400 likes | 842 Views
Viren, Würmer und Trojaner. Allgemeine Informationen und Schutzstrategien. Autoren-Hinweis:. Viele Texte auf den Folien sind den Internet-Seiten von H+BEDV, Microsoft und McAfee entnommen. Die Folien sind dann mit H, M und A gekennzeichnet. Virus.
E N D
Viren, Würmer und Trojaner Allgemeine Informationen und Schutzstrategien
Autoren-Hinweis: • Viele Texte auf den Folien sind den Internet-Seiten von H+BEDV, Microsoft und McAfee entnommen. Die Folien sind dann mit H, M und A gekennzeichnet.
Virus • Ein Computervirus ist ein Programm, welches die Fähigkeit besitzt, sich nach seinem Aufruf selbsttätig an andere Programme auf irgendeine Weise anzuhängen und dadurch zu infizieren. Viren vervielfältigen sich also im Gegensatz zu logischen Bomben und Trojanern selber. Im Gegensatz zu einem Wurm benötigt ein Virus immer ein fremdes Programm als Wirt, dessen Programmablauf durch die Infektion über den Virus umgelenkt wird. Im Normalfall wird aber der eigentliche Programmablauf des Wirts selber nicht geändert. H
Wurm • Als Wurm wird ein Programm bezeichnet, das sich selber vervielfältigt, jedoch keinen Wirt infiziert. Würmer können also nicht Bestandteil anderer Programmabläufe werden. Würmer bieten auf Systemen mit restriktiveren Sicherheitsvorkehrungen oft die einzige Möglichkeit, irgendwelche Schadensprogramme einzuschleusen H
Exploit • Ein Programm, das ein Sicherheitsloch nutzt, um in einen Rechner einzudringen und dort Schaden anzurichten. (Z.B. gerade bei EUDORA entdeckt!) H
Hoax • Diese Programme werden geschrieben, um jemanden zu erschrecken oder zu ärgern. Sie sind im Normalfall nicht schädlich und vermehren sich auch nicht (es sein denn durch Weitergabe amüsierter Zeitgenossen). Oft beginnt der Computer nach dem Start eines Witzprogramms eine Melodie zu spielen, etwas auf dem Bildschirm darzustellen oder ein kleines Programm zu simulieren. Der Anwender bekommt häufig einen Schreck oder richtet in Panik eventuell selber Schaden an. H
Trojaner • sind in letzter Zeit recht häufig anzutreffen. Als Trojaner bezeichnet man Programme, die vorgeben, eine bestimmte Funktion zu haben, nach ihrem Start aber ihr wahres Gesicht zeigen und irgendeine andere Funktion ausführen, die zumeist zerstörerisch ist. Trojanische Pferde können sich nicht selber vermehren, was sie von Viren und Würmern unterscheidet. Die meisten Trojaner haben einen interessanten Namen (STARTME.EXE oder SEX.EXE), der den Anwender zur Ausführung des Trojaners verleiten soll. Unmittelbar nach der Ausführung werden diese dann aktiv und formatieren z.B. die Festplatte. Eine spezielle Art eines Trojaners ist ein Dropper, der Viren "droppt", d.h. in das Computersystem einpflanzt. H
Logische Bombe • oder kurz Bombe. Dieser Schädlingstyp ist eine Abart der Trojanischen Pferde. Es handelt sich hierbei um Programmteile, die in nützliche Programme eingebettet sind und aus einem Auslöser (Trigger) und einer Schadensroutine (Payload) bestehen. Die Schadensroutine wird dabei im Normalfall nicht aufgerufen. Erst bei Erreichen der Trigger-Bedingung "explodiert" die Bombe und verrichtet ihr zerstörerisches Werk, d.h. die Schadensroutine wird aufgerufen. H
Applikations-/Makroviren • gehören zu einer neueren Generation von Computerviren, den Dokumentviren. Sie sind in der Makrosprache einer Applikation (z.B. WinWord, Excel, Access, AmiPro, WordPerfect, StarOffice) geschrieben und können sich (mit Ausnahmen) auch nur dann verbreiten, wenn die entsprechende Applikation aktiv ist. Die Verbreitung erfolgt im Normalfall über die Dokumente der Applikation. Diese Viren können unter Umständen auch plattformübergreifend "arbeiten", nämlich dann, wenn der entsprechende Dokumenttyp im gleichen Format auf anderen Plattformen verwendet wird. Als Beispiel seien hier MS Word Makroviren genannt, die sich sowohl auf Windows-PC's wie auch auf dem Apple MacIntosh verbreiten können. H
