Viren, Würmer und Trojaner

© PGP IX/03© PGP IX/03

Viren, Würmer und Viren, Würmer und TrojanerTrojaner

Allgemeine Informationen und Allgemeine Informationen und SchutzstrategienSchutzstrategien


Autoren-Hinweis:Autoren-Hinweis:

►Viele Texte auf den Folien sind den Viele Texte auf den Folien sind den Internet-Seiten von H+BEDV, Microsoft Internet-Seiten von H+BEDV, Microsoft und McAfee entnommen. Die Folien und McAfee entnommen. Die Folien sind dann mit H, M und A sind dann mit H, M und A gekennzeichnet.gekennzeichnet.


VirusVirus

► Ein Computervirus ist ein Programm, welches Ein Computervirus ist ein Programm, welches die Fähigkeit besitzt, sich nach seinem Aufruf die Fähigkeit besitzt, sich nach seinem Aufruf selbsttätig an andere Programme auf selbsttätig an andere Programme auf irgendeine Weise anzuhängen und dadurch irgendeine Weise anzuhängen und dadurch zu infizieren. Viren vervielfältigen sich also zu infizieren. Viren vervielfältigen sich also im Gegensatz zu logischen Bomben und im Gegensatz zu logischen Bomben und Trojanern selber. Im Gegensatz zu einem Trojanern selber. Im Gegensatz zu einem Wurm benötigt ein Virus immer ein fremdes Wurm benötigt ein Virus immer ein fremdes Programm als Wirt, dessen Programmablauf Programm als Wirt, dessen Programmablauf durch die Infektion über den Virus umgelenkt durch die Infektion über den Virus umgelenkt wird. Im Normalfall wird aber der eigentliche wird. Im Normalfall wird aber der eigentliche Programmablauf des Wirts selber nicht Programmablauf des Wirts selber nicht geändert. geändert. H


WurmWurm

►Als Wurm wird ein Programm Als Wurm wird ein Programm bezeichnet, das sich selber vervielfältigt, bezeichnet, das sich selber vervielfältigt, jedoch keinen Wirt infiziert. Würmer jedoch keinen Wirt infiziert. Würmer können also nicht Bestandteil anderer können also nicht Bestandteil anderer Programmabläufe werden. Würmer Programmabläufe werden. Würmer bieten auf Systemen mit restriktiveren bieten auf Systemen mit restriktiveren Sicherheitsvorkehrungen oft die einzige Sicherheitsvorkehrungen oft die einzige Möglichkeit, irgendwelche Möglichkeit, irgendwelche Schadensprogramme einzuschleusen Schadensprogramme einzuschleusen

H


ExploitExploit

►Ein Programm, das ein Sicherheitsloch Ein Programm, das ein Sicherheitsloch nutzt, um in einen Rechner nutzt, um in einen Rechner einzudringen und dort Schaden einzudringen und dort Schaden anzurichten. (Z.B. gerade bei EUDORA anzurichten. (Z.B. gerade bei EUDORA entdeckt!)entdeckt!)

H


HoaxHoax

► Diese Programme werden geschrieben, um Diese Programme werden geschrieben, um jemanden zu erschrecken oder zu ärgern. jemanden zu erschrecken oder zu ärgern. Sie sind im Normalfall nicht schädlich und Sie sind im Normalfall nicht schädlich und vermehren sich auch nicht (es sein denn vermehren sich auch nicht (es sein denn durch Weitergabe amüsierter Zeitgenossen). durch Weitergabe amüsierter Zeitgenossen). Oft beginnt der Computer nach dem Start Oft beginnt der Computer nach dem Start eines Witzprogramms eine Melodie zu eines Witzprogramms eine Melodie zu spielen, etwas auf dem Bildschirm spielen, etwas auf dem Bildschirm darzustellen oder ein kleines Programm zu darzustellen oder ein kleines Programm zu simulieren. Der Anwender bekommt häufig simulieren. Der Anwender bekommt häufig einen Schreck oder richtet in Panik eventuell einen Schreck oder richtet in Panik eventuell selber Schaden an.selber Schaden an. H


