1 / 32

Malware

Malware. Seminar Internettechnologie Andreas Dinkel. Gliederung. Was ist Malware? Verschiedene Typen der Malware: Computerviren Würmer Trojanische Pferde Spyware Rootkits I-Worm.LoveLetter Analyse des Quellcodes Pseudocode Schutzmaßnahmen Praxis-Teil. Was ist Malware?.

malaya
Download Presentation

Malware

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Malware Seminar Internettechnologie Andreas Dinkel

  2. Gliederung Was ist Malware? Verschiedene Typen der Malware: Computerviren Würmer Trojanische Pferde Spyware Rootkits I-Worm.LoveLetter Analyse des Quellcodes Pseudocode Schutzmaßnahmen Praxis-Teil

  3. Was ist Malware? Der Begriff Malware ist eine Abkürzung von "malicious software", d. h. böswillige Software. Computerprogramme, die entwickelt wurden, um vom Benutzer unerwünschte und ggf. schädliche Funktionen auszuführen. Dieser Begriff bezeichnet keine fehlerhafte Software, auch wenn diese Schaden anrichten kann. Malware wird von Fachleuten der Computersicherheitsbranche als Über-/Sammelbegriff verwendet, um die große Bandbreite an feindseliger, intrusiver und/oder unerwünschter Software oder Programmen zu beschreiben.

  4. Was ist Malware? Juli – September 2009 PandaLabs

  5. Computerviren Ein Virus ist ein Programm, das sich repliziert, indem es andere Programme infiziert, sodass diese eine Kopie des Virus enthalten. Ein Virus ist ein Programm, dessen Hauptaufgabe die Reproduktion (Verbreitung) durch Infizierung ist! Ein Virus muss also nicht zwingend destruktiv sein.

  6. Würmer primäres Ziel Reproduktion, wie bei Viren andere Verbreitungsweise als bei Viren Verbreitung finden über E-Mail Systeme,Schwachstellen von Betriebssystemen/Diensten statt sind nicht auf ein Wirtsprogramm angewiesen

  7. Trojanische Pferde Das primäre Ziel von Trojanern ist die versteckte Ausführung von bestimmten Funktionen im Auftrag eines Angreifers haben immer eine versteckte Schadensroutine Die Reproduktion spielt wenig bis kaum eine Rolle tarnen sich für Benutzer als nützliche Programme/Funktionen schwer erkennbar,weil keine massenweise Verbreitung arbeiten sehr oft als Client-/Server Applikation, d.h. sie sind von einem entfernten Angreifer fern steuerbar (Backdoors, Rootkits)‏

  8. Trojanische Pferde Funktionen: Ausspähen und Übermittlung von Benutzerdaten (Online-Dienste, Passwörter, Kreditkartennummern, Bankzugänge usw.)‏ Aufzeichnung und Übermittlung von Tastaturanschlägen (Keylogger)‏ Durchsuchen des Rechners und Übermittlung von Passwortdateien und Dokumenten

  9. Spyware Erweiterung von Adware ( werbefinanzierten Software)‏ Funktion der Werbezusätze ist nicht immer nachvollziehbar sammelt teilweise recht umfangreiche Daten des Benutzer Surfverhalten, Kreditkartennummern, Adressdaten usw.

  10. Rootkits ist eine Sammlung von Softwarewerkzeugen verhindern, das der Einbruch ins System bemerkt wird Dem Angreifer ermöglichen, das System dauerhaft zu kontrollieren Dem Angreifer ermöglicht weitere Systeme anzugreifen keine Reproduktion und eigene Schadfunktion

  11. Rootkits Fähigkeiten: Das Verbergen von Dateien, Prozessen, offene Ports, usw. vor den Benutzern des Systems Verändern der System-Logs, zum Beispiel um Anmeldungsvorgänge zu verstecken Verändern von Systemstatistiken um normalen Betrieb vorzutäuschen Eventuell aktive Abwehr von Sicherheitssoftware

  12. I-Worm.LoveLetter 4 Mai Jahr 2000 „Rund um die Welt“ in 1-2 Tagen Schäden in Milliardenhöhe ist ein Visual Basic Scriptvirus Ausbreitung findet über Windows-Emailproramme statt (Outlook) Mailprogramme die aktive Inhalte ausführen können oder dürfen Quellcode ohne Probleme lesbar in Oktober schon 92 Varianten

