Symantec.com Privatanwender und Home Office Mittelstand Unternehmenslösungen

Partner Partner suchen Partner werden Bei PartnerNet anmelden

Über Symantec Unternehmens Profil Management Team Investor Relations Presse & Medien Stellenangebote

WillkommenProdukteViren & RisikenUnterstützungDownloadsStore

Sie möchten mehr über Computerviren wissen und wie sich diese von Trojanern, Würmern und Hoaxes unterscheiden.

Der Begriff Virus wird häufig als allgemeine Bezeichnung für jede Art von bösartigem Code verwendet. Dabei handelt es sich nicht immer tatsächlich um einen wahren Computervirus. Dieses Dokument geht auf Viren, Trojaner und Würmer ein und gibtTipps dazu, wie Sie Infektionen verhinden können.


Was ist ein Virus?

Ein Computervirus ist ein kleines Programm, das dazu geschrieben wurde, die Funktionsweise eines Computers ohne die Erlaubnis oder Kenntnis des Benutzers zu ändern. Ein Virus muss zwei Kriterien erfüllen:

• Er muss sich selbst ausführen. Er legt seinen eigenen Code häufig in den Ausführungspfad eines anderen Programms.
• Er muss sich replizieren. Er kann beispielsweise andere ausführbare Dateien durch eine mit einem Virus infizierte Datei ersetzen. Viren können sowohl Desktop-Computer als auch Netzwerk-Server infizieren.

Manche Viren sind dazu programmiert, dem Computer zu schaden, indem sie Programme beschädigen, Dateien löschen oder die Festplatte neu formatieren. Andere wurden nicht dazu ausgelegt, Schaden anzurichten, sondern lediglich dazu, sich zu vervielfältigen und ihre Anwesenheit durch Text, Bild und Ton bekanntzugeben. Selbst diese ungefährlichen Viren können dem Computerbenutzer Probleme bereiten. Sie belegen Computerspeicher, der von legitimen Programmen benötigt wird. Sie verursachen daher oft ein fehlerhaftes Verhalten und können zu Systemabstürzen führen. Darüberhinaus enthalten viele Viren Fehler, die Systemabstürze und Datenverlust verursachen können.

Es gibt fünf bekannte Virentypen:

