Upload
clarimond-geidel
View
104
Download
0
Embed Size (px)
Citation preview
Gefährliche Liebespost.Von Loveletter und anderen Computerviren
Ein Beitrag des ZDV zur Reihe„What‘s love“
Im Rahmen des Tages der offenen Tür 2002
Referent: Stefan Röhle, ZDV
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Zentrum für Datenverarbeitung
Rechenzentrum der Universität Zentrale Einrichtung der JoGu Dienstleistungen für Studenten und Mitarbeiter
E-Mail, Internetzugang, Speicherplatz Kurse, Online-Learning Scannen, Posterdruck, DTP Verleih: Digitale Kameras, Beamer Datensicherung, Virenschutz Administration zentraler und verteilter Rechner
Weitere Infos: Stand alte Mensa, NatFak (N) www.zdv.uni-mainz.de
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Übersicht
1. Was sind Computerviren?2. Wie verbreiten sich Computerviren?3. Wie kann ich mich davor schützen?4. Zusammenfassung5. Links
(Verwendete Quellen: In den Links angegebene Webseiten)
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
1. Was sind Computerviren?
Programme (oder Skripte), die sich selbst ver-vielfältigen können und oft Schadfunktionen (malicious code) enthalten.
Bootsektor Viren Parasitische Viren („klassischer“ Virus) Würmer Trojanische Pferde (Trojaner) Hoaxes Makro-Viren (Word, Excel etc.)
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Allgemeine Schadwirkungen
Löschen von Daten Datenkorruption Datendiebstahl Beanspruchung von Ressourcen
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Hoaxes (1/2)
(Hoax: Scherz, Falschmeldung)
E-Mails, die zur Weiterleitung animieren, und deren Inhalt zweifelhaft ist.
Viruswarnungen Glücksbriefe, Kettenbriefe „Make money, fast!“
(Pyramidensystem) „Tränendrüsen-Briefe“
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Hoaxes (2/2)
Schadwirkung
Verunsicherung der Benutzer Zeitverschwendung Erhöhtes Mailaufkommen durch
Schneeballsystem (Kettenbriefe), vergleichbar mit „echten“ Viren
MaßnahmeLöschen der E-Mail!
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Trojaner
Klassische Trojanische Pferde sind Programme, die vordergründig nützlich sind, im Hintergrund aber ihre wahren Aktivitäten entfalten.
Moderne Trojaner führen nur noch unbemerkt ihre Schadfunktionen im Hintergrund aus.
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Würmer
Würmer erstellen Kopien von sich und ver- breiten sich selbst z.B. über das Netzwerk oder per E-Mail.
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
2. Wie verbreiten sich Computer- viren?
Ohne Benutzer Nutzen Schwachstellen im Netzwerk aus Nutzen Schwachstellen in Software aus
Durch „Hilfe“ des Benutzers Anklicken des E-Mail-Anhangs Ausführen von heruntergeladenen Programmen
Dabei wird der Benutzer meist getäuscht und ausgetrickst, damit er den Virus aktiviert!
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Viren TOP TEN
Quelle: http://www.sophos.com/virusinfo/topten/
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Entdeckt im April 2000 Über E-Mail verbreitet
Loveletter (alias LoveLet-A)
Subject: „ILOVEYOU“Message: „kindly check the attached LOVELETTER coming from me“Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs
TrickAusnutzen der unterdrückten Dateiendung bei Standardinstallation - das Attachment erscheint nur als LOVE-LETTER-FOR-YOU.TXTDadurch Tarnung eines Skriptes als Textdatei
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Bei Ausführen des Attachments passiert folgendes...
Erstellt Kopien von sich auf der Festplatte Hinzufügen von Registry-Einträgen, damit der Trojaner
bei Systemstart automatisch ausgeführt wird Ersetzt und löscht Dateien (lokal und im Netzwerk!)