TrojanerTrojaner

► sind in letzter Zeit recht häufig anzutreffen. Als sind in letzter Zeit recht häufig anzutreffen. Als Trojaner bezeichnet man Programme, die Trojaner bezeichnet man Programme, die vorgeben, eine bestimmte Funktion zu haben, nach vorgeben, eine bestimmte Funktion zu haben, nach ihrem Start aber ihr wahres Gesicht zeigen und ihrem Start aber ihr wahres Gesicht zeigen und irgendeine andere Funktion ausführen, die zumeist irgendeine andere Funktion ausführen, die zumeist zerstörerisch ist. Trojanische Pferde können sich zerstörerisch ist. Trojanische Pferde können sich nicht selber vermehren, was sie von Viren und nicht selber vermehren, was sie von Viren und Würmern unterscheidet. Die meisten Trojaner Würmern unterscheidet. Die meisten Trojaner haben einen interessanten Namen (STARTME.EXE haben einen interessanten Namen (STARTME.EXE oder SEX.EXE), der den Anwender zur Ausführung oder SEX.EXE), der den Anwender zur Ausführung des Trojaners verleiten soll. Unmittelbar nach der des Trojaners verleiten soll. Unmittelbar nach der Ausführung werden diese dann aktiv und Ausführung werden diese dann aktiv und formatieren z.B. die Festplatte. Eine spezielle Art formatieren z.B. die Festplatte. Eine spezielle Art eines Trojaners ist ein Dropper, der Viren "droppt", eines Trojaners ist ein Dropper, der Viren "droppt", d.h. in das Computersystem einpflanzt. d.h. in das Computersystem einpflanzt. H


Logische BombeLogische Bombe

► oder kurz Bombe. Dieser Schädlingstyp ist oder kurz Bombe. Dieser Schädlingstyp ist eine Abart der Trojanischen Pferde. Es eine Abart der Trojanischen Pferde. Es handelt sich hierbei um Programmteile, die handelt sich hierbei um Programmteile, die in nützliche Programme eingebettet sind in nützliche Programme eingebettet sind und aus einem Auslöser (Trigger) und einer und aus einem Auslöser (Trigger) und einer Schadensroutine (Payload) bestehen. Die Schadensroutine (Payload) bestehen. Die Schadensroutine wird dabei im Normalfall Schadensroutine wird dabei im Normalfall nicht aufgerufen. Erst bei Erreichen der nicht aufgerufen. Erst bei Erreichen der Trigger-Bedingung "explodiert" die Bombe Trigger-Bedingung "explodiert" die Bombe und verrichtet ihr zerstörerisches Werk, d.h. und verrichtet ihr zerstörerisches Werk, d.h. die Schadensroutine wird aufgerufen. die Schadensroutine wird aufgerufen.

H


Applikations-/Makroviren Applikations-/Makroviren

► gehören zu einer neueren Generation von gehören zu einer neueren Generation von Computerviren, den Dokumentviren. Sie sind in der Computerviren, den Dokumentviren. Sie sind in der Makrosprache einer Applikation (z.B. WinWord, Makrosprache einer Applikation (z.B. WinWord, Excel, Access, AmiPro, WordPerfect, StarOffice) Excel, Access, AmiPro, WordPerfect, StarOffice) geschrieben und können sich (mit Ausnahmen) geschrieben und können sich (mit Ausnahmen) auch nur dann verbreiten, wenn die entsprechende auch nur dann verbreiten, wenn die entsprechende Applikation aktiv ist. Die Verbreitung erfolgt im Applikation aktiv ist. Die Verbreitung erfolgt im Normalfall über die Dokumente der Applikation. Normalfall über die Dokumente der Applikation. Diese Viren können unter Umständen auch Diese Viren können unter Umständen auch plattformübergreifend "arbeiten", nämlich dann, plattformübergreifend "arbeiten", nämlich dann, wenn der entsprechende Dokumenttyp im gleichen wenn der entsprechende Dokumenttyp im gleichen Format auf anderen Plattformen verwendet wird. Format auf anderen Plattformen verwendet wird. Als Beispiel seien hier MS Word Makroviren Als Beispiel seien hier MS Word Makroviren genannt, die sich sowohl auf Windows-PC's wie genannt, die sich sowohl auf Windows-PC's wie auch auf dem Apple MacIntosh verbreiten können. auch auf dem Apple MacIntosh verbreiten können. H


