viren lexikon

Einleitung
----------


Erstmals in Erscheinung getreten sind Viren im Jahre 1981, wobei die damaligen Viren noch recht primitiv waren und kaum destruktive Strukturen besaßen. Den EDV-Veteranen dürfte der damals bekannteste Virus noch gut in Erinnerung sein - "CAKE" meldete sich regelmäßig mit der Meldung "Give me a cake". Selten erlangen Viren eine solche Publizität wie etwa der Virus "Michelangelo" oder der äußerst destruktive "CIH" - ein Virus, der als Folge einen Hardware-Eingriff in den Rechner notwendig macht. Im Prinzip funktionieren Computerviren ähnlich wie biologische Viren, indem Sie in intakte Zellen einbrechen und sich reproduzieren bzw. duplizieren. Dabei bestehen Viren immer aus den drei verschiedenen Teilbereichen Infektion, Aktivierung und Aktion. Eine Infektion bedeutet die Distribution bzw. Verteilung des Virus. So kann sich ein Virus über die Boot-Sektoren verbreiten, er kann sich an Programme anhängen oder sogar (wie der CIH-Virus) in Lücken des infizierten Programmes verstecken, so daß die Programmgröße identisch bleibt. Die Aktivierung bestimmt, wann der Virus in Erscheinung treten soll. Die Aktivierungsmodule richten sich häufig an bestimmte Tage (immer Freitags oder etwa am 26.ten eines jeden Monats) oder an bestimmte Ereignisse (100.ter Rechnerstart). Ein Aktion definiert die vom Virus auszulösende Ursache. Ein "gutartiger" Virus richtet keinen Schaden an, fordert aber eventuell eine Eingabe (Bsp.: Give me a cake) oder stellt den Bildschirminhalt invers dar. Die "bösartigen" Viren richten Schaden an, indem Sie etwa Dateien löschen oder den F.A.T.-Bereich (Inhaltsverzeichnis) einer Festplatte überschreiben. Es sind auch Mischformen bekannt, wie etwa der "Casino"-Virus, der zu einem Spielchen auffordert und bei einem Sieg des Rechners Ihre Daten löscht, Sie ansonsten aber in Ruhe läßt. Man kann die Viren grob nach folgenden Variationen separieren:



Alle Virenarten
---------------


ANSI-Bomben
Es handelt sich hier um Sequenzen, welche in normale Texte eingebunden wurde. Bei der Anzeige des Textes wird die Tastaturbelegung verändert. Zunächst ein einfaches Beispiel: Betätigt der Anwender die Taste "g", erscheint "z" auf dem Bildschirm. Jedoch kann auch eine Taste mit "Format C:" + Return" auf eine Taste (z.B. "a") gesetzt werden. ANSI-Bomben benötigen jedoch den ANSI.SYS Treiber um aktiv werden zu können.



Backdoor
Backdoor Programme gehen schon eher in den Bereich der Hackerszene. Diese kleinen Programme kommen ebefalls per E-Mail oder Download. Sie ermöglichen einem Hacker oder anderen "bösen" Person relativ viel Unfug auf dem eigenen Rechner anzustellen. Sehr bekannte Backdoor Programe sind z.B. Back Orifice 2000, SubSeven oder NetBus. Sie öffnen für Eindringlinge eine Hintertür zum eigenen Rechner. Andere Personen können dann via Internet gezielt Daten klauen, löschen oder uploaden, die Systemeinstellungen verändern, das CD-Rom-Laufwerk schleißen bzw. öffnen, Fehlermeldungen generieren, den Rechner neu booten, Deinen Desktop sehen oder z.B. um 180 Grad drehen, die Mausbewegungen invertieren, angschlossene Geräte wie WebCams usw. starten... - mit anderen Worten: Man ist hilflos ausgeliefert. Diese Programme stellen eine Art gigantische "Fernbedienung" dar.



Bootviren
Bootsektor-Viren machen sich den Bootsektor zu nutze, den jede Diskette und jede Festplatte hat. Der Bootsektor enthält wichtige Informationen über den Datenträger. Er enthält zudem eine Art Startroutine, die die Systemdaten bzw. das Betriebssystem lädt. Ein Bootsektorvirus gelangt in das System, wenn der Computer mit einer infizierten Diskette gestartet wird. Ob es sich dabei um eine Boot-Diskette handelt, z.B. die Startdiskette von Windows, oder einfach nur um eine Programmdiskette spielt dabei keine Rolle. Sobald ein infizierter Bootsektor aufgerufen wird (von der Festplatte oder Diskette) lädt der Computer den Virus in den Arbeitsspeicher. Solche Viren haben den Vorteil, daß sie vor dem Betriebssystem gestartet werden. In der Regel stoppen sie das System - das Betriebssystem wird erst gar nicht geladen. Meistens verzweifeln Computer-Laien an solchen Viren, da sie nichts oder nur wenig über die Funktion des Bootsektors wissen.



Companionviren (Split-Viren)
Diese Viren machen sich die DOS-Eigenschaft zu nutze, dass Programme mit der Endung.com stets vor einem gleichnamigen Programm mit der Endung .exe gestartet werden. Meisst fallen diese .com-Dateien insofern nicht auf, da diese als Hidden oder System-Dateiattribute gesetzt werden. Diese Dateien werden in der Regel nicht angezeigt. Diese Viren können einfach entfernt werden, da man diese COM-Dateien nur zu löschen braucht. - HINWEIS: Programme mit der Endung ".com" müssen keine Viren bedeuten ! Jedoch gibt es noch mehr Möglichkeiten, wie ein Companion-Virus seine Dateien verstecken kann. Hier z.B. in Pfaden oder Original-Dateien werden einfach umbenannt und die neue, infizierte in den Original-Namen. Auch ist die Erzeugung einer BAT-Datei möglich, die zunächst den Virus und dann die ursprüngliche Datei aufgruft. (z.B. Honecker Virus).



Construction Kits
Construction Kits sind keine Viren, sondern Programme (Generatoren), mit deren Hilfe auch ein "normaler" Anwender "eigene" Viren erzeugen bzw. generieren kann. Jedoch gelten diese Viren als recht primitiv und werden zuverlässig durch Virenscanner erkannt. Trotzdem kommen ständig neuen Viren aus solchen Generatoren in den Umlauf und stellen lediglich für User eine Gefahr da, die keinen Virenscanner auf ihrem System verwenden.



CMOS
Als CMOS bezeichnet man den externen Speicher eines Rechners, der mit Strom über eine extra Batterie versorgt wird. Hier werden wichtige Informationen wie Uhrzeit, Datum, Größe des DOS-RAM, Festplattenwerte etc. gespeichert. Ein Virus kann sicht nicht in diesem Bereich nicht aktiv speichern oder starten. Jedoch gibt es Viren, die das CMOS löschen oder manipulieren. Dieses hat Systemabstürze zur Folge oder es wird verhindert, dass ein infiziertes System von einer "sauberen" Disketten gestartet werden kann. Diese Art von Viren nennt man auch "CMOS-Viren", welche als sehr gefährlich einzustufen sind.



