Makroviren

Unterscheidung von Viren nach Infektionsmethode die sie verwenden oder ob/welche Tarnkappenfunktionen sie einsetzen.

Bootsektorviren

Die am häufigsten auftretenden Viren sind Bootsektorviren wie der Form- und der Stoned-Virus. Solche Viren infizieren die Bootsektoren von Disketten und entweder den MBR (Master Boot Record bzw. Master-Boot-Partitionssektor) oder den DBR (DOS Boot Record bzw. DOS-Bootsektor) von Festplatten. Ein Bootsektorvirus vermehrt sich folgendermaßen:

Eine Diskette mit Daten (vielleicht einigen Textverarbeitungsdateien und einem Tabellenkalkulationsblatt) ist angekommen. Die Daten sind Bestandteil eines Projekts, an dem Sie zusammen mit einem Kollegen arbeiten. Ihr Kollege weiß jedoch nicht, daß sein Computer und damit auch die Diskette, die er Ihnen zugeschickt hat, mit einem Bootsektorvirus infiziert ist. Sie legen die Diskette in Laufwerk A: ein und beginnen, die darauf enthaltenen Dateien zu verwenden. Bis jetzt hat der Virus noch gar nichts gemacht. Bei Feierabend schalten Sie den Computer aus und gehen nach Hause. Am nächsten Morgen betreten Sie Ihr Büro und schalten den Computer ein. Die Diskette befindet sich noch in Laufwerk A:, also versucht der Computer, von dieser Diskette zu starten. Er lädt den ersten Sektor der Diskette in den Speicher, um den darin enthaltenen Code auszuführen (normalerweise handelt es sich dabei um ein kleines Programm, das von Microsoft zum Laden von DOS geschrieben wurde) oder um Ihnen mitzuteilen "Keine Systemdiskette, bitte drücken Sie eine beliebige Taste, um fortzufahren", falls er keine DOS-Systemdateien darauf finden kann. Diese Meldung haben Sie schon tausendmal gesehen, also öffnen Sie die Laufwerksverriegelung und drücken eine Taste.

Aber diese Diskette ist mit dem Stoned-Virus infiziert, und daher wurde nicht das Programm von Microsoft, sondern der 1987 in Neuseeland geschriebene (und deshalb manchmal auch als New Zealand-Virus bezeichnete) Stoned-Virus ausgeführt. Der Virus installiert sich selbst auf der Festplatte, ersetzt den MBR und kopiert den Original-MBR an eine andere Stelle der Festplatte.

Wenn Sie von der Festplatte starten, wird der MBR ausgeführt, der jetzt jedoch nichts anderes als der Stoned-Virus ist. Der Stoned-Virus wird speicherresident, fängt den Interrupt 13h (Lesen von/Schreiben auf Datenträger) ab und lädt danach den Original-MBR, und von da ab wird der Startvorgang ganz normal fortgesetzt. Da jedoch der Interrupt für das Lesen von/Schreiben auf Diskette abgefangen wurde, wird bei jedem Schreib- oder Lesezugriff auf Laufwerk A: (obwohl Sie denken, es handle sich um einen Lesezugriff, schreibt jedoch in Wirklichkeit der Virus auf Diskette) die Diskette untersucht, und wenn sie noch nicht infiziert ist, wird der Stoned-Virus im Bootsektor installiert. Somit infiziert Ihr Computer jetzt jede Diskette, die in Laufwerk A: eingelegt wird, und früher oder später wird eine dieser Disketten an einen Kollegen weitergegeben, und der Kreislauf beginnt von vorne.

Im Detail unterscheiden sich die verschiedenen Bootsektorviren in ihrer Arbeitsweise voneinander, aber allen liegt dasselbe Prinzip zugrunde. Sie werden über die Bootsektoren infizierter Disketten übertragen und können nur auf diesem Weg weitergegeben werden (ein Bootsektorvirus kann sich beispielsweise nicht über ein Netzwerk ausbreiten). Eine Infektion kann nur durch den Versuch, von einer infizierten Diskette zu starten, stattfinden, selbst wenn dieser Versuch erfolglos verläuft.