• Programmviren: Programmviren infizieren Programmdateien. Diese Viren infizieren normalerweise ausführbaren Code, wie z.B. .com- und .exe-Dateien. Sie können andere Dateien infizieren, wenn ein infiziertes Programm von der Diskette, Festplatte oder vom Netzwerk aus ausgeführt wird. Viele dieser Viren nisten sich im Speicher ein. Nachdem der Speicher infiziert ist, werden alle nichtinfizierten Programme, sobald sie ausgeführt werden, damit infiziert. Beispiele bekannter Programmviren sind Jerusalem und Cascade.
• Bootviren: Bootviren infizieren den Systembereich eines Datenträgers, d.h. den Startsektor auf Disketten und Festplatten. Alle Disketten und Festplatten (einschließlich reine Datenmedien) enthalten ein kleines Programm im Startsektor, welches beim Computerstart ausgeführt wird. Bootviren hängen sich in diesen Bereich der Diskette oder Platte ein und werden aktiviert, wenn der Benutzer versucht, vom infizierten Speichermedium aus zu starten. Diese Viren sind gewöhnlich im Arbeitsspeicher geladen. Die meisten wurden für DOS geschrieben, aber alle PCs - ungeachtet des verwendeten Betriebssystems - sind der Gefahr dieses Virentyps ausgeliefert. Um den Rechner zu infizieren, genügt es schon, ihn mit einer infizierten Diskette zu starten. Solange nun der Virus im Arbeitsspeicher verbleibt, werden alle nicht schreibgeschützten Disketten infiziert, wenn auf diese Diskette zugegriffen wird. Form, Disk Killer, Michelangelo und Stoned sind Beispiele solcher Bootviren.
• Master Boot Record-Viren: Master Boot Record-Viren sind Viren im Arbeitsspeicher, die Disketten auf dieselbe Weise infizieren wie Bootviren. Der Unterschied zwischen den beiden Virentypen ist der Ort des viralen Codes. Master Boot Record-Viren sichern die Kopien legitimer Master Boot Records in einem anderen Bereich. Windows-NT-Rechner, die entweder mit einem Bootvirus oder einem Master Boot Record-Virus infiziert wurden, können nicht mehr gestartet werden. Dies liegt an den Unterschieden des Systemzugriffs auf die Startinformationen zwischen NT und 95/98. Wenn Ihre NT-Systeme FAT-Partitionen enthalten, können Sie den Virus gewöhnlich entfernen, indem Sie im DOS-Modus starten und Antivirus-Software verwenden. Wenn die Startpartition sich auf einer NTFS-Partition befindet, muss das System mit den drei Windows NT-Startdisketten wiederhergestellt werden. Beispiele solcher Master Boot Record-Viren sind NYB, AntiExe und Unashamed.
• Hybridviren: Hybridviren (auch bekannt als polypartite Viren) infizieren Startsektoren und Programmdateien. Diese sind besonders schwer zu entfernen. Wenn der Bootbereich virenfrei ist, die Dateien aber nicht, wird der Bootbereich wieder infiziert. Dasselbe gilt für das Säubern infizierter Dateien. Wenn der Virus nicht aus dem Startsektor entfernt wurde, werden alle Dateien, die Sie von Viren befreit haben, wieder infiziert. Beispiele dieser Hybridviren sind One_Half, Emperor, Anthrax und Tequilla.
• Makroviren: Dieser Virentyp infiziert Datendateien. Sie kommen am häufigsten vor und haben Unternehmen bei der Reparatur viel Zeit und Geld gekostet. Mit der Einführung von Visual Basic in Microsoft Office 97 kann ein Makrovirus geschrieben werden, der nicht nur Datendateien infizieren kann, sondern auch andere Dateitypen. Makroviren infizieren Dateien der Programme Microsoft Office Word, Excel, PowerPoint und Access. Neuere Arten tauchen auch in anderen Programmen auf. All diese Viren benutzen die interne Programmiersprache eines Programms, die Benutzern ermöglicht, bestimmte Aufgaben in diesem Programm zu automatisieren. Da diese Viren leicht zu erstellen sind, sind zur Zeit Tausende von ihnen im Umlauf. Beispiele von Makroviren sind W97M.Melissa, WM.NiceDay und W97M.Groov.

Was ist ein Trojaner?

Trojaner sind Betrüger -- es handelt sich dabei um Dateien, die sich als wünschenswert ausgeben, aber in Wahrheit schädlich sind. Ein sehr wichtiges Unterscheidungsmerkmal ist, dass sie sich im Gegensatz zu Viren nicht replizieren. Trojaner enthalten bösartigen Code, der bei Auslösung Datenverlust oder -diebstahl zur Folge hat. Damit ein Trojaner sich verbreiten kann, müssen Sie diese Programme auf Ihren Rechner lassen -- z.B. durch das Öffnen eines E-Mail-Anhangs oder Herunterladen einer Datei vom Internet. Trojan.Vundo ist zum Beispiel ein Trojaner.


Was ist ein Wurm?

Würmer sind Programme, die sich ohne Zutun einer Wirtsdatei von System zu System replizieren. Darin liegt der Gegensatz zu Viren, die zur Ausbreitung eine infizierte Wirtsdatei benötigen. Obwohl die Würmer im allgemeinen im Innern anderer Dateien existieren - häufig in Word- oder Excel-Dokumenten - gibt es einen Unterschied zwischen der Benutzung der Wirtsdatei durch einen Wurm und der eines Virus. Gewöhnlich bringt der Wurm ein Dokument heraus, das das Wurmmakro bereits in sich trägt. Das ganze Dokument wird von Computer zu Computer weitergeleitet, so dass das ganze Dokument als Wurm betrachtet werden sollte. W32.Mydoom.AX@mm ist ein besonders gängiges Beispiel.


Was ist ein Scherzvirus (Hoax)?

