Gefährliche Liebespost. Von Loveletter und anderen Computerviren Ein Beitrag des ZDV zur ReiheZDV Whats love Im Rahmen des Tages der offenen Tür 2002 Referent:

Gefährliche Liebespost.Von Loveletter und anderen Computerviren

Ein Beitrag des ZDV zur Reihe„What‘s love“

Im Rahmen des Tages der offenen Tür 2002

Referent: Stefan Röhle, ZDV

Gefährliche Liebespost. Von Loveletter und anderen Computerviren, 14.02.2002

Zentrum für Datenverarbeitung

Rechenzentrum der Universität Zentrale Einrichtung der JoGu Dienstleistungen für Studenten und Mitarbeiter

E-Mail, Internetzugang, Speicherplatz Kurse, Online-Learning Scannen, Posterdruck, DTP Verleih: Digitale Kameras, Beamer Datensicherung, Virenschutz Administration zentraler und verteilter Rechner

Weitere Infos: Stand alte Mensa, NatFak (N) www.zdv.uni-mainz.de


Übersicht

1. Was sind Computerviren?2. Wie verbreiten sich Computerviren?3. Wie kann ich mich davor schützen?4. Zusammenfassung5. Links

(Verwendete Quellen: In den Links angegebene Webseiten)


1. Was sind Computerviren?

Programme (oder Skripte), die sich selbst ver-vielfältigen können und oft Schadfunktionen (malicious code) enthalten.

Bootsektor Viren Parasitische Viren („klassischer“ Virus) Würmer Trojanische Pferde (Trojaner) Hoaxes Makro-Viren (Word, Excel etc.)


Allgemeine Schadwirkungen

Löschen von Daten Datenkorruption Datendiebstahl Beanspruchung von Ressourcen


Hoaxes (1/2)

(Hoax: Scherz, Falschmeldung)

E-Mails, die zur Weiterleitung animieren, und deren Inhalt zweifelhaft ist.

Viruswarnungen Glücksbriefe, Kettenbriefe „Make money, fast!“

(Pyramidensystem) „Tränendrüsen-Briefe“


Hoaxes (2/2)

Schadwirkung

Verunsicherung der Benutzer Zeitverschwendung Erhöhtes Mailaufkommen durch

Schneeballsystem (Kettenbriefe), vergleichbar mit „echten“ Viren

MaßnahmeLöschen der E-Mail!


Trojaner

Klassische Trojanische Pferde sind Programme, die vordergründig nützlich sind, im Hintergrund aber ihre wahren Aktivitäten entfalten.

Moderne Trojaner führen nur noch unbemerkt ihre Schadfunktionen im Hintergrund aus.


Würmer

Würmer erstellen Kopien von sich und verbreiten sich selbst z.B. über das Netzwerk oder per E-Mail.


2. Wie verbreiten sich Computer- viren?

Ohne Benutzer Nutzen Schwachstellen im Netzwerk aus Nutzen Schwachstellen in Software aus

Durch „Hilfe“ des Benutzers Anklicken des E-Mail-Anhangs Ausführen von heruntergeladenen Programmen

Dabei wird der Benutzer meist getäuscht und ausgetrickst, damit er den Virus aktiviert!


Viren TOP TEN

Quelle: http://www.sophos.com/virusinfo/topten/


Entdeckt im April 2000 Über E-Mail verbreitet

Loveletter (alias LoveLet-A)

Subject: „ILOVEYOU“Message: „kindly check the attached LOVELETTER coming from me“Attachment: LOVE-LETTER-FOR-YOU.TXT.vbs

TrickAusnutzen der unterdrückten Dateiendung bei Standardinstallation - das Attachment erscheint nur als LOVE-LETTER-FOR-YOU.TXTDadurch Tarnung eines Skriptes als Textdatei


Bei Ausführen des Attachments passiert folgendes...

Erstellt Kopien von sich auf der Festplatte Hinzufügen von Registry-Einträgen, damit der Trojaner

bei Systemstart automatisch ausgeführt wird Ersetzt und löscht Dateien (lokal und im Netzwerk!)

picture.jpg -> picture.jpg.vbs, Original gelöscht .vbs Dateien durch Kopie von sich ersetzt music.mp3 -> Attribut ‚hidden‘ -> music.mp3.vbs

LOVE-LETTER-FOR-YOU.HTM wird an IRC versendet Verschickt sich selbst an alle Benutzer im Outlook-

Adressbuch Download eines Passwort-Schnüffelprogramms

(Trojaner) ebenfalls in Registry eingetragen zum automatischen Start schickt Passworte an [email protected]

Loveletter


BadTrans-B (Platz 1 Januar)

ausführbare Datei als E-Mail Attachment Message: „Take a look at the attachment“ Attachment: zufällig aus Liste, z.B. fun.pif, docs.scr,

Me_nude.AVI.pif Eintrag in Registry E-Mail Versand per Outlook

Antwortet auf gelesene und ungelesene Mails Verschickt sich an Adressen, die in .asp, .ht* Dateien

gefunden werden Verwendet Absender aus Liste, z.B. [email protected],

[email protected] Antwortadresse wird leicht geändert, so dass Reply

unmöglich ist Subject: Re: Attachment: aus Liste, z.B. docs.DOC.pif, Humor.MP3.scr

installiert Keylogger (Trojaner)