Dateisystem- oder Cluster-Viren
Dateisystem- oder Cluster-Viren verändern die Verzeichnistabelle so, daß der Virus vor dem eigentlichen Programm geladen und gestartet wird. Die eigentlich zu startende Datei wird bei diesem Vorgang physikalisch nicht geändert.



Dateiviren
Diese Viren befallen ausführbare Dateien. Meisst befindet sich am Anfang einer infizierten Datei ein Zeiger (Sprunganweisung).
- Wird die infizierte Datei nun ausführt, springt zunächst der Zeiger blitzschnell an den Anfang des Viruscodes (der sich in der Regel am Ende der infizierten Datei befindet) führt diesen aus, springt zurück zum Anfang des eigentlichen Programmes. Danach erst startet das normale Programm. Meisst geht jedoch dieser Vorgang so schnell von statt, dass es dem Anwender kaum auffallen wird (lediglich evtl. eine minimale Verzögerung des Programmstarts). Viele dieser Viren hängen ihren Code einfach hinten an das zu infizierende Programm. - Einige löschen jedoch auch "alten Programmcode" und hängen sich dann an diese Datei.



Dropper / Partitions-oder Bootsektorvirusstarter
Bootsektorviren können normalerweise nicht in ein System über Programm eindringen. Der Virus versteckt sich in einem speziellem Programm, welches die Aufgabe hat, diesen Virus in der Partition zu installieren. Somit ist das besagte Programm NICHT infiziert, enthält jedoch den Virus, der erst bei Aufruf des Programmes auf dem Datenträger (Festplatte, Diskette) installiert wird. Der Virus ist jetzt somit dann installiert, jedoch erst aktiv, wenn das System neu gestartet wird. Auch gibt es solche Dropper für Dateiviren. Hier wurde der Virus versteckt, damit dieser durch Virenscanner nicht erkannt wird.



Direct Action-Viren
Diese Art von Viren sind/werden nicht speicherresident (laufen also nicht ständig im Hintergrund eines Systemes mit). Wird ein solcher Virus aktiviert, sucht er sofort nach anderen Programmen, die er infizieren kann. Einige suchen nur nach Dateien im gleichen Verzeichnis, besser programmierte auch in anderen Verzeichnissen oder über Path angegebene Verzeichnisstrukturen. Diese Art von Viren erfordern nicht allzu hohe Fachkenntnisse. Daher ist auch eine hohe Anzahl dieser Viren zu verzeichnen, aber trotzdem wenig verbreitet sind.



DIR-Viren / Verzeichnis-Viren
Dieser Typ von Virus manipuliert direkt die DOS-Verzeichnisse und keine Sektoren oder Dateien. Diese Vorgehensweise hat zur Folge, dass diese Viren sich rasend schnell ausbreiten, da schon ein DIR-Befehl ausreicht, dieses Verzeichnis komplett zu infizieren. Bootet man von einer sauberen Disketten, sind alle infizierten Datei querverbunden, da alle Dateien auf den selber Cluster zeigen.



Fast Infector
Schon beim öffnen bzw. schliessen einer Datei, werden diese durch Fast Infector Viren infiziert. - Startet der Anwender einen Virenscanner, während sich ein solcher Virus aktiv im System befindet, können nach dem Scannvorgang nahezu alle Datei auf einem System infiziert sein. Fast Infectors verbreiten sich somit wie ein Lauffeuer auf einem betroffenden System. Jedoch wird hierdurch auch das befallende System ziemlich stark abgebremst und der Anwender wird dieses bemerken.



Header-Viren
Dieser Viren-Typ infiziert Programme über direkte Sektormanipulationen mittels INT13h. Also nicht wie sonst üblich über den INT21h. Jedoch werden nur EXE-Dateien infiziert, die einen "leeren" Programmkopf besitzen und kleiner als 64 KB sind. Da solche Dateien recht selten sind, hat haben Header-Viren heutzutage wenig Chancen sich überhaupt zu verbreiten. Ausserdem sind diese Viren auch sehr häufig "Fast Infectors" und können Programme auf DBLSPACE, RAMDRIVES und anderen logischen Laufwerken nicht infizieren.



HLL-Viren
In diese Kategorie fallen alle Viren, welche mit Hochsprachen erzeugt wurden. Hier unterscheidet man unter HLLT (Trojan), HLLP (Parasitic), HLLC (Companion) und HLLO (Overwriting) -Viren. HLLO-Viren treten recht häufig auch, da diese einfach zu programmieren sind. HLLP-Viren dagegen sind sehr selten, da die notwendigen Codes in Hochsprache schwierig zu programmieren sind.



Hoaxe
Darunter versteht man Meldungen über Malware (Sammelbegriff für schädliche Programme wie Trojaner, Viren etc.), die es gar nicht gibt. Immer wieder werden Mailboxen mit solcherlei Meldungen verstopft. Besonders beliebt sind Meldungen, dass eine Mail mit einem bestimmten Betreff in keinem Fall geöffnet werden darf. Wer dieses jedoch macht, infiziert sein System sofort mit einem Virus oder einem Trojanischen Pferd. Den einzigen Schaden, den solche Meldungen verursachen, ist die Tatsache, dass Mailsystem verstopft und ahnungslose Leute in Panik versetzt werden. Das klassische Beispiel für solche Hoaxe sind Meldungen über einen Virus mit dem Namen "Good Times" und "Penpal".



HTML-Viren
Was lange Zeit kaum denkbar war, wurde im Oktober 1998 Wirklichkeit. Der erste HTML-Virus tauchte auf. - Dieser Virus versteckt sich in Form eines VB-Scripts in einer HTML-Datei und kann auch andere Datei infizieren, indem er sich ebenfalls als Script in der Datei versteckt. Der Virus arbeitet vom Prinzip her wie die Script-Viren und funktionieren nur auf Windows 98 - Systemen bzw. wenn der Windows Scripting Host auf dem System installiert ist. Jedoch koennen nicht nur HTML-Dateien, sondern auch HTA-,VBS und DOC-Dateien infiziert werden. Dieses hängt jedoch von dem jeweiligen Virus ab und kann somit zugleich auch unter die Kategorei Makroviren fallen.



Hybridviren
Viren, die sowohl Programmdateien als auch Boot-Sektoren infizieren.



In the wild (ITW) - Viren in freier Wildbahn
Unter diesen Begriff fallen Viren, die immer wieder in "freier Wildbahn" anzutreffen ist. Das bedeutet: Auf infizierten System sind immer wieder diese Viren anzutreffen. Es gibt zwar viele, viele tausende von Viren, jedoch wird der größte Teil davon so gut wie nie auf einem infiziertem System gefunden. Oft handelt es sich auch um Viren, die gar nicht mal so neu oder trickreich sind. Viele dieser Viren werden selbst durch ältere Anti Viren Programmen erkannt. Trotzdem sind diese Viren (aus welchen Gründen auch immer) kaum auszurotten.



