Was
ist ein Computervirus bzw. Malware
Malware ist ein allgemeiner Begriff für unerwartete bzw. böswillige sich
selbst verbreitende (Maliciouse Mobile Code= MMC) Programme oder Code, wie
z.B. Viren, Trojaner, Würmer oder Joke-Programme
Definition eines Computervirus
Bei einem Computervirus handelt es sich um ausführbaren Code mit der
aussergewöhnlichen Fähigkeit, sich zu replizieren. Ebenso wie biologische
Viren können sich auch Computerviren schnell ausbreiten und sind oftmals
nur schwer zu vernichten. Sie können sich an jede beliebige Art von Datei
anhängen und verbreiten sich über das Kopieren und das Versenden von
Dateien von einem System zum nächsten. Einige Computerviren sind so
programmiert, dass sie mit einem Schadteil versehen sind. Dieser Schadteil
kann einerseits in der Anzeige von Nachrichten oder Bildern, andererseits
aber auch in der Zerstörung von Dateien, der Neuformatierung Ihrer
Festplatte oder anderen Schäden bestehen. Ist der Virus nicht auf
Schädigung programmiert, kann er dennoch Probleme bereiten, indem er
Festplatten- und Arbeitsspeicher blockiert und die Gesamtleistung Ihres
Computers herabsetzt.
Angriffe von Viren werden immer mehr zur Regel, sie finden immer häufiger
statt und sie haben immer gravierendere Folgen. Eine Ursache für die
Zunahme der Virenvorfälle besteht in der rasanten Zunahme interner
Netzwerke und Netzwerkverbindungen, die insbesondere im Zusammenhang mit
dem Internet oder Intranet eingerichtet wurden. Je größer die Anzahl der
gemeinsam genutzten Dateien, desto größer ist auch das Risiko einer
Infektion durch Viren. Abgesehen von den zunehmenden Möglichkeiten für
Viren in eine Organisation einzudringen, sind neue Arten von Viren ein
weiterer Grund für die steigende Anzahl der Vorfälle. Dazu gehören
Makroviren und ausführbare Viren (PE Viren), die sich über gemeinsam
genutzte Dokumente und eMails/Attachments sehr rasch ausbreiten. Laut
Angaben im Lab Sixth Annual Computer Virus Prevalence Survey der
International Computer Security Association (ICSA) wurden im Jahr 2000 87
% der Viren über Internet-eMails verbreitet, verglichen mit 56 % im Jahr
1999....das Jahr 2003 & 2004 war schon der absolute Wahnsinn in punkto Viren, Würmer, Dialer,
etc.....2005 wird wohl noch schlimmer werden....das Jahr der Würmer!
PHASE 1: ERSTELLUNG
Bis vor einigen Jahren benötigte man
noch Kenntnisse in einer Programmiersprache, um einen Virus zu erstellen.
In der heutigen Zeit ist nur wenig Programmierwissen erforderlich, um
einen Virus zu erzeugen.
PHASE 2: VERBREITUNG
Viren vermehren sich von Natur aus. Ein erfolgreicher Virus vermehrt sich
über einen langen Zeitraum, bevor er aktiv wird. Dies gibt ihm genügend
Zeit, sich auszubreiten.
PHASE 3: AKTIVIERUNG
Viren mit programmiertem Zerstörungsverhalten werden aktiviert, wenn
bestimmte Bedingungen erfüllt sind, z.B. Ausbruch des Virus zu einem
festgelegten Datum oder bei der Ausführung eines bestimmten Vorgangs durch
den Benutzer. Doch auch Viren ohne programmiertes Zerstörungsverhalten
können durch die Belegung wertvollen Speicherplatzes Schaden anrichten.
PHASE 4: ENTDECKUNG
Sobald ein Virus entdeckt und isoliert werden konnte, wird er an die
International Computer Security Association in Washington, D.C. geschickt,
wo er dokumentiert und an die Entwickler von AntiViren-Lösungen geschickt
wird. Entdeckt wird der Virus in der Regel mindestens ein Jahr, bevor er
zu einer Bedrohung des elektronischen Datenverkehrs hätte werden können.
PHASE 5: ANPASSUNG
Zu diesem Zeitpunkt ändern die Entwickler ihre Software dahingehend ab,
dass sie den neuen Virus entdecken kann. Dies kann einen Tag, aber auch
sechs Monate dauern, je nach Entwickler und Virentyp.
PHASE 6: VERNICHTUNG
Wenn genügend Benutzer aktuelle Virenschutzsoftware installieren, können
alle Viren unschädlich gemacht werden. Bisher ist noch kein Virus
vollständig verschwunden, aber einige stellen seit langer Zeit keine
Bedrohung mehr dar.
