Hier nutzt der Virus eine bestimmte Technik aus, mit der Dateien gespeichert werden, und daher hat diese Viren-Art auch ihren Namen.

Das Einfachste wäre ja, die Datei irgendwohin in den Speicher (ob nun auf der Festplatte, Diskette oder gar in den Arbeitspeicher) zu speichern, wo gerade genug Platz ist. 

Und das ist dann auch schon das Problem.

Würde man Dateien nur speichern, wäre es natürlich gar kein Problem. Formschön legt man dann eine Datei hinter die andere.

Aber, zwischendurch werden ja auch mal Dateien wieder gelöscht. Und auch neue Dateien kommen hinzu.

Relativ schnell wäre der Speicher "voll", hätte aber lauter Lücken, wo einst mal ältere Dateien lagen. Das ist etwas verschwenderisch, muss man schon sagen. Also hatte man die Idee, Dateien in handliche gleichgroße Stückchen zu hacken, um das alles besser aufzuteilen im Speicher.

Diese Stückchen nennen wir hier einmal "Blöcke", genauer "Speicherblöcke". 

Der Vorteil, nun konnte man auch die Speicherplätze nutzen, die sonst als Lücken vorliegen, und hier konnten nun auch größere Dateien gespeichert werden, als die, die da einst lagen.

Das sieht hier noch hübsch übersichtlich aus.

Man sieht, wie die Datei-4 den alten Speicherplatz der Datei-2 nutzt, aber noch etwas an Blöcken braucht, weil sie halt länger ist als Datei-2. Unter Umständen, da soviel durch die Computerprogramme gelöscht und wieder neu gespeichert wird, können diese Blöcke weit über das Speichermedium (Diskette, Festplatte, usw.) verstreut sein.

Es gibt aber noch ein kleines Problemchen. 

Ganz einfach. Die Bytes, also die Speicherzellen wenn man so will, haben alle eine eigene Adresse. Die ersten Bytes in den Blöcken enthalten Daten, die sagen, wo der nächste Block ist. Sie sind "Links" (Die Verbindung) zu den jeweils nächsten Block. Man sagt statt Link auch "Zeiger", oder in Englisch "Pointer". 

Das Ganze ist dann eine Kette an Speicherblöcken. 

Das Ende der Kette ist dann erreicht, wenn dieser Link "ins Leere" zeigt, weil dann zeigt er ja nicht irgendwohin auf eine andere Speicheradresse. 

Wer auch immer nun die Datei lesen möchte, braucht nichts anderes zu tun, als den Links zu folgen, und Block für Block einzulesen, bis eben ein Link ins Nirwana zeigt. Dann ist Schluss. Dort ist die Datei zuende. Man hat alle dazugehörigen Blöcke eingelesen.

Sieht in etwa so aus. 

Na ja, irgendwie schon ohne Gesichter und Zeigefinger, aber so ähnlich eben.

Damit auch das Dateisystem weiß, wo die Datei ist, funktioniert es so ähnlich. Wenn du im Windows-Explorer eine Datei auswählst, nutzt du das Dateisystem. Im Dateisystem sind dann für jeden Dateinamen ebensolche "links", die auf den Anfang der entsprechenden Datei zeigen.

Wie schon oben gesagt: Der nutzt das natürlich aus, der fiese Hund.

Ihn gibt es am Anfang in Reinform, also ganz für sich allein, so wie ihn sein Schöpfer, also der Viren-Programmierer geschaffen hat.

Klein, aber gemein.

Und natürlich gibt es ihn dann noch in diversen Gestalten, wenn er erst einmal über diverse Datei hergefallen ist. Denn dann steckt er in diesen Dateien.

Da auch der Virus eine Datei ist, wird er logischerweise beim Speichern genauso in entsprechende Blöcke zerlegt.

Schlauerweise sind viele derartige Viren maximal so groß wie ein Speicherblock. Denn je kleiner er ist, desto weniger fällt er auf.

Er nutzt das Prinzip mit den Links aus, also das mit dem Zeigen auf den jeweils nächsten Block. Er kopiert sich selbst, endet dann aber nicht einfach, denn sein Link im Block zeigt nicht ins Leere, sondern dahin, wo die Datei anfängt, die er befällt.

Ganz einfache Geschichte, wieder mit Gesichtern: Eine infizierte Datei

Es macht schon Sinn für Link-Viren, sich ganz an den Anfang zu hängen, denn dann ist der Virus das Erste, was bei einem Programmaufruf ausgeführt wird. Wer weiß schon, was das eigentlich für ein Programm ist, das der Virus befallen möchte. Würde er sich irgendwo dazwischen setzen, ist ja nicht garantiert, ob dieses Stückchen Programm wirklich vom Nutzer genutzt wird und damit käme der Virus vielleicht gar nicht zum Zuge. So jedenfalls wird erst der Virus gestartet, und dann läuft ganz normal das Programm, in dem der Virus steckt. Der Nutzer des Programms merkt davon gar nichts, weil scheinbar ja alles "richtig" läuft mit dem Programm. Ist der Virus erst einmal aufgerufen, sucht er sein nächstes Opfer, eine weitere ausführbare Datei, um sich zu vervielfältigen.