Java-Viren
Der erste Java-Virus nennt sich "Strange-Brew". Jedoch geht von diesem Virus keine Bedrohung aus, da der Virus zu inkompatibel ist und somit auf fast keiner Java-Implentierung läuft. Auch ist noch kein ernsthafter Java-Virus zu erwarten, da die ganze Strukur von Java sehr umfpangreich und nicht leicht erlernbar ist.



Keime
Ein Keim ist ein Virus der Generation Null, der in einer solchen Form vorliegt, daß die Infektion nicht auf normale Weise stattgefunden haben kann, wie beispielsweise bei einem Virus, der lediglich Dateien von mindestens 5 KB Umfang infiziert und jetzt eine winzige Datei von 10 Byte infiziert hat. Als Keim wird aber auch eine Viruskopie ohne Wirtsdatei betrachtet. Wenn Sie aus einer solchen Datei den Viruscode entfernen, bleibt eine Datei von 0 Byte übrig. Bei dieser zweiten Art von Keim handelt es sich also um die vom Virenprogrammierer erstellte Originaldatei.



Kernel-Viren
Diese Sorte von Viren infizieren zuerst bestimmt Programme eines Betriebssystemes. Unter DOS somit "IO.SYS" oder "MSDOS.SYS". Es soll von dieser Virensorte bisher nur ein Exemplar bekannt sein. Ansich ist es eine Mischung aus DIR- u. Bootsektorviren. Denn auf Festplatten wird durch die direkte Veränderung des Verzeichniseintrages "IO.SYS" infiziert. Auf Disketten der Bootsektor.



Killerviren
Unter Killerviren versteht man Viren, welche nach einer bestimmten Anzahl von Infektionen eine Aktion auslösen. - Der "interne Zähler" dieser Viren zählt von einem festgelegten Wert runter bis auf "null". Nachdem das geschehen ist, kommt es auf den jeweiligen Virus an, was nun passiert. Jedenfall werden die Daten eines Systemes gelöscht oder unbrauchbar gemacht. Es kan z.B. ein Befehl "Format" aufgerufen und durch den Virus bestätigt werden. Andere Viren löschen ohne Nachfrage "nur" die Daten. Die noch gemeinere Variante ändert die FAT-Einträger einer Festplatte. Die Daten sind zwar noch alle auf der Festplatte enthalten, jedoch sind diese weder les- noch verwendbar.



Laborviren / Research-Viren
Darunter versteht man die Viren, welche in der "freien Wildbahn" quasi nie anzutreffen sind. Diese Viren wurden Virenforschern zugespielt und befinden sich nur in deren Laboren. Somit befinden sich diese lediglich in deren Sammlungen. Im übrigen ist der größte Teil aller Viren als Laborviren zu bezeichnen.



Logische Bomben
Logische Bobmbens sind eine besondere Art von Viren: Sie können entweder durch eine Art von Zeitzünder ausgelöst werden, oder durch das Erfüllen einer Bedingung, beispielsweise die Eingabe oder das Fehlen eines Bestimmten Wortes oder eines BenutzerNamens. Diese Viren sind meistens auf ein Bestimmtes System beschränkt: Sie können sich normalerweise nur innerhalb eines vorgegebenen Umfeldes reproduzieren und sind daher ausehalb dieses Umfelds meist wirkungslos.



Makroviren
Makro-Viren gibt es noch nicht so lange wie die "herkömmlichen" Virenarten. Viele Textverarbeitungsprogramme wie z.B. Word nutzen zur Automatisierung von Aufgaben die an Basic angelehnte Makrosprache. Diese Programmiersprache ist recht einfach erlernbar. Diese Tatsache hatte zur Folge, dass Makroviren heute weitaus öfter anzutreffen sind, als andere Virenarten. Vom Prinzip her sind Makroviren ebenfalls Dateiviren (Erklärung siehe unter "Dateiviren"). Lediglich werden hier nur Dokumenter infiziert und KEINE Programme. Jedoch gibt es nicht nur Makroviren, die Word-Dokumente (also .doc-Dateien) infizieren, sondern z.B. auch Excel-Viren. Die Makrosprache erlaubt recht mächtige Funktionen bzw. kann automatisch zahlreiche Aufgaben erledigen. - Wer jedoch z.B. kein Word auf seinem System installiert hat, braucht nicht unbedingt etwas zu befürchten, wenn er von einem solchen Virus heimgesucht wird (bezogen auf Makroviren, die .doc-Dateien infizieren).



MBR (Master Boot Record)-Viren
MBR (Master Boot Record) -Viren funktionieren ähnlich wie die Bootsektorviren (siehe oben). Sie haben nur den feinen Unterschied, daß sie sich in den Hauptstartbereich der Festplatte infiziren. Somit können das Hauptstartprogramm und die Partitionstabelle verloren gehen.



Multiple oder Double-Action Viren
Multiple oder Double-Action Viren können Bootsektor und Dateien infizieren. Sie sind eine Art "Mix" aus den oben vorgestellten Viren.



Mutierende Viren
Die Viren der "Zukunft" sind polymorph, d.h. sie mutieren bei jeder Neuinfektion und verändern oder verschlüsseln ihren Code. Durch herkömmliche Virenscanner sind polymorphe Viren daher nicht mehr erkennbar, da diese Scanner keine dem Virus eindeutig zugeordneten Zeichenfolgen mehr finden können.



