1

Computerviren und Malware

1. Computerviren allgemein:

Definition eines Computervirus:Ein Computervirus ist ein Programm, daß in der Lage ist, Kopien von sich selbst herzustellen und in andere Programme einzupflanzen (infizieren). Der Virus kann eine genau definierte Aufgabe ausfüllen.Programme die infiziert wurden sind ihrerseits wiederum Viren.

Der erste Virus

Dr. Fred Cohen 1984Der erste funktionstüchtige Virus war unter UNIX programmiertund nistete sich im Befehl VD ein. Der Virus erbte bei jeder Ausführung die Systemprivilegien des infizierten Programms und konnte so innerhalb kürzesterZeit jedem Benutzer diese Privilegien übertragen.

2

Ziel und Zweck eines Computervirus

Schaden anrichten !!!

Mögliche Schäden:-) Harmlose aber störende Bildschirmanimationen-) Daten- bzw. Dateizerstörung durch Löschen oder Überschreiben-) Zerstörung von gesamten Disketten- bzw. Festplatteninhalten durch Formatieren-) Manipulation von Daten-) Beschädigung von Hardware-) Blockierung von Speicherplatz-) Reduzierung der Systemleistung-) Blockierung von Programmen-) Nichts

3

2. Computervirenarten:

a) Programmviren- befallen Dateien, die in ausführbarem Programmcode vorliegen- zumeist .EXE, .COM und .SYS Dateien.

Diese Programme bestehen aus 3 Teilen:

Start – Eigentliches Programm – Ende

4

nichtüberschreibende Viren:

- Programm wird um Länge des Virus vergrößert- Virus kopiert sich an Programmende,

wird aber vor dem eigentlichen Programm abgearbeitetVirus bleibt lange unbemerkt

überschreibende Viren:

- einfach programmierbar- Dateigröße ändert sich nicht schlecht für AV-Programm- trotzdem leicht auffindbar, da eigentl. Programm fehlerhaft und

funktionsunfähig wird

Programmviren gliedern sich wiederum in 2 Arten:

5

b) speicherresidente Viren:

Wird ein infiziertes Programm aufgerufen, wird es abgearbeitet undder Virus bleibt im Speicher.

z.B.: eine Tastatureingabe löst ein Ereignis aus; dieses Ereignis steht in der Interrupttabelle, welche wiederum im Arbeitsspeicher liegt

Beeinflussung durch den Virus

6

c) Call-Viren:

- im Wirtprogramm nur ein Verweis auf Virusprogramm

d) Bootsektorviren

- Bootsektor wird nach Systemstart zuerst gelesen- dieser wird irgendwann vom Virus überschrieben- Kopie des Originals an andere Stelle

7

e) Partition Table Virus:

Der Virus nistet sich im Partition Table (Sektor 0) der Festplatte ein und infiziert von dort aus den Bootsektor. Selbst beim Formatieren der Festplatte oder löschen des Bootsektors bleibt der Virus erhalten. Weitere Strategie des Virus siehe d).

Macro Viren:

Ein Macro ist eine Zusammenfassung einer Abfolge von Befehlen. Sie werden zur Arbeitserleichterung in Programmen wie MS-Word eingesetzt.Macroviren sind sehr effektiv, da Makros an normale Dokumentdateien gebunden sind und somit leicht verbreitet werden. So ist es z.B. möglich von Word aus unbemerkt die Festplatte zu formatieren.

f)

8

3) Genereller Aufbau:

Ein Computervirus besteht mit Ausnahmen aus 2 Hauptteilen:

a) Fortpflanzungsmechanismusb) Auftrag

zu a) - schnelle, weite Verbreitung in alle „Ecken“ des PC- Kopieren von speziellem Code in eine Datei

zu b) - abhängig vom Ziel des Programmierers:Nichtstun, Formatieren, Ausspähen…..