Virusarten 1 • Speicherresidente Viren • Nicht residente Viren • Stealth-Viren • Polymorphe Viren • Direct-Action-Viren • Slow Viren • Dateiviren
Virusarten 2 • Bootviren • Companion-Viren • Tunnelnde Viren • Dropper • Active-X-Viren • VB-Script-Viren • Java Viren
Mögliche Schäden • Störungen beim Bildaufbau und Veränderung der Bildschirmausgaben. • Eigene Bildschirmausgaben, die nur durch bestimmte Aktionen wieder rückgängig gemacht werden können. • Veränderung von Tastatureingaben. • Komplette Systemabstürze. • Löschen von einzelnen Daten und Programmen. • Formatieren von Festplatten und Disketten und damit sofortige Vernichtung aller Daten eines Systems. • Schleichende Datenzerstörung bzw. sehr langsame Veränderung der Daten auf dem System. • Löschen von Systeminformationen (CMOS-Setup). • Überschreiben bzw. Verändern des BIOS in Flash-ROMS H
Symptome bei Virenbefall 1 • Programme benötigen plötzlich deutlich länger, bis sie vollständig geladen sind. • Die Dateigröße eines Programms verändert sich. • Der freie Platz auf der Festplatte wird schnell sehr klein. • CHKDSK.EXE zeigt unter DOS keine freien 655360 Bytes mehr an. • Die Dateien haben seltsame oder unrealistische Datums-/Zeitangaben. • Windows gibt 32-Bit Zugriffsfehler aus. • Die Festplatte zeigt ohne Ihr Zutun häufige Aktivitäten. • Nach dem Booten von Diskette kann auf die Festplatte nicht mehr zugegriffen werden. H
Symptome bei Virenbefall 2 • Es erscheinen neue, unbekannte Dateien auf der Festplatte. • Dateien haben merkwürdige, unbekannte Namen. • Aus dem Lautsprecher kommt bei jedem Tastendruck ein seltsames Geräusch (Klick). • Die Bildschirmausgaben verändern sich ohne Ihr Zutun. • Der Computer verliert seine Einstellungen im CMOS-RAM, obwohl Akku oder Batterie o.k. sind. • Unter Windows 95 ist der Kompatibilitätsmodus aktiviert. • Dokumente zeigen häufig Rechtschreibfehler bzw. werden verändert H
Mehr Infos • http://agn-www.informatik.uni-hamburg.de/vtc/ - VTC Uni Hamburg • ftp://ftp.informatik.uni-hamburg.de/pub/virus/texts/ - VTC Uni Hamburg • http://www.hitchhikers.net/av.shtml (engl.) • http://csrc.ncsl.nist.gov/virus (engl.) • http://www.nc5.infi.net/~wtnewton/vinfo/master.html (engl.) • http://www.virusbtn.com - Virus Bulletin Home Page (engl.) • http://pages.prodigy.com/virushelp/ - Henri Delger's Home Page (engl.) • http://www.cknow.com/ - Virus Tutorial by Tom Simondi (engl.) • http://www.claws-and-paws.com/virus/index.shtml (engl.) • http://www.kumite.com/myths/ - Bob Rosenberger's Computer Virus Myths Page • ftp://ftp.uni-paderborn.de/aminet/util/virus/ - Antivirus Infos H
'In The Wild' - Die 10 häufigsten Viren: • Virusname Low High
Virus konkret – W32/Sobig.f@MM • A new variant of W32/Sobig, W32/Sobig.f@MM is a High Risk mass-mailing worm. It arrives as an email attachment with a .pif or .scr extension. When run, it infects the host computer, then emails itself (using its own SMTP engine) to harvested email addresses from the victim's machine. • In addition, when it propagates, the worm "spoofs" the "from: field", using one of the harvested email addresses. So exercise care when opening emails with attachments. An infected email can come from addresses you recognize. • Because it sends so many emails, a worm like Sobig also saps bandwidth and slows network performance. Worse, it can also open up a user's computer port, making it vulnerable to hackers, who can plant dangerous Trojans. These malicious programs often let unauthorized users remotely take over a system, steal personal information or use the infected PC to send spam. A