Dateiviren
Mit
Dateiviren hat alles angefangen: Wenn ein Virus aktiv ist, manipuliert er
eine Programmdatei (com oder exe): Er kopiert seinen eigenen Viruscode in
den Programmcode hinein. Wenn man das manipulierte Programm startet, wird
zunächst der Virus aktiv. Er kann jetzt weitere Programme infizieren oder
seine Schadensfunktion ausüben. Danach aktiviert er das Originalprogramm,
so daß man nichts von dem Virus bemerkt. Bei der Infektion kann der Virus
vorsichtig oder brutal vorgehen: Entweder er sichert die Originaldaten an
einer anderen Stelle der Festplatte, oder er überschreibt einfach
irgendwelchen Programmcode. Dann kann es passieren, daß das Programm an
manchen Stellen abstürzt. Durch das Überschreiben ist es auch
ausgeschlossen, daß ein Virenscanner den Virus rückstandsfrei wieder
entfernen kann. Es hilft nur noch löschen.
Bootviren
Bootviren gehen einen ganz anderen Weg. Beim Start eines PC liest das BIOS
einen exakt festgelegten Bereich der ersten Festplatte aus: Im Master Boot
Record (MBR) steckt ein kleines Programm, das dabei aktiviert wird. Es
sucht auf der Festplatte nach der Bootroutine der Partition, die als aktiv
markiert ist, und startet sie.
Erst jetzt werden die Startdateien des eigentlichen Betriebssystems wie
DOS oder Windows aktiviert. Auch jede Diskette hat einen Bootsektor, den
der Virus für seine Zwecke nutzen kann. Liegt eine Diskette beim
Einschalten im Laufwerk, versucht das BIOS den Bootsektor zu laden und
auszuführen - sofern im BIOS-Setup
nicht eine andere Bootreihenfolge eingestellt ist. Boot vieren ersetzen
nun den Startcode im MBR und/oder im Bootsektor der Partition oder
Diskette. So wird der Bootvirus aktiv, bevor ein anderes Programm ihn
daran hindern kann. Dann kann ein Bootvirus im Hintergrund arbeiten und
beispielsweise jede eingelegte Diskette infizieren.
Der Infektionsweg für einen Bootvirus ist klar: Beim Einschalten des PC
liegt eine Diskette im Laufwerk, und der PC versucht, davon zu booten.
Da ein Bootvirus keine Datei zur Verbreitung benötigt, kann auch eine ganz
"leere" Diskette einen Bootvirus enthalten. Weil Bootviren so auf
scheinbar harmlosen Disketten lange Zeit unbemerkt bleiben, gehören sie zu
den hartnäckigsten Vertretern der Viren. Aber Vorsicht: Ein beliebiges
Programm - Dropper oder Trojaner genannt - kann beim Start einen Bootvirus
auf die Festplatte kopieren. Es gibt sogar einige Makroviren, die so
vorgehen. Darüber hinaus gibt es sogenannte Multipartite-Viren, die die
Eigenschaften von Boot- und Dateiviren vereinen.
Companion-Viren
sind
Viren, die den gleichen Dateinamen wie ein Anwendungsprogramm tragen, und
die Optionen des jeweiligen Betriebssystems ausnutzen, um vor dem echten
Programm zu starten. So würde zum Beispiel ein Virus der den Dateinamen
Editor.com besitzt vor der Originaldatei Editor.exe ausgeführt werden. Das
liegt daran, dass DOS Dateien mit der Erweiterung .COM Vorrang vor allen
anderen ausführbaren Dateien gibt.
Filesystem-Viren
Dieser
klassische Virentyp verändert den Code einer Programmdatei und bettet sich
in das fremde Programm ein. Jedesmal, wenn Sie die infizierte Anwendung
aufrufen, beginnt der Virus seine Schadensfunktion auszuüben.
Hoaxes
Hoaxes
haben mit Viren eigentlich nichts zu tun, verursachen aber trotzdem
erheblichen materiellen Schaden.
Hoaxes sind falsche Berichte über Viren und deren übertriebene
Ansteckungsgefahren. Als E-Mail in der Art eines Kettenbriefes verscickt,
erreichen solche Falschmeldungen in kürzester Zeit Tausende von
Empfängern. Mit einem Virus hat das Ganze nichts zu tun, die Verbreitung
erfolgt "freiwillig" durch die Anwender.
In einem Unternehmen geht allein dadurch Geld verloren, daß unbedarfte
Mitarbeiter die Falschmeldung lesen und wohlmeinend an Kollegen
weiterleiten. Der eine oder andere informiert auch panisch die
EDV-Abteilung, der dadurch ebenfalls Arbeitszeit verlorengeht.