Virusarten 1Virusarten 1

►Speicherresidente VirenSpeicherresidente Viren ►Nicht residente VirenNicht residente Viren ►Stealth-VirenStealth-Viren ►Polymorphe VirenPolymorphe Viren ►Direct-Action-VirenDirect-Action-Viren ►Slow VirenSlow Viren ►DateivirenDateiviren


Virusarten 2Virusarten 2

►BootvirenBootviren ►Companion-VirenCompanion-Viren ►Tunnelnde VirenTunnelnde Viren ►DropperDropper ►Active-X-VirenActive-X-Viren ►VB-Script-VirenVB-Script-Viren ►Java VirenJava Viren


Mögliche SchädenMögliche Schäden

► Störungen beim Bildaufbau und Veränderung der Störungen beim Bildaufbau und Veränderung der Bildschirmausgaben. Bildschirmausgaben.

► Eigene Bildschirmausgaben, die nur durch bestimmte Eigene Bildschirmausgaben, die nur durch bestimmte Aktionen wieder rückgängig gemacht werden können. Aktionen wieder rückgängig gemacht werden können.

► Veränderung von Tastatureingaben. Veränderung von Tastatureingaben. ► Komplette Systemabstürze. Komplette Systemabstürze. ► Löschen von einzelnen Daten und Programmen. Löschen von einzelnen Daten und Programmen. ► Formatieren von Festplatten und Disketten und damit Formatieren von Festplatten und Disketten und damit

sofortige Vernichtung aller Daten eines Systems. sofortige Vernichtung aller Daten eines Systems. ► Schleichende Datenzerstörung bzw. sehr langsame Schleichende Datenzerstörung bzw. sehr langsame

Veränderung der Daten auf dem System. Veränderung der Daten auf dem System. ► Löschen von Systeminformationen (CMOS-Setup). Löschen von Systeminformationen (CMOS-Setup). ► Überschreiben bzw. Verändern des BIOS in Flash-Überschreiben bzw. Verändern des BIOS in Flash-

ROMS ROMS H


Symptome bei Virenbefall 1Symptome bei Virenbefall 1

► Programme benötigen plötzlich deutlich länger, bis Programme benötigen plötzlich deutlich länger, bis sie vollständig geladen sind. sie vollständig geladen sind.

► Die Dateigröße eines Programms verändert sich. Die Dateigröße eines Programms verändert sich. ► Der freie Platz auf der Festplatte wird schnell sehr Der freie Platz auf der Festplatte wird schnell sehr

klein. klein. ► CHKDSK.EXE zeigt unter DOS keine freien 655360 CHKDSK.EXE zeigt unter DOS keine freien 655360

Bytes mehr an. Bytes mehr an. ► Die Dateien haben seltsame oder unrealistische Die Dateien haben seltsame oder unrealistische

Datums-/Zeitangaben. Datums-/Zeitangaben. ► Windows gibt 32-Bit Zugriffsfehler aus. Windows gibt 32-Bit Zugriffsfehler aus. ► Die Festplatte zeigt ohne Ihr Zutun häufige Die Festplatte zeigt ohne Ihr Zutun häufige

Aktivitäten. Aktivitäten. ► Nach dem Booten von Diskette kann auf die Nach dem Booten von Diskette kann auf die

Festplatte nicht mehr zugegriffen werden. Festplatte nicht mehr zugegriffen werden. H


Symptome bei Virenbefall 2Symptome bei Virenbefall 2

► Es erscheinen neue, unbekannte Dateien auf der Es erscheinen neue, unbekannte Dateien auf der Festplatte. Festplatte.

