Direkt zum Inhalt

Kampf den Computerviren

Von ihren biologischen Verwandten kann man eine Menge über die heimtückischen, sich selbst vermehrenden Dateien sowie über Mittel zu ihrer Bekämpfung lernen.

Computerviren befallen nicht nur Computer, sondern mindestens ebenso intensiv das öffentliche Bewußtsein. Menschengemacht und außer Kontrolle geraten, erregen sie frankensteinartige Gruselgefühle; sie sind Gegenstand von hartnäckigen Gerüchten, Scherzen, Fernsehshows und Spielfilmen. Verglichen damit haben Wissenschaftler ihnen bisher nur wenig Aufmerksamkeit geschenkt.

Das öffentliche Schaudern ist großenteils auf die ebenso offensichtlichen wie tiefgründigen Gemeinsamkeiten der Computerviren mit ihren biologischen Namensvettern zurückzuführen: Sie vermehren sich, indem sie sich an einen Wirt anheften (ein Programm oder ein Computer in der Rolle der befallenen Zelle) und dessen Ressourcen nutzen, um sich selbst zu vervielfältigen. Die Folgen einer solchen Infektion reichen von lästig bis katastrophal. So wie sich biologische Viren auf die Zellen eines Organismus und dann von Mensch zu Mensch verbreiten, infizieren ihre digitalen Gegenstücke einzelne Programme und andere Computer. Es gibt weitere Arten solcher digitalen Erreger, zum Beispiel die auf Netzwerke spezialisierten sogenannten Würmer oder Trojanischen Pferde – Programme, die ihre bösen Absichten hinter einer freundlichen Fassade verbergen. Die bei weitem häufigsten Verursacher von Computerkrankheiten sind jedoch Viren: Software-Fragmente, die nur innerhalb von Programmen aktiv werden.

Für uns und unsere Kollegen am Thomas-J.-Watson-Forschungszentrum der IBM in Yorktown Heights (New York) war die biologische Analogie durchaus fruchtbar. Aus der jahrzehntelangen Arbeit mathematischer Epidemiologen konnten wir lernen, welche Faktoren die Ausbreitung eines Computervirus beeinflussen. Unsere Suche nach effizienten Methoden zum Aufspüren eines Virus und zur Erkennung von Verwandtschaften hat sehr von Algorithmen zur Mustererkennung profitiert, die aus der Bioinformatik stammen. Schließlich konnten wir vom Immunsystem der Wirbeltiere und seinen erstaunlichen Fähigkeiten zur Abwehr und Vernichtung von Krankheitserregern viel über die Abwehr pathogener Software lernen.

Der Stammbaum der Computerviren reicht zurück bis auf Studien des ungarisch-amerikanischen Computerpioniers John von Neumann (1903 bis 1957) über sich selbst reproduzierende mathematische Automaten in den vierziger Jahren. Sein deutsches Pendant Konrad Zuse (1910 bis 1995) hatte ähnliche Ideen, die jedoch keine Wirkung entfalteten (Spektrum der Wissenschaft, Januar 1997, Seite 78). In den siebziger Jahren wurden Programme, die Computer infizieren können, theoretisch diskutiert; aber erst im Oktober 1987 wurde das erste Computervirus sozusagen in der freien Wildbahn dokumentiert: Ein Stückchen Programmtext namens “Brain virus” (“Gehirnvirus”) fand sich auf einigen Dutzend Disketten an der Universität von Delaware in Newark. Heute werden jedes Jahr mindestens eine Million Computer von einem Virus infiziert, und deren Nutzer geben mehrere hundert Millionen Dollar für Programme und Dienstleistungen zu ihrer Bekämpfung aus – mit steigender Tendenz.

Die meisten Viren befallen Personal Computer (PCs). Mehr als zehntausend Arten sind bekannt (Bild 1); pro Tag werden etwa sechs neue von gewissenlosen Programmierern in die Welt gesetzt. Zum Glück hat sich nur eine Handvoll von ihnen weit verbreiten können.

