Computerviren - rainfields IT

2) Computervirenarten:

Viren können, außer nach ihrer Bösartigkeit, nach der Art ihrer Verbreitung eingeteilt werden:

- File- oder Link-Viren: pflanzen sich in Anwenderprogrammen ein.
- System-Viren: benutzen Funktionen des Betriebssystems

a) Programmvirus
Programmviren befallen Dateien die in ausführbarem Programmcode vorliegen. Zumeist sind diese .EXE, .COM und oft auch .SYS Dateien. Diese Programme bestehen aus 3 Teilen: Start - Eigentliches Programm - Ende

Programmviren gliedern sich wiederum in 2 Bereiche:

-) Nichtüberschreibende Viren:

Der Virus kopiert sich entweder

*) an das Programmende. Dabei verschiebt er auch den Startteil des Wirtprogrammes an das Ende und fügt einen Verweis auf den Viruscode am Anfang der Datei ein. (siehe Grafik) Beim Aufruf der Datei springt der DOS Loader (=Leseroutine) zum Virus und führt ihn aus. Die ursprüngliche Startanweisung zeigt auf den normalen Programmcode, der dann gestartet wird. Danach wird das Programm beendet. Der Anwender merkt davon nichts, da Viren meist nur winzig klein sind und in einem Bruchteil einer Sekunde ihre Arbeit erledigt haben. Die Länge des Ursprungsprogrammes wird erweitert obwohl es nach außen hin normal abläuft. So bleiben Infektionen oft lange unbemerkt.

*) an den Programmanfang. Zunächst wird der 1. Teil des Wirtprogrammes in der Größe des Viruscodes herausgeschnitten, mit Hilfe einer Verschieberoutine (VR) markiert und am Ende der Datei eingefügt. Der Virus wird an den Dateianfang kopiert. Beim Start des infizierten Programmes wird der Virus ausgeführt und dann die VR gestartet, die den verschobenen ersten Programmteil in seine Ursprungsposition, über den Viruscode, rückt. Das Programm ist wiederhergestellt und kann normal gestartet und beendet werden. Da das Ausführen eines Programmes im Arbeitsspeicher erfolgt, bleibt die Datei auf der Festplatte unverändert und somit noch immer infiziert.

-) Überschreibende Viren

Bei der Fortpflanzung eines Virus dieses Typs, überschreibt dieser einfach den Anfang des Wirtprogrammes. Dieses wird aber dadurch fehlerhaft und funktionsunfähig.

Vorteile:

*) Einfach zu programmierender Virus
*) Da die Dateigröße nicht verändert wird, können manche Antivirenprogramme den Virus nicht aufspüren.

Nachteil:

*) Durch das fehlerhafte Programm bemerkt der Benützer den Virus sehr schnell, vielleicht bevor dieser sich ausreichend vermehren konnte.

b) Speicherresidente Viren:
haben eine etwas effektivere Fortpflanzungsmethode als die Vorhergenannten. Wird nämlich ein infiziertes Programm aufgerufen, laden sich der speicherresidente Virus in den Arbeitsspeicher. So kann er auch wenn das eigentliche Programm beendet wird aktiv bleiben und seinen "Auftrag" ausführen.

Und das geht so:
Die Computerviren überwachen bestimmte DOS- oder BIOS- Interrupts in der Interrupt-Vektor-Tabelle. Benötigt ein Programm nun eine Systemfunktion (z.B. eine Tastatureingabe) so fordert sie diese über einen Interrupt an. Was bei dem Ausführen eines Interrupts geschieht, steht in der Interrupt-Vektor-Tabelle. Da diese Tabelle im Arbeitsspeicher liegt, kann der Virus hier verändernd eingreifen und der angeforderte Interrupt führt anstatt der ursprünglichen Interruptfunktion, die Virusfortpflanzungsroutine aus. Das aktive Programm wird infiziert.