► Dateien haben merkwürdige, unbekannte Namen. Dateien haben merkwürdige, unbekannte Namen. ► Aus dem Lautsprecher kommt bei jedem Aus dem Lautsprecher kommt bei jedem

Tastendruck ein seltsames Geräusch (Klick). Tastendruck ein seltsames Geräusch (Klick). ► Die Bildschirmausgaben verändern sich ohne Ihr Die Bildschirmausgaben verändern sich ohne Ihr

Zutun. Zutun. ► Der Computer verliert seine Einstellungen im Der Computer verliert seine Einstellungen im

CMOS-RAM, obwohl Akku oder Batterie o.k. sind. CMOS-RAM, obwohl Akku oder Batterie o.k. sind. ► Unter Windows 95 ist der Kompatibilitätsmodus Unter Windows 95 ist der Kompatibilitätsmodus

aktiviert. aktiviert. ► Dokumente zeigen häufig Rechtschreibfehler Dokumente zeigen häufig Rechtschreibfehler

bzw. werden verändert bzw. werden verändert H


Mehr InfosMehr Infos► http://http://agn-www.informatik.uni-hamburg.deagn-www.informatik.uni-hamburg.de//vtcvtc// - VTC Uni - VTC Uni

Hamburg Hamburg ► ftp://ftp.informatik.uni-hamburg.de/pub/virus/texts/ - VTC ftp://ftp.informatik.uni-hamburg.de/pub/virus/texts/ - VTC

Uni Hamburg Uni Hamburg ► http://www.hitchhikers.net/av.shtml (engl.) http://www.hitchhikers.net/av.shtml (engl.) ► http://csrc.ncsl.nist.gov/virus (engl.) http://csrc.ncsl.nist.gov/virus (engl.) ► http://www.nc5.infi.net/~wtnewton/vinfo/master.html http://www.nc5.infi.net/~wtnewton/vinfo/master.html

(engl.) (engl.) ► http://www.virusbtn.com - Virus Bulletin Home Page http://www.virusbtn.com - Virus Bulletin Home Page

(engl.) (engl.) ► http://pages.prodigy.com/virushelp/ - Henri Delger's Home http://pages.prodigy.com/virushelp/ - Henri Delger's Home

Page (engl.) Page (engl.) ► http://www.cknow.com/ - Virus Tutorial by Tom Simondi http://www.cknow.com/ - Virus Tutorial by Tom Simondi

(engl.) (engl.) ► http://www.claws-and-paws.com/virus/index.shtml (engl.) http://www.claws-and-paws.com/virus/index.shtml (engl.) ► http://www.kumite.com/myths/ - Bob Rosenberger's http://www.kumite.com/myths/ - Bob Rosenberger's

Computer Virus Myths Page Computer Virus Myths Page ► ftp://ftp.uni-paderborn.de/aminet/util/virus/ - Antivirus ftp://ftp.uni-paderborn.de/aminet/util/virus/ - Antivirus

InfosInfos

H


'In The Wild' - Die 10 'In The Wild' - Die 10 häufigsten Viren:häufigsten Viren:

►Virusname Low Virusname Low HighHigh


Virus konkret – Virus konkret – W32/Sobig.f@MM

► A new variant of W32/Sobig, W32/Sobig.f@MM is a High Risk A new variant of W32/Sobig, W32/Sobig.f@MM is a High Risk mass-mailing worm. It arrives as an email attachment with mass-mailing worm. It arrives as an email attachment with a .pif or .scr extension. When run, it infects the host a .pif or .scr extension. When run, it infects the host computer, then emails itself (using its own SMTP engine) to computer, then emails itself (using its own SMTP engine) to harvested email addresses from the victim's machine. harvested email addresses from the victim's machine.

► In addition, when it propagates, the worm "spoofs" the "from: In addition, when it propagates, the worm "spoofs" the "from: field", using one of the harvested email addresses. So field", using one of the harvested email addresses. So exercise care when opening emails with attachments. An exercise care when opening emails with attachments. An infected email can come from addresses you recognize.infected email can come from addresses you recognize.