Netzwerk-Viren
Spezielle Netzwerk-Viren gibt es bisher nur wenige, doch können sich die meisten Vieren auch in Netzwerken verbreiten. Die klassischen Netzwerk-Viren sind die sogenannten Würmer. Sie verbreiten sich nicht als anhängsel eines Programmes in Systemen, sondern können ihren eigenen Code selbstständig reproduzieren. und als eigenständiges Programm ablaufen lassen.
Bis heute gibt es allerdings noch keine Viren, die sich in mehreren Betriebssystemen verbreiten können. Viren sind von ihrer Konzeption her immer auf die Schwachstellen eines Systems angewiesen. Da diese jedoch bei jedem System an anderer Stelle sitzen und jedes System andere Programmieranforderrungen stellt, wird es auch in absehbarer Zeit kaum Viren Geben, die beispielsweise auf MAC- und MS-DOS-Rechnern agieren können.
Die meisten glauben, daß sich ein Virus, sobald er bis in ein Netz vorgedrungen ist, sofort irgendwie rasend schnell über das gesamte Netzwerk ausbreitet. Die Wahrheit ist jedoch weitaus komplizierter. Erstens können sich Bootsektorviren nicht über Netzwerke ausbreiten, selbst wenn mehrere der angeschlossenen Computer infiziert sind, denn diese Virenart verbreitet sich über Disketten. Dateiviren dagegen breiten sich folgendermaßen über ein Netzwerk aus:
1. Benutzer 1 infiziert seinen Computer, möglicherweise durch die Demodiskette eines Vertreters. Der Virus wird speicherresident.
2. Benutzer 1 führt weitere Programme auf seiner Festplatte aus, die dadurch ebenfalls infiziert werden.
3. Benutzer 1 führt ein paar Programme auf dem Netzwerk aus, die dadurch ebenfalls infiziert werden. Ein Netzwerk emuliert ein DOS-Gerät, d. h. Lesen und Schreiben in Dateien auf dem Server findet in derselben Weise statt wie lokal. Der Virus muß sich also nicht anders als sonst verhalten, um Dateien auf dem Server zu infizieren.
4. Benutzer 2 meldet sich am Server an und führt eine infizierte Datei aus. Der Virus wird auf dem Computer von Benutzer 2 speicherresident.
5. Benutzer 2 führt mehrere andere Programme auf seiner lokalen Festplatte und auf dem Server aus. Jede ausgeführte Datei wird infiziert.
6. Benutzer 3, Benutzer 4 und Benutzer 5 melden sich an und führen infizierte Dateien aus.
7. Und so weiter.



Partitionsviren
Diese Viren verändern die Partition direkt oder die Angaben des ersten logische Sektors
und werden bei jedem Systemstart sofort aktiv. Einen solchen Virus kann man NICHT durch das Formatieren einer Festplatte entfernen. Meisst reicht schon ein Aufruf von "FDISK/MBR" von einer sauberen Bootdiskette aus um den Virus zu entfernen.



Pholymorphe Viren
Früher reichte es den Herstellern von Anti-Viren-Programmen, wenn der Code (bzw. die Bytefolge) eines Virus analysiert und als Virendefinition in einer Datenbank des Virenscanners als "Vergleichliste" für Scannvorgänge abgelegt wurde. Die Erkennungraten der Virenscanner konnte als sehr hoch eingestuft werden, da diese Datenbanken ständig aktualisiert wurden. Jedoch haben die Virenprogrammierer die Zeichen der Zeit leider auch nicht verschlafen und entwickelten neue Methoden, damit "ihr" Virus gar nicht oder nur schwer durch Virenscanner erkannt wird. In Polymorphen Viren werden Codeveränderung oder Codeverschlüsselungen verwendet. Diese Viren verschlüsseln dabei den eigentlichen Code mit einem veränderlichen Schlüssel. Die Entschlüsselungsroutine bleibt jedoch unverschlüsselt im Viruscode. Damit Virenscanner nun nicht einen Virus anhand ihrer Entschlüsselungsroutinge identifizieren, werden diese Routinen automatisch bei jeder Infektion soweit verändert, dass anhand der Bytefolge keine Identifizierung mehr möglich ist. Die Funktion der Verschhlüsselungsroutinge wird dadurch natürlich nicht beeinträchtigt. Viele Virenprogrammierer bedienen sich zur Verschlüsselung ihrer Codes an sogenannten Codegeneratoren, welche diesen Teil der Programmierarbeit übernehmen. Es gibt Generatoren, die als sehr leistungsfähig bis fast unbrauchbar einzustufen sind. Viele dieser Generatoren kommen aus Osteuropa oder Taiwan. Trotzdem gelingt es den Softwareherstellern von Virenscannern immer wieder, auch diese verschlüsselten Viren zu identifizieren. - Auch wenn dieses manchmal recht aufwendig ist. Jedoch brauchen Virenprogrammierer nicht glauben, dass Virenforschern Codegeneratoren nicht bekannt sind......



Retroviren
Dieser "Virenspezie" ist darauf aus AntiVirenProgramme anzugreifen. Dieses reicht von völlig ausser Gefecht setzen bis zur Manipulation der Software. Programmierer dieser Sorte Viren untersuchen genaustens "Byte für Byte" die Anti Viren Programme nach Schwachstellen. Retroviren können z.B. einen Virenscanner dahingehend verändern, dass dieses Programm zwar noch einen Scannvorgang vollzieht, jedoch ansich gar nicht mehr nach Viren sucht. - Das würde somit bedeuten: Das System könnte "durch und durch" mit Viren verseucht sein, der Scanner meldet jedoch, dass alles in Ordnung sei. Manche Scanner legen sogeannten Prüfsummen an, die ein Retrovirus zu seinen Gunsten nutzen kann. Diese Prüfsummen werden einfach entsprechend manipuliert. Hierbei möchte ich jedoch erwähnen, dass viele andere Viren auch Retroviren sind, um sich vor einer Entdeckung zu schützen. Wenn man es genauer betrachtet, würde es für den Virenprogrammierer wenig Sinn machen, einen reinen Retrovirus zu programmieren....



Residente Viren
Diese Viren belegen Speicher und hängen sich in den Interrupt 21h und/oder 13h. Über den INT21h werden allen internen DOS-Funktionen (Programme starten, öffnen, kopieren, löschen etc.) abgewickelt. Somit bekommt der Virus Programme von "erster Quelle" geliefert, um diese zu infizieren. Der INT 13h ist fuer Festplatten- u. Diskettenzugriffe zuständig und wird durch Sektor- und Multipartite -Viren belegt. Die Arbeitsweise dieser Viren ist als Recht kompliziert zu betrachten. Diese hier zu Beschreiben würde den Rahmen der Rubrik sprengen. Kurz gesagt: Dieser Virus arbeitet ständig im Hintergrund um nach zu infizierenden Dateien "Ausschau" zu halten. In einigen Fällen erweist es sich als schwierig, einen solchen Plagegeist entgültig loszuwerden. Nur ein Formatieren der Festplatte reicht in der Regel nicht aus.



Script-Viren
Diese Virenart ist noch recht neu und seit Oktober 1998 erstmalig in den Umlauf geraten. Der erste dieser Art von Viren heisst: "Winscript Rabbit" und bedient sich der Script-Sprache "VB-Script aus dem Hause Microsoft. Neuere Versionen infizieren nicht nur VB-Scripts, sondern auch Netscape kompatible Java Scripts. Befindet sich ein solcher Virus einmal auf dem System werden alle Script-Dateien im Browser-Cache infiziert und kopiert sich sogar auf dem Desktop. Der erstaunte Anwender bekommt z.B. lustige Icons auf seinem Bildschirm zu Gesicht. Script-Viren funktionieren allerdings nur unter Windows 98 bzw. auf Rechnern, wo der Windows Scripting Host installiert wurde. Im übrigen kann man bei einer Win 98 Neuinstallation auch den Scripting-Host ausschliessen.