c) Source-Code Viren:
Hier liegt der Computervirus nicht als ausführbarer Programmcode vor, sondern als Quellcode einer Programmiersprache wie z.B.: Pascal, C, usw.
Da ein plötzlich auftauchender fremder Code in einem Programm sehr verdächtig sein würde, infiziert der Virus bevorzugt Programmbibliotheken, die meist nicht kontrolliert werden.
Compiliert und startet man nun das Programm, wird irgendwann auch die Programmbibliothek benötigt und der Virus kann somit aktiv werden. Er sucht dann wiederum nach anderen Bibliotheken und infiziert diese. Das funktioniert aber nur wenn noch der Quellcode des Virus in der uncompilierten Datei vorliegt.

d) Call Viren:
Call Viren versuchen Auffälligkeiten wie die Veränderung der Dateigröße oder Zerstörung des Wirtprogrammes zu vermeiden. Deshalb liegt der Virus als versteckte Datei irgendwo auf dem Datenträger vor. Nur ein Link, der ggf. so angebracht werden kann, dass das infizierte Programm nicht verlängert wird, ruft den Virus vom Wirtsprogramm aus auf.

e) Bootsektorviren:
Der Bootsektor ist der Sektor einer Festplatte der beim Systemstart als erster gelesen wird und der dem Rechner mitteilt, was er nach dem Einschalten machen soll. Ein Bootsektorvirus überschreibt diesen Sektor mit dem eigenen Programmcode und verweist, nach der Erfüllung seiner Aufgabe, auf eine zuvor angelegte Kopie des originalen Bootsektors auf der Festplatte.

f) Partition Table Virus:
Der Virus nistet sich im Partition Table (Sektor 0) der Festplatte ein und infiziert von dort aus den Bootsektor. Selbst beim Formatieren der Festplatte oder löschen des Bootsektors bleibt der Virus erhalten. Weitere Strategie des Virus siehe e).

g) Companion Viren:
Der Virus liegt in Form einer .COM Datei vor, die den selben Namen hat wie die infizierte .EXE Datei. Da DOS immer die .COM Dateien zuerst startet, kann hier der Virus aufgerufen werden, der nach dem Ausführen seines Programmes die ursprüngliche .EXE Datei startet.

h) Macro Viren:
Ein Macro ist eine Zusammenfassung einer Abfolge von Befehlen. Sie werden zur Arbeitserleichterung in Programmen wie MS-Word eingesetzt. Macroviren sind die neueste Generation von Computerviren und sehr effektiv, da Makros an normale Dokumentdateien gebunden sind und somit leicht verbreitet werden. So ist es z.B.: möglich von Word aus unbemerkt die Festplatte zu formatieren.

Folgende Virenarten sind Spezialformen der oben von a)-h) genannten:

i) Cavity Viren:
Cavity Viren versuchen die Größe der infizierten Datei nicht zu verändern um sog. Check- Summen Programmen zu entgehen. Sie suchen in der Zieldatei eine Stelle mit einer Reihe an identischen Zeichen die mindestens so groß wie der Virus selbst sein muß. Dieser komprimiert dann diese Zeichenkette und fügt sich in die entstandene Lücke ein.
Greift das Programm auf die vermeintliche Zeichenkette zu, wird der Virus ausgeführt, der nach Erfüllung seiner Aufgabe die Zeichenkette dekomprimiert und das Programm kann normal weiterlaufen.

Bsp. einer Infektion:
Programm vorher: AJF3JS20000000000000000000000000000DNFJAKSF289a
Programm nach Infektion: AJF3JS2=>VIRUSCODE+12*0<=00000000DNFJAKSF289a

j) Stealth Viren:
Stealth Viren versuchen dem Benutzer vorzugaukeln, sie wären gar nicht im System. Sie tarnen sich dadurch, daß sie die Zugriffe auf die infizierten Dateien überwachen. Will z.B. der DOS-Befehl DIR die Größe einer infizierten Datei anzeigen, subtrahiert der Virus von diesem Wert seine Codegröße und täuscht somit eine "gesunde" Datei vor.