Je nach Angriffsziel pflegt man PC-Viren (und ähnlich ihre Verwandten auf anderen Systemen) in drei große Klassen einzuteilen: Datei-Infizierer, Bootsektorviren und Makroviren. Etwa 85 Prozent aller bekannten Viren nisten sich in Dateien ein, die ihrerseits Programme wie Tabellenkalkulation oder Spiele enthalten. Wenn der Nutzer das infizierte Programm aufruft, wird zuerst der Viruscode ausgeführt. Dieser begeht nun alle Gemeinheiten, die der Autor des Virus seinen Opfern zugedacht hat; insbesondere kopiert er sich selbst in einen bestimmten Bereich des Speichers, von wo aus er andere, anschließend laufende Programme befallen kann. Nach vollbrachter Tat gibt das Virus die Kontrolle, als wäre nichts gewesen, an sein Wirtsprogramm zurück, so daß dem Nutzer – zunächst – nichts auffällt. Irgendwann gerät ein befallenes Programm über eine Diskette oder ein Netz auf einen anderen Computer, und der Infektionszyklus beginnt von neuem (Bild 2).

Bootsektorviren, die etwa fünf Prozent aller bekannten PC-Virusstämme ausmachen, sitzen in dem speziellen Teil der Festplatte oder einer Startdiskette, der automatisch beim Einschalten des Computers zuerst eingelesen und abgearbeitet wird. Dieser Bootsektor enthält normalerweise den Programmcode, der den Rest des Betriebssystems in den Arbeitsspeicher lädt und damit den Computer erst aktionsfähig macht. Die Bezeichnung booting (“stiefeln”) für den Startvorgang spielt darauf an, daß sich der Computer ohne fremde Hilfe aus dem Sumpf zieht – wie Münchhausen an seinen Stiefelschlaufen (bootstraps).

Da ein einmal eingedrungenes Bootsektorvirus von jedem Einschalten an präsent ist, kann es jede Diskette infizieren, die ins Laufwerk eingelegt wird. Das macht diesen Typ so ansteckend: Obwohl es nur wenige Stämme gibt, waren Bootsektorviren eine Zeitlang viel häufiger als datei-infizierende.

Makroviren schließlich sind unabhängig vom Betriebssystem und befallen Dateien, die normalerweise gar nicht als – zu eigener Aktion fähige – Programme angesehen werden. Im wesentlichen enthalten diese passives Material wie Text oder große Zahlentabellen. Darin eingestreut dürfen jedoch sogenannte Scripts liegen, auch Makros genannt: kurze Folgen von Anweisungen an das ausführende Programm. Wenn etwa ein Textverarbeitungsprogramm ein Kürzel automatisch in ein langes Wort verwandelt, das der Benutzer nicht jedesmal eintippen möchte, führt es ein Script aus. Ähnliches gilt für die automatische Berechnung gewisser Einträge aus anderen in Tabellenkalkulationsprogrammen. Virenprogrammierer haben nun Scripts entwickelt, die Kopien ihrer selbst in andere Dokumente einschleusen.

Makroviren verbreiten sich viel schneller als andere, weil Nutzer in der Regel Dateien, die anscheinend nur Daten enthalten, bedenkenlos untereinander austauschen – etwa vorläufige Versionen eines gemeinsam zu erstellenden Dokuments. “Concept”, das erste in freier Wildbahn beobachtete Makrovirus, infizierte sein erstes Microsoft-Word-Dokument gegen Ende 1995 und ist heute das verbreitetste Virus der Welt. Zur Zeit sind mehr als 1000 Makroviren bekannt.

Außer dem Code zur Selbstvermehrung kann ein Autor nach Belieben weitere Anweisungen in ein Virus einfügen. Einige dieser Extras zeigen einfach einen Text oder ein Bild am Monitor (Bild 1), andere wiederum zerstören Programme und Daten. Selbst Viren ohne solch bösartige Bestandteile können Schaden anrichten, wenn sie in

unvorhergesehene Rechnerumgebungen geraten. Das Virus “Form” beispielsweise, das sich gewöhnlich nur einmal im Monat durch ein Klicken bemerkbar macht, überschreibt einen Teil des Inhaltsverzeichnisses der Festplatte; das stört ältere PCs nicht weiter, ist aber fatal für neuere Modelle, die ihre Daten auf der Platte anders anordnen.


Diagnose und Therapie

Bald nachdem Computerviren aufgetaucht waren, gab es die ersten Programme zu ihrer Bekämpfung. Unspezifische Virendetektoren überwachen ein Computersystem und melden verdächtige Aktionen wie etwa die Änderung von wichtigen Dateien oder Teilen des Arbeitsspeichers (Bild 3 a). Außerdem untersuchen sie ausführbare Dateien regelmäßig auf verdächtige Veränderungen. Solche Programme können auch bisher unbekannte Viren entdecken, schlagen aber häufig falschen Alarm, wenn eine an sich zulässige Handlung den Aktivitäten eines Virus ähnlich ist.

