Gefährliche Liebespost. Von Loveletter und anderen Computerviren

1. Gefährliche Liebespost.Von Loveletter und anderen Computerviren Ein Beitrag des ZDV zur Reihe „What‘s love“ Im Rahmen des Tages der offenen Tür 2002 Referent: Stefan Röhle, ZDV

2. Zentrum für Datenverarbeitung • Rechenzentrum der Universität • Zentrale Einrichtung der JoGu • Dienstleistungen für Studenten und Mitarbeiter • E-Mail, Internetzugang, Speicherplatz • Kurse, Online-Learning • Scannen, Posterdruck, DTP • Verleih: Digitale Kameras, Beamer • Datensicherung, Virenschutz • Administration zentraler und verteilter Rechner • Weitere Infos: Stand alte Mensa, NatFak (N) www.zdv.uni-mainz.de Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

3. Übersicht • Was sind Computerviren? • Wie verbreiten sich Computerviren? • Wie kann ich mich davor schützen? • Zusammenfassung • Links (Verwendete Quellen: In den Links angegebene Webseiten) Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

4. 1. Was sind Computerviren? Programme (oder Skripte), die sich selbst ver-vielfältigen können und oft Schadfunktionen (malicious code) enthalten. • Bootsektor Viren • Parasitische Viren („klassischer“ Virus) • Würmer • Trojanische Pferde (Trojaner) • Hoaxes • Makro-Viren (Word, Excel etc.) Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

5. Allgemeine Schadwirkungen • Löschen von Daten • Datenkorruption • Datendiebstahl • Beanspruchung von Ressourcen Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

6. Hoaxes (1/2) (Hoax: Scherz, Falschmeldung) E-Mails, die zur Weiterleitung animieren, und deren Inhalt zweifelhaft ist. • Viruswarnungen • Glücksbriefe, Kettenbriefe • „Make money, fast!“ (Pyramidensystem) • „Tränendrüsen-Briefe“ Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

7. Hoaxes (2/2) Schadwirkung • Verunsicherung der Benutzer • Zeitverschwendung • Erhöhtes Mailaufkommen durch Schneeballsystem (Kettenbriefe), vergleichbar mit „echten“ Viren Maßnahme Löschen der E-Mail! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

8. Trojaner Klassische Trojanische Pferde sind Programme, die vordergründig nützlich sind, im Hintergrund aber ihre wahren Aktivitäten entfalten. Moderne Trojaner führen nur noch unbemerkt ihre Schadfunktionen im Hintergrund aus. Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

9. Würmer Würmer erstellen Kopien von sich und ver- breiten sich selbst z.B. über das Netzwerk oder per E-Mail. Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

10. 2. Wie verbreiten sich Computer- viren? • Ohne Benutzer • Nutzen Schwachstellen im Netzwerk aus • Nutzen Schwachstellen in Software aus • Durch „Hilfe“ des Benutzers • Anklicken des E-Mail-Anhangs • Ausführen von heruntergeladenen Programmen Dabei wird der Benutzer meist getäuscht und ausgetrickst, damit er den Virus aktiviert! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

11. Viren TOP TEN Quelle: http://www.sophos.com/virusinfo/topten/ Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

12. Loveletter (alias LoveLet-A) • Entdeckt im April 2000 • Über E-Mail verbreitet • Subject: „ILOVEYOU“ • Message: „kindly check the attached LOVELETTER coming from me“ • Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs • Trick • Ausnutzen der unterdrückten Dateiendung bei Standardinstallation - das Attachment erscheint nur als LOVE-LETTER-FOR-YOU.TXT • Dadurch Tarnung eines Skriptes als Textdatei Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

13. Loveletter Bei Ausführen des Attachments passiert folgendes... • Erstellt Kopien von sich auf der Festplatte • Hinzufügen von Registry-Einträgen, damit der Trojaner bei Systemstart automatisch ausgeführt wird • Ersetzt und löscht Dateien (lokal und im Netzwerk!) • picture.jpg -> picture.jpg.vbs, Original gelöscht • .vbs Dateien durch Kopie von sich ersetzt • music.mp3 -> Attribut ‚hidden‘ -> music.mp3.vbs • LOVE-LETTER-FOR-YOU.HTM wird an IRC versendet • Verschickt sich selbst an alle Benutzer im Outlook-Adressbuch • Download eines Passwort-Schnüffelprogramms (Trojaner) • ebenfalls in Registry eingetragen zum automatischen Start • schickt Passworte an mailme@super.net.ph Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

14. BadTrans-B (Platz 1 Januar) • ausführbare Datei als E-Mail Attachment • Message: „Take a look at the attachment“ • Attachment: zufällig aus Liste, z.B. fun.pif, docs.scr, Me_nude.AVI.pif • Eintrag in Registry • E-Mail Versand per Outlook • Antwortet auf gelesene und ungelesene Mails • Verschickt sich an Adressen, die in .asp, .ht* Dateien gefunden werden • Verwendet Absender aus Liste, z.B. admin@gte.net, tina0828@yahoo.com • Antwortadresse wird leicht geändert, so dass Reply unmöglich ist • Subject: Re: • Attachment: aus Liste, z.B. docs.DOC.pif, Humor.MP3.scr • installiert Keylogger (Trojaner) Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

