FAQ Malware

Was ist ein Computervirus?

23.05.2020
Von  und
Jens Dose ist Editor in Chief von CIO. Seine Kernthemen drehen sich rund um CIOs, ihre IT-Strategien und Digitalisierungsprojekte.
Josh Fruhlinger ist freier Autor in Los Angeles.
Erfahren Sie, was die bekannteste Art von Schadsoftware ausmacht, wie sie entdeckt und entfernt werden kann.

Ein Computervirus ist eine Schadsoftware, die legitime Anwendungen nutzt, um sich zu verbreiten und zu reproduzieren. Angreifer setzen Viren ein, um Computer in ihrer Funktionsweise zu beeinträchtigen oder die Kontrolle über sie zu erlangen.

Computerviren verhalten sich wie ihre biologischen Vorbilder und müssen Wirte (Anwendungen) infizieren, um wirksam zu werden.
Computerviren verhalten sich wie ihre biologischen Vorbilder und müssen Wirte (Anwendungen) infizieren, um wirksam zu werden.
Foto: nobeastsofierce - shutterstock.com

Definition: Computervirus

Der Name kommt von der Methode, mit der die Malware den Rechner infiziert. Ein biologisches Virus (zum Beispiel ein Grippevirus) kann sich nicht eigenständig vermehren, sondern braucht eine Wirtszelle, auf deren Stoffwechsel es angewiesen ist. Auch ein Computervirus ist kein alleinstehendes Programm. Es ist ein Code-Schnipsel, der sich in eine andere Anwendung einschleust. Wird diese Anwendung gestartet, führt sie den Virus-Code aus, der das tut, was der Angreifer will.

"Virus" und "Malware" werden oft synonym verwendet. Genau genommen ist ein Virus aber eine spezielle Art von Malware. Das herausstechende Merkmal ist, dass Viren andere Programme infizieren müssen, um zu funktionieren. Die anderen beiden Hauptarten sind Trojaner und Würmer. Trojaner tarnen sich als harmlose Anwendungen, führen im Hintergrund aber ohne Wissen des Anwenders eine andere, meist schädliche Funktion aus. Würmer können sich unabhängig von anderen Anwendungen selbst reproduzieren und verbreiten.

Was tun Computerviren?

Wird eine Anwendung auf einem Rechner infiziert (dazu später mehr), folgt der Angriff im Allgemeinen folgendem Schema:

  1. Die infizierte Anwendung wird ausgeführt, normalerweise durch den Nutzer.

  2. Der Virus-Code wird in das CPU-Memory geladen, bevor irgendein legitimer Code ausgeführt wird.

  3. An diesem Punkt vermehrt sich das Virus, indem es andere Anwendungen auf dem Host-Computer infiziert und Schadcode injiziert, wo immer es kann.

Verschiedene Virus-Arten pflanzen sich unterschiedlich fort. Ein residenter Virus infiziert Programme nur, wenn sie geöffnet werden. Ein nicht-residenter Virus kann ausführbare Dateien (Executables) auch infizieren, wenn sie nicht laufen. Ein Boot-Sektor-Virus platziert seinen Code in den Boot-Sektor der System-Festplatte des Computers. Damit wird er ausgeführt, noch bevor das Betriebssystem vollständig geladen ist, so dass es nicht möglich ist, den Computer in einer "gesunden" Weise zu nutzen.

Sobald ein Virus den Computer infiziert hat, beginnt es, seine "Payload" auszuführen. Damit ist der Teil des Virus-Codes gemeint, der das tut, wozu der Angreifer den Virus programmiert hat. Es kann unter anderem:

  • die Festplatte des Rechners nach Login-Informationen absuchen;

  • Tastatureingaben aufzeichnen, um Passwörter zu stehlen ("Keylogger");

  • den Computer in eine Botnet einbinden, um in Rahmen von DDoS-Attacken bestimmte Ziele anzugreifen und durch Überlastung lahm zu legen;

  • Daten verschlüsseln und Lösegeld verlangen.

Einige dieser Effekte ähneln anderen Malware-Arten wie Ransomware-Würmern oder DDoS-Trojanern.

Wie verbreitet sich ein Computervirus?