- um lange unentdeckt zu bleiben � zeitabhängige Steuerung(Trigger)

z.B. - Freitag der 13.- Tastenkombination- 100 ster Start eines Programmes

9

4) Allgemeine Funktionsweise eines Virus:

end.25Starte_Wirtprogramm;24Aufgabe;23Infiziere_neues_Program;22

begin2120

end;19if Datum=13.13.1333 then format C: 18

begin17procedure Aufgabe;16

15end;14until gefunden=true;13

end;12infiziere_Datei(zieldatei);11gefunden=true;10

if not (2. Zeile von zieldatei)=HIHÄHU then begin9zieldatei:=irgendeine_EXE_oder_COM_Datei;8

repeat7gefunden:=false;6begin5procedure Infiziere_neues_Programm;4

3HIHÄHU2program BÖSER_VIRUS1

Infektionsmerkmal

Fortpflanzung

Aufgabe mit Trigger

10

5) Virenschutz:

100%ig nicht möglichCa. 70 000 Viren bekannt

Arten von AV-Programmen:

- Monitorprogramme

- Scanner

- Virencleaner

11

6) andere Schädlinge:

- Computerwürmer: sind mit Viren vergleichbar, verbreiten sich aber nicht von Datei zu Datei, sondern von Computer zu Computer

- Trojaner (trojanische Pferde):sind Programme, die eine schädliche Funktion beinhalten, das eigentliche Programm ist jedoch sehr nützlichSie besitzen keinen Mechanismus zur Selbstverbreitungwerden oft zum Ausspähen von Daten genutzt

Trojanisches Pferd, großes, hölzernes Pferd, das in dem griechischen Mythenzyklus um die Einnahme der Stadt Troja eine zentrale Rolle spielt. Nachdem es den Griechen in zehnjähriger Belagerung nicht gelungen war, die Stadt Troja einzunehmen, griffen sie zu einer List. Sie bauten ein hölzernes Pferd, worin sich ihre tapfersten Helden verbargen, während das griechische Heer zum Schein absegelte. Nachdem die Trojaner das Pferd als Weihgeschenk für die Göttin Athene in die Stadt gezogen hatten, stiegen die Helden nachts aus dem Bauch des Pferdes, riefen die Flotte durchFeuerzeichen zurück, töteten die Wachen und öffneten die Stadttore. Troja wurde eingenommen, niedergebrannt und so der Trojanische Krieg beendet.

"Trojanisches Pferd", Microsoft« Encarta« 98 Enzyklopõdie. ® 1993-1997 Microsoft Corporation. Alle Rechte vorbehalten.

12

7) Schutzmaßnahmen:

- regelmäßiger Einsatz von Virenscannern und einem Virenwächter- Umbenennen von wichtigen Dateien (FORMAT.com; FDISK.EXE;…)

Schutz vor Bootviren:- Bootreihenfolge so einstellen, dass Startdateien zuerst auf Festplatte C:

gesucht werden- solange Festplatte i.O. wird Bootvorgang von infizierter Diskette verhindert

Bootvirus kann sich nicht in System schleichen- im BIOS (unter „BIOS FEATURES SETUP“) Menüpunkt „VIRUS WARNING“

auf „Enabled“- Diskettenschreibschutz aktivieren

13

Schutz vor Makroviren:Datei nicht öffnen, sondern über Zwischenablage in neues Dokument einfügen

-Viewer nutzen

-Schutz vor Würmern:- niemals unbekannte Anhänge aus e-mails öffnen- Outlook ist gefährdet

14

Eine Checkliste zum Schutz vor Viren:

Sie machen regelmäßig von allen Dateien, die Sie nicht verlieren möchten, Sicherheitskopien auf Disketten.

Sie besitzen eine GARANTIERT VIRENFREIE UND SCHREIBGESCHÜTZTE STARTDISKETTE.

Sie überprüfen jede neue Software und jedes unbekannte Word/Excel -Dokument mit einem Virenscanner auf Viren oder setzen einen Virenwächter ein. Sie öffnen unbekannte Word/Excel - Dokumente über "Einfügen -> Datei" oder mit einem Viewer.

Sie haben im BIOS die Viruswarnung eingeschaltet.

Sie haben die Bootreihenfolge so eingestellt, dass zuerst versucht wird, von der Festplatte zu booten.

15

Sie achten darauf, dass sich beim Starten des Rechners keine Diskette im Laufwerk befindet.

Sie besitzen eine schreibgeschützte Diskette mit einer aktuellen Antivirensoftware für DOS.

Bevor Sie das ganze System in regelmäßigen Abständen mit einem Virenscanner auf Viren überprüfen, fahren Sie den Rechner herunter, schalten ihn aus und booten von einer Startdiskette.