Makroviren
Das
Office-Paket von Microsoft verfügt über eine ausgefeilte Makrosprache mit
mächtigen Befehlen: VBA (Visual Basic für Applikationen). Mit diesen
Befehlen kann ein Makro etwa Dateien und andere Office-Dokumente
manipulieren oder Windows-Programme fernsteuern. Der Knackpunkt bei
MS-Office: Die Makros sind direkt im Dokument gespeichert. Wenn man ein
Word-, Excel-, oder PowerPoint-Dokument weitergibt, sind eventuelle Makros
mit dabei. Und es gibt eine Autostart-Funktion. Sobald ein Dokument mit
einem entsprechend deklarierten Makro geöffnet wird, wird das Makro aktiv.
Dann verändern die meisten Makroviren die Standart-Dokumentvorlage -
normal.dot - so, daß der Virus bei jedem Start von Word etc. aktiv wird.
Bei anderen Office-Programmen ist die Vorgehensweise im Detail etwas
anders.
Besondere Brisanz haben Makroviren, die sich selbstständig über E-Mail
weiterverbreiten. Das bekannteste Beispiel dafür ist Melissa: Der Virus
sucht sich aus der Outlook-Datenbank 50 Empfänger und schickt ihnen eine
E-Mail mit dem Virus als Anhang. Wenn der Empfänger den Anhang dann per
Doppelklick aktiviert, nistet sich Melissa im System ein. Daß die E-Mail
von einem bekannten Absender stammt, erhöht die Chance auf einen
unbedachten Doppelklick. Mittlerweile gibt es etliche Nachahmer.
Der Schaden, den Makroviren anrichten können, ist beträchtlich. Die
Infektionswege sind offensichtlich: Sobald man ein fremdes Dokument auf
seinem PC öffnet, kann ein Virus im Spiel sein. Dieses Dokument kann per
E-Mail, als Download von einer Web-Seite, über eine Diskette oder über
CD-ROM auf den PC kommen.
Grundsätzlich ist jedes Programm, das Makros verarbeiten kann, anfällig
für einen Makrovirus. So gibt es einzelne Viren für Lotus Ami Pro oder
Corel Draw. Diese Programme speichern aber Makros in einer separaten Datei
getrennt von den Dokumenten. Da nur selten Dokument und Makrodatei
weitergegeben werden, ist die Infektionsgefahr gering. Auch für
Access-Datenbanken gibt es spezielle Viren - allerdings werden
Datenbankdateien wohl nur selten weitergegeben.
Polymorphe Viren
Viren
werden von Virenscannern häufig an bestimmten Code-Sequencen erkannt.
Polymorphe Viren versuchen der Erkennung zu entgehen, indem Sie ständig
veränderte Kopien von sich selbst erstellen.
Retroviren
Die Ziele
von Retroviren sind weniger Anwendungsdaten, als vielmehr
Antiviren-Programme. Sie löschen gezielt die Dateien von
Antivirus-Software.
Stealth-Viren
Stealth-Viren tarnen sich, indem sie Systemprogramme manipulieren. Durch
diese Veränderungen zeigt das Betriebssystem zum Beispiel nicht an, dass
eine verseuchte Datei größer geworden ist oder dass Sie wegen des
laufenden Virus weniger Haupspeicher zur Vrfügung haben.
ActiveX-Viren
Eine ActiveX-Steuerung ist ein Komponentenobjekt, das in eine
Internetseite eingebettet ist und bei der Anzeige der Seite automatisch
ausgeführt wird. In vielen Fällen kann der Web-Browser so konfiguriert
werden, dass diese ActiveX-Steuerung nicht ausgeführt wird. Hierfür werden
die Sicherheitseinstellungen des Browsers auf „hoch“ gesetzt. Hacker,
Virenschreiber und andere Personen, die in irgendeiner Form Schaden
anrichten wollen, können böswilligen ActiveX-Code für einen Angriff auf
das System verwenden.
Java-Viren
Java-Applets sind kleine, portable, in HTML-Code eingebettete
Java-Programme. Sie werden automatisch ausgeführt, sobald die Seiten
angezeigt werden. Das Ausführen von Java Aplets kann im Web-Browser
deaktiviert werden. Hacker, Virenschreiber und andere Personen, die in
irgendeiner Form Schaden anrichten wollen, können böswilligen Java-Code
für einen Angriff auf Ihr System verwenden.
