Speicherresidente Viren

• Speicherresidente Viren bleiben nach ihrer Aktivierung im Arbeitsspeicher und beenden sich nicht wie ein normales Programm.

• Nach dem Laden haken sie sich in Systemfunktionen ein, sodass jeder weitere Aufruf bestimmter Operationen durch den Virencode umgeleitet wird.

• Diese Viren können dadurch dauerhaft aktiv bleiben und im Hintergrund auf Datei-, Speicher- oder Hardwarezugriffe reagieren.

• Da der Virus nicht erneut von einer Datei gestartet werden muss, kann er sich bei jeder passenden Gelegenheit weiterverbreiten.

• Speicherresidente Viren werden oft beim Öffnen eines infizierten Programms aktiviert und bleiben danach auch nach dessen Beendigung im RAM bestehen.

• Sie können Funktionsaufrufe des Betriebssystems manipulieren, sodass Zugriffe scheinbar korrekt ausgeführt werden, während der Virus Änderungen vornimmt.

• Durch ihre Position im Speicher können sie Virenscanner täuschen, indem sie deren Leseanforderungen abfangen und manipulierte oder gefilterte Daten zurückgeben.

• Dadurch wirken infizierte Systeme oft unauffällig, obwohl der Virus längst aktiv im Hintergrund arbeitet.

• Residency ermöglicht es solchen Viren, Dateien oder Datenträger schon beim ersten Zugriff zu infizieren, ohne dass der Benutzer ein sichtbares Programm startet.

• Weil sie früh im System eingreifen, gelten speicherresidente Viren als besonders schwierig zu erkennen und zu entfernen.