Dagegen durchmustert ein Durchsuchungsprogramm (scanner) Dateien, Bootsektoren und Arbeitsspeicher auf sogenannte Signaturen, Bytefolgen, die für bereits bekannte Viren kennzeichnend sind (Bild 3 b). Ein Scanner muß zwar jedesmal aktualisiert werden, wenn ein neuer Virenstamm entdeckt wird, schlägt aber nur selten falschen Alarm. Die Signaturen, die ein solches Programm erkennt, sind typischerweise nur 16 bis 30 Bytes lang, viel kürzer als die Tausende von Bytes, aus denen ein komplettes Virus besteht. (Antikörper des menschlichen Immunsystems binden sich auch nur an acht bis 15 von den mehreren tausend Aminosäuren eines Virusproteins.) Es ist effektiver, ein kurzes Fragment zu erkennen, anstatt auf die Anwesenheit eines kompletten Virus zu prüfen, und mehrere Viren können durch-

aus eine Signatur gemeinsam haben. Die meisten Virenscanner wenden Mustererkennungsalgorithmen an, die mehrere verschiedene Signaturen gleichzeitig erkennen können, und die besten unter ihnen überprüfen in weniger als zehn Minuten 10000 Programme auf 10000 Signaturen.

Ist ein Virus entdeckt, muß es entfernt werden. Das komplette Löschen des infizierten Programmes ist ein grobes, aber wirksames Mittel. Im menschlichen Körper werden infizierte Zellen ja auch einfach – von darauf spezialisierten weißen Blutkörperchen – aufgefressen. Nur sind Programme und Dateien gewöhnlich weniger leicht ersetzbar als Körperzellen. Deshalb versucht ein Antivirusprogramm zunächst, ein befallenes Programm wiederherzustellen. Dabei kommt ihm zugute, daß Viren ihr Wirtsprogramm im wesentlichen intakt lassen müssen, um unentdeckt zu bleiben und sich so ungestört vermehren zu können.

Ein virusspezifisches Suchprogramm führt also in den meisten Fällen nach der Entdeckung eines Virus eine Folge detaillierter Anweisungen aus, die den schädlichen Code entfernen und eine arbeitsfähige Kopie des Originals wiederherstellen: ein Rezept (prescription) zum Kurieren. Es gibt auch so etwas wie unspezifische Desinfektionsmittel; sie helfen gegen bekannte wie unbekannte Viren. Eine von uns entwickelte Methode erstellt von jedem Programm im System einen sogenannten mathematischen Fingerabdruck, eine Art Kurzkennzeichnung. Sie ist immerhin so inhaltsreich, daß damit aus einem infizierten Programm das Original rekonstruierbar ist (Bild 3 c).

Für Maßnahmen, die sich gegen ein bestimmtes Virus richten, muß dieses individuell eingehend analysiert werden, sobald es entdeckt ist. Bislang braucht es menschliche Experten mit reichhaltiger Erfahrung, um ungewöhnliche Befehlsfolgen zu erkennen, durch die sich Viruscode von normalen Programmen unterscheidet, und ein geeignetes Rezept zu formulieren. Um mit dem Zustrom von täglich sechs neuen Viren Schritt zu halten, haben die Bekämpfer automatisierte Verfahren entwickelt, die menschliche Experten unterstützen oder sogar ersetzen sollen.

Wir selbst haben ein grobes statistisches Verfahren ersonnen, das sehr schnell Signaturen großer Trennschärfe herausfiltert. Zunächst haben wir die Häufigkeit kurzer Bytefolgen in einer großen Anzahl normaler Programme bestimmt. In einem neu vorgelegten Virus findet nun unsere Software diejenige

Bytefolge, die mit der geringsten Wahrscheinlichkeit in einem legitimen Programm zu finden ist. Dieses Verfahren ist viel schneller und – nach den Ergebnissen bisheriger Tests zu urteilen – weniger anfällig für Fehlalarme als die Analyse eines menschlichen Experten.

Ein ähnliches Prinzip findet sich in der inzwischen veralteten Schablonen-Theorie (template theory) des Immunsystems, derzufolge Antikörper an einem eingedrungenen Krankheitserreger gleichsam Maß nehmen und ihre eigene Form daraufhin anpassen: Unsere Signaturen sind ebenfalls für jedes neue Virus maßgeschneidert.