Skript-Viren
Skriptviren sind in einer Skript-Programmiersprache wie z.B. VBScript oder
JavaScript geschrieben. VBScript (Visual Basic Script)-Viren und
JavaScript-Viren machen sich den Microsoft Windows Scripting Host zunutze,
um sich selbst zu aktivieren und andere Dateien zu infizieren. Da der
Windows Scripting Host auf Windows 98 und Windows 2000 verfügbar ist,
können die Viren einfach durch Doppelklick auf die *.vbs- oder *.js-Datei
im Windows Explorer aktiviert werden.
Proof-of-Concept
Ein Proof-Of-Concept-Virus oder -Wurm/Trojaner zeigt an, dass etwas neu ist
bzw. noch nie zuvor gesehen wurde. Beispielsweise war VBS_Bubbleboy ein
Proof-Of-Concept-Wurm, da er als erster eMail-Wurm automatisch ausgeführt
wurde, ohne dass der Benutzer auf einen Datei-Anhang doppelklicken musste.
Die meisten Proof-Of-Concept-Viren finden niemals direkte Anwendung.
Virenschreiber übernehmen jedoch oft die Idee (und den Code) eines
Proof-Of-Concept-Virus und implementieren diese in zukünftigen Viren.
Trojaner & Co
Während
sich Viren nach Möglichkeit verstecken und unbemerkt bleiben wollen,
treten Trojanische Pferde offen auf (aber getarnt). Das Programm gibt sich als
Bildschirmschoner, Paßwortverwaltung oder ein anderes nützliches Tool aus.
Und diese Funktion führt es gelegentlich sogar mehr oder weniger gut aus.
Meistens geht es aber nur darum, den Empfänger dazu zu verlocken, das
Programm zu starten. Dann führt der Trojaner seine Schadensfunktion sofort
aus: Er löscht etwa die Festplatte oder installiert einen Bootvirus oder
ein Remote-Administrations-Tool. Besonders bekannte Beispiele:
Anfang 1998 entschlüsselten zwei 16jährige Realschüler die Verschlüsselung
des T-Online-Paßworts. Anschließend programmierten Sie die T-Online Power
Tools, ein Hilfsprogramm für den T-Online-Decoder. Das Tool fand rasch
Verbreitung. Jedoch: Sobald jemand die Online-Registrierung benutzte,
schickte der Trojaner über das Internet auch die Zugangsdaten zum
jeweiligen T-Online-Anschluß mit. So kamen in kurzer Zeit 600 Paßwörter
zusammen. Zum Glück für die Ausgespähten ging es den Schülern nur darum,
die Möglichkeit nachzuweisen. Sie veröffentlichten ihre Erkenntnisse in
der Presse.
BackOrifice 2000 (BO2k) ist eine neuere Variante eines
Remote-Control-Tools. Das Programm nistet sich versteckt in Windows 95, 98
,2000, XP und auch NT 4.0 ein. Besteht eine Internet-Verbindung kann jemand mit
Kenntnis eines Paßwortes den PC fernsteuern: beispielsweise Dateien
umbenennen, übertragen, verschieben oder Windows-Paßwörter unter
bestimmten Bedingungen auslesen und Tastatureingaben protokollieren. Der
Spion kann auch Laufwerksfreigaben erteilen und sperren, die Registry
verändern, Screenshots anfertigen doer Videogeräte (WebCams etc.)
fernbedienen. Die BO2k-Datei ist nur rund 140KByte groß. Das Hauptprogramm
kann jede beliebige exe-Datei - Bildschirmschoner, Packprogramm etc. - in
einen BackOrifice Trojaner verwandeln. Startet der Empfänger das Programm,
installiert sich BO2k. Ähnliche Programme sind NetBus, DeepThroat oder
Backdoor-G (SubSeven).
Künftig dürfte die Gefahr, die von Trojanern ausgeht, noch erheblich
zunehmen. Schließlich sind die Effekte, die sich damit erreichen lassen,
für Personen mit krimineller Energie sehr verlockend. Besonders
Paßwort-Trojaner für AOL gibt es dutzendweise.
Würmer
Ein
Computerwurm besteht aus einem in sich geschlossenen Programm (oder aus
einer Reihe von Programmen), das funktionsfähige Kopien von sich selbst
oder seinen Segmenten in anderen Computersystemen verbreitet. Die
Vermehrung findet normalerweise über Netzwerkverbindungen oder
eMail-Attachments statt.