Slack-Viren
Der Slack-Bereich ist der Platz auf einem Cluster, der durch eine Datei nicht ausgefüllt wurde. Nehmen wir an ein Cluster ist 8192 Bytes gross, die Datei jedoch nur 7000 Bytes, bleiben noch 1192 als Slack übrig. Genau diesen freien Platz nutzen sogenannte Slack-Viren um sich unauffällig einzunisten. Dadurch wird verhindert, dass die Grösse einer Datei verändert wird und somit dem Anwender nicht auffällt. Diese Viren sind jedoch recht selten anzutreffen. Anwender, die hin und wieder ihre Festplatte defragmentieren, werden spätestens damit diesen Virus entfernen.



Slow Infector-Viren
Vom Prinzip her das Gegenteil von "Fast Infector-Viren", da diese sich (wie der Name bereits vermuten laesst) nur langsam verbreiten. Diese Art von Viren infiziert lediglich beim Erstellen oder Schreiben von Programmen diese Dateien. Diese Technik hat den Hintergrund, um Prüfsummenprogramme und residente Wächterprogrammen auszutricksen. Da somit die Datei ja erst erstellt wird, liegt somit auch keine Prüfsumme vor. Diese Viren sind jedoch relativ selten. Fast Infector-Viren treten dagegen sehr häufig in Erscheinung.



Stealthviren / Tarnkappenviren
Hier unterscheidet man zwischen Semi- und Vollstealth-Viren. Vollstealth-Viren verbergen die Tatsache, dass infiziert Dateien oder Sektoren verlänger/verändert wurden. Somit können Virensuchprogramme und Prüfsummenchecker getäuscht werden. Semistealth-Viren unterscheiden sich im Gegensatz zu Vollstealth-Viren darin, dass lediglich die Dateiverlängerungen verborgen werden und nicht die Dateiveränderungen. Der Begriff "Stealth" wird immer wieder für alle möglichen Viren-Tricks (raffiniert programmierte Viren etc.) benutzt, welches jedoch nicht den eigentlich Begriff wie hier beschrieben definiert.



TSR-Dateiviren
Diese Viren-Art ist besonders häufig anzutreffen. In der Regel werden .com und .exe - Dateien befallen, jedoch gibt es auch einige dieser Viren, die Gerätetreiber und Überlagerungsdateien infizieren. Desweiteren müssen die Programme nicht unbedingt die Erweiterung ".com" oder ".exe" haben, obwohl dieses natürlich in den allermeisten Fällen (99%) zutrifft. Ein TSR-Virus verbreitet sich auf einem System, indem ein infiziertes Programm (sei es durch Download aus dem Internet, Disketten/CD´s von Bekannten oder woher auch immer) ausgeführt wird. Der Virus wird dann speicherresident (d. h. er befindet sich im Arbeitsspeicher bzw. läuft im Hintergrund es Systemes mit) und wartet darauf, dass der Anwender ein bisher nicht infiziertes Programm öffnet. Geschieht dieses, wird auch dieses Programm infiziert. Das geht praktisch so lange, bis alle Programme auf einem System infiziert sind. Die Dateien werden also somit schon nur beim öffnen einer Datei infiziert. Somit kann bei einer eventuellen Datensicherung (wo gegebenfalls jedes Programm geöffnet wird) ALLES infiziert werden. Jedoch möchte ich noch erwähnen, dass sich die Infektionsroutinen auch durchaus unterscheiden. Es kann auch nur durch einen "DIR-Befehl" alle somit angezeigten Programme infiziert werden. Die Auslösung der Infektionsroutine erfolgt somit schon bei Vorgängen, wo bestimmt wird, welche Dateien auf einem System/Ordner etc. vorhanden sind. Auch wurden noch andere Infektionsroutingen bekannt, jedoch sind diese recht selten anzutreffen. Diese Art der Viren könnte man somit auch durchaus zur Gruppe der Fast Infector-Viren zählen.



Update-Viren
Update-Viren sind eine besonders ausgeklügelte Virenart. Sie sind nach Familien gegliedert und werden meist von einem einzigen Programmierer oder einer Gruppe entwickelt. Neben ihrem Hex-Pattern enthalten diese Viren nicht nur eine Versionsnummer, sondern auch eine Update-Routine, die überprüft, ob der Virus bereits in einer Version vertreten ist. Aber damit nicht genug: Die Routine untersucht ausserdem, ob die Datei bereits eine ältere Version des Virus enthalten. Ist das der Fall, wird diese ersetzt. Ist eine neuere Version installiert, wird diese nicht noch einmal infiziert.



Überschreibende Viren (Overwriting)
Overwriting-Viren sind in ihrer Struktur in der Regel die einfachste Virenart. Jedoch ist gerade diese Art von Viren besonders gefährlich, da diese immer Daten zerstört, indem diese entweder ganz oder zum Teil überschrieben werden. Es gibt winzige solche Viren, die gerade mal 23 Byte lang sind. Diese Viren sind nicht resident und suchen normaler Weise nur im aktuellen Verzeichnis nach Opfern.



Würmer
Computerwürmer sind Programme, die sich selbstständig in einem Netzwerk verbreiten können. Es handelt sich dabei nicht um klassische Viren, sondern um damit verwandte Störprogramme, die jedoch auch Viren enthalten können. Würmer sind eigenständige Programme, die keine Wirtsprogramme benötigen, um sich daran anzuhängen. Meist bestehen sie aus mehreren Programmsegmenten, die miteinander in Verbindung stehen. Computerwürmer können sich selbst reproduzieren und sich zu dem mit Hilfe von Netzwerkfunktionen auf andere Rechner kopieren.



Zeitzünder
Es handelt sich hier um spezielle Auslösemechanisment, die eine Routine im eigentlichen Virus enthalten. In der Regel wird hierbei die Systemzeit (Uhrzeit, Datum etc.) abgefragt bzw. überwacht. Tritt der festgelegte Wert (z.B. ein Datum) ein, tritt der Virus in Aktion. Viele dieser Viren geben zu diesem Zeitpunkt eine Meldung auf den Bildschirm aus und verabschieden sich dann wieder. Jüngstes Beispiel für so einen Zeitzünder ist der CIH-Virus, welcher am 26. eines Monats in Aktion tritt und Daten aus dem Bios-Chip überschreibt. Jedoch kann die Auswahl bzw. Bedingungen eines Zeitzünders umbegrenzt sein. Dazu kann ein Datum, eine Uhrzeit oder nach dem nächsten Einschalten des Rechner usw., usw. gehören. Theoretisch ist es somit möglich, keinen Virus über Monate oder sogar Jahre auf einem System zu haben, ohne jegliche Reaktionen seitens des Virus. Der Auslösemechanismus kann durchaus auch erst zu einem Jahreswechsel auftreten.