Ein anderer Ansatz folgt genauer der gegenwärtig akzeptierten klonalen Selektionstheorie. Danach hält das Immunsystem im Körper eine riesige Anzahl unterschiedlicher Immunzellen vorrätig; aber unter ihnen werden nur die wenigen massenhaft vermehrt, die im Verteidigungsfall zu dem eingedrungenen Erreger passen. Entsprechend produziert das Verfahren von Stephanie Forrest von der Universität von New Mexico in Albuquerque und ihren Mitarbeitern am Nationallaboratorium in Los Alamos durch Zufallsprozesse Signaturen – ohne Bezug zu einem bestimmten Virus. Jede wird mit im System bereits vorhandenem Code verglichen und, wenn sie dort nicht vorkommt, in einer riesigen Datenbank gespeichert. Wenn nun zu einem späteren Zeitpunkt eine dieser Signaturen in einem Programm auftaucht, weiß man mit Sicherheit, daß das Programm verändert wurde; ob ein Virus am Werk war, kann allerdings erst eine weitere Analyse zeigen.

In einer weiteren Parallele zum biologischen Vorbild macht man sich zunutze, daß Computerviren häufig miteinander verwandt sind: Ihre Produzenten erfinden sie nicht vollkommen neu, sondern übernehmen wichtige Teile von bereits existierenden Vorbildern. Es gibt also Stammbäume und vor allem Merkmale, die ganzen Familien von Viren gemeinsam sind. Indem wir große Mengen von Viruscode verarbeiten, finden wir automatisch solche Familiensignaturen; an ihnen erkennt man auch neue Abkömmlinge eines Virenstamms. Diese Methode verringert den Speicherplatzbedarf für Signaturen erheblich, da man zuweilen mit Hilfe einer einzigen 20 Bytes langen Familiensignatur Dutzende von Viren erkennen kann.

Wir haben auch ein auf neuronalen Netzen beruhendes Verfahren entwickelt, das Viren erkennt, indem es nach mehreren, nur drei bis fünf Bytes langen Mustern sucht. Diese winzigen Fragmente stehen für Maschinenbefehle, die typisch für eine Virusinfektion sind. Sie können zwar auch in konventionellen Programmen enthalten sein; aber wenn sie in größerer Anzahl vorkommen, steckt fast sicher ein Virus dahinter. Solche kurzen Sequenzen eignen sich nicht nur für eine sehr schnelle Suche, sie sind auch unmittelbar mit der Funktion eines Virus verknüpft. An ihnen erkennt man deshalb auch eine große Vielfalt von Viren, die nie zuvor beobachtet wurden.


Virenjagd in freier Wildbahn

Seit 1990 sammeln wir Daten über Computerviren von mehreren hunderttausend PCs unserer Geschäftskunden: Ort und Datum des Befalls, die Anzahl der betroffenen PCs und Disketten sowie die Identität des Virus. Aus diesen Statistiken haben wir viel über das Verhalten der Viren in freier Wildbahn gelernt, insbesondere, daß nur ein kleiner Bruchteil von ihnen wirklich problematisch ist. Lediglich etwa fünf Prozent aller bekannten Viren traten auf den von uns betreuten Computern auf, darunter viele nur ein einziges Mal. Die zehn häufigsten sind für zwei Drittel aller Zwischenfälle verantwortlich. Außerdem scheint die Verbreitung eines erfolgreichen Erregers einem allgemeinen Schema zu folgen: Ungefähr ein Jahr lang nimmt seine Häufigkeit ungefähr linear zu, bis eine Art Plateau erreicht wird. Danach tritt er mit annähernd konstanter Rate auf, wenngleich er hin und wieder nahezu ausstirbt.

Um dieses Verhalten besser zu verstehen, haben wir Anleihen bei der mathematischen Epidemiologie gemacht. Deren einfachste Modelle beschreiben die Ausbreitung einer Krankheit in Abhängigkeit von einigen wenigen Parametern, darunter die Ansteckungsrate – das ist die Wahrscheinlichkeit, bei Kontakt mit einem Infizierten ebenfalls zu erkranken – und die Ausscheiderate, also die Wahrscheinlichkeit, mit der ein Erkrankter durch Heilung oder Tod aus der Menge der Infektiösen ausscheidet. (Die zugehörigen Gleichungen haben eine gewisse Ähnlichkeit mit den Räuber-Beute-Modellen der mathematischen Biologie; deren Begriffe übernehmend, spricht man – einigermaßen widersinnig – von Geburts- statt von Ansteckungsrate und von Todes- statt von Ausscheiderate.) Ist das Verhältnis dieser beiden Raten unterhalb einer kritischen Größe, stirbt die Krankheit schnell aus; oberhalb wächst mit zunehmendem Wert des Verhältnisses das Risiko einer Epidemie und – wenn es keine Immunität gibt – der Anteil der Population, der zu irgendeinem Zeitpunkt infiziert ist.