Durchsucht ein Antivirusprogramm beispielsweise die Festplatte desinfizieren manche Stealthviren die infizierten Dateien und kopieren sich in den Arbeitsspeicher. Nach der Beendigung des Antivirenprogrammes werden die Dateien wieder infiziert.

k) Polymorphe Viren:
Da ein Großteil der Antivirusprogramme nach fixen Viruszeichenketten sucht, bietet es sich als Virus an, eben solche nicht anzubieten. Polymorphe Viren beinhalten Zeichenketten, die sich ständig, mit Hilfe einer Mutations-Engine, verändern und eine gezielte Suche sehr erschweren.

l) Bounty Hunter Viren:
suchen nach Antivirussoftware und verändern diese oder machen sie unschädlich. Diese Viren sind äußerst selten, aber sehr effektiv, da sie nach dem Ausschalten der AV praktisch freie Bahn haben.

m) Hybrid Viren:
stellen eine Virusart dar, die möglichst viele Mechanismen vereint. Sie vereinen beispielsweise einen Programmvirus, einen speicherresidenten Virus und einen Bootsektorvirus zu einem äußerst gefährlichem Programm.

3) Genereller Aufbau:
Ein Virus besteht in fast allen Fällen aus drei Programmteilen. Ein Programm teil steuert die Fortpflanzung, ein Programmteil ist der sogenannte Aktivator, der die Auslösung des dritten Teiles übernimmt, den Kern des Virus.
Im Kern ist die auszuführende Arbeit des Virus programmiert. Soll das Virusprogramm die Festplatte formatieren, so ist die Formatierroutine im Viruskern programmiert. Beider anderen Teile sind nur Zubringer, um diesen Zweck unter bestimmten Bedingungen zu erfüllen. Außerdem stellen die Teile Fortpflanzung und Aktivator sicher, dass der Virus nicht vorzeitig entdeckt wird.

Zusammenfassung:

Computerviren besitzen:
- Einen Ausbreitungs- oder ,,Infektionsteil" (Fortpflanzung)
- Einen Wirkungsteil (Kern)
- Einen Aufrufteil (Aktivator)

Viren werden meist nicht sofort nach der Infektion aktiv, sonder sie bleiben eine Zeit lang unentdeckt auf der Festplatte (meist im Bootsektor der Platte oder in Systemdateien) in ihrer so genannten Ruhephase. Dies ist eine optionale Phase, das bedeutet, dass Viren nicht unbedingt eine haben müssen. Als Selbstreplikation bezeichnet man jene Phase, in der sich der Virus in das System installiert. Er kann sich zum Beispiel an den Beginn des Betriebssystems (Beginn der Datei Command.com) setzen, wodurch er speicherresident wird (dauernde Anwesenheit im Speicher).

Eine ebenfalls optionale Phase ist die Triggerphase. Die Schadensfunktionen werden nicht durch den User, sondern durch den Rechner selbst ausgelöst (Count-down, bestimmtes Datum usw.).

Die eigentliche Schadensfunktion, die Zerstörungsphase, kann sich vom Christbaumzeichnen, lustigen Ballspielen bis zum Festplattenformatieren erstrecken.

4) Allgemeine Funktionsweise:

Der folgende Beispiel-Pseudo-Pascal-Programmcode beschreibt die prinzipielle Funktionsweise von Computerviren:

1  programm BÖSER-VIRUS
2  HIHÄHU
3   
4  procedure Infiziere-neues-Programm;
5  begin
6  gefunden:=false;
7  repeat
8  zieldatei:=irgendeine-EXE-oder-COM-Datei;
9  if not (2. Zeile von zieldatei)=HIHÄHU then begin
10  gefunden=true;
11  infiziere-Datei(zieldatei);
12  end;
13  until gefunden=true;
14  end;
15   
16  procedure Aufgabe;
17  begin
18  if Datum=13.13.1333 then format C:
19  end;
20   
21  begin
22  Infiziere-neues-Program;
23  Aufgabe;
24  Starte-Wirtprogramm;
25  end.

In dieser Form wäre der Virus natürlich nicht funktionstüchtig.

