Doppelbefall: Wurm und Virus zugleich?

Schlimm genug, wenn ein Rechner von einem Virus oder einem Wurm befallen ist. Doch was passiert, wenn beides zugleich eintritt? Ein Virus infiziert meist Programmdateien, dazu zählt auch die eines Wurms. Infiziert ein Virus einen Wurm, entsteht ein Hybrid, ein Bastard. Das kann unabsehbare Konsequenzen haben, vor allem wenn auch noch ein Antivirusprogramm ins Spiel kommt.

Der Antivirushersteller Bitdefender hat solche Fälle untersucht und in seiner etliche Millionen Dateien umfassenden Malware-Sammlung 40'000 Exemplare solcher Hybride entdeckt. Bitdefender schätzt, dass in freier Wildbahn unter etwa 65 Millionen verschiedener Malware-Varianten bis zu 260'000 derartiger Mischformen existieren. Wie Loredana Botezatu in Bitdefenders Malware City Blog berichtet, passieren derartige Kreuzungen zweier Schädlinge meist nicht geplant sondern zufällig.

Normalerweise infizieren klassische Viren nur Dateien, können sich nur innerhalb eines Rechners fortpflanzen, nicht zum nächsten PC springen. Ein Wurm hingegen infiziert keine Dateien, er befällt einen PC und breitet sich im Netzwerk aus, infiziert jedoch keine vorhandenen Dateien.

Virenversuchter Wurm trifft auf Antiviren-Software

Ein mit einem Virus infizierter Wurm verbreitet jedoch nicht nur sich selbst sondern auch den Virus weiter. Landet dieser Hybrid auf einem Rechner mit Antivirusprogramm, ist folgendes Szenario denkbar: Das Schutzprogramm erkennt den Virus und versucht die infizierte Datei zu reparieren. Übrig bleibt der Wurm, der zwar funktionsfÄhig, jedoch nicht mehr völlig identisch mit seiner ursprünglichen Form ist. Die Desinfektionsroutinen können je nach Art der Virusinfektion das Original einer Programmdatei nur bedingt restaurieren. Löschen wäre hier die bessere Wahl.

Eine mögliche Folge der Reparatur könnte sein, dass der Wurm von Antivirus-Software nicht mehr erkannt wird, da es sich um eine neue Schädlingsvariante handelt. Je nach Antivirusprogramm können bei solchen Reparaturversuchen sogar verschiedene neue Varianten entstehen. Moderne Antivirus-Software verlässt sich allerdings nicht mehr ausschliesslich auf statische Virensignaturen, um Schädlinge zu erkennen. Das Werkzeugarsenal umfasst etwa auch heuristische Methoden und Verhaltensanalyse, sodass die Chance besteht die neue Mutation dennoch zu entdecken.

Bitdefender befürchtet, dass Malware-Programmierer in Zukunft zunehmend gezielt solche Mischformen entwickeln könnten. Es gibt sie schon seit etlichen Jahren, meist als Kreuzung aus Wurm und Trojanischem Pferd. Letztere können sich eigentlich nicht selbsttätig verbreiten - mit der Einkreuzung der Wurmeigenschaften erhalten sie diese Fähigkeit. Die klassische Unterteilung der Schädlinge in Viren, Würmer und Trojanische Pferde gilt längst nicht mehr.