Es stellte sich heraus, daß dieses Modell zu stark vereinfacht. Wenn es zuträfe, müßte ein Virus entweder ziemlich schnell aussterben oder sich exponentiell ausbreiten und die gesamte Population befallen, es sei denn, das Verhältnis der beiden Raten läge dicht beim kritischen Wert. In Wirklichkeit pendelt sich – bei Menschen wie Computern – der Virusbefall häufig auf konstantem, relativ niedrigem Niveau ein.

Ein wesentlicher Fehler des vereinfachten Modells ist die Annahme konstanten Ansteckungsrisikos: Man unterstellt, daß jedes Mitglied der Population mit jedem anderen ungefähr gleich häufig in Kontakt gerät. Bessere Modelle berücksichtigen die Tatsache, daß Populationen häufig in Kleingruppen mit intensivem internem und sehr beschränktem äußerem Kontakt zerfallen. Das gilt besonders für den Austausch von Software. Aus Computersimulationen geht hervor, daß dies die Verringerung der Ausbruchswahrscheinlichkeit, der Ausbreitungsgeschwindigkeit sowie des Gleichgewichts-Durchseuchungsgrades erklären kann, letzteres allerdings nicht in dem beobachteten Ausmaß.


Mutation und Selektion

Ebenso wie Trockenheit, Hygiene und Bevölkerungswanderung den Verlauf biologischer Epidemien bestimmen, gibt es auch Umwelteinflüsse in der Computerwelt mit der Folge, daß verschiedene Erkrankungswellen kommen und wieder gehen. Bis 1992 wurden datei-infizierende und Bootsektorviren annähernd gleich häufig – und mit steigender Tendenz – beobachtet. Dann begann ein dramatischer Rückgang bei den Dateiviren, während die Bootsektorviren sich weiter vermehrten und zwischen Ende 1992 und Ende 1995 das Feld beherrschten. Warum sind die Dateiviren nahezu ausgestorben?

Wir vermuten die Ursache in der allgemeinen Verbreitung von Windows 3.1. Diese Fortentwicklung des bis dahin dominierenden PC-Betriebssystems MS-DOS, die um 1992 den Markt eroberte, stürzt leicht ab, wenn Dateiviren vorhanden sind. Damit sehen sich die betroffenen Benutzer sehr bald zu Gegenmaßnahmen genötigt, selbst wenn ihnen die Ursache des Fehlers nicht klar ist – bis hin zu Radikalkuren wie Neuformatieren der Festplatte, wodurch sämtliche Dateien gelöscht werden, und anschließender Neuinstallation aller Programme. Bootsektorviren jedoch können in der Regel friedlich mit Windows koexistieren; wie bei echten Krankheitserregern zeigt sich, daß diejenigen Schädlinge sich am besten verbreiten, die ihren Wirt nicht allzufrüh umbringen (Spektrum der Wissenschaft, April 1988, Seite 118).

Mittlerweile ist Windows 95 dabei, seinen gleichnamigen Vorgänger zu verdrängen – und dabei die Bootsektorviren nahezu auszurotten. Windows 95 warnt nämlich den Nutzer bei den meisten Änderungen in den Bootsektoren, einschließlich solcher, die von Viren verursacht werden, und verhindert dadurch deren weitere Ausbreitung. Einige wenige speziell für Windows 95 und andere 32-Bit-Betriebssysteme entwickelte Viren sind uns schon untergekommen, aber diese werden sich wohl kaum weit verbreiten.

Gegenwärtig befinden wir uns im Zeitalter der Makroviren. Weil sie in Dokumenten und anderen Dateien stecken, die man leichtfertiger auszutauschen pflegt als Programme, erfreuen sie sich einer höheren Vermehrungsrate als Datei- oder Bootsektorviren. Moderne Programme für elektronische Post und Dateitransfer machen den Austausch von Dokumenten noch schneller und einfacher, was das Problem weiter verschärft.