MyParty-A (Platz 2 Januar)

ausführbare Datei als E-Mail Attachment Subject: „new photos from my party!“ Message: „Hello! My Party... It was

absolutely amazing! I have attached my web page with the new photos! If you can please make color prints of my photos. Thanks“

Attachment: Datei www.myparty.yahoo.com 25.-29.1.2001

Kopie von sich an jeden in Windows Adressbuch verschickt

Win9x/ME: Kopie von sich nach C:\Recycled\regctrl.exe + ausführen derselben

WinNT/2K/XP: Kopie nach C:\regctrl.exe + ausführen derselben; Kopie der Datei MSSTASK.EXE in Ordner „Autostart“ (Backdoor Trojaner)


Sircam-A (Platz 4/Januar, Platz 2/2001) 1/2

Verbreitung per E-Mail oder offene Netzwerk-Freigaben

Versand von E-Mail über eigene SMTP Routine Adressen aus Windows Adressbuch Text aus Liste auf Englisch oder Spanisch Subject: zufällig, siehe Attachment Message: „Hi! How are you? I send you this

file in order to have your advice. See you later. Thanks“

Attachment: Dateiname identisch mit Subject, doppelte Endung, z.B. .doc.com, .mpg.pif

Achtung: Versendet Dokumente des Users aus „Eigene Dateien“!


Sircam-A (Platz 4/Januar, Platz 2/2001) 2/2

erstellt Kopie von sich nach \Windows\System\sirc32.exe und ebenfalls versteckt in den Papierkorb (auch im Netz)

Eintrag in Registry zum Start beim Systemstart Kopie in Windows-Verzeichnis von verbundenem

Rechner rundll32.exe -> run32.exe, Viruscode ->

rundll32.exe Modifikation der autoexec.bat zum Aufruf der Datei

aus Papierkorb weiterer Schadcode

1:50 Chance, dass Datei Sircam.sys in Papierkorb erzeugt wird und gefüllt wird, bis Festplatte voll ist

Glück: weitere Schadfunktion enthält Bug...


Nimda-A (Platz 5/Januar, Platz 1/2001) 1/2

Verbreitung per E-Mail, Netzwerk-Freigaben und Websites

Befallene E-Mails enthalten zufälliges Subject, Attachment meist

„README.EXE“ Versuch, Sicherheitslücke in Microsoft Outlook, Microsoft

Outlook Express oder Internet Explorer auszunutzen (Versand ohne Hilfe des Users)

Virus verschickt sich an Adressen, die er auf Rechner findet (Outlook, Outlook Express, HTML-Dateien)

Kopien des Attachments in Windows-Verzeichnis load.exe und riched20.dll (Attribut „versteckt“) lokal und im Netzwerk Modifikation der system.ini, damit Virus bei

Windowsstart ausgeführt wird


Nimda-A (Platz 5/Januar, Platz 1/2001) 2/2

gibt jedes lokale Laufwerk frei kopiert sich auf alle freigegebenen Laufwerke in

jedes Unterverzeichnis (im .eml Format) infiziert .exe Dateien Suche nach „verwundbaren“ IIS

„Code-Upload per Sicherheitsloch“ Port-Scanning erzeugt viel Traffic

Dann: Infektion per Webseite an .asp, .htm, .html Seiten wird JavaScript Code

angefügt, der zuvor abgelegte E-Mail (README.EML) öffnet und so den betrachtenden Client infiziert

und, und, und... Aber: Kein Schadcode!!!


Motivation der Virus-Autoren

Ansehen bei „Kollegen“ Machtgefühl in Cyberwelt „Proof of concept“ (ohne

Schadfunktionen) Forschung (?) Vergleichbar: Graffiti, Vandalismus Allerdings ist der verursachte Schaden

viel größer!


3. Wie kann ich mich davor schützen? Virenscanner installieren!

regelmäßiges Update! Material aus „unsicheren“ Quellen scannen, ggf. löschen System regelmäßig scannen

Mailprogramm sicherer machen! Bugfixes installieren Scriptingfunktionen deaktivieren (WSH, JavaScript,...) Anlagen/Downloads nicht unüberlegt

doppelklicken/ausführen Dokumentformate mit Makroinhalt vermeiden!

Kein .doc / .xls, sondern .txt, .rtf Versteckte Dateiendungen sichtbar machen! Regelmäßig Backups anfertigen!

Erst denken, dann klicken!


4. Zusammenfassung

Virus ist ein Oberbegriff

Austricksen der Benutzer


5. Links

www.nai.com www.sophos.com www.f-secure.com www.trojaner-info.de www.tu-berlin.de/www/software/hoax.shtml www.wildlist.org www.virusbtn.com


Das war‘s!

Vielen Dank für Ihre Aufmerksamkeit

und noch viel Spaß an der Johannes-Gutenberg

Universität!

Documents

Gefährliche Liebespost. Von Loveletter und anderen Computerviren Ein Beitrag des ZDV zur ReiheZDV Whats love Im Rahmen des Tages der offenen Tür 2002 Referent: