So hängte beispielsweise der Virus "Win32.Bube" seinen eigenen Code an die Datei Explorer.exe an. Als Folge wurde dem Programm die Steuerung überlassen und der IE (Internet Explorer) übernahm beim Start die Funktion eines Trojaner-Downloaders. Die meisten modernen Firewalls sind nicht in der Lage, ein solches Verhalten des Internetexplorers zu analysieren und zu stoppen.
Juni 2005: Adware, die sich mit Hilfe eines Rootkit-Treibers im System versteckt
Der Grundgedanke dieser Methode wurde nicht nur von Antivirenspezialisten, sondern auch von anderen Virenprogrammierern bemerkt und bewertet. So kam Anfang 2005 eine besondere Form von Backdoors auf. Sie alle stellten sich selbst als irgendeine legale Datei oder Utility dar, zum Beispiel winrar.exe, die den Code eines Trojaners enthielt.
Der Code dieses Trojaners wurde an eine herkömmliche Datei nach der Methode der EPO-Viren angehängt und übernahm entsprechend dem Unterprogramm, das in der Hauptdatei aufgerufen wurde, die Steuerung. Alle diese EPO-Backdoors sind praktisch Varianten der verbreiteten Bots "Agobot", "Rbot" oder "SdBot". Aller Wahrscheinlichkeit nach wurden solche Dateien (legale Datei + Backdoor) mit Hilfe eines der speziellen Erstellungsprogramme geschrieben.
Im Mai und im Juni 2005 fand eine weitere Entwicklung bezüglich des Einschleusens von Trojaner-Codes in Systemdateien statt. Es handelte sich hierbei um einen ganzen Komplex von Schadprogrammen. Die Hauptrolle des Infizierers spielt der Trojaner-Downloader "Win32.Agent.ns".
Beim Befall des Systems lädt er nicht nur andere Trojanerprogramme nach, sondern er verseucht auch die Systembibliothek wininet.dll. Hier wird eine kleine Funktion hinzugefügt, die im Weiteren jeden Zugriff auf die genannte Bibliothek verhindert. Das geschieht ständig während der Arbeit im Internet und so versucht der Trojaner, ständig weitere schädliche Programme auf den Rechner zu laden. Auf diese Weise wird wininet.dll selbst zu einem Virus, also zu einem Programm, das mit einem fremden Code verseucht ist.
Man könnte sagen, dass in diesem Fall ein herkömmlicher Trojaner als Virus bezeichnet wird, denn die verseuchten Dateien explorer.exe oder wininet.dll selbst verseuchen keine weiteren Dateien mehr im System. Tatsächlich passt der herkömmliche Begriff "Virus" nicht ganz zu den beschriebenen Fällen.
Neue Virenarten tauchen auf
Hier haben wir es mit einer völlig neuen Klasse von schädlichen Programmen zu tun, die herkömmliche Virenmethoden zum Einschleusen eines Codes in das Innere anderer Programme nutzen. Der einzige Unterschied besteht darin, dass dieser Code sich nicht selbsttätig vervielfältigt.
Dennoch neigten Experten bislang dazu, es neben dem Overwriting- und dem Companion-Virus als eine Virus-Unterart zu bezeichnen. Sollten in nächster Zukunft weitere solcher Viren auftauchen, und diese Annahme ist durchaus berechtigt, dann ist eine Unterteilung analoger Viren in unterschiedliche Familien möglich.
Für die Nutzer wird es zumindest wichtig, nicht nur die neuen, sondern auch die alten, bereits überprüften und bekannten Dateien nochmals zu kontrollieren. Denn es ist nicht ausgeschlossen, dass eine dieser Dateien Opfer eines neuen "Injektors" wird. Neben der Überprüfung der Dateigröße ist auch die Überprüfung des Dateiinhalts notwendig, da Viren die Größe einer verseuchten Datei nicht verändern können. So wächst also die Notwendigkeit für so genannte Dateiprüfprogramme. (rw)