Was sind Trojanische Pferde?
Trojanische Pferde sind Programme, deren Hauptfunktion ist, Systeme und deren Anwender auszuspionieren. Sie können Sicherheitslücken erkunden, Hintertüren im System öffnen oder bestehende Infrastrukturen zerstören. Trojaner sind beispielsweise in der Lage, die Zugangsdaten von Homebanking-Anwendungen auszulesen, um diese dann ohne Wissen des Anwenders online per Internet weiterzugeben. Sie versuchen mit allen Methoden, Ihre Präsenz im Rechnersystem zu verbergen.
Trojanische Pferde werden als Tarnung an Share- und Freewareprogramme angehängt. Die Vorgehensweise ist denkbar einfach: Der User lädt nichtsahnend ein Programm aus dem Internet und startet es. Meistens erfüllen die Tarnprogramme nicht die gestellten Erwartungen und werden sofort gelöscht oder deinstalliert. Doch was der Geschädigte nicht weiß, ist, daß im Hintergrund ein weiteres Programm installiert wurde: Das trojanische Pferd. Hierbei ist es egal, ob man zum Zeitpunkt des Installation online war, oder nicht. Trojanische Pferde sind meistens kleine Programme, die "lediglich" einen Eintrag in der Windows-Registry vornehmen. Doch dieser Eintrag hat gravierende Folgen: Er öffnet bestimmte Ports ihres PC und läßt sie das nächste mal, wenn sie online gehen, vor Hackern absolut ungeschützt.
Trojanische Pferde bestehen aus 2 Teilen: Dem Client und dem Server. Der Server ist der infizierte und der Client derjenige, der mittels des Trojaners Zugriff auf den Server zu bekommen versucht. Wenn der Server das nächste mal online geht, benötigt der Client lediglich die IP-Nummer des Servers und schon hat er vollen Zugriff auf dessen PC. Er kann z.B. das CD-Rom Laufwerk Ihres PC`s öffnen, Sreenshots ihres Desktops machen, Dateien kopieren oder löschen, Passwörter decodieren usw... kurz gesagt: der Client hat die volle Kontrolle über das Server-System.
Ein neues Kapitel im Bezug auf Trojaner wurde am 04.August 1998 aufgeschlagen, als die amerikanische Hackergruppe CULT OF THE DEAD COW das "Windows Remote Administration Tool" (Fernwartungswerkzeug) BACK ORIFICE präsentierte, welches selbst Laien ermöglicht, individuelle Trojaner zu konfigurieren. Danach folgten rasanten Tempo noch viel leichter zu bediene Trojaner wie Netbus & Subseven etc... und heutzutage hat die AntiViren-Industrie probleme die Trojaner zu erkennen, weil die Trojaner sich immer besser und geschickter Tarnen & Verstecken können bzw. ihre form ist heutzutage sogar änderbar...

Manuelle Entfernung von Trojanern
=================================

Die manuelle Entfernung von trojanischen Pferden 
kann nötig werden, wenn es sich um eine neue 
Version handelt und Tools zur Entfernung noch 
nicht zur Verfügung stehen, oder wenn Sie den 
Verdacht haben, mit einem bislang unbekannten 
Trojaner infiziert zu sein. 
 
Leider bietet ein Betriebssystem wie Windows 
unzählige Möglichkeiten, den Server des Trojaners 
mit einem Autostartmechanismus zu versehen. Die auf 
unseren Seiten vorgestellten Anleitungen zur 
Entfernung sind alle gesichert und funktionieren 
alle einwandfrei. 
 
Trotz alledem ist höchste Vorsicht geboten, wenn 
manuell Einträge, also Schlüssel in der Windows-
Registrierung oder in den zentralen 
Initialisierungsdateien wie Win.ini oder 
System.ini verändert oder 
gelöscht werden. Die beste Vorbereitung ist immer 
die, zunächst eine Sicherungskopie der 
Registrierung und der Ini-Dateien anzulegen und 
dann erst mit der Entfernung zu beginnen. Ist die 
Entfernung fehlerhaft oder werden Schlüssel in 
der Registry gelöscht, die zum Start  des 
Betriebssystems zwingend notwendig sind, können 
Sie die Sicherungskopien wieder einfügen und Ihr 
System wieder starten. 
 
Die Windows-Registrierung setzt sich aus den 
beiden Dateien 
 
system.dat 
user.dat 
 
zusammen, die Sie im Windows-Verzeichnis finden. 
Möglicherweise sind sie mit dem "Hidden-
Attribut" versehen. Entweder suchen Sie diese 
beiden Dateien über den Windows-Explorer, oder 
entfernen auf der DOS-Ebene zunächst das Attribut 
dieser Dateien mit dem Befehl: 
 
Attrib system.dat -h (als Beispiel) 
 
Legen Sie zur Sicherung am besten ein Verzeichnis 
an, das aus höchstens 8 Buchstaben besteht 
und keine Sonderzeichen enthält. So können Sie 
auch auf der DOS-Ebene zuverlässig auf Ihre 
Sicherungskopien zugreifen. 
 
Ein komplettes Backup der Registrierung und Ini-
Dateien beinhaltet folgende Dateien: 
 
c:\windows\system.dat 
c:\windows\user.dat 
c:\windows\win.ini 
c:\windows\system.ini 
c:\autoexec.bat 
c:\config.sys 
 
Falls Sie einen anderen Pfad als c:\windows 
benutzen, müssen Sie die Angaben natürlich 
anpassen !! 
 
So gerüstet, können Sie sich auf die Suche nach 
dem Trojaner machen !! 
 
Besonders gefährdet für einen Eintrag zum 
Autostart sind folgende Schlüssel in der Windows-
Registrierung: 
 
HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\Cur
rentVersion\Run 
HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\Cur
rentVersion\RunOnce 
HKEY_LOKAL_MACHINE/Software\Microsoft\Windows\Cur
rentVersion\RunServices 
 
HKEY_CURRENT_USER/Software\Microsoft\Windows\Curr
entVersion\Run 
HKEY_CURRENT_USER/Software\Microsoft\Windows\Curr
entVersion\RunServices 
 
Eine besondere Art des Autostarts ist die 
sogenannte Not_known_methode. 
Hier wird ein zusätzlicher Eintrag in einem 
bereits vorhandenen Schlüssel der Registrierung 
eingetragen der bewirkt, daß bei allen Aufrufen 
von ausführbaren Dateien, also EXE-Dateien 
zunächst der Server geladen wird. Sie finden 
diesen Eintrag in folgendem Schlüssel: 
 
HKEY_CLASSES_ROOT\exefile\shell\open\command 
 
Hier sollten Sie eigentlich nur folgenden Eintrag 
finden: 
 
""%1"%*" 
 
Bei einer Infizierung mit einem Trojaner sehen 
Sie z.B. 
 
windos.exe ""%1%%*" 
 
Zur Entfernung müßte also der vordere Eintrag 
windos.exe gelöscht werden. 
 