  13. I-Worm.LoveLetter Quelle: Analyse einiger typischen Computerviren, Nikolaus Rameis

  14. Analyse des Quellcodessub main () Programmierer hat sich selbst verewigt • wenn Laufzeitfehler auftritt den Script weiter fortsetzten und nicht abbrechen • objektorientiert auf das ganze Funktionsspektrum vom Windows Scripting Host zugreifen

  15. Analyse des Quellcodessub main() hier werden spezielle Verzeichnisse C:\WINDOWS, C:\WINDOWS\SYSTEM, C:\WINDOWS\TEMP in Erfahrung gebracht • Mit GetFile erfährt der Worm seinen eigenen Dateinamen, um ... • sich selbst ins Windows- und Windows-System- Verzeichnis zu kopieren • diese Dateien werden mit jedem Windows-Start ausgeführt

  16. Analyse des Quellcodessub regruns() zwei „Autostart“ Möglichkeiten in Windows-Registry • aus der Registry wird der IE Standard-Download-Verzeichnis ausgelesen • kein Verzeichnis definiert wird eine angelegt

  17. Analyse des Quellcodessub regruns() • hier wird überprüft, ob der WIN-BUGFIX.exe – Trojaner heruntergeladen und installiert worden ist

  18. Analyse des Quellcodessub regruns() • hier wird der Trojaner in die Registry eingetragen und die Startseiten von IE auf „blank“ gesetzt

  19. Analyse des Quellcodessub listadriv() • fso.Drives gibt die Anzahl der Laufwerke in dc zurück • für jedes gefundenes Laufwerk(lokale und Netzlaufwerke) wird mit subroutine forderlist() eine Verzeichnisliste angelegt

  20. Analyse des Quellcodessub infectfiles(folderspec) • fc gibt die Anzahl der Dateien in angegebenen Verzeichnis an • wenn die Dateierweiterung passt, wird die infiziert (überschrieben) • Infektion von Visual Basic Script-Dateien

  21. Analyse des Quellcodessub infectfiles(folderspec) • die angegebene Datei wird mit eigenen Code überschrieben • Infektion von JavaScripts, CascadingStyleSheets, Windows Scripting Host, oder anderen HTML-Dateien • kopiere den Namen der Datei (tolles_bild.jpg) • erstelle eine neue mit dem eigenen Code (tolles_bild.jpg.vbs) • lösche das Original

  22. Analyse des Quellcodessub infectfiles(folderspec) • alle Wirtsdateien werden zerstört, außer mp3 und mp2 von denen erstellt der Wurm eine Kopie • hier wird die mIRC Script-Datei geöffnet und verändert

  23. Analyse des Quellcodessub infectfiles(folderspec) • hier wird per mIRC eine infizierte HTM Datei verschickt

  24. Analyse des Quellcodessub infectfiles(folderspec) Quelle: Analyse einiger typischen Computerviren, Nikolaus Rameis

  25. Analyse des Quellcodessub spreadtomail() • CreateObject(„Outlook.Application“) ist für die „Kommunikation“ mit dem Email-Programm zuständig. Funktioniert nur mit Outlook 97 und 2000 und nicht mit dem Express-Versionen • mapi.AdressLists.Count gibt die Anzahl der Kontakte im Outlook zurück

  26. Analyse des Quellcodessub spreadtomail() • wenn der Registry-Eintrag leer ist, der „Brief“ wurde noch nicht verschickt • hier wird der „Brief“ verfasst

  27. Analyse des Quellcodessub spreadtomail() • hier wird vermerkt das der Brief verschickt wurde

  28. Pseudocode

  29. Schutzmaßnahmen Anti-Virus Programm, Firewall Updates von Betriebssystemen, Anti-Virus Programmen, Webbrowser usw. Vorsicht bei öffnen der Mails Programme von Herstellerseiten benutzen Nicht vertrauenswürdige Seiten meiden

  30. Quelle Quarterly Report PandaLabs July-Semptember 2009 Analyse einiger typischen Computerviren, Nikolaus Rameis Rootkits, Johannes plötner http://www.pc-special.net/sicherheit-f192/malware-viren-wurmer-und-kein-ende-t28659.html http://tugll.tugraz.at/07security/weblog/5435.html http://www.security-dome.eu/Klassische_Malware_-_Begriffserklaerung_Teil_1.html

  31. Vielen Dank für Ihre Aufmerksamkeit! Fragen?

  32. Praxis-Teil • DNS/ARP-Spoofing,MITM-Attacke • ms09-002 exploit (IE7) • Remotecodeausführung • Tools • ettercap & Metasploit Framework 3

More Related