Das Opfer bekommt zB. eine - englische - E-Mail mit persönlicher Anrede, an
die eine exe-Datei oder ähnliches mit dem Namen zB. ZippedFiles, etc. angehängt ist. Das wirkt wie
ein normales Zip-Archiv, etc., das sich per Doppelklick öffnen läßt. Statt
dessen aktiviert ein Doppelklick den Wurm. Der gibt zB. eine Fehlermeldung
aus, die ein defektes Zip-Archiv bemängelt. Im Hintergrund kopiert er eine
Datei namens zB. explore.exe ins System-Verzeichnis von Windows und ändert die
Win.ini. Damit wird der Wurm bei jedem PC-Start aktiv. Ist der Wurm aktiv,
wartet er auf den Start von Outlook oder Outlook-Express, etc.. Dann durchsucht er den Posteingang
und schickt an alle Absender eine Antwort. Dabei benutzt er zB. den Vornamen
als Anrede und verspricht eine baldige Antwort auf die ursprüngliche Mail.
In der Zwischenzeit soll der Empfänger einen Blick auf das angehängte Zip-Archiv,
etc. werfen - schon ist ein neuer PC infiziert. Innerhalb eines Netzwerkes
kann sich ein Wurm ohne große Probleme ausbreiten. Der Wurm sucht nach freigegebenen Laufwerken und installiert sich dann
selbstständig auf solchen Laufwerken. Der Schaden, den ein Wurm
anrichten kann, ist enorm. Er durchsucht gezielt alle verfügbaren
Laufwerke - auch die Netzlaufwerke - nach Dateien folgenden Typs: asm, c,
cpp, doc, h, xls, ppt, etc.- diverse Quelldateien von Programmiersprachen
sowie von Word, Excel und PowerPoint. Dann setzt er die Länge dieser
Dateien auf Null. Das erschwert im Gegensatz zum einfachen Löschen das
Wiederherstellen der Dateien erheblich.
Dialer
Dialer versprechen häufig Zugriff auf kostenlose
Sexseiten, kostenlose Spiele oder kostenlose Cracks für kommerzielle Software.
Ist der Dialer erst einmal installiert, bietet er eine Verbindung zu einem
Service an, der für gewöhnlich mit einer sehr teuren Nummer (0190/0193/0900/008/118)
verbunden ist. Einige Dialer richten im schlimmsten Fall eine Internetverbindung
ein, was dazu führt, dass man einen höheren Preis zu bezahlen hat, ohne davon zu
wissen, bis die Rechnung kommt kommt oder der Rechner zusammenbricht.
Aktive Inhalte und automatische Installation
Sehr häufig werden Dialer mittels so genannter Aktiver Inhalte verbreitet. Diese
bewirken, dass der Dialer beim Betreten einer Internetseite selbstständig auf
den PC des Besuchers heruntergeladen und installiert wird. Auch eine vom User
ungewollte und unbemerkte Einwahl über teure Nummern ist in diesen Fällen
möglich. Verwendet werden dabei ActiveX-, also kleine Windows-Programme, die
sich nur mit Hilfe eines Web-Browsers ausführen lassen. Wenn Sie im Internet auf
eine Seite mit ActiveX kommen, wird ein solches Miniprogramm/Komponente auf
Ihren Rechner geladen und ausgeführt. Im schlimmsten Fall bemerken Sie dies
nicht einmal. Denn alles, was man mit Maus und Tastatur machen kann, kann man
auch per ActiveX- steuern - zB. beim Download, Installation und Einwahl eines
Dialers.
Einwahl-Methoden eines Dialers
Beim Betreten einer Internetseite lädt eine Komponente den Dialer zB. im
Hintergrund, ein Pop-Up Fenster öffnet sich, beim Download oder Gratisangebote,
kostenlose Zugangssoftware ,kostenlose Software, Gratis Tools, kostenloser
Zugang zu erotischen Angeboten, wie zB.Webcams etc. auf den PC herunter und
führt ihn danach aus. Dadurch das die Datei nicht als normaler Link
heruntergeladen wird, sondern programmgesteuert ist, bekommt der Nutzer keine
Meldung darüber, dass eine Datei heruntergeladen wird. Da die Datei
heruntergeladen und nicht direkt ausgeführt wird, kommt auch keine
Sicherheitsabfrage, ob die Datei ausgeführt werden soll. Damit werden alle
Sicherheitsoptionen des Internet Explorers umgangen.
Die Folgen:
Der Dialer kann automatisch gestartet werden (Einwahl)
Jede Internet-Seite könnte bei einen Besuch, einen Dialer auf ihren Rechner
installieren und starten
Ein Löschen des Dialers ist sinnlos, da er durch die installierte Komponente
jedesmal wieder neu heruntergeladen wird
die Deinstallation des Dialers entfernt den Dialer, aber nicht die
Komponente und ist im Grunde zwecklos, ohne spezielle Software oder Kenntnisse.
|