Erklärung der einzelnen Abschnitte:
Zeile 2: Dies ist der spezielle Viruscode. Bei jeder Neuinfektion einer Datei überprüft der Virus ob diese Zeichenkette in der Datei schon enthalten ist. Ist das der Fall, ist die Datei schon infiziert.
Zeile 4-14: Hier wird eine zu infizierende Datei gesucht (Zeile 8) und überprüft ob sie noch "gesund" ist (Zeile 9). Ist das der Fall, wird sie "gekränkt".
Zeile 16-19: Hier sind die Aufgabe des Virus und der Zeitpunkt der Ausführung definiert. In diesem Fall formatiert der Virus am 13.13.1333 die Festplatte C:.
Zeile 21-25: Das ist das Hauptprogramm in dem die einzelnen Abschnitte (Infektion, Aufgabe, Start des Wirtprogramms) aufgerufen werden. In Zeile 24 wird das Wirtprogramm gestartet um dem Benutzer ein fehlerfreies Programm vorzugaukeln.

5) Virenschutz:

Online Scanner siehe VirusAID

a) Virenverbreitung:
Viren können sich so ziemlich über jeden Zugriff auf einen infizierten Speicher fortpflanzen.
Bei einem Bootsektorvirus reicht das Vergessen eines infizierten USB-Sticks beim Bootvorgang. Wird auf den Stick zugegriffen, offenbart sich dem Virus quasi eine neue Mahlzeit und er beginnt das System zu infizieren.
Das Internet stellt die beste Verbreitungsmöglichkeit für Viren dar. Tausende Programme werden täglich downgeloaded von denen jedes einen Virus beinhalten kann.
E-Mails und Freeware sind eine der häufigsten Verbreitungsmethoden.

b) Antivirenprogramme:
Antivirenprogramme sind die beliebteste und bequemste Methode sich vor Viren zu schützen. 100%igen Schutz können sie aber nicht bieten. Die einzige Möglichkeit allen Infektionen vorzubeugen ist, den Computer von fremden Daten total abzuriegeln. Keine Diskette, CD-ROM oder Internetverbindung wäre in diesem Fall erlaubt. Sogar Originaldisketten können Viren transportieren.
Weiters können AVs auch falschen Alarm geben (sog. False Positives), falls sich ein legitimes Programm dem Verhalten eines Virus zu sehr annähert.

Es gibt mehrere verschiedene Arten von AVs:
-) Monitor-Programme:
sind speicherresidente Programme. Sie warten im Hintergrund auf virentypische Aktivitäten wie z.B.:

*) Veränderung von ausführbaren Dateien
*) Verbiegen von Interrupt Vektoren
*) Formatieren von Sektoren
*) usw.

Sie fragen dann den Benutzer ob diese Zugriffe legitim und erlaubt sind oder nicht. Wenn nicht, ist vermutlich ein Virus im Spiel.
Leider können die meisten Monitore von manchen Viren problemlos übergangen werden.
Man sollte nie mehr als ein Monitor-Programm auf seinem Rechner installiert haben, da sie sich garantiert nicht vertragen.

-) Scanner:
sind die meistverwendeten AVs. Die älteren Programme dieser Art durchsuchen die Dateien nur nach virenspezifischen Zeichenketten oder nach sog. Jokerzeichen, die auf mehrere Virenvarianten passen und somit den Scanner flexibler machen.
Leider muss, um mit diesen Programmen einen Virus finden zu können, dieser schon bekannt und analysiert worden sein. Außerdem sind sie gegen polymorphe Viren (siehe 2)i)) so gut wie hilflos da in diesem Fall jede Virengeneration- oder Variation ihren eigenen Scan-String bräuchte.
Deswegen verwenden moderne Scanner Ansätze von künstlicher Intelligenz und heuristische Methoden (siehe 5b) um gegen unbekannte Viren besser gewappnet zu sein. In diesem Fall erhält der Benutzer aber keine Information über den Virus sondern muss auf Grund der erkannten Symptome und einer Wahrscheinlichkeitsaussage seitens des Scanners selbst entscheiden ob eine Infektion vorliegt oder nicht.

Um ein System wirkungsvoll zu schützen sollte man mindestens 2 verschiedene Scanner alle 2 Wochen benützen.