In der Prä-Internet-Ära verbreiteten sich Viren über infizierte Floppy-Disks von Computer zu Computer. Das SCA-Virus befiel zum Beispiel Amiga-Nutzer, wenn diese bestimmte Disketten mit raubkopierter Software nutzten. Auch wenn er weitgehend harmlos war, hatten sich zum Höhepunkt der Epidemie etwa 40 Prozent aller Amiga-Nutzer infiziert.

Heute verteilen sich Viren über das Internet. In den meisten Fällen werden infizierte Anwendungen ebenso wie "gesunde" von einem Computer auf einen anderen übertragen. Sie werden versehentlich oder absichtlich per E-Mail verschickt oder über Wechseldatenträger wie USB-Sticks weitergegeben. Einige Viren bringen sogar die Mail-Software des Computers unter ihre Kontrolle und versenden Kopien von sich. Sie können auch aus infizierten Code-Repositories oder kompromittierten App-Stores heruntergeladen werden.

Viele Viren enthalten sogenannte Logikbomben. In diesen Fällen nehmen die Viren ihr schädliches Handwerk nur unter bestimmten Bedingungen auf, etwa wenn ein Datum erreicht wurde oder spezifische Umstände eintreten. Das führt dazu, dass Nutzern oder Administratoren oft nicht bewusst ist, dass die Anwendungen, die sie verbreiten und installieren, infiziert sind.

Die E-Mail ist immer noch das meistgenutzte Kommunikationsmittel im privaten und Arbeitsalltag. Also nutzen besonders viele Viren diesen Kanal. Kann man sich einen Virus einfangen, indem man eine E-Mail öffnet? Fast alle Ansteckungsszenarien mit einem Virus haben gemein, dass das Opfer aktiv den schädlichen Code oder die infizierte Anwendung ausführen muss. Es muss immer ein infizierter Anhang heruntergeladen und ausgeführt oder auf einen Link geklickt werden. Daher besitzen die meisten E-Mail-Clients und Webmail-Dienste standardmäßig einen Viren-Scanner. Zudem unterstreichen alle Security-Awareness-Maßnahmen von Anfang an, dass Nutzer sehr genau hinschauen sollten, welche Anhänge sie ausführen und welche nicht.

Eine besonders heimtückische Art, wie ein Virus einen Computer befallen kann, ist infizierter Code, der als JavaScript in einem Web-Browser läuft. Solche Viren heißen Web-Scripting-Viren. Darüber können Sicherheitslücken in lokal installierten Programmen ausgenutzt werden, um sie zu infizieren. Einige E-Mail-Clients führen HTML- und JavaScript-Code aus, der in E-Mails eingebettet ist. Werden solche Mails geöffnet, besteht immer ein gewisses Infektionsrisiko. Ähnlich wie bei schädlichen Anhängen besitzen die meisten E-Mail-Clients und Webmail-Services jedoch eingebaute Sicherheitsfunktionen, die das verhindern.

Welche Arten von Computerviren gibt es?

Security-Anbieter Symantec hat eine nützliche Übersicht der verschiedenen Virus-Typen erstellt. Neben den erwähnten residenten, nicht-residenten, Boot-Sektor- und Web-Scripting-Viren gibt es noch weitere verbreitete Varianten:

  • Ein Makro-Virus infiziert Makro-Anwendungen, die in Microsoft-Office- oder PDF-Dateien eingebettet sind. Er aktiviert, sobald ein infiziertes Dokument geöffnet wird.

  • Ein polymorpher Virus verändert seinen eigenen Quellcode jedes Mal, wenn er sich kopiert. Damit soll vermieden werden, dass das Virus von Antiviren-Programmen erkannt wird.

Diese Kategorien beschreiben verschiedene Verhaltensweise von Viren. Manche Schädlinge fallen in mehrere dieser Kategorien. So kann ein residenter Virus sich beispielsweise polymorph verteilen.

Welchen Schutz vor Computerviren gibt es?

Das US-Portal CSO hat Listen mit der wichtigsten Antiviren-Software für Windows, Android, Linux und macOS zusammengestellt. Die meisten davon sind signaturbasiert und überprüfen sämtliche Dateien und Programme auf den Code bekannter Malware.

