Benutzer:Worm&Virus/Payload (Software)

aus Wikipedia, der freien Enzyklopädie
Zur Navigation springen Zur Suche springen

Als Payload oder Schadroutine bezeichnet man bei Computerviren und anderer Malware eine eingebaute Funktion mit schädlichen Auswirkungen.

Ein Wurm oder Virus muss nicht zwingend einen Payload haben, ein Trojaner schon.

Davon Abzugrenzen sind unbeabsichtigte Schäden, die vom Prgrammierer der Malware nicht gezielt erwünscht wurden. Das kann z.B. ein Programmierfehler sein, wegen dem ein Virus die Wirtsdatei nicht sauber infiziert und sie beschädigt. Oder Folgen von unkontrollierter Verbreitung, die Überlastungen und Systemausfälle zur Folge hat, wie bei Anna Kournikova, einem E-Mailwurm der keinerlei schädlichen Payload hatte. Loveletter und Mydoom verbreiteten sich zwar noch rasanter, hatten zusätzlich aber auch einen schädlichen Payload.

Eine strenggenommen schädliche Eigenschaft, die jedes Virus hat, ist das Beanspruchen von Rechnerzeit und Systemspeicher. Da ein Virus ein Programmcode ist, benutzt es auch die Leistung des Prozessors und der Festplatten. Viren sind aber im Normalfall so geschrieben, dass sie für das System keine spürbare Beeinträchtigung darstellen, so dass sie der Benutzer nicht erkennt. Bei der Größe aktueller Festplatten fällt auch der zusätzlich benötigte Festplattenplatz nicht mehr auf.

Man unterscheidet grob zwischen schädlichem und unschädlichem Payload.

Der Payload wird auf einen oder mehrere bestimmte Trigger ausgelöst. Dabei werden oft werden mehrere Trigger kombiniert. Ebenso kann ein Schadprogramm auch mehr als einen Payload haben.

Verschiedene Arten eines Payload[Bearbeiten | Quelltext bearbeiten]

Screenshot des Payload von Cascade a.k.a. Herbstlaub

Vor allem die Computerviren und Trojaner der 1980er und 1990er hatten eher klassische Payloads:

  • Löschen, Zerstören oder Verschlüsseln von Daten (Michelangelo, CIH, Disk Killer, Pathogen)

Oft wird auch nur der Zugriff auf die DAteien unmöglich gemacht, da dieser Payload zeitlich viel schneller durchführbar ist.

  • Ändern von Dateien (Melissa)
  • Textmeldungen (Stoned, Elk Cloner, BHP)

Meldungsboxen oder plötzlich auftauchende Texte auf dem Bildschirm mit oft (für den Virusautor) amüsanten Nachrichten oder gar politischem Inhalt, teilweise mit Grafiken.

  • Grafikeffekte (Cascade, Ambulanz)

Manipulation des Bildschirminhaltes, wie herunterfallende Buchstaben, Verzerrungen oder über den Bildschirm wandernde Objekte.

  • Toneffekte

Piepsen, Musik, Klickgeräusche

  • Systemabsturz, bzw. Einfrieren (Parity Boot)
  • Verlangsamen des Systems
  • Neustart
  • Falsche Fehlermeldungen oder BlueScreens (Eatscreen oder FakeBlueScreen)


Ab Ende der 1990er wurden bei Malware aufgrund des sich etablierenden Internets andere Payload bevorzugt:

  • E-Mailmassenversand
  • Botnetwerk
  • Backdoor, Spionage, Existenzbericht, "Nach-Hause-Telefonieren"
  • Rootkit
  • Nachladen weiterer Malware
  • Firmwareschäden (CIH)

Ein als Hardwareschaden missinterpretierter Schaden ist das Überschreiben des BIOS, das heute meist in Flash-Speichern gespeichert ist. Wird dieser Flash-Speicher böswillig überschrieben, kann der Rechner nicht mehr starten. Da der Rechner nicht mehr startet, wird oft fälschlicherweise ein Hardwareschaden angenommen. Der Flash-Speicher muss in diesem Fall ausgebaut und mit einem korrekten BIOS neu bespielt werden. Ist der Flash-Speicher fest eingelötet, ist das Ausbauen wirtschaftlich oft nicht rentabel und die gesamte Hauptplatine muss ausgetauscht werden.[1] Bei Hauptplatinen mit SPI- oder JTAG-Interface für den Flash-Speicher kann ein gelöschtes oder überschriebenes BIOS mittels geeigneter Programmiergeräte erneuert werden.


  • Theoretische Beispiele für Hardwareschäden:
    • Das Senden extremer Bildsignale an Bildschirme. Heute nicht mehr gebräuchliche Festfrequenzmonitore waren dafür anfällig, es gab Viren, die diese Angriffe auf solche Monitore tatsächlich durchgeführt haben. Heute ist eine Beschädigung durch fehlerhafte bzw. extreme Bildsignale so gut wie ausgeschlossen.
    • Übertakten von Grafikkarten oder Bausteinen auf der Hauptplatine. Bei einer zu hohen Übertaktung und nicht ausreichenden Kühlung können Bausteine überhitzen und beschädigt oder zerstört werden.
    • Unbenutzbarkeit von Festplatten durch bestimmte inoffizielle ATA-Kommandos.
    • Reduzierung der Lüftergeschwindigkeit, um Überhitzung der Komponenten zu verursachen.


Ein Sonderfall ist ein postiver Effekt, den es bei Würmern schon gegeben hat. Updates ziehen oder andere Würmer löschen.

Trigger[Bearbeiten | Quelltext bearbeiten]

Als Auslöser für den Payload kommen unter anderem in Frage:

  • Ausführen der infizierten Datei (Vienna)

Meist bei nicht-speicherresidenten direct-action-infektor-Viren

  • Systemzeit (Michelangelo, CIH, Jerusalem)

Datum, Wochentag oder Monat.

  • Timer (Disk Killer, Parity Boot)

Z.B. eine Stunde nach Systemstart

  • Bootvorgang (Michelangelo, Stoned)

Oft in Kombination mit:

  • Counter

Z.B. nach einer bestimmten Anzahl Neuinfektionen.

  • Zufallsgenerator

Z.B. bei jedem Bootvorgang eine Chance von eins zu sechs.

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Infos zu den das CMOS und das BIOS schädigenden Viren. In: sophos.de. Abgerufen am 29. Januar 2017.

Weblinks[Bearbeiten | Quelltext bearbeiten]

Kategorie:Schadprogramm

Abgerufen von „https://de.wikipedia.org/w/index.php?title=Benutzer:Worm%26Virus/Payload_(Software)&oldid=207240745