Dateiviren

Sind Skript-Viren und wie wirken sie?

Scriptviren sind Parasiten, die sich selbst ausbreiten, indem sie ihren Programm-Code in fremden Scriptdateien einfügen. Beim Öffnen einer infizierten Akte wird der Virencode angewendet und infiziert andere Akten. Skript-Viren zählen zusammen mit den Bootsektor-Viren, Datei-Viren und Makro-Viren zu den Computer-Viren, die zusammen mit Wurm, Trojaner und anderer schädlicher Software als Schädlinge gelten.

Dieses Kapitel beschreibt die Unterscheidung zwischen Skript-Viren und anderen Arten von Malware. Skript-Viren setzen ihren Kode wie Dateiviren in andere Scripts ein. Dateiviren enthalten zwar Computercode und infizieren nur compilierte Scripts. Er schreibt seinen Kode in andere Skripts oder scriptfähige Unterlagen wie z.B. HTML-Files. Skripts sind einfach gehaltene Scripts, deren Befehle im Textformat zur Verfügung stehen.

Sie können verwendet werden, um Tasks zu erstellen, Anwendungen zu erstellen oder Webseiten mit dynamischem Inhalt zu versehen. Scripts werden in einer einfach gegliederten Programmiersprache verfasst, einer Schriftsprache im Vergleich zu herkömmlichen Scripts. Batch- und Shell-Dateien sind ebenfalls Scripts. Web-Server verwenden Skripts, meist PHP, für den Aufbau dynamischer Seiten. Macros sind Scripts, die nur innerhalb eines speziellen Programms wie z. B. einer Textverarbeitungs-, Tabellenkalkulations- oder Grafiksoftware arbeiten.

Macroviren infizieren in diesen Programmen Dateien und Makros. Im Gegensatz zu Computerviren sind Worms Einzelprogramme, für deren Ausbreitung kein Host erforderlich ist. Allerdings wartet er darauf, dass der Benutzer sie von einem PC auf den anderen kopier. Worms - das ist der ausschlaggebende Vorteil - verbreiten sich tatkräftig von Mensch zu Mensch.

Computerwürmer benutzen oft ein trojanisches Pferd, um den Adressaten dazu zu bewegen, die infizierte Akte zu öffnen oder herunterzuladen: Sie verkleiden sich als nützlich. Dateiviren und insbesondere Macroviren sind weit verbreitet, rein skriptbasierte Viren sind dagegen eher rar. Es gibt nur wenige, die bewußt Drehbücher austauschen. Wenn eine infizierte Webseite angezeigt wird, kann der Webbrowser einen Skript-Virus ausführen, der sich auf dem örtlichen Rechner befindet.

Weil Benutzer jedoch die infizierten Dateiformate kaum auswechseln und ein reines Scriptvirus andere Web-Server nicht angreift, ist die Ausbreitung verhältnismäßig niedrig. Lediglich die geschichtlich jungen Wurmarten benutzen die Möglichkeit der aktiveren Verteilung über das Intranet. Der weitaus größte Teil der so genannten Skript-Viren sind daher streng gesehen entweder Skript-Würmer oder gemischte Formen zwischen Würmern und Viren.

Bekannte Beispiele für einen solchen Hybrid sind der Liebesbrief. Mit dem Virenteil von Lovelyletter werden verschiedene Dateiformate durch eine eigene Version auf dem infizierten Computer ausgetauscht. Es verwendet die Tatsache, dass Windows die Dateiendungen standardmässig versteckt und dem Anwender nicht die tückische Dateiendung".vbs" ausgibt. Er merkt die Änderung nicht und beginnt das schädliche Script, indem er eine angeblich harmlose Akte öffnet.

Durch die verhältnismäßig simple Programmierbarkeit in Script-Sprachen ist die große Ausbreitung von ("hybriden") Skript-Viren und Würmern bedingt. Aufgrund der Barrierefreiheit des Quellcodes ist es auch unerfahrenen Programmierern möglich, mit wenigen Änderungen im Quelltext eine Veränderung des Pest zu erzeugen und damit eine neue Ansteckungswelle zu auslösen. Weil Skript-Viren im Quelltext vorhanden sind, sind sie auch für Virenschutz-Software einfacher zu erkennen.

Virenautoren begegnen dem, indem sie den Scriptcode bis zur Unverständlichkeit transformieren (Code Obfuscation) und mit geeigneten Werkzeugen chiffrieren. Öffne keine fremden Anhänge und achte auf Phishing-E-Mails.