► Because it sends so many emails, a worm like Sobig also saps Because it sends so many emails, a worm like Sobig also saps bandwidth and slows network performance. Worse, it can also bandwidth and slows network performance. Worse, it can also open up a user's computer port, making it vulnerable to open up a user's computer port, making it vulnerable to hackers, who can plant dangerous Trojans. These malicious hackers, who can plant dangerous Trojans. These malicious programs often let unauthorized users remotely take over a programs often let unauthorized users remotely take over a system, steal personal information or use the infected PC to system, steal personal information or use the infected PC to send spam.send spam.

A



►Virus Profile (von McAfee)Virus Profile (von McAfee) Virus InformationName:W32/Sobig.f@MMVirus InformationName:W32/Sobig.f@MM Risk AssessmentRisk Assessment

►Home Users:Home Users: HighHigh►Corporate Users:Corporate Users: MediumMedium

Date Discovered:Date Discovered: 8/18/20038/18/2003 Date Added:Date Added: 8/18/20038/18/2003 Origin:Origin: UnknownUnknown Length:Length: approx 72,568 Bytesapprox 72,568 Bytes Type:Type: VirusVirus SubType:SubType: Internet WormInternet Worm

A



► Virus Characteristics (von McAfee)Virus Characteristics (von McAfee) This detection is for a new variant of W32/Sobig. In common with This detection is for a new variant of W32/Sobig. In common with

previous variants, the worm is written in MSVC, and bears the previous variants, the worm is written in MSVC, and bears the following characteristics:following characteristics:► propagates via email, constructing outgoing messages with its own propagates via email, constructing outgoing messages with its own

SMTP engine SMTP engine ► propagates over network shares (not confirmed during testing) propagates over network shares (not confirmed during testing)

Note:Note: The worm carries garbage data appended to end of file, so The worm carries garbage data appended to end of file, so exact filesize and file checksum may vary.exact filesize and file checksum may vary.

InstallationInstallation ► The worm copies itself onto the victim machine as WINPPR32.EXE The worm copies itself onto the victim machine as WINPPR32.EXE

into %Windir%, for example:into %Windir%, for example: C:\WINNT\WINPPR32.EXE C:\WINNT\WINPPR32.EXE

► A configuration file is also dropped to %Windir%:A configuration file is also dropped to %Windir%: C:\WINNT\WINSTT32.DAT C:\WINNT\WINSTT32.DAT

► The following Registry keys are added to hook system startup:The following Registry keys are added to hook system startup: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

RunRun"TrayX" = %Windir%\WINPPR32.EXE /sinc"TrayX" = %Windir%\WINPPR32.EXE /sinc

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"TrayX" = %Windir%\WINPPR32.EXE /sinc "TrayX" = %Windir%\WINPPR32.EXE /sinc A



► The worm mails itself to email addresses harvested The worm mails itself to email addresses harvested from the victim machine, using its own SMTP from the victim machine, using its own SMTP engine to construct outgoing messages. Target engine to construct outgoing messages. Target email addresses are harvested from files with the email addresses are harvested from files with the following extensions:following extensions: DBX DBX HLP HLP MHT MHT WAB WAB EML EML TXT TXT HTM HTM HTML HTML

A



► Betreff:Betreff: Your details Your details Thank you! Thank you! Re: Thank you! Re: Thank you! Re: Details Re: Details Re: Re: My details Re: Re: My details Re: Approved Re: Approved Re: Your application Re: Your application Re: Wicked Re: Wicked

screensaver screensaver Re: That movie Re: That movie Re: That movie Re: That movie

► Anhang:Anhang: your_document.pif your_document.pif document_all.pif document_all.pif thank_you.pif thank_you.pif your_details.pif your_details.pif details.pif details.pif document_9446.pif document_9446.pif application.pif application.pif wicked_scr.scr wicked_scr.scr movie0045.pif movie0045.pif