Scherzviren sind Nachrichten, die meistens über E-Mail versendet werden und Kettenbriefen gleichkommen. Gängige Sätze in diesen Scherzviren sind:

• Wenn Sie eine E-mail mit dem Titel [E-mail Scherzvirusname] erhalten, öffnen Sie sie nicht!
• Löschen Sie es sofort!
• Es enthält das Virus [Scherzvirusname].
• Alle Daten auf Ihrer Festplatte werden gelöscht und [extreme und unwahrscheinliche Gefahr wird hier beschrieben].
• Das Virus wurde heute durch [Name einer angesehenen Organisation] bekanntgegeben.
• Leiten Sie diese Warnung an alle, die Sie kennen, weiter!

Die meisten Scherzviren weichen nicht stark von diesem Muster ab. Wenn Sie nicht sicher sind, ob eine Viruswarnung legitim ist oder ob es sich dabei um einen Scherzvirus handelt, stehen Ihnen mehr Informationen in der Symantec Security Response-Online-Datenbank zur Verfügung.


Was ist kein Virus?
Durch die öffentliche Diskussion von Viren ist es einfach, für jedes Computerproblem einen Virus verantwortlich zu machen. Die folgenden Probleme sind wahrscheinlich nicht auf einen Virus oder anderen bösartigen Code zurückzuführen:

• Hardwareprobleme. Viren sind nicht in der Lage, das Material eines Computers wie z.B. Chips, Karten und Monitore zu beschädigen.
• Sie hören einen Piepton beim Hochfahren des Rechners und es wird kein Text/Bild angezeigt. Dies ist gewöhnlich auf Hardware-Probleme während des Bootvorgangs zurückzuführen. Beachten Sie die Dokumentation Ihres Computers, um herauszufinden, was für eine Bedeutung die Pieptöne haben.
• Der Computer registriert nicht die vollen 640 KB des konventionellen Arbeitsspeichers. Dies kann auf ein Virus hinweisen, muss es aber nicht. Manche Gerätetreiber wie z. B. die des Monitors oder der SCSI-Karte können diesen Arbeitsspeicher verwenden. Wenden Sie sich an den Hersteller des Computers oder Ihren Hardware-Händler, um festzustellen, ob dies der Fall ist.
• Sie haben mehr als ein Antivirus-Programm installiert und eines davon meldet einen Virus. Obgleich es sich dabei um einen Virus handeln könnte, besteht auch die Möglichkeit, dass das eine Antivirus-Programn die Signaturen des anderen im Arbeitsspeicher entdeckt. Weitere Informationen finden Sie im Dokument Sollten Sie mehrere Virenschutzprogramme gleichzeitig ausführen.
• Sie benutzen Microsoft Word und Word zeigt die Warnmeldung an, dass eines der Dokumente ein Makro enthält. Dies bedeutet nicht, dass das Makro vireninfiziert ist.
• Sie können ein bestimmtes Dokument nicht öffnen. Dies ist nicht notwendigerweise ein Anzeichen eines Virus. Versuchen Sie ein anderes Dokument oder eine Sicherung des in Frage gestellten Dokuments zu öffnen. Wenn andere Dokumente ohne Probleme geöffnet werden können, ist das Dokument wahrscheinlich beschädigt.
• Die Bezeichnung der Festplatte hat sich geändert. Jede Festplatte kann eine Bezeichnung haben. Sie können der Festplatte entweder mit dem DOS-Befehl Label oder aber in Windows eine Bezeichnung zuweisen.
• Wenn Sie ScanDisk ausführen, zeigt Norton AntiVirus AutoProtect eine virusähnliche Aktivität an. In diesem Fall erhalten Sie Anweisungen zu Ihrer Vorgehensweise im Dokument Warnung: "Virusähnliche Aktivität festgestellt. Das Programm . . . versucht, in die Datei . . . zu schreiben. Was möchten Sie tun?".

Zusätzliche Informationen
Die aktuellsten Informationen zu Viren finden Sie auf unserer Seite der bereits ins Deutsche übersetzten Virenbeschreibungen oder in der umfangreicheren englischsprachigen Symantec Security Response-Online-Datenbank.