picture.jpg -> picture.jpg.vbs, Original gelöscht .vbs Dateien durch Kopie von sich ersetzt music.mp3 -> Attribut ‚hidden‘ -> music.mp3.vbs
LOVE-LETTER-FOR-YOU.HTM wird an IRC versendet Verschickt sich selbst an alle Benutzer im Outlook-
Adressbuch Download eines Passwort-Schnüffelprogramms
(Trojaner) ebenfalls in Registry eingetragen zum automatischen Start schickt Passworte an [email protected]
Loveletter
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
BadTrans-B (Platz 1 Januar)
ausführbare Datei als E-Mail Attachment Message: „Take a look at the attachment“ Attachment: zufällig aus Liste, z.B. fun.pif, docs.scr,
Me_nude.AVI.pif Eintrag in Registry E-Mail Versand per Outlook
Antwortet auf gelesene und ungelesene Mails Verschickt sich an Adressen, die in .asp, .ht* Dateien
gefunden werden Verwendet Absender aus Liste, z.B. [email protected],
[email protected] Antwortadresse wird leicht geändert, so dass Reply
unmöglich ist Subject: Re: Attachment: aus Liste, z.B. docs.DOC.pif, Humor.MP3.scr
installiert Keylogger (Trojaner)
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
MyParty-A (Platz 2 Januar)
ausführbare Datei als E-Mail Attachment Subject: „new photos from my party!“ Message: „Hello! My Party... It was
absolutely amazing! I have attached my web page with the new photos! If you can please make color prints of my photos. Thanks“
Attachment: Datei www.myparty.yahoo.com 25.-29.1.2001
Kopie von sich an jeden in Windows Adressbuch verschickt
Win9x/ME: Kopie von sich nach C:\Recycled\regctrl.exe + ausführen derselben
WinNT/2K/XP: Kopie nach C:\regctrl.exe + ausführen derselben; Kopie der Datei MSSTASK.EXE in Ordner „Autostart“ (Backdoor Trojaner)
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Sircam-A (Platz 4/Januar, Platz 2/2001) 1/2
Verbreitung per E-Mail oder offene Netzwerk-Freigaben
Versand von E-Mail über eigene SMTP Routine Adressen aus Windows Adressbuch Text aus Liste auf Englisch oder Spanisch Subject: zufällig, siehe Attachment Message: „Hi! How are you? I send you this
file in order to have your advice. See you later. Thanks“
Attachment: Dateiname identisch mit Subject, doppelte Endung, z.B. .doc.com, .mpg.pif
Achtung: Versendet Dokumente des Users aus „Eigene Dateien“!
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Sircam-A (Platz 4/Januar, Platz 2/2001) 2/2
erstellt Kopie von sich nach \Windows\System\sirc32.exe und ebenfalls versteckt in den Papierkorb (auch im Netz)
Eintrag in Registry zum Start beim Systemstart Kopie in Windows-Verzeichnis von verbundenem
Rechner rundll32.exe -> run32.exe, Viruscode ->
rundll32.exe Modifikation der autoexec.bat zum Aufruf der Datei
aus Papierkorb weiterer Schadcode
1:50 Chance, dass Datei Sircam.sys in Papierkorb erzeugt wird und gefüllt wird, bis Festplatte voll ist
Glück: weitere Schadfunktion enthält Bug...
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Nimda-A (Platz 5/Januar, Platz 1/2001) 1/2
Verbreitung per E-Mail, Netzwerk-Freigaben und Websites
Befallene E-Mails enthalten zufälliges Subject, Attachment meist
„README.EXE“ Versuch, Sicherheitslücke in Microsoft Outlook, Microsoft
Outlook Express oder Internet Explorer auszunutzen (Versand ohne Hilfe des Users)
Virus verschickt sich an Adressen, die er auf Rechner findet (Outlook, Outlook Express, HTML-Dateien)
Kopien des Attachments in Windows-Verzeichnis load.exe und riched20.dll (Attribut „versteckt“) lokal und im Netzwerk Modifikation der system.ini, damit Virus bei
Windowsstart ausgeführt wird
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Nimda-A (Platz 5/Januar, Platz 1/2001) 2/2
gibt jedes lokale Laufwerk frei kopiert sich auf alle freigegebenen Laufwerke in
jedes Unterverzeichnis (im .eml Format) infiziert .exe Dateien Suche nach „verwundbaren“ IIS
„Code-Upload per Sicherheitsloch“ Port-Scanning erzeugt viel Traffic
Dann: Infektion per Webseite an .asp, .htm, .html Seiten wird JavaScript Code
angefügt, der zuvor abgelegte E-Mail (README.EML) öffnet und so den betrachtenden Client infiziert
und, und, und... Aber: Kein Schadcode!!!
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Motivation der Virus-Autoren
Ansehen bei „Kollegen“ Machtgefühl in Cyberwelt „Proof of concept“ (ohne
Schadfunktionen) Forschung (?) Vergleichbar: Graffiti, Vandalismus Allerdings ist der verursachte Schaden
viel größer!
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
3. Wie kann ich mich davor schützen? Virenscanner installieren!
regelmäßiges Update! Material aus „unsicheren“ Quellen scannen, ggf. löschen System regelmäßig scannen
Mailprogramm sicherer machen! Bugfixes installieren Scriptingfunktionen deaktivieren (WSH, JavaScript,...) Anlagen/Downloads nicht unüberlegt
doppelklicken/ausführen Dokumentformate mit Makroinhalt vermeiden!
Kein .doc / .xls, sondern .txt, .rtf Versteckte Dateiendungen sichtbar machen! Regelmäßig Backups anfertigen!
Erst denken, dann klicken!
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
4. Zusammenfassung
Virus ist ein Oberbegriff
Austricksen der Benutzer
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
5. Links
www.nai.com www.sophos.com www.f-secure.com www.trojaner-info.de www.tu-berlin.de/www/software/hoax.shtml www.wildlist.org www.virusbtn.com
Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002
Das war‘s!
Vielen Dank für Ihre Aufmerksamkeit
und noch viel Spaß an der Johannes-Gutenberg
Universität!