Bootsektorviren befallen PCs. Dabei spielt es überhaupt keine Rolle, welches Betriebssystem verwendet wird oder welche Schutzprogramme installiert sind, denn zu dem Zeitpunkt, zu dem sich der Bootsektorvirus installiert, werden das Betriebssystem oder das Schutzprogramm noch gar nicht ausgeführt. Bei einigen Betriebssystemen allerdings, die nicht auf DOS beruhen, wird zwar der PC infiziert, kann sich der Virus jedoch nicht auf Disketten kopieren, die danach eingelegt werden, und sich somit nicht ausbreiten. Er kann jedoch nach wie vor Schaden anrichten, wie ein Unix-Anwender erstaunt feststellen mußte, als am 6. März überraschend der Michelangelo-Virus zuschlug.

Die meisten Leute sind vollkommen überrascht, wenn sie erfahren, daß sich ein Virus auf diese Art verbreitet, worin wohl auch der Grund für die Häufigkeit der Bootsektorviren zu suchen ist.

Stealth, Tarnkappenfunktion
Makroviren mit Stealtheigenschaften versuchen sich vor der Entdeckung durch den Anwender zu verbergen, indem sie die sonst für Viren typischen Merkmale "filtern". So wird z.B. versucht, die Anzeige der Makroliste unter Word zu manipulieren damit die Makros des Virus dort nicht mehr erscheinen. Das reicht vom einfachen Blockieren der entsprechenden Word-Funktion, dem Löschen des entsprechenden Word-Menüeintrages "Extras/Makro" über eine vollständige Nachbildung des Makrolistenfensters bis hin zu komplizierten Tricks mit Hilfe von AddIns und anderen Methoden.

Unter Word97 und Excel97 wird beispielsweise versucht, den VBA-Editor zu umgehen oder gleich der komplette Virus aus der Datei gelöscht, falls der Anwender den VBA-Editor aufruft. Aber auch einfachere Tricks wie etwa das Ausschalten des Word-Virenschutzes (was ohne weiteres möglich ist!) werden häufig von den Makroviren eingesetzt.

Polymorph
Polymorphe Makroviren versuchen die Erkennung durch die Antiviren-Programme zu erschweren, indem sie ihren Programmcode mit jeder Infektion verändern. Eine einfache Erkennung über Signaturen wird damit je nach Komplexität des Virus unmöglich. Zum Glück sind durch WordBasic bzw. VBA Grenzen gesetzt, da diese Programmiersprachen viel zu langsam sind um wirklich komplexe polymorphe Viren zu programmieren. Die Veränderung des Programmcodes kann durch ein einfaches Einfügen von Kommentaren erfolgen oder z.B. durch geschicktes Vertauschen von Befehlen oder ganzer Programmzeilen. Anfangs versuchten die Virenprogrammierer durch zufällig generierte Makronamen die Antiviren-Programme zu täuschen, diese Technik wird aber nicht als polymorph angesehen. Beispiele für polymorphe Makroviren sind "WM/Slow.A", "WM/UglyKid.A", "W97M/Splash.A", "W97M/Class" oder "W97M/Walker.C".

Anti-heuristisch
Der Virenprogrammierer versucht, durch besonders komplexe und trickreiche Programmierung eine Erkennung durch Antiviren-Programme zu verhindern, welche Makros mittels einer Heuristik nach verdächtigen Befehlen durchsuchen.

Dazu gehört z.B. auch das Verstecken des eigentlichen Programmcodes in Dokumentvariablen, Autotexten oder verschlüsselten Strings. Oft erzeugt der Virus dann zur Laufzeit ein neues Makro und fügt den versteckten Programmcode dort ein und führt ihn anschließend aus. Beispiele sind hier "Minimal.K" oder "Target.A".

