Dateivirus: Schaden durch manipulierte Programme

Dateiviren arbeiten anders: Sobald der Virus gestartet wird, manipuliert er eine normale Programmdatei. Er kopiert seinen eigenen Viruscode in den Programmcode hinein. Dabei lassen die allermeisten Dateiviren das Originalprogramm unbeschadet. Sie hängen sich beispielsweise hinten an die EXE-Programmdatei an und vergrößern diese dadurch. Oder der Virus sucht gezielt nach ungenutzten Stellen innerhalb der Programmdatei und kopiert sich dorthin - so arbeitet etwa der CIHVirus. Es gibt allerdings auch vereinzelt Dateiviren, die die Programmdatei bei der Infektion unwiderruflich zerstören.

Nachdem sich der Dateivirus W32/Toal.A ("BinLaden-Virus") im Anschluss an die Aktivierung per Mail an neue Opfer verschickt hat, zeigt er ein buntes Schriften-Feuerwerk an. Für Programmdateien gibt's unter Windows eine große Zahl von Dateinamenserweiterungen. Bekannt sind COM, DLL und EXE, aber auch hinter CPL, DRV, MSC, OCX, SCR, SYS und VXD verbirgt sich ausführbarer Programmcode.

Wenn Sie das infizierte Programm starten, aktiviert diese Aktion zunächst den Virus. Er kann jetzt weitere Programme infizieren, seine Schadensfunktion ausüben oder für spätere Aktionen im Hintergrund aktiv bleiben.

Im Hintergrund arbeiten zum Beispiel Dateiviren wie W32/Magistr, die sich selbst per Mail an weitere arglose Anwender versenden. Nur Bruchteile von Sekunden später startet das eigentliche Programm. So ist von der Virusinfektion zunächst nichts zu bemerken. Die Infektion weiterer PCs und Programmdateien erfolgt in der Regel durch die Weitergabe der infizierten Programmdatei, per Mail oder über Freigaben im lokalen Netzwerk.