Embed Size (px)
Citation preview
Computerviren
Viren, Würmer, Trojanische Pferde, Hoaxes, Zombies,
0190-Dialer
Gliederung1. Der Computer2. Geschichte der Computerviren3. Virenautoren4. Viren5. Würmer6. Trojanische Pferde7. Hoaxes8. Zombis9. 0190-Dialer10. Tendenzen11. Schutz
1.1. Boot
• BIOS sucht Bootsektor• BIOS lädt Betriebssystem (OS)• OS lädt Treiber• Desktop anzeigen • Startup-Programme ausführen
2. Geschichte• 1949 v. Neumann: Selbst-
reproduzierende Programme• 1975 Brunner:
„Tapeworm“• 1984 Fred Cohens
Doktorarbeit• 1986 „Brain“-Virus• 1987 Erster Virenscanner
McAffee, 19 Viren. • 1988 Internet-Worm• 1992 „Michelangelo“• 1999 „Melissa“• 2000 „I Love You“
3. Virenautoren: Motivation
• Männlicher Nerd, unter 25 Jahre
• Machtgefühl• Reichweite überprüfen• Geltungsdrang
in der Szene• Vandalismus• Sabotage• Erpessung
Phantasmen
• Cyber-Punk • Über-Cracker• Omnipotenz• Technozid Dark Angel's Phunky Virus Writing Guide
---- ------- ------ ----- ------- -----
Virii are wondrous creations written for the sole purpose of spreading and
destroying the systems of unsuspecting fools. This eliminates the systems
of simpletons who can't tell that there is a problem when a 100 byte file
suddenly blossoms into a 1,000 byte file. Duh. These low-lifes do not
deserve to exist, so it is our sacred duty to wipe their hard drives off
the face of the Earth. It is a simple matter of speeding along survival of
the fittest.
Phantasmen: Quellen
• Science-Fiction, Techno-Fiction(Viren als ultimative Waffe im Kampf Mensch/Maschine)
• Medienkonstruktionen (Karl Koch, Kevin Mittnick)
• Wahl der Metaphern– Vermenschlichung des Computers– Maschinisierung des Menschen
4. Virus
• Programm• Selbst-Reproduzierend• Infizierend• Mit oder
ohne Schadensfunktion
Klassifikationen
• 4.1. Klassifikation nach Wirt• 4.2. Klassifikation nach Schaden• 4.3. Klassifikation nach Funktion
4.1. Klassifikation nach Wirt
• Bootsektor (Floppy)• Master Boot Record (HD)• Programm• Multipart
(Boot + Datei)• Dokument (Makro)• [Email-Attachment]
Dateiviren-Arbeitsweise +----------------+ +------------+ | P1 | P2 | | V1 | V2 | +----------------+ +------------+ The uninfected file The virus code
+---------------------+ | P1 | P2 | P1 | +---------------------+
+---------------------+ | V1 | P2 | P1 | +---------------------+
+-----------------------------+ | V1 | P2 | P1 | V2 | +-----------------------------+
Datei-Virus-Aufbau
• Signatur• Infektion (Replikator)• Tarnmechanismus (Concealer)• Destruktor (Bomb)• Programmfortsetzung
Dateivirus-Ausführen
1. Aufruf des infizierten Programms (z.B. Autostart)
2. Laden des Programms3. Start des Programms4. Ausführen des Virus5. Fortsetzung des
Programms
Macroviren-Aufbau
• Autoexec-Macro infiziert Normal.dot
• FileSaveAs, FileSave, FileOpen, ToolsMacros
• Schadensroutine
Macroviren-Ausführen
• Laden des infiziertenNormal.dot
• Laden eines sauberen DokumentsFileOpen, AutoOpen
• Infizieren des Dokuments
• Ausführen der SchadensfunktionPayLoad
4.2. Klassifikation nach Schaden
• Ressourcenverbrauch– Technische: Speicher, Prozessorzeit– Menschliche: Arbeitszeit, Reparatur
• Vermehrung• Destruktiv
– Absichtlich: Logische Bomben– Unabsichtlich
• Ziel (z.B. Anti-Virus-Virus)
Schaden
• Nachrichten ->• Musik• Datenverlust ->• Datenspionage• Partielle Ausfälle• Hardwareausfälle
hllc-dosinfo
4.3. Klassifikation nach Funktionsweise
• Resident (TSR)• Überschreibend (Overwriting)• Getarnt (Stealth)• Verschlüsselt• Polymorph
Virenmythen
• Autonome Entitäten• Plattformunabhängig• Unmittelbare Wirkung• Universelle Hintertür• Subversives Herrschaftswissen
Quellen: s.o.
5. Würmer
• Selbst-reproduzierend• Nicht-infizierend • Mailwürmer
– Attachments– Stealth
(loveletter.txt.vbs)– MAPI
Epidemie
Code Red: Do, 19 Juli 2001
Zur Anzeige wird der QuickTime™ Dekompressor “Animation”
benötigt.