Resident
Richtig speicherresident wie DOS-Viren können Makroviren nicht sein, allerdings können sie ähnlich wie bei den DOS-Viren (Interrupts) bestimmte Funktionen des Anwenderprogramms abfangen und übernehmen. Sehr viele Makroviren für Word benutzen die Auto-Makros wie "Auto Open" und "Auto Close" um beim Öffnen und Schließen eines Dokuments aktiv zu werden und weitere Dokumente zu infizieren.
Ebenfalls werden häufig Funktionen wie "Datei Speichern Unter", "Datei Öffnen", "Extras Makro" oder "Date iDrucken" abgefangen.
Im Prinzip kann so gut wie jedes Ereignis innerhalb von Microsoft Word bzw. Excel abgefangen werden. Auto-Makros sind allerdings sprachunabhängig und funktionieren daher mit jeder nationalen Version von Word. System-Makros wie "Datei Öffnen" lauten in der englischen Version "File Open". Ein Virus der sich auf solche Makros verläßt, ist daher sprachabhängig.

Shortcut-Aktivierung
Neben bestimmten Makros, die wichtige Funktionen von Word/Excel übernehmen, können Makroviren auch die Tastaturbelegung ändern. So ist es z.B. möglich die Leertaste und andere beliebige Tasten mit einem Makro zu verbinden, das ausgeführt wird sobald der Anwender die betreffende Taste drückt.
"WM/Outlaw" verwendet diese Art der Aktivierung.

Formular-Aktivierung
Formularfelder können mit zwei Makros verknüpft werden, die beim Betreten und Verlassen des Formularfeldes ausführt werden.

Button-Aktivierung
Die Auswahlleiste mit Knöpfen für bestimmte Funktionen wie etwa "Datei speichern", "Datei drucken" usw. kann beliebig abgeändert werden. Es möglich, diese Knöpfe mit bestimmten Makros zu verknüpfen.

AddIn-Infektoren
Diese Makroviren infizieren nicht wie üblich die globale Vorlage "NORMAL.DOT", sondern erzeugen eine neue Vorlage in die der Virus dann kopiert wird. Damit werden unter anderen alle "NORMAL.DOT" - Schutzmechanismen umgangen und zusätzlich fortschrittliche Tarnkappenmethoden möglich. Diese Infektionsmethode wird z.B. von "WM/Hunter" oder "WM/Eraser" verwendet.

Companion-Infektoren
Companion-Viren infizieren Dokumente nicht direkt und fügen dort keine Makros ein. Statt dessen erzeugt der Virus eine gleichnamige Datei mit der Dateiendung ".DOT", die den eigentlichen Virus enthält und die mit der ".DOC"-Datei verknüpft wird.
Öffnet der Anwender das Dokument, bezieht Word automatisch die Makros aus der ".DOT"-Datei. Diese Art der Infektion ist sehr uneffektiv und kaum verbreitet, da der Anwender in der Regel nur die ".DOC"-Dateien weiterkopiert und daher den Virus nicht verbreitet.
Beispiele für Companion-Viren sind etwa der "WM/Dietzel" oder "WM/Birthday".

Direct-Action-Infektioren
Diese Viren infizieren ebenfalls nicht die "NORMAL.DOT"NORMAL.DOT und umgehen damit zusammenhängende Schutzmechanismen. Sie suchen direkt auf nach weiteren Dateien, die sie infizieren können. Einige Viren infizieren z.B. jedes Dokument das der Anwender zuletzt bearbeitet hat (diese Dateien werden in der MRU-Liste gespeichert), andere durchsuchen die Festplatte einfach nach Dateien mit der Endung ".DOC".
Viren, die diese Infektionsmethode verwenden sind z.B. "WM/Snickers" oder "W97M.RatsAss".