Virus konkret – W32/Sobig.f@MM • Virus Profile (von McAfee) • Virus InformationName:W32/Sobig.f@MM • Risk Assessment • Home Users: High • Corporate Users: Medium • Date Discovered: 8/18/2003 • Date Added: 8/18/2003 • Origin: Unknown • Length: approx 72,568 Bytes • Type: Virus • SubType: Internet Worm A
Virus konkret – W32/Sobig.f@MM • Virus Characteristics (von McAfee) • This detection is for a new variant of W32/Sobig. In common with previous variants, the worm is written in MSVC, and bears the following characteristics: • propagates via email, constructing outgoing messages with its own SMTP engine • propagates over network shares (not confirmed during testing) • Note: The worm carries garbage data appended to end of file, so exact filesize and file checksum may vary. • Installation • The worm copies itself onto the victim machine as WINPPR32.EXE into %Windir%, for example: • C:\WINNT\WINPPR32.EXE • A configuration file is also dropped to %Windir%: • C:\WINNT\WINSTT32.DAT • The following Registry keys are added to hook system startup: • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"TrayX" = %Windir%\WINPPR32.EXE /sinc • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"TrayX" = %Windir%\WINPPR32.EXE /sinc A
Virus konkret – W32/Sobig.f@MM • The worm mails itself to email addresses harvested from the victim machine, using its own SMTP engine to construct outgoing messages. Target email addresses are harvested from files with the following extensions: • DBX • HLP • MHT • WAB • EML • TXT • HTM • HTML A
Virus konkret – W32/Sobig.f@MM • Anhang: • your_document.pif • document_all.pif • thank_you.pif • your_details.pif • details.pif • document_9446.pif • application.pif • wicked_scr.scr • movie0045.pif • Betreff: • Your details • Thank you! • Re: Thank you! • Re: Details • Re: Re: My details • Re: Approved • Re: Your application • Re: Wicked screensaver • Re: That movie • Re: That movie A
Virus konkret – W32/Sobig.f@MM • Nachrichtentext: • See the attached file for details • Please see the attached file for details • Der Wurm kopiert sich in infizierten Rechnern selbst als die Datei: C:\WINNT\WINPPR32.EXE
Virus konkret – W32/Sobig.f@MM • The attachment must be run manually to infect the local system. Additionally, messages sent by the virus contain the following fields (note, these are commonly found in valid email messages): • X-MailScanner: Found to be clean • X-Mailer: Microsoft Outlook Express 6.00.2600.0000 A
Virus konkret – W32/Sobig.f@MM • The worm contains a list of IP addresses for remote NTP servers, to which it sends NTP packets (destination UDP port 123). • 200.68.60.246 • 62.119.40.98 • 150.254.183.15 • 132.181.12.13 • 193.79.237.14 • 131.188.3.222 • 131.188.3.220 • 193.5.216.14 • 193.67.79.202 • 133.100.11.8 • 193.204.114.232 • 138.96.64.10 • chronos.cru.fr • 212.242.86.186 • 128.233.3.101 • 142.3.100.2 • 200.19.119.69 • 137.92.140.80 • 129.132.2.21 • The worm obtains the UTC time from one of these servers which is used by the worm to determine when to attempt to download remote file(s). A
Virus konkret – W32/Sobig.f@MM • Self-Termination In common with previous W32/Sobig variants, this variant contains a date triggered self-termination routine. If the date is September 10th 2003 or later, the worm will no longer propagate. A