Makroviren profitieren als erste von dem gegenwärtigen Trend, Software interoperabel zu machen: Versionen eines Programms für verschiedene Computertypen können ihre Dateien problemlos untereinander austauschen. Ein Dateivirus für DOS infiziert niemals einen Macintosh; aber ein Makrovirus kann jede Hardware befallen, auf der ein interoperables Programm läuft. “Concept” hat als Parasit des Textverarbeitungsprogramms Microsoft Word die traditionellen Systemgrenzen übersprungen.

Heutzutage findet eine Ansteckung mit Computerviren hauptsächlich statt, indem ein Mensch durch einen bewußten Akt eine einzelne programm- oder datenhaltige Datei überträgt. Das kommt nicht allzu massenhaft vor; deswegen bleibt gewöhnlich ausreichend Zeit, um mit den Folgen einer Ansteckung fertig zu werden. Ein erfolgreiches neues Virus braucht Monate oder sogar Jahre, um richtig Fuß zu fassen. In der eng vernetzten Welt der nahen Zukunft könnte das jedoch viel schneller gehen. Schon als 1988 Robert Tappan Morris das Programm losließ, das als “Internet-Wurm” berüchtigt wurde, traf es an einem einzigen Tag Hunderte von Computern auf der Welt.

Neuerdings können manche Web-Browser – Programme, die Material aus dem World Wide Web heranschaffen und präsentieren – stillschweigend Programme und Daten aus dem Netz in den Computer des Nutzers laden, beispielsweise mit Verfahren wie ActiveX. Ein Nutzer möchte ein bewegtes Bild sehen – und ohne es richtig zu merken, hat er sich mit den Bilddaten auch ein möglicherweise infiziertes Bilddarstellungsprogramm in den Computer geholt. Mit modernen Programmen für elektronische Post (e-mail) kann man Anlagen (attachments) verschicken, die komplette Textdokumente oder Tabellenkalkulationen enthalten. Ein Mausklick auf das Symbol dieser Anlage, und das entsprechende Programm wird aufgerufen, das seinerseits den Anweisungen eines Makrovirus folgt. Wenn der Empfänger von e-mail dann noch das Öffnen seiner Post einem speziellen Programm – einem Softwareagenten – anvertraut, ist der Vermehrungszyklus der Computerviren komplett automatisiert und damit um Größenordnungen schneller als heute.


Ein digitales Immunsystem

Diese Veränderungen im elektronischen Ökosystem erfordern Gegenmaßnahmen, die ebenfalls nicht an die menschliche Reaktionszeit oder die Fähigkeit zur raschen Analyse eines neuen Schädlings gebunden sind. Mehrere Unternehmen, darunter IBM, die Symantec Corporation und McAfee Associates, arbeiten an solchen Projekten.

Bei IBM entwickeln wir so etwas wie ein Immunsystem für den Cyberspace (Bild 4). Ebenso, wie das natürliche Vorbild innerhalb weniger Tage nach Erkennen eines Erregers eine Immunantwort bereitstellt, findet unser Computer-Immunsystem in wenigen Minuten Rezepte zur Erkennung und Entfernung neuer Computerviren. Allerdings entspricht dem menschlichen Körper nicht ein einzelner Computer, sondern ein ganzes Netzwerk. Bei unserem Prototyp des Systems AntiVirus sind zahlreiche PCs über das Netz mit einem Zentralcomputer verbunden, der Viren analysiert. Ein Überwachungsprogramm auf jedem einzelnen PC hält Ausschau nach Verdachtsmomenten: ungewöhnliches Systemverhalten, verdächtige Änderungen in Programmdateien oder bekannte Familiensignaturen. Im Verdachtsfall schickt es Kopien aller verdächtigen Dateien an den Zentralcomputer.

Dieser schickt sie an einen anderen Computer, der als Brutschrank dient. Dort liegen häufig verwendete Programme in der Rolle von infizierbaren Kulturzellen bereit; spezielle Software tut allerlei Dinge mit ihnen – aufrufen, kopieren, anderweitig manipulieren –, um das Virus zu erkennbaren Aktivitäten zu veranlassen. (Im Interesse einer weiten Verbreitung sind Viren gerade auf den Befall häufig verwendeter Programme ausgelegt.) Damit gibt sich der Viruscode selbst zu erkennen. Andere Verhaltensmuster können in dieser Phase ebenfalls beobachtet werden.