A



►Nachrichtentext:Nachrichtentext: See the attached file for details See the attached file for details Please see the attached file for details Please see the attached file for details

►Der Wurm kopiert sich in infizierten Der Wurm kopiert sich in infizierten Rechnern selbst als die Datei: Rechnern selbst als die Datei: C:\C:\WINNT\WINPPR32.EXEWINNT\WINPPR32.EXE



►The attachment must be run manually The attachment must be run manually to infect the local system. to infect the local system. Additionally, messages sent by the Additionally, messages sent by the virus contain the following fields (note, virus contain the following fields (note, these are commonly found in valid these are commonly found in valid email messages):email messages): X-MailScanner: Found to be clean X-MailScanner: Found to be clean X-Mailer: Microsoft Outlook Express X-Mailer: Microsoft Outlook Express

6.00.2600.0000 6.00.2600.0000

A



► The worm contains a list of The worm contains a list of IP addresses for remote IP addresses for remote NTP servers, to which it NTP servers, to which it sends NTP packets sends NTP packets (destination UDP port 123). (destination UDP port 123).

► 200.68.60.246 200.68.60.246 ► 62.119.40.98 62.119.40.98 ► 150.254.183.15 150.254.183.15 ► 132.181.12.13 132.181.12.13 ► 193.79.237.14 193.79.237.14 ► 131.188.3.222 131.188.3.222 ► 131.188.3.220 131.188.3.220 ► 193.5.216.14 193.5.216.14 ► 193.67.79.202 193.67.79.202 ► 133.100.11.8 133.100.11.8

► 193.204.114.232 193.204.114.232 ► 138.96.64.10 138.96.64.10 ► chronos.cru.fr chronos.cru.fr ► 212.242.86.186 212.242.86.186 ► 128.233.3.101 128.233.3.101 ► 142.3.100.2 142.3.100.2 ► 200.19.119.69 200.19.119.69 ► 137.92.140.80 137.92.140.80 ► 129.132.2.21 129.132.2.21 ► The worm obtains the UTC The worm obtains the UTC

time from one of these time from one of these servers which is used by the servers which is used by the worm to determine when to worm to determine when to attempt to download remote attempt to download remote file(s).file(s).

A



►Self-TerminationSelf-Termination

In common with previous W32/Sobig In common with previous W32/Sobig variants, this variant contains a date variants, this variant contains a date triggered self-termination routine. If triggered self-termination routine. If the date is September 10th 2003 or the date is September 10th 2003 or later, the worm will no longer later, the worm will no longer propagate.propagate.

A



► The worm is capable of retrieving The worm is capable of retrieving file(s) from a remote server - the file(s) from a remote server - the specific URL of which is controlled specific URL of which is controlled by the author, and is issued in by the author, and is issued in response to data sent from response to data sent from infected machines.infected machines.

► At a specific time (as determined At a specific time (as determined via NTP), the worm sends data via NTP), the worm sends data from infected machines to a from infected machines to a number of remote systems number of remote systems on UDP port 8998:on UDP port 8998:

► 12.158.102.205 12.158.102.205 ► 12.232.104.221 12.232.104.221 ► 218.147.164.29 218.147.164.29 ► 24.197.143.132 24.197.143.132 ► 24.202.91.43 24.202.91.43 ► 24.206.75.137 24.206.75.137 ► 24.210.182.156 24.210.182.156 ► 24.33.66.38 24.33.66.38 ► 61.38.187.59 61.38.187.59

► 63.250.82.87 63.250.82.87 ► 65.177.240.194 65.177.240.194 ► 65.92.186.145 65.92.186.145 ► 65.92.80.218 65.92.80.218 ► 65.93.81.59 65.93.81.59 ► 65.95.193.138 65.95.193.138 ► 66.131.207.81 66.131.207.81 ► 67.73.21.6 67.73.21.6 ► 67.9.241.67 67.9.241.67 ► 68.38.159.161 68.38.159.161 ► 68.50.208.96 68.50.208.96 ► The specific time condition for The specific time condition for

this event is between 19:00 - this event is between 19:00 - 22:00 (UTC) on a Friday or 22:00 (UTC) on a Friday or Sunday. These IP addresses are Sunday. These IP addresses are in the process of trying to be in the process of trying to be shutdown.shutdown.