*) Speicherresidente Scanner:

sind eine spezielle Form der herkömmlichen Scanprogramme. Sie werden bei einem Programmstart oder Dateizugriff seitens des Benutzers aktiv und scannen die betroffenen Files. Wird ein Virus gefunden, gibt der TSR-Scanner Alarm.

-) Integrity-Checker oder Checksummenprogramme:
sind Programme, die von Datenabschnitten Checksummen erstellen. Datenabschnitte können Bootsektoren, Dateigrößen, Programme, Sourcecodes, usw. sein. Diese Checksummen werden mit einer, von Zeit zu Zeit neu erstellten, verglichen. Suspekte Änderungen der Datenabschnitte können auf einen Virus hinweisen.
Gute Integrity-Checker erkennen zudem auch Sicherheitslücken und spüren Companion-Viren (siehe 2e) auf.
Weiters weisen sie auf nicht durch Viren manipulierte Dateien hin und bemerken Datenverluste durch, beispielsweise, einer alten Festplatte.

-) Heuristische Scanner:
arbeiten nach dem Prinzip der Fuzzy-Logic (Berechnungen erfolgen Daumen mal Pi). Sie analysieren Programme auf deren Funktion und Aufbau. Werden hier verdächtige Funktionen erkannt, schlägt der Scanner Alarm wenn die untersuchte Datei mehrere beinhaltet.

Verdächtige Funktionen sind z.B.:

*) Schreiben in ausführbare Dateien
*) Modifizieren von Dateiattributen
*) Undokumentierte Interruptzugriffe
*) Suchen nach beliebigen ausführbaren Dateien

c) Viren Cleaner:
Die meisten Antivirenprogramme enthalten auch Viren-Entfernungsfunktionen, die versuchen, Dateien wieder in ihre ursprüngliche Form - nicht infiziert - zu versetzen. Diese können aber nur vernünftig funktionieren, wenn eine exakte Beschreibung des Virus vorliegt und dieser außerdem richtig erkannt wurde. Da aber oft sehr viele Variationen eines Virus im Umlauf sind, wird die wiederherzustellende Datei meistens, durch einen nicht genau genug passenden Entfernungsvorgang, beschädigt und somit unbrauchbar. Somit ist es immer günstig ein Backup aller wichtigen Daten auf der Festplatte bei der Hand zu haben.

6) Virenbeispiele der Anfänge:

a) "Form" - Virus:

Charakteristik:
Der Form-Virus ist eine Mischung aus Bootsektorvirus und speicherresidenten Virus. Er infiziert einen Teil des High DOS Memory, den Bootsektor und die letzten zwei Sektoren der Festplatte. Dateien bleiben von ihm gänzlich unberührt.

Bei der Infektion kopiert er sich selbst in den Bootsektor und verschiebt die Originaldaten und einen Verweis in die letzten 2 Sektoren. Sollten diese später vom Benutzer überschrieben werden, ist die Bootinformation futsch und der Computer läßt sich nicht mehr ordnungsgemäß starten.
Weiters infiziert der Virus Disketten.

Indikatoren einer Infektion:

*) Bei jedem Tastendruck an dem 18. Tag eines jeden Monats ertönt ein Klickgeräusch.
*) Das System kann durch einen nichtgeglückten Festplattenzugriff abstürzen.
*) Der Form-Virus benötigt 2k an Arbeitsspeicher. Dies läßt sich durch den DOS-Befehl MEM feststellen.
*) Der DOS-Befehl CHKDSK stellt außerdem 1,024 Bytes an zerstörten Sektoren fest, in denen der Originalbootsektor gespeichert ist.
*) Im Viruscode steht folgender Text :"The FORM-Virus sends greetings to everyone who's reading this text. FORM doesn't destroy data! Don't panic! (Expletive) go to Corrine."

Methode der Infektion:
Ein System kann nur durch das Booten von einer infizierten Diskette befallen werden. Auch wenn die Diskette nicht bootable ist und er DOS-Text:"Non-system disk or disk error" erscheint ist der Bootsektor der Festplatte bereits infiziert.
Bei jedem folgenden Systemstart wird der Virus in den Arbeitsspeicher geladen und kann bei jedem Floppy-Disk-Zugriff deren Bootsektor infizieren und sich so verbreiten.