Virus konkret – W32/Sobig.f@MM • The worm is capable of retrieving file(s) from a remote server - the specific URL of which is controlled by the author, and is issued in response to data sent from infected machines. • At a specific time (as determined via NTP), the worm sends data from infected machines to a number of remote systems on UDP port 8998: • 12.158.102.205 • 12.232.104.221 • 218.147.164.29 • 24.197.143.132 • 24.202.91.43 • 24.206.75.137 • 24.210.182.156 • 24.33.66.38 • 61.38.187.59 • 63.250.82.87 • 65.177.240.194 • 65.92.186.145 • 65.92.80.218 • 65.93.81.59 • 65.95.193.138 • 66.131.207.81 • 67.73.21.6 • 67.9.241.67 • 68.38.159.161 • 68.50.208.96 • The specific time condition for this event is between 19:00 - 22:00 (UTC) on a Friday or Sunday. These IP addresses are in the process of trying to be shutdown. A
Schutz • Virenscanner (Nur ein Produkt installieren!) • AntiVir PE • Symantec AV 200x • McAfee Anitivirus • Firewall • In Windows XP „eingebaut“ • Zonealarm • Symantec Personal Firewall • Regelmäßige System-Updates • windowsupdate.microsoft.com
Scriptviren und Würmer • Diese Viren sind extrem einfach zu programmieren und verbreiten sich - entsprechende Techniken vorausgesetzt - innerhalb weniger Stunden per Email um den ganzen Erdball. Da durch einfaches Ändern einiger Textzeilen ein "neuer" Virus erzeugt werden kann, tauchen auch immer wieder leicht veränderte Ableger auf, die vielen Antivirenprogrammen Probleme bereiten. Allein von VBS/Loveletter sind über hundert Varianten bekannt. H
Scriptviren • Der Großteil dieser Viren ist einer einzigen Script-Sprache zuzuordnen: Visual Basic Script. • Die Script-Sprachen sind teilweise so mächtig (VBS), dass damit fast alle Funktionen eines Betriebssystems aufgerufen und ausgeführt werden können. Unter anderem lassen sich damit Applikationen steuern, Emails versenden, "richtige" Programme ausführen etc. Dieses große Funktionsspektrum öffnet - trotz sporadischer Sicherheitsvorkehrungen der Hersteller - den Viren Tür und Tor zum lokalen Computersystem H
Scriptviren • Scriptviren und -würmer benutzen eine dieser Script-Sprachen, um sich selbst in andere, neue Scripte einzufügen oder sich selber durch den Aufruf von Betriebssystemfunktionen zu verbreiten. Häufig geschieht dies per Email oder durch den Austausch von Dateien (Dokumenten). • Es gibt aber auch andere Verbreitungswege: Einige Scriptwürmer für das Chatprogramm mIRC z.B. verschicken sich selber per DCC an andere Benutzer. Wird das Script dann vielleicht an einer "falschen" Stelle gespeichert (z.B. im mIRC-Verzeichnis), wird der Wurm bei jedem Start des Programms aktiv und kann sich wiederum weiter verschicken. H
Scriptviren • Oftmals wird noch eine Schadensfunktion, der sog. Payload (engl.: Nutzlast), eingebaut. Dieser Teil des Virus oder Wurms wird durch ein bestimmtes Ereignis (z.B. Datum/Uhrzeit, n-te Generation des Virus, Tastendruck, etc.) ausgelöst. Diese Schadensfunktion kann dann alles anstellen: von einer einfachen Bildschirmmeldung über das Formatieren der Festplatten bis hin zum Start externer EXE-Viren ist alles möglich. H
Beispiele für Scriptviren • VBS.LoveLetter • VBS.Newlove • VBS.FreeLink • VBS.Monopoly • CS.Gala • HTML.Internal • HTML.NoWorm • Script.Inf • WinScript.AVM • WinScript.777 • WinScript.Rabbit H
Gegenmaßnahmen • Sensibilisierung • Regeln für Firewall/Content-Filter aufsetzen • Verwenden Sie andere Email Clients • Einsatz einer guten Antivirensoftware • Internet-Sicherheitseinstellungen maximieren • Aktuelle Sicherheitspatches aufspielen. H