15. MyParty-A (Platz 2 Januar) • ausführbare Datei als E-Mail Attachment • Subject: „new photos from my party!“ • Message: „Hello! My Party... It was absolutely amazing! I have attached my web page with the new photos! If you can please make color prints of my photos. Thanks“ • Attachment: Datei www.myparty.yahoo.com • 25.-29.1.2001 • Kopie von sich an jeden in Windows Adressbuch verschickt • Win9x/ME: Kopie von sich nach C:\Recycled\regctrl.exe + ausführen derselben • WinNT/2K/XP: Kopie nach C:\regctrl.exe + ausführen derselben; Kopie der Datei MSSTASK.EXE in Ordner „Autostart“ (Backdoor Trojaner) Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

16. Sircam-A (Platz 4/Januar, Platz 2/2001) 1/2 • Verbreitung per E-Mail oder offene Netzwerk-Freigaben • Versand von E-Mail über eigene SMTP Routine • Adressen aus Windows Adressbuch • Text aus Liste auf Englisch oder Spanisch • Subject: zufällig, siehe Attachment • Message: „Hi! How are you? I send you this file in order to have your advice. See you later. Thanks“ • Attachment: Dateiname identisch mit Subject, doppelte Endung, z.B. .doc.com, .mpg.pif • Achtung: Versendet Dokumente des Users aus „Eigene Dateien“! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

17. Sircam-A (Platz 4/Januar, Platz 2/2001) 2/2 • erstellt Kopie von sich nach\Windows\System\sirc32.exe und ebenfalls versteckt in den Papierkorb (auch im Netz) • Eintrag in Registry zum Start beim Systemstart • Kopie in Windows-Verzeichnis von verbundenem Rechner • rundll32.exe -> run32.exe, Viruscode ->rundll32.exe • Modifikation der autoexec.bat zum Aufruf der Datei aus Papierkorb • weiterer Schadcode • 1:50 Chance, dass Datei Sircam.sys in Papierkorb erzeugt wird und gefüllt wird, bis Festplatte voll ist • Glück: weitere Schadfunktion enthält Bug... Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

18. Nimda-A (Platz 5/Januar, Platz 1/2001) 1/2 • Verbreitung per E-Mail, Netzwerk-Freigaben und Websites • Befallene E-Mails • enthalten zufälliges Subject, Attachment meist „README.EXE“ • Versuch, Sicherheitslücke in Microsoft Outlook, Microsoft Outlook Express oder Internet Explorer auszunutzen (Versand ohne Hilfe des Users) • Virus verschickt sich an Adressen, die er auf Rechner findet (Outlook, Outlook Express, HTML-Dateien) • Kopien des Attachments in Windows-Verzeichnis • load.exe und riched20.dll (Attribut „versteckt“) • lokal und im Netzwerk • Modifikation der system.ini, damit Virus bei Windowsstart ausgeführt wird Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

19. Nimda-A (Platz 5/Januar, Platz 1/2001) 2/2 • gibt jedes lokale Laufwerk frei • kopiert sich auf alle freigegebenen Laufwerke in jedes Unterverzeichnis (im .eml Format) • infiziert .exe Dateien • Suche nach „verwundbaren“ IIS • „Code-Upload per Sicherheitsloch“ • Port-Scanning erzeugt viel Traffic • Dann: Infektion per Webseite • an .asp, .htm, .html Seiten wird JavaScript Code angefügt, der zuvor abgelegte E-Mail (README.EML) öffnet und so den betrachtenden Client infiziert • und, und, und... Aber: Kein Schadcode!!! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

20. Motivation der Virus-Autoren • Ansehen bei „Kollegen“ • Machtgefühl in Cyberwelt • „Proof of concept“ (ohne Schadfunktionen) • Forschung (?) • Vergleichbar: Graffiti, Vandalismus Allerdings ist der verursachte Schaden viel größer! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

21. 3. Wie kann ich mich davor schützen? • Virenscanner installieren! • regelmäßiges Update! • Material aus „unsicheren“ Quellen scannen, ggf. löschen • System regelmäßig scannen • Mailprogramm sicherer machen! • Bugfixes installieren • Scriptingfunktionen deaktivieren (WSH, JavaScript,...) • Anlagen/Downloads nicht unüberlegt doppelklicken/ausführen • Dokumentformate mit Makroinhalt vermeiden! • Kein .doc / .xls, sondern .txt, .rtf • Versteckte Dateiendungen sichtbar machen! • Regelmäßig Backups anfertigen! Erst denken, dann klicken! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

22. 4. Zusammenfassung • Virus ist ein Oberbegriff • Austricksen der Benutzer Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

23. 5. Links • www.nai.com • www.sophos.com • www.f-secure.com • www.trojaner-info.de • www.tu-berlin.de/www/software/hoax.shtml • www.wildlist.org • www.virusbtn.com Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

24. Das war‘s! Vielen Dank für Ihre Aufmerksamkeit und noch viel Spaß an der Johannes-Gutenberg Universität! Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002