Dateivirus

aus Wikipedia, der freien Enzyklopädie

Ein Dateivirus, auch File Virus oder selten Programmvirus genannt, ist ein Computervirus, dessen Code nicht als eigenständiges, kompiliertes Programm vorliegt, sondern in Form eines Malicious Code (deutsch schädlicher Code), welcher ausführbare Dateien infiziert. Bei vielen zeitgemäßen Systemen erkennt man solche Dateien an den Endungen EXE oder COM. Wie bei jedem Virustyp werden die infizierten Dateien als Wirtsdatei bezeichnet. Der Dateivirus ist nach verbreiteter Ansicht das Musterbeispiel des „klassischen Computervirus“.[1]

Infektion

Hexdump des Dateivirus CIH (Spacefiller)

Die Datei kann auf verschiedene Art mit dem Viruscode infiziert werden.[2]

  • Overwriting bedeutet, dass der schädliche Code Teile der Wirtsdatei überschreibt. Dieser Infektionstyp ist sehr dilettantisch und für die Verbreitung des Virus kontraproduktiv, da die Wirtsdatei beschädigt wird und meist nicht mehr ausführbar ist (z. B. AIDS).
  • Prepending heißt, dass der Viruscode am Anfang der Datei sitzt (z. B. BHP).
  • Appending bedeutet, dass sich der Code an das Ende der Datei anhängt. Dieser Infektionstyp kommt am häufigsten vor (z. B. Vienna).
  • Entry Point Obscuring, kurz EPO, bezeichnet eine Infektion, bei der sich der Viruscode einen variablen Platz inmitten der Wirtsdatei sucht.
  • Spacefilling ist eine Infektionstechnik, bei der sich der Viruscode passende Lücken in der Wirtsdatei sucht, um sich darin unauffällig einzunisten. Da dies bei sehr kurzen Wirtsdateien oft nicht möglich ist, können solche Viren meist alternativ auch als Appender infizieren (z. B. CIH).

Zusätzlich zur direkten Aktivierung durch den Start eines infizierten Programmes ist der Viruscode in vielen Fällen auch im Systemspeicher resident. Auch nach der Beendigung des Wirtsprogrammes kann sich der Virus von dort aus effektiv neue Wirtsdateien suchen. Üblicherweise infiziert ein Dateivirus nicht eine Datei auf dem Rechner, sondern mit der Zeit alle geeigneten Programme, sofern seine Infektionsroutine keine groben Schwächen hat oder absichtliche Ausnahmen vorgesehen sind. Auf einem großen Datenserver konnten bei unbemerkter Virusausbreitung viele tausend Dateien befallen werden. Innerhalb einer infizierten Datei verlinken viele bekannte Viren auch auf den eigentlichen Code.[3]

Abgrenzung von anderen Virustypen

Ein Dateivirus verbreitet sich per Definition automatisiert und infiziert dabei ausführbare Dateien, in den meisten Fällen mit den Endungen EXE oder COM. Zu den Dateiviren gehören somit auch die Hybridviren und die Companionviren. Je nach Einzelfall können auch Linkviren und Kernelviren Dateiviren sein.[4]

Der Bootsektor von Disketten und der MBR von Festplatten enthalten zwar ausführbare Programme, sind aber keine Dateien. Man spricht von Bootsektorviren oder Bootviren. Handelt es sich um ein Makro, das ein geeignetes Office-Dokument infiziert hat, handelt es sich um ein Makrovirus. Stellt ein schädlicher Code dagegen ein eigenständiges Programm dar, das sich verbreiten kann, spricht man von einem Computerwurm. Malware, die sich nicht selbstständig oder automatisiert weiterverbreiten kann, bezeichnet man weder als Virus noch als Wurm, sondern grundsätzlich als Trojaner oder Trojanisches Pferd.

Einen gewissen Schutz bieten aktuelle Antivirenprogramme sowie Vorsicht beim Datenaustausch und beim Ausführen unbekannter Dateien. Die eingeschränkten Rechte von Nutzerkonten bieten bei vielen Betriebssystemen einen weiteren Schutz vor unbefugten Dateizugriffen.

Siehe auch

Bekannte Dateiviren:

Einzelnachweise