Um eine Datei oder Diskette, die Ihrer Meinung nach mit einem Virus infiziert ist, einzusenden, beachten Sie bitte eines der folgenden Dokumente:

• Senden einer Datei über das Internet oder auf einer Diskette an Symantec Security Response
• Senden einer Datei mithilfe von "Prüfen und Senden" an Symantec Security Response

Was ist sicherer Umgang mit Computern?

Durch all den Medienrummel ist es einfach zu glauben, dass hinter jeder Datei, jeder E-Mail und jeder Web-Site Viren lauern. Ein paar Grundvorsichtsmaßnahmen können die Gefahr einer Infizierung minimieren. Halten Sie im Umgang mit Computern Sicherheitsstandards ein und ermutigen Sie andere, dies ebenfalls zu tun.

Allgemeine Vorsichtsmaßnahmen

• Lassen Sie keine Diskette im Diskettenlaufwerk, wenn Sie den Rechner herunterfahren oder neu starten.
• Setzen Sie an den Disketten den Schreibschutz, wenn Sie mit ihnen fertig sind.
• Seien Sie vorsichtig, wenn Sie E-Mail-Anhänge nicht identifizieren können.
• Überprüfen Sie, ob die Anhänge vom Verfasser der E-Mails stammen. Neuere Viren können E-Mail-Nachrichten senden, die von bekannten Personen zu kommen scheinen.
• Stellen Sie Ihr E-Mail-Programm nicht darauf ein, Anhänge automatisch zu öffnen.
• Fordern Sie alle Microsoft-Sicherheitsaktualisierungen an.
• Sichern Sie Ihre Daten regelmäßig. Verwahren Sie die (schreibgeschützten) Datenträger an einem sicheren Ort - vorzugsweise nicht in der Nähe des Computers.
  

Vorsichtsmaßnahmen speziell für Norton AntiVirus

• Stellen Sie sicher, dass Sie über die aktuellsten Virensignaturen verfügen. Wir empfehlen Ihnen, LiveUpdate mindestens ein Mal pro Woche auszuführen. Symantec Security Response aktualisiert die Virensignaturen als Reaktion auf neue Virusbedrohungen. Für zusätzliche Informationen beachten Sie bitte auch das Dokument Wie wird LiveUpdate ausgeführt.
• Stellen Sie sicher, dass Norton AntiVirus darauf eingestellt ist, Disketten beim Zugriff und beim Herunterfahren auf Viren zu prüfen. Bitte konsultieren Sie das Benutzerhandbuchfür Informationen, wie diese Einstellungen in Ihrer Norton AntiVirus-Version vorgenommen werden.
• Lassen Sie den Norton AntiVirus Auto-Protect immer aktiviert. Symantec Security Response empfiehlt nun dringend, Norton AntiVirus so einzustellen, dass alle Dateien und nicht nur Programmdateien geprüft werden.
• Überprüfen Sie alle neuen Programme, bevor Sie sie installieren. Da sich Bootviren über Disketten und bootfähige CDs verbreiten, sollte jede Diskette und CD auf Viren geprüft werden. Im Handel erworbene Programme, offizielle Demoversionen und Test-Software sind von dieser Regel nichtausgeschlossen. Viren wurden selbst in Software gefunden, die im Laden erhältlich war.
• Prüfen Sie alle Datenträger, die jemand anders Ihnen gegeben hat.
• Seien Sie vorsichtig beim Öffnen von E-Mail-Anhängen. E-Mail-Anhänge sind eine häufige Quelle von Vireninfektionen. Microsoft Office-Anhänge für Word, Excel und Access können mit Makroviren infiziert sein. Andere Anhänge können Programmviren enthalten. Norton AntiVirus AutoProtect prüft diese Anhänge auf Viren, sobald Sie sie öffnen oder aus der Mail speichern. Wenn Sie über Norton AntiVirus 2000 oder höher verfügen, empfehlen wir Ihnen, den E-Mail-Schutz zu aktivieren, der die E-Mail-Anhänge vor dem Versand durch Ihr E-Mail-Programm prüft.

©1995 - 2008 Symantec Corporation