Löschen Sie einfach nur den Server windos.exe aus 
dem Windows-Verzeichnis werden Sie 
feststellen, das Sie keine Datei mehr ausführen 
können und Ihr System damit unbrauchbar geworden 
ist. 
 
Aus diesem Grund haben wir exakte Anleitungen zur 
Entfernung auf unseren Seiten beigelegt, die 
Sie zunächst gründlich studieren und dann Schritt 
für Schritt ausführen können. 
 
Moderne Trojaner wie SubSeven ab der Version 2.0 
nutzen beispielsweise diese Art des Eintrags. In 
diesen Fällen müssen Sie also zunächst den 
entsprechenden Schlüssel in einer sogenannten 
reg-Datei exportieren. Sie gehen dazu folgend vor: 
 
Starten Sie den PC im DOS-Modus 
Exportieren Sie den Zweig mit folgendem Befehl: 
regedit /e trojan.reg 
hkey_classes_root\exefile\shell\open\command 
Öffnen Sie die Datei "trojan.reg" mit dem Editor 
Löschen Sie den Eintrag "windos.exe (wie oben 
beschrieben) 
Speichern Sie die Datei wieder ab (mit der Endung .reg !!) 
Importieren Sie den Schlüssel wieder mit folgendem Befehl: 
regedit trojan.reg 
Löschen Sie die Datei "windos.exe" aus dem 
Windows-Verzeichnis. 
Starten Sie den PC normal. 
Das System ist wieder sauber. 
 
In ähnlicher Weise verfahren Sie mit den Dateien 
"win.ini und system.ini". Beide Dateien befinden 
sich im Verzeichnis c:\windows. 
 
Die Datei "Win.ini" gibt es eigentlich nur noch 
aus Gründen der Kompatibilität zu älteren 
Windows-Anwendungen und wird in der Regel von modernen 
Programmen nicht mehr benutzt. In dieser Datei 
gibt es zwei Sektionen, die für einen Autostart 
benutzt werden können: 
 
Load= 
Run= 
 
In vielen Fällen wird hier der Start des 
Trojaners eingetragen. 
 
Zur Entfernung starten Sie den PC wieder im DOS-
Modus Öffnen Sie die win.ini mit dem Editor 
Löschen Sie den Eintrag hinter dem = Zeichen 
Speichern Sie die Datei (mit der Endung .ini) 
Löschen Sie den Server des Trojaners 
Starten Sie den PC normal 
Das System ist wieder sauber 
 
In der Datei "System.ini" wird unter anderem auch 
die zur Verfügung stehende Shell eingetragen, 
also die Oberfläche, mit der Sie unter Windows 
arbeiten. In der Regel ist das die Datei 
"explorer.exe". 
Leider bietet Windows auch die Möglichkeit, eine 
alternative zweite Shell dort einzutragen. Diese 
Funktion wird ebenso häufig v on Trojanern 
genutzt. Den Eintrag finden Sie unter: 
 
[boot] 
Shell=explorer.exe 
 
Bei infiziertem System sieht der Eintrag 
möglichweise so aus: 
 
Shell=explorer.exe subseven.com 
 
Zur Entfernung gehen Sie bitte wieder folgenden Weg: 
 
Starten Sie den PC im DOS-Modus 
Öffnen Sie die Datei "system.ini" mit dem Editor 
Löschen Sie den zweiten Eintrag hinter 
"explorer.exe" 
Speichern Sie die Datei (mit der Endung .ini) 
Löschen Sie den Server des Trojaners 
Starten Sie den PC normal 
Das System ist wieder sauber. 
 
In sehr seltenen Fällen können auch die beiden 
Startdateien (autoexec.bat und config.sys" des 
Betriebssystems für einen Servereintrag 
mißbraucht werden. Ein Trojaner tarnt sich  hier 
beispielsweise als Gerätetreiber (das ist eine 
Datei, die zur Benutzung eines Peripherie-Gerätes 
wie z.B. das CD-ROM Laufwerks hier geladen werden 
muß). 
 
Zur Entfernung gehen Sie wieder wie folgt vor: 
 
Starten Sie den PC im DOS-Modus 
Öffnen Sie die Datei autoexec.bat oder config.sys 
mit dem Editor 
Entfernen Sie den entsprechenden Eintrag des Servers 
Löschen Sie den Server aus dem Windows-Verzeichnis 
Starten Sie den PC normal 
Das System ist wieder sauber 
 
Einige Trojaner wie z.B. Masters Paradise 
ersetzen Original-Windows-Dateien durch gepatchte 
Versionen. Löschen Sie diese Datei einfach, weil 
Sie glauben, darin befindet sich der Trojaner, 
wird Ihnen im günstigsten Fall die Funktionalität 
dieser Datei anschließend nicht mehr zur 
Verfügung stehen. In unserem Beispiel ist das die Datei 
"sysedit.exe". Diese Datei wird unter Windows 
dafür  benötigt, die Systemdateien wie config.sys, 
autoexec.bat und diverse andere Ini-Dateien 
bewuem zu editieren. In einem anderen Fall wird die Datei 
"regedit.exe" ersetzt. Regedit.exe ist der 
zentrale Windows-Registrierungs-Editor. Wurde die Datei 
gelöscht, können Sie unter Windows nicht mehr 
überprüfen, ob sich ein Trojaner dort eingetragen hat. 
 
Das heißt, Sie werden sich wohl oder übel mit der 
manuellen Nachinstallation von Bestandteilen des 
Betriebssystems unter DOS auseinander setzen 
müssen. Sämtliche Dateien befinden sich auf der 
Windows-Installations-CD in gepackten Dateien mit 
der Endung .cab. Mit dem DOS-Befehl "extract" 
können Sie dort einzelnen Dateien in das 
entsprechende Verzeichnis kopieren. Schauen Sie 
sich dazu die Hilfe zu dem Befehl an, in dem Sie in 
einer DOS-BOX den Befehl ohne Zusatzparameter 
eingeben. 
 
Abschließend bleibt zu sagen, das sich nur 
erfahrene Benutzer an die manuelle Entfernung 
begeben sollten. Lesen Sie jedes Kapitel hier genau durch 
und halten sich an die Anleitungen. Beherzigen 
Sie alle Schritte, dürfte einer sicheren Entfernung 
des Trojaners nichts im Wege stehen.


=====================================================
HINWEIS: Dieses Tutorial stammt von www.playborn.klack.org

 Fucking gästebuch

****************************************************************************************
HINWEIS:

ICH, DER AUTOR, ÜBERNEHME KEINERLEI VERANTWORTUNG FÜR ETWAIGE SCHÄDEN JEGLICHER ART,
DIE DURCH DIESEN TEXT ENTSTEHEN. ER DIENT AUSSCHLIESSLICH DER INFORMATION UND SOLL HELFEN,
MÖGLICHE BUGS UND SICHERHEITSLÜCKEN DES EIGENEN GÄSTEBUCHS ZU FINDEN UND ZU BESEITIGEN!
****************************************************************************************





So damit wäre der nevigste Teil geschafft. Keine Ahnung obs den Hinweis echt gebraucht hätte,
aber ich hab ihn einfach mal reingeschrieben. Dies ist mein erstes Tutor und für konstruktive Kritik
(oder auch Lob) bin ich immer offen.

