Als TSR-Viren bezeichnet man Computerviren für das Betriebssystem MS-DOS, die auch nach dem Beenden im Speicher resident bleiben. Dort kann das Schadprogramm durch einen bestimmten Trigger, meist ein Timer Interrupt oder ein Tastatur Interrupt, wieder gestartet werden, um weitere Dateien oder Sektoren zu infizieren oder um seinen Payload auszuführen. TSR steht für „Terminate and Stay Resident“ („Beenden und resident bleiben“).

Funktion

Bearbeiten

In der Regel werden vor allem Programmdateien oder Bootsektoren durch ein solches Virus infiziert. Es kommen theoretisch aber alle für Computerviren üblichen Wirtsdateien in Frage.

TSR-Viren verbreiten sich definitionsgemäß vom Arbeitsspeicher aus auf Datenträger. Damit der Viruscode dort resident werden kann, muss ein infiziertes Programm ausgeführt werden. Sobald der virulente Code sich im RAM eingenistet hat, infiziert er im Normalfall jedes nach ihm ausgeführte Programm. Dabei werden wichtige Systemdateien und mehrfache Infektion meist vermieden. Zusätzlich können TSR-Viren aber auch als direkt infector fungieren und sich bereits bei der Ausführung eines infizierten Programmes in neue Wirtsdateien verbreiten. In den 1990er Jahren war dafür im deutschen Sprachraum auch die Bezeichnung schnell infizierende Viren gebräuchlich. Das erste Virus dieser Art wurde vom bulgarischen Hacker Dark Avenger geschrieben. Natürlich waren auch andere Trigger für eine direkte Infektion möglich, beispielsweise verwendete das TSR-Virus Green Caterpillar aus dem Jahr 1989 dafür den DOS-Befehl DIR.[1]

TSR-Viren können von sich aus z. B. Prozessaufrufe abfangen, externe Speichermedien manipulieren und noch viel erheblichere Schäden im System verursachen, ohne dass der Benutzer irgendeine Aktion ausgelöst hat. Unter idealen Bedingungen könnte ein TSR-Virus sogar eine Formatierung der Festplatte oder einen Warmstart überstehen. Einige TSR-Viren können sich über die verschiedenen BIOS-Interrupts Zugriff auf die Festplatte verschaffen und alle Schreibversuche dahingehend überprüfen, ob der eigene Speicherbereich im Master Boot Record überschrieben werden soll. Dies verhindern sie oder schreiben nach erfolgtem Überschreiben den eigenen MBR wieder zurück.

Einzelnachweise

Bearbeiten
  1. viruspage.de TSR-Dateiviren