Nach dieser Brutphase übernehmen andere Komponenten des Immunsystems die Kontrolle: Durch Inspektion der Kulturzellen ermitteln sie Signaturen sowie ein Rezept zur Erkennung und Vernichtung des Virus. Das dauert in typischen Fällen nur fünf Minuten. Der Zentralcomputer sendet diese Information zurück zum infizierten PC, der sie seiner permanenten Datenbank von Virenbekämpfungsmitteln hinzufügt. Danach findet und entfernt die lokale Version des Überwachungsprogramms alle Exemplare des Virus; der Computer ist somit gegen diese Spezies immun geworden.

Ist der PC über ein lokales Netz mit anderen verbunden, so ist zu befürchten, daß das Virus auch andere Netzteilnehmer befallen hat. In unserem Prototyp wird das Rezept automatisch an benachbarte Maschinen weitergereicht, die sich sofort selbst untersuchen. Da sich Viren in Netzen rasend schnell fortpflanzen können, sollte man auch für das Gegenmittel denselben Ausbreitungsweg wählen. Im Prinzip ist es möglich, sehr rasch die ganze PC-Welt, soweit sie am Netz hängt, mit einem Mittel gegen ein neuentdecktes Virus zu impfen.

Bei aller Raffinesse: Ausrotten werden wir die Computerviren nicht. Einzelne Spezies werden kommen und gehen, aber im großen und ganzen wird es eine Koevolution zwischen Parasit und Wirt geben – wie in der Natur. Umweltveränderungen werden eine Rolle spielen, zum Beispiel das Aufkommen der mobilen Softwareagenten. Diese frei übers Netz wandernden Programme müssen vor Veränderungen durch Systeme, auf denen sie residieren, geschützt werden – und umgekehrt. Vielleicht erleben wir zur Zeit nur den Vorgeschmack eines reichhaltigen Ökosystems aus künstlichen Lebensformen, die im Cyberspace leben, sterben, kooperieren, fressen und gefressen werden.


Literaturhinweise

Rogue Programs: Viruses, Worms and Trojan Horses. Herausgegeben von Lance J. Hoffman. Van Nostrand Reinhold, 1990.

Computers and Epidemiology. Von J. O. Kephart, S. R. White und D. M. Chess in: IEEE Spectrum, Band 30, Heft 5, Seiten 20 bis 26, Mai 1993.

A Short Course on Computer Viruses. Von Frederick B. Cohen. 2. Auflage, John Wiley & Sons, 1994.

Robert Slade’s Guide to Computer Viruses. Von Robert Slade. Springer, 1994.

Biologically Inspired Defenses Against Computer Viruses. Von Jeffrey O. Kephart, Gregory B. Sorkin, William C. Arnold, David M. Chess, Gerald J. Tesauro und Steve R. White in: Proceedings of the 14th International Joint Conference on Artificial Intelligence, Montreal, 20. bis 25. August 1995. Morgan Kaufmann Publishers.

AntiVirus Online. Website der IBM zu Computerviren. Im World Wide Web unter http://www.av.ibm.com.



Aus: Spektrum der Wissenschaft 5 / 1998, Seite 60
© Spektrum der Wissenschaft Verlagsgesellschaft mbH

Schreiben Sie uns!

Beitrag schreiben

Wir freuen uns über Ihre Beiträge zu unseren Artikeln und wünschen Ihnen viel Spaß beim Gedankenaustausch auf unseren Seiten! Bitte beachten Sie dabei unsere Kommentarrichtlinien.

Tragen Sie bitte nur Relevantes zum Thema des jeweiligen Artikels vor, und wahren Sie einen respektvollen Umgangston. Die Redaktion behält sich vor, Zuschriften nicht zu veröffentlichen und Ihre Kommentare redaktionell zu bearbeiten. Die Zuschriften können daher leider nicht immer sofort veröffentlicht werden. Bitte geben Sie einen Namen an und Ihren Zuschriften stets eine aussagekräftige Überschrift, damit bei Onlinediskussionen andere Teilnehmende sich leichter auf Ihre Beiträge beziehen können. Ausgewählte Zuschriften können ohne separate Rücksprache auch in unseren gedruckten und digitalen Magazinen veröffentlicht werden. Vielen Dank!

Bitte erlauben Sie Javascript, um die volle Funktionalität von Spektrum.de zu erhalten.