So jetzt aber zum eigentlichen teil. Da ich ehrlich gesagt noch ein ziemlicher Newbie bin, habe ich mich
schon immer gefragt, wie man auch ohne das Wissen und Können eines Hackers sich an Websites vergehen kann.


An der Stelle bin ich dann auf das Gästebuch gestoßen, und hab entdeckt, was für ein wunderbares Potential
in ihm steckt.
Sobald ein Gästebuch nämlich HTML-Tags unterstützt, kann man hier viele Interessante Funktionen einbauen.

So kann man zum Beispiel schon mal Gästebücher mit Antibildern bestücken.
Wer jetzt sagt, dass das ja wohl nichts neues ist, der hat wohl recht, aber durch das einbauen von Bildern,
werden einem eine reihe anderer Funktionen eröffnet, die soweit gehen, dass man das GB dadurch unbrauchbar macht.

******************************
Erklärung der funktionalität:

Der Schlüssel liegt in Java Script, dass die GB mit denen ichs probiert habe alle unterstützen.
Man fügt nun mit dem Tag
 
	
 
ein Stinknormales Bild ein.



Dieses Tag kann man dann mit Java Script erweitern:

	

Schon mit diesem Tag, springt wenn das Bild fertig geladen ist eine nervige Dialogbox auf mit dem
Inhalt:"DIES IST EIN SCHEISS GB"


Mit:

	

wird ein neues Fenster mit dem HTML-File open.htm geöffnet. (Anmerkung: so kann man ideal werbebanner für
seine eigene Site in Gästebücher einbringen *g*)

******************************






So ab hier nur noch eine Kurzreferenz mit einigen lustigen Funktionen
Einige der Scriptz funzen nur mit Netscape sie sind mit >>NS<< gekennzeichnet.
Bewertung mit Sternchen nach fiesheit:





**** Die Datei nach window.open (guestbook.htm für die extra-Lamer *g*) muss die HTML-Datei des Gästebuches sein. (Dadurch
steigt die Effizienz des Tricks)
Wirkung: Durch die endlos-Schleife wird unendlich oft die Datei guestbook.htm geöffnet. Kann dazu führen, das der
Computer überlastet wird.







***  datei.htm kann irgendeine Datei sein. NS
Wirkung: Das GB wird bei Netscape unbrauchbar, da immer wenn das Bild fertig geladen ist, eine andere Datei statt der des
Gästebuchs angezeigt wird. Allerdings funzt das nur bei Netscape, beim IE kann man einfach auf Zurück klicken und man
ist im Gästebuch. Bei einigen Gästebüchern, wie bei dem von www.guestbook.de kann man einfach statt einer gültigen Zieldatei
irgendeine Angeben. Auch wenn es die nicht gibt wird eine Seite angezeigt. Dies funktioniert, denke ich bei vielen GBz,
da die großen Hoster wie Geocities oder so immer eine Standartseite augeben, falls eine Seite nicht gefunden wird.






Eingabefelder vollschreiben **

Diese Methode habe ich selber noch nicht ausprobiert. Sie erfordert ein wenig Kenntnisse in HTML und funktioniert
wahrscheinlich auch nur wenn die Eingabefelder auf der gleichen Seite wie die GB-Einträge sind.
Wenn das der Fall ist, muss man sich den Quellcode angucken und die Name-Attribute der Eingabefelder merken, aufschreiben
(ist mir eigentlich wurscht). Dann kann man den folgenden HTML-Tag nach belieben modifizieren.



Erklärung: formularname muss ersetzt werden, durch den Wert, der im Quelltext im Tag 

hir gibtz infos zu den viren und trojanern!!!!!

1. viren : viren kenn ihr bestimmt sie schreiben programme um so das sie nicht mehr funktioniren oder nicht das tun was sie sollen .

den virus woh ihr habt müsst ihr einfach nur verschiken und dein ober dazu bringen es zu öffnen euch selber kann dabei nichts geschehn solang ihr die datei also den virus nicht anklickt öffnet . diese viren wo ich auf meiner seite zum download stelle sind meist harmlos und ichten nicht viel an lämen den pc oder schreibt ein proggy um. der viren editor wo ihr eure viren selbst herstellen könnt müsst ihr abwarten bisher hab ih damit noch nicht gearbeitet ich glaub das die viren mit cmd oder so programmirt werden ist eigentlich zimlich einfach.

bei fragen schikt mir einfach eine e-mail mit dem formular was ihr ganz unten von der seite findet.

2. trojaner : die trojaner die ich euch zum download freigebe sind komplizirter als viren logisch aber in der regel wenn ihr einml damit gearbeitet habt dann geht das schon. ich nehme als beispiel den buttman trojaner . also als erstes laden wir uns den trojaner runter entpaken ihn mit winrar oder so und achtung noch öffnet selber nur den clint das ist so zu sagen die fernbedinug des trojaners den server schikt ihr an eure opfer wenn man den server öffnet ist nicht so schlimm weil du selber steurst ja den trojaner . dann öffnet ihr den clint da müsste so ein graues fenster kommen und unten sthehen sachen die man anklicken kann und dafor müsste was sthen mit ip und die ip lautet 127.0.0.1 das ist eure eigene lokale ip ihr braucht aber die lite ip von eurem opfer man kann es kompilizirt machen mit der cmd eingabeauforderung aber auch einfach geht unter www.wieistmeineip.de da sthet eure ip fett gedruckt wie z.b 172.177.191.208 so in der richtung . schik diese seite einfach deinm opfer und sag der soll dir dei fette nummer schiken . wenn das nicht funzen sollte oder euer freund die nummer nicht rausrückt dann schreibt mir eine e-mail mit dem formular am ende der seite und ich werde noch ein text einfügen der euch zeigt wie man das mit cmd macht die ip rausfinden . also wenn ihr die ip habt dann gebt sie ein in den balcken wo conect sthet und dann auf conetct drücken wenn es funktionirt dann kommt ein anderes fenster wo man viele tolle sachen machen kann wie z.b deinem opfer sachen schiken wie z.b viren oder so ohne das er es weis oder du kannst dateien von seinem pc betrachten du kannst den pc ausschalten du kannst mit ihm chatten as ich alerdings nicht machen würde weil er es sonst merkt und noch vieles mehr .

alle tutorials stammen von www.jox.klack.org und dürfen nicht vervielfältigt werden.

diese texte sind uhrheberrechtlich geschützt.

missbrauch ist strafbar ich übernehme keine haftung für eventuelle schäden an system oder personen oder weiteres