Bevor Sie eine Diskette zum Lesen in ein Diskettenlaufwerk legen, öffnen Sie das Schreibschutzloch.

Sie haben die Dateien FORMAT.COM, DELTREE.EXE, DEBUG.EXE und FDISK.EXE umbenannt.

16

Unseriöse „Internetdienste“

1. Dialer

Dialer sind kleine Programme, die es dem Anwender erleichtern sollen,eine gewünschte Onlineverbindung herzustellen.

Möglichkeiten der Installation:- Eintrag in DFÜ-Netzwerk oder- Installation eines eigenen Einwahlprogrammes � Eintrag in Registry möglich

Prinzip:0190-Sprachdienst:Einwählen únd Pauschalbetrag zahlen; z.B. Uhrzeit, Wetter, Internet:Genauso, nur oft ohne Einverständnis der Nutzer

17

Wie installieren sich Dialer?

1. Der Dialer wird als normaler Downloadlink zum anklicken angeboten.- seriös ; z.B. Internetprovider

2. Beim Betreten der Seite öffnet sich ein Download- bzw. Installationsfenster.diese Art der Dialer werden aber nur installiert, wenn der Anwender auf "OK" klickt. Dann weiß man nicht so genau, was im Hintergrund passiert.Dies ist wohl die am weitesten verbreitete Art der Dialer-Installation.

3. Die Dialer werden vollautomatisch, ohne Benutzereingriff und meistensauch im Hintergrund installiert.Dies ist nicht nur unseriös, sondern sogar illegal. Das passiert meist über den IE mit ActiveX �Microsoft

18

Schutzmöglichkeiten

- Browserwahl- Optimieren der ActiveX-Einstellungen- Sperrung der 0190-Nummern- Begrenzung der maximalen Telefonrechungshöhe- Einzelverbindungsnachweis bestellen- Keine automatischen Downloads annehmen- Keine Programme aus zweifelhafter Quelle herunterladen bzw. "testen"- Seien Sie vorsichtig mit Downloads aus dem Internet!- Prüfen Sie Ihr DFÜ-Netzwerk- Überwachungssoftware

19

2. Spams oder Spam-Mail oder UCEWas heißt denn "Spam" und "UCE"?UCE = "unsolicited commercial e-mail" = unerwünschte kommerzielle E-Mail UBE = "unsolicited bulk e-mail" = unerwünschte Massenmail Häufig gebraucht man auch die Bezeichnung "Spam" als Sammelbezeichnung fürdiese Art von Mißbrauch von E-Mail und NetNews.

Woher haben diese Massen-Mailer meine E-Mail-Adresse?Quellen für E-Mail-Adressen sind die NetNews, WWW-Seiten (mailto:-URLs),das IRC (Internet Relay Chat), WWW-Formulare und Logfiles bei Mailrelays.

Schutz vor Spams:- E-mails verschlüsseln:

Benutzung: Alle numerischen Notationeneinzelner Zeichen beginnenmit &#.Dahinter kann die Zahl des gewünschten Zeichensnotiert werden. Beispiel: Aus Klaus wird Klaus

-alternativer E-mail-account-Filtern der Mails; einsetzen von Filterprogrammen

20

3. Web-Spoofing

Zugriff auf falsche Webseiten über einen manipulierten DNS-Server� Kein Schutz für einzelnen Benutzer möglich� Sichern der Programme über doppelte DNS-Anfrage

Client

DNS-Server

Bank

Hacker

www.bank.de136.209.1.245

www.hacker.de149.23.56.222

www.bank.de

149.23.56.222

149.23.56.222

www.bank.de ?

21

4. Schutzmechanismen für das Internet

-Installation einer Firewall; - eine Art Pförtner- trennt das unsichere Netzwerk vom sicherén ab- können eingehende Datenpakete von verschiedenen Protokollen analysieren - enthalten Regeln, die angeben, was durch darf und was nicht.- je gründlicher die Kontrolle, desto geringer die Performance- einfachste ist XP-Firewall

-Vorsicht beim Öffnen von Mail- Anhängen- Verwenden von sicheren Protokollen

- SSL (Secure Socket Layer)- mit Authentifizierung- mit Verschlüsselung- mit Manipulationsschutz

-Keine Passwörter speichern- beim Anmelden beim Provider- Online Bankink- keine TANs speichern

-0190-Warner- Virenscanner und Monitorprogramme