In komplexen Unternehmensnetzwerken bieten Lösungen für Endpoint-Security Schutz. Sie zielen nicht nur auf schädliche Code-Signaturen ab, sondern stellen auch Anti-Spyware, Personal Firewall, Applikationskontrolle und andere Arten von Intrusion-Prevention-Funktionen zur Verfügung. Die Analysten von Gartner haben eine Liste der ihrer Meinung nach besten Endpoint-Security-Plattformen zusammengestellt.

Wer seine Anwendungen und Systeme stets aktuell hält und alle Patches einspielt, hat schon mal einiges für die Basis-Sicherheit getan. Solche Systeme bieten generell weiniger Schwachstellen und selbst wenn ein Virus-Code ausgeführt wird, muss es nicht zu einer Infektion kommen. Zudem gilt es, ein aktuelles Inventar der genutzten Hardware zu führen, um zu wissen, was abzusichern ist. Die Infrastruktur sollte laufend Schwachstellenanalysen unterzogen werden.

Was sind die Symptome für eine Infektion?

Neben Ausnahmen wie Ransomware wollen Viren meist nicht entdeckt werden, nachdem sie einen Computer befallen haben. Sie versuchen ihren Zweck laufend zu erfüllen, während der Rechner weiterarbeitet. Dennoch gibt es Symptome, die auf eine Infektion hinweisen:

  • andauernd langsame Performance;

  • häufige Abstürze;

  • unbekannte oder ungewohnte Programme starten, sobald der Computer eingeschaltet wird;

  • Massen-E-Mails werden vom eigenen E-Mail-Konto versandt;

  • häufige Pop-Up-Fenster, die auf unbekannte Web-Seiten verweisen oder Programm-Downloads bewerben;

  • Veränderungen auf der Unternehmens-Homepage oder von Passwörtern.

Häufen sich solche Symptome gilt es, einen Virenscan durchzuführen. Hierfür existieren zahlreiche kostenlose Online-Services, Safety Detective hat die sieben besten verifiziert und ihre Funktionen nach Vor und Nachteilen aufgeschlüsselt.

Wie lässt sich ein Computervirus entfernen?

Um einen Virus wieder loszuwerden, liefert Kaspersky eine allgemeine schrittweise Anleitung. Sollte die Malware nicht durch Antiviren-Tools entfernt werden können, muss der Rechner manuell bereinigt werden.

  1. Stellen sie sicher, dass Antiviren-Tools und Malware-Scanner aktuell sind.

  2. Trennen Sie den Rechner vom Internet und starten Sie ihn im abgesicherten Modus neu, damit die Malware nicht weitere schädliche Dateien herunterladen kann.

  3. Löschen Sie im abgesicherten Modus die temporären Dateien, um die Scans zu beschleunigen und eventuelle Malware in diesen Dateien zu beseitigen.

  4. Führen Sie nach der Bereinigung der Festplatte einen Scan aus. Da keine Internetverbindung besteht, deckt der Scan nur die Malware ab, die von der letzten Scanner-Aktualisierung erkannt wird. Daher müssen das Betriebssystem und die gesamte Software auch auf dem neuesten Stand sein.

  5. Findet der Scan eine infizierte Datei, wird sie normalerweise gelöscht oder isoliert. Anschließend folgt ein Neustart des Computers im normalen Modus. Kaspersky rät hier jedoch zu einem weiteren Scan-Durchgang, um sicherzustellen, dass sämtliche Malware vollständig entfernt wurde.

  6. Sollte der Rechner weiterhin Symptome einer Infektion aufweisen, gilt es, die wichtigsten Dateien auf einem externen Speicher (externe Festplatte, Cloud) zu sichern. Anschließend muss Windows neu installiert werden.

Ist der Virus entfernt, sind folgende Maßnahmen zu treffen:

  1. Ändern Sie sämtliche Passwörter.

  2. Stellen Sie sicher, dass Betriebssystem, Programme und der Browser in der aktuellsten Version laufen.

  3. Überprüfen Sie, ob im Browser die stärksten Sicherheitseinstellungen aktiviert sind.

CSO bietet eine Reihe von weiteren Anleitungen, um Rootkits, Ransomware, oder Kryptojacking-Viren zu entfernen und über das Windows-Registry Malware zu finden. Als generelle Vorsichtsmaßnahme bietet es sich an, regelmäßige Datei-Backups anzulegen. So kann bei einer Infektion ein sicherer Status wiederhergestellt werden, ohne den langen Reinigungsprozess durchlaufen zu müssen.