Virus Daten:
Datum der Entdeckung: Juni 1990
Herkunftsland: Schweiz
Länge: 512 Bytes
Typ: Bootsektorvirus, speicherresidenter Virus

Häufigkeit: oft, weitverbreitet

b) "Friday 13th" - Virus:

Charakteristik:
Der Friday 13th Virus ist ein Programmvirus. Er infiziert .COM-Dateien außer der COMMAND.COM. Bei jedem Start des Virus werden 2 neue .COM Dateien auf der Festplatte und eine neue auf dem A: Laufwerk gesucht und - falls vorhanden - infiziert.

Indikatoren der Infektion:

*) Das Leuchten des Diskettenzugrifflämpchens im Floppy-Disklaufwerk, hervorgerufen durch die Suche des Virus nach neuen Wirtdateien auf dem A: Laufwerk, ist der einzige Indikator der Infektion.
*) Bei einem Computerstart an einem Freitag 13. wird die COMMAND.COM gelöscht.

Methode der Infektion:
Durch das Ausführen einer infizierten Datei wird der Virus gestartet und verbreitet.

Virus Daten:
Datum der Entdeckung: November 1987
Herkunftsland: Rep. Südafrika
Länge: 512 Bytes
Typ: Programmvirus

Häufigkeit: selten

c) "Cascade" - Virus:

Charakteristik:
Der Cascade Virus ist ein überschreibender Programmvirus und speicherresident. Er infiziert im speziellen .COM-Dateien.

Indikatoren der Infektion:

*) Zwischen dem 1. und 31. Oktober 1988 führte der Cascade Virus seine Aufgabe aus. Diese gestaltete sich so, dass kurz nach dem Start des infizierten Programms, alle Buchstaben auf dem Bildschirm auf den unteren Bildschirmrand fallen und dort einen Haufen bilden.

Methode der Infektion:
Durch das Ausführen einer infizierten Datei wird der Virus gestartet und verbreitet.

Virus Daten:
Datum der Entdeckung: Oktober 1987
Herkunftsland: Deutschland
Länge: 1701 oder 1704 Bytes
Typ: Programmvirus, speicherresident

Häufigkeit: oft, weitverbreitet

7) VirusAid - Keine Angst vor Viren:
Die Tipps zum Vorbeugen

Sicher kann ein PC nur sein der keine Daten benötigt. Er muss vollkommen isoliert sein und darf mit keinem anderen Rechner (Netzwerk, Internet, eMail) verbunden sein, auch dürfen keine USB-Sticks- oder CD/DVD-Laufwerke integriert sein. Wenn diese Voraussetzungen auf Ihren Rechner zutreffen brauchen Sie nicht weiter lesen.... Aber .... Sie sind auf dieser Seite... und sind gerade mit unserem Rechner verbunden....also kann Ihr PC nicht isoliert sein und so sollten Sie unbedingt weiterlesen.
Wir geben ein paar Tipps wie Sie sich einer Infektion vorbeugen können.

VirusAid-Tipp1: Sichern Sie regelmäßig die Daten Ihres PC
Legen Sie regelmäßig Kopien und Backups sämtlicher wichtigen Daten und Dokumente an. Anwendungsprogramme sind vergleichsweise schnell wieder installiert und brauchen nicht unbedingt gesichert werden.

VirusAid-Tipp2: Geben Sie Bootviren keine Chance
Stellen Sie Ihr BIOS um das es zuerst von C: bootet und nicht von einem anderen Laufwerk oder USB-Device (D:, A:, CD,...). Dadurch verhindern Sie ein versehentliches booten, wenn Sie versehentlich eines an Ihrem PC vergessen haben und verhindern so eine Infektion durch Bootviren.