6. Trojanische Pferde
• Nicht-Reproduzierend• Nicht-Infizierend• Verdeckte
Schadensroutine– Password Sniffer– Backdoor
(Back Orifice)– dDOS
7. Hoaxes/Kettenbriefe Soziale Viren• Aufbau
– Aufhänger– Drohung– Aufforderung
• Erkennungsmerkmale– Technische Sprache– Glaubwürdigkeit durch Autorität– „Schick mich an Alle!“
Hoax Beispiel 1/3Der Aufhänger • > Subject: Viruswarnung• >• > V I R U S W A R N U N G !• >• > Es wurde gerade ein neues Virus festgestellt, den Microsoft und• > McAfee als den bisher gefährlichsten Virus überhaupt bezeichnen!• >• > Dieses Virus wurde erst am Freitag nachmittag von McAfee• > festgestellt und wird noch nicht von Virenscannern erkannt. Das• > Virus zerstört den Null-Sektor der Festplatte, wo wichtige• > Informationen für die Funktion der Festplatte gespeichert sind.
Hoax Beispiel 2/3Die Drohung • > Die Funktionsweise des Virus ist wie folgt:• >• > Das Virus versendet sich automatisch an alle Kontaktadressen• > aus dem Email-Adressbuch und gibt als Betrefftext • > "A Virtual Card for You" an.• >• > Sobald die vorgebliche virtuelle Postkarte geöffnet wird,• > bleibt der Rechner hängen, sodass der Anwender einen Neustart• > vornehmen muss.• >• > Wird nun die Kombination [Strg]+[Alt]+[Del] oder der Reset-Knopf am• > Rechnergehäuse gedrückt, löscht das Virus den Null-Sektor der• > Festplatte, womit die Festplatte dauerhaft unbrauchbar ist. Wenn Sie• > also eine Nachricht mit dem Betreff "A Virtual Card for You"• > erhalten, öffnen Sie diese mail KEINESFALLS, sondern löschen Sie die• > Nachricht sofort.• >• > Am Freitag hat dieses Virus Innerhalb weniger Stunden geradezu eine• > Panik unter EDV-Usern in New York verursacht, wie CNN berichtet• > http://www.cnn.com <http://www.cnn.com• > <http://www.cnn.com<http://www.cnn.com> >> .
Hoax Beispiel 3/3Die Aufforderung
• > Bitte leite das vorliegende Mail an alle Personen in Ihrem• > Email-Verzeichnis weiter. Es ist sicherlich besser, diese• > Nachricht 25 Mal zu erhalten, als gar nicht!
10. Tendenzen• Datei und Boot-Viren rückläufig• Netzwerkviren• Cross-Application
Macro-Viren über VBA• Email-Würmer• 0190-Dialer• Virus-Construction-Kit• WAP / PDA -Viren• Mutierende bzw.
Polymorphe Viren
11. Schutzmöglichkeiten
• Risiko: ungeschützter Software-Tausch mit häufig wechselnden Tauschpartnern
• Risiko: Unsichere Mail-Clients
Prävention• Aufklärung• Backups anlegen• Keine dubiosen
Attachments öffnen• Keine Kettenbriefe
weiterleiten• Antivirensoftware
– Monitore– Authentizitätsprüfer– Scanner– Heuristische Scanner
Behandlung
• Restaurierung (Backup)• Desinfektion• Serum• Pflaster (Patches) • Impfung
Bookmarkshttp://www.tu-berlin.de/www/software/antivirus.shtmlDie vermutlich umfangreichste deutschsprachige Bookmarksammlung. Hier gibt es Links zu
Herstellern von Antivirus-Software, Grundlagentexte und bei Bedarf einen Newsletter.
http://www.tu-berlin.de/www/software/hoax.shtmlInformationen über E-Mail Falschmeldungen (Hoaxes). Ein Verdacht auf einen Virus-Hoax sollte auf
dieser Seite überprüft werden.
http://www.sophos.deSophos ist ein Hersteller von Antivirus-Software. Die Site ist sehr informativ aufgebaut. Viele
Informationen und Neuigkeiten aus der Virusszene. Bei Bedarf kann man sich einen Newsletter mit aktuellen Viruswarnungen zuschicken lassen.
http://www.sophos.de/virusinfo/whitepapers/Grundlagenartikel von Sophos über Computerviren.
http://www.heise.de/ct/antivirus/Die Zeitschrift c't des Heise-Verlags bietet kompakte Informationen und viele Bookmarks.
Insbesondere Links zu Antivirus-Software.
http://www.heise.de/ct/antivirus/emailcheck/Überprüfung des E-Mail-Clients auf bekannte Sicherheitslücken.
