations of Computer Security. Springer-Verlag, London 2006, ISBN 978-1-84628-193-8, S. 144 f., doi:10.1007/1-84628-341-8.
3. | Microsoft wartet mit Bereitstellung eines Patches fast ein Jahr. In: golem.de. 20. September 2004, abgerufen am 29. Januar 2017.
4. | Webanalyse - Betriebssysteme und Gerate. In: webmasterpro.de. Abgerufen am 29. Januar 2017.
5. | ROOTKITS: Virenfiltern droht der Knockout. In: Spiegel Online. 27. Dezember 2005, abgerufen am 29. Januar 2017.
6. | Peter Ferrie, Peter Szor: Hunting for Metamorphic. In: pferrie.tripod.com. Virus Bulletin Conference, September 2001, abgerufen am 29. Januar 2017 (PDF; 237 kB, englisch).
7. | Peter Ferrie, Frederic Perriot: Detecting Complex Viruses. In: pferrie.tripod.com. 6. Dezember 2004, abgerufen am 29. Januar 2017 (englisch).
8. | Peter Ferrie, Peter Szor: Zmist Opportunities. In: pferrie.tripod.com. Marz 2001, abgerufen am 29. Januar 2017 (PDF; 122 kB)
9. | Eric Filiol: Metamorphism, Formal Grammars and Undecidable Code Mutation. In: vxheavens.com. International Journal of Computer Science, Vol. 2, No. 1, April 2007, S. 70-75, ISSN 1306-4428. Abgerufen am 29. Januar 2017 (englisch).
10. | Infos zu den das CMOS und das BIOS schadigenden Viren. In: sophos.de. Abgerufen am 29. Januar 2017.
11. | "Darwin, a Game of Survival of the Fittest among Programs", abgerufen am 2. Juni 2017
12. | Heike Hager und Sonja Engels: Viren-Alarm! RWTH Aachen, 24. Oktober 2003, S. 5, archiviert vom Original am 9. Dezember 2012; abgerufen am 3. Januar 2018.
13. | Selbstreproduktion bei Programmen. (Memento vom 8. Oktober 2013 im Internet Archive) Jurgen Kraus, Diplomarbeit, Dusseldorf, 1980. (englische Ubersetzung: Journal In Computer Virology, Vol. 5, No. 1, Februar 2009) In: vxheaven.org. Abgerufen am 29. Januar 2017.
14. | Konrad Lischka: 25 Jahre Computerviren - Der Apfel-Fresser. In: Spiegel Online, 13. Juli 2007, abgerufen am 28. Januar 2017. (,,Das Programm pflanzte sich uber Disketten fort, zeigte ein Gedicht, liess ansonsten aber die befallenen Apple-Rechner unversehrt.").
15. | Fred Cohen: Computer Viruses - Theory and Experiments. In: all.net. 1984, abgerufen am 29. Januar 2017 (englisch).
16. | E-Zine Releases New Virus Technologies. In: blog.trendmicro.com. Trend Micro Inc., archiviert vom Original am 11. Januar 2008; abgerufen am 28. Januar 2017 (englisch).

• Wikipedia:Gesprochener Artikel
• Schadprogramm
• Hackertechnik (Computersicherheit)
• Computervirus

• Wikipedia:Veraltet
• Wikipedia:Belege fehlen