VirusAid-Tipp3: Ein gesundes Misstrauen fremder CDs und Disketten
Legen Sie, wenn möglich nur Sticks mit Schreibschutz in Ihr Laufwerk. Scannen Sie alle USB Geräte nach Viren bevor Sie eine Datei darauf öffnen oder ausführen.
Verwenden Sie Software nur aus vertrauenswürdigen Quellen (Internetdownloads von Warezseiten gehören ganz sicher nicht zu diesen vertrauenswürdigen Quellen!). Starten Sie keine Programme oder Attachments aus E-Mails die nicht virengescannt wurden. Speichern Sie diese am besten vor dem öffnen auf Ihrer Festplatte, scannen diese mit einem AKTUELLEM Virenscanner und erst dann öffnen Sie diese Datei. Auch Dateien aus scheinbar sicheren Quellen (PC-Magazinen usw.) sollten zuerst nach Viren untersucht werden, da auch diese Quellen gelegentlich Virenträger sind.

VirusAid-Tipp4: Sichern Sie Ihren PC vor fremdem Zugriff
Aktivieren Sie den Screensaver mit Passwort damit Kollegen und Freunde nicht so leicht an Ihrem Rechner herumspielen und Ihnen vielleicht ein paar Programme verändern oder installieren können.

VirusAid-Tipp5: Nutzen Sie die windowseigenen Editoren
Öffnen Sie fremde Dokumente (Word, Excel) möglichst mit einem Editor (Notepad oder Wordpad) der keine Makros ausführen kann. Wordpad kann keine Makros speichern und ist ideal gegen Makroviren.

VirusAid-Tipp6: Nutzen Sie den Makroschutz von MS-Office
Unter "Extras-Optionen-Allgemein" aktivieren sie den Punkt Makrovirus-Schutz. Ist dieser aktiv werden Sie bei jedem Makro in einem Dokument benachrichtigt und können individuell entscheiden ob das Makro ausgeführt wird oder nicht.

VirusAid-Tipp7: Schützen Sie sich vor Spionageangriffen
Viele Trojanische Pferde (Trojaner) spähen während Ihrer Onlinesitzung Ihre Daten und Passwörter aus. Speichern Sie keine Passwörter oder andere vertrauliche Daten auf Ihren Festplatten oder in Ihrem Browser.

VirusAid-Tipp8: Nutzen Sie regelmäßig ein Antivirenprogramm
Untersuchen Sie regelmäßig Ihre Festplatten nach Viren und Trojaner. Mindestens 1 mal im Monat oder beim Systemstart sollten die wichtigsten Systemprogramme nach Viren untersucht werden. Aktivieren Sie einen Virenwächter der ständig im Hintergrund mitläuft und alle Schreib und Lesezugriffe auf Ihre Festplatten überwacht. Ein guter Virenscanner bietet stündlich neue Updates... nutzen Sie diese (Update mindestens täglich) um vor den neuesten Viren einen ausreichenden Schutz zu haben.

VirusAid-Tipp9: Setzen Sie 2 verschiedene Scanner ein
Verwenden Sie bei einem Verdacht 2 unterschiedliche Scanner oder Jottis Malwarescanner auf http://virusscan.jotti.org/de

Anbieter                   Scan-Typ      URL
BitDefender               komplett     http://www.bitdefender.de/scanner/online/free.html
Dr.Web                   Datei           http://www.virustest.de/deu/online-check.asp?rpid=
Kaspersky                 komplett      http://www.kaspersky.com/de/virusscanner
VirusTotal                 Datei           https://www.virustotal.com/de/
Panda                      komplett       http://www.pandasecurity.com/activescan/index/
Trend Micro              komplett       http://housecall.trendmicro.com/de/

Wichtig: Lassen Sie nie zwei Virenscanner/Hintergrundwächter gleichzeitig laufen! Dies führt meistens zu Fehlalarmen bzw. zu Systemabstürzen!!!

VirusAid-Tipp10: Bereiten Sie sich auf den Notfall vor
Erzeugen Sie einen bootfähigen Notfallstick oder DVD mit einem aktuellen Virenscanner. Dies kann mit den meisten Virenschutzherstellernaus Freeware gemacht werden. Prüfen Sie die CD vor dem Ernstfall auf Ihre Funktionstüchtigkeit. Sorgen Sie vorsichtshalber auch für eine Windows-Startdiskette mit den aktuellen Treibern und halten Sie die Original-CD Ihres Betriebssystems sowie anderer wichtiger Programme bereit.