Da der Virus ausgeführt werden muss, setzt er sich nicht in irgendwelche Dateien, etwa in eine Musik-Datei oder dergleichen, sondern nur in ausführbare Dateien, z.B.: Programme. Das kann ein Spiel sein, ein Bildschirmschoner, ein normales Programm, das man gern zum Arbeiten am Computer nutzt, eben etwas Ausführbares. Ideal ist natürlich immer ein Programm, das viel genutzt wird, denn dann verbreitet sich der Virus am schnellsten.

Ähm, müssen wir denn unbedingt alles ganz genau erklären? Das schadet uns Viren doch nur!

Die Verbreitung erfolgt dann so, wie hier geschildert, eine neue Datei wird gesucht, die noch nicht infiziert ist, und der Virus kopiert sich an den Anfang dieser Datei. Er "verbiegt" seinen Zeiger, zeigt also dann auf den Anfang der entsprechenden Datei, so dass alle Welt denkt, er sei nur ein Speicherblock, der zu dieser Datei gehört. Wird dann dieses Programm gestartet, dann eben der Virus auch, und ab geht es zur nächsten Datei, die man als kleiner gemeiner Virus noch infizieren könnte. Bis an dem Tag, an dem alle ausführbaren Dateien mit diesem Virus infiziert sind.

Natürlich ist das allein nicht so berauschend, sich nur zu vermehren, sich nur zu verbreiten. 

Der Virus wird noch ein paar Dinge tun, die ein PC-User vielleicht gar nicht mehr so komisch findet. Was er aber tun wird, ist von Virus zu Virus verschieden. Er kann irgend einen Schaden anrichten, wie Dateien oder gar die Festplatte löschen. 

Es kann aber auch ein Virus sein, der keinen Schaden in dem Sinne anrichtet, sondern vielleicht nur sagt:

am anfang war das nichts
ich denke .. ich bin .. ich lebe
und es werde licht .. 
meine nachkommen bevölkern deinen computer ..
nenne mich "gott",
huldige meinen namen,
und du bist nie wieder allein ;o)

Keine Bange, das ist ja nur ein Beispiel.

Tatsächlich gab es mal einen Virus, der in Englisch sagte:

a new creature was born

Wie schnappt sich den ein Viren-Scanner?

Ich finde, wir spielen lieber ein cooles Online-Spiel, denn der Abschnitt hier ist doch nun wirklich nichts für Kinder!

Daher arbeiten Viren-Scanner hier etwas anders. Sie prüfen den ersten Block der Datei, ob da Dinge oder besser Zeichenkombinationen drin sind, die sie kennen und typisch für Virus-X, Virus-Y oder Virus-Z sind. Deshalb muss man ja auch immer die neusten Viren-Scanner haben, denn schnell programmiert sich ein solcher Virus, aber dessen Muster kennt der Viren-Scanner noch nicht, besonders dann, wenn er zu alt ist.

Dieses Erkennungsmuster ist eigentlich die Schwachstelle des Virus. Denn, damit er sich nicht selbst befällt, muss er sich erkennen. Genauer, er muss ein Muster haben, an dem er sich selbst, eigentlich ja eher eine Kopie von sich selbst, in einer befallenen Datei erkennt. Stößt er auf dieses Muster, befällt er die Datei nicht, sondern sucht die nächste Datei, die er befallen könnte.

Kennt der Viren-Scanner diesen Virus, dann wird er ihn bemerken und fein säuberlich von der befallenen Datei abtrennen.

SCHNIPP-SCHNAPP-VIRUS-AB

Der Virus wäre dann nicht mehr in der Datei. Diese ist dann wieder fast wie neu und funktioniert wunderbar, ohne dass sich dabei Viren vermehren. 

Natürlich müssen auch hier alle Viren in allen Dateien gekillt werden, sonst geht der Spaß ja wieder vom Neuen los.

So ein Mist. Wer will denn das wissen? Lang lebe der weltweite Viren-Schutz!!! Harr. Wo kann ich spenden?

Also, wird ein solcher Virus zufällig entdeckt, dann macht es Sinn, alle Festplatten mit dem Viren-Scanner zu durchforsten. Geht nämlich einer durch die Lappen, kann der sich wieder vermehren.

Urheberrecht: Webseiten werden verlinkt und nicht beklaut !!!
Alle Rechte an Bild- und Textmaterial liegen bei der Blinden Kuh
Die Blinde Kuh - Erste deutschsprachige Suchmaschine speziell für Kinder
www.blinde-kuh.de © 1997-2003 Birgit Bachmann und Stefan R. Müller