Companion Viren
Gefahr | Systemabsturz, Datenverlust und unbefugter Systemzugriff |
Quelle | Dateinanhänge, Downloads |
Schutz | Virenscanner, der neuerstellte Dateien erkennt |
Entfernen | Löschen der vom Virus erstellten Datei |
Beispiele | Little Brother-Virus |
Im Gegensatz zu den meisten anderen Viren verändern Companion Viren, oder auch Split Viren genannt, die existierenden Dateien nicht. Stattdessen werden neue Dateien erstellt, um den Virus zu verbreiten. Dabei können drei Vorgehensarten unterschieden werden.
Verschiedene Methoden der Companion Viren
Bei der ersten Methode wird die Originaldatei umbenannt und eine neue Datei mit dem Originalnamen erstellt, die nun den Virus enthält. Beispiel: Eine existierende EXE-Datei wird umbenannt in .exd, der Companion Virus erstellt anschließend eine neue Datei .exe, die nun den Virus enthält.
Eine weitere Möglichkeit ist, dass der Split Virus die Originaldatei nicht verändert. Stattdessen wird eine neue Datei mit gleichem Namen, aber einer anderen Endung erstellt, die vor der ursprünglichen Datei gefunden und ausgeführt wird. Beispiel: Zu einer vorhandenen EXE-Datei wird eine Datei mit gleichem Namen und der Endung .com erstellt. Wird dann unter MS-DOS ein Programm aufgerufen, ohne die Endung genauer zu spezifizieren, wird die .com zuerst gefunden und statt der .exe aufgerufen.
Bei der dritten Vorgehensweise von Companion Viren wird ebenfalls die Originaldatei nicht verändert. Es wird stattdessen eine Kopie der Datei im Hauptverzeichnis von Windows gespeichert, da dieses Verzeichnis das erste in der PATH-Liste ist und deshalb zuerst durchsucht wird. Wird daher ein Programm aufgerufen, ohne den Pfad genauer zu definieren, wird die Kopie vor dem Originalprogramm gefunden und ausgeführt.
Erkennen und Beseitigen der Companion Viren
Durch die zusätzlichen COM-Dateien kann der Companion Virus leicht aufgespürt werden. Sofern man ein Virenprogramm verwendet, das nicht nur nach modifizierten Dateien sucht, kann der Split Virus durch einfaches Löschen der Datei entfernt werden.