A


SchutzSchutz►Virenscanner (Nur ein Produkt Virenscanner (Nur ein Produkt

installieren!)installieren!) AntiVir PEAntiVir PE Symantec AV 200xSymantec AV 200x McAfee AnitivirusMcAfee Anitivirus

►FirewallFirewall In Windows XP „eingebaut“In Windows XP „eingebaut“ ZonealarmZonealarm Symantec Personal FirewallSymantec Personal Firewall

►Regelmäßige System-UpdatesRegelmäßige System-Updates windowsupdate.microsoft.comwindowsupdate.microsoft.com


Scriptviren und WürmerScriptviren und Würmer

► Diese Viren sind extrem einfach zu Diese Viren sind extrem einfach zu programmieren und verbreiten sich - programmieren und verbreiten sich - entsprechende Techniken vorausgesetzt - entsprechende Techniken vorausgesetzt - innerhalb weniger Stunden per Email um den innerhalb weniger Stunden per Email um den ganzen Erdball. Da durch einfaches Ändern ganzen Erdball. Da durch einfaches Ändern einiger Textzeilen ein "neuer" Virus erzeugt einiger Textzeilen ein "neuer" Virus erzeugt werden kann, tauchen auch immer wieder werden kann, tauchen auch immer wieder leicht veränderte Ableger auf, die vielen leicht veränderte Ableger auf, die vielen Antivirenprogrammen Probleme bereiten. Antivirenprogrammen Probleme bereiten. Allein von VBS/Loveletter sind über hundert Allein von VBS/Loveletter sind über hundert Varianten bekannt. Varianten bekannt.

H


ScriptvirenScriptviren

►Der Großteil dieser Viren ist einer einzigen Der Großteil dieser Viren ist einer einzigen Script-Sprache zuzuordnen: Visual Basic Script. Script-Sprache zuzuordnen: Visual Basic Script.

►Die Script-Sprachen sind teilweise so mächtig Die Script-Sprachen sind teilweise so mächtig (VBS), dass damit fast alle Funktionen eines (VBS), dass damit fast alle Funktionen eines Betriebssystems aufgerufen und ausgeführt Betriebssystems aufgerufen und ausgeführt werden können. Unter anderem lassen sich werden können. Unter anderem lassen sich damit Applikationen steuern, Emails versenden, damit Applikationen steuern, Emails versenden, "richtige" Programme ausführen etc. Dieses "richtige" Programme ausführen etc. Dieses große Funktionsspektrum öffnet - trotz große Funktionsspektrum öffnet - trotz sporadischer Sicherheitsvorkehrungen der sporadischer Sicherheitsvorkehrungen der Hersteller - den Viren Tür und Tor zum lokalen Hersteller - den Viren Tür und Tor zum lokalen Computersystem Computersystem

H



► Scriptviren und -würmer benutzen eine dieser Scriptviren und -würmer benutzen eine dieser Script-Sprachen, um sich selbst in andere, Script-Sprachen, um sich selbst in andere, neue Scripte einzufügen oder sich selber durch neue Scripte einzufügen oder sich selber durch den Aufruf von Betriebssystemfunktionen zu den Aufruf von Betriebssystemfunktionen zu verbreiten. Häufig geschieht dies per Email verbreiten. Häufig geschieht dies per Email oder durch den Austausch von Dateien oder durch den Austausch von Dateien (Dokumenten). (Dokumenten).

► Es gibt aber auch andere Verbreitungswege: Es gibt aber auch andere Verbreitungswege: Einige Scriptwürmer für das Chatprogramm Einige Scriptwürmer für das Chatprogramm mIRC z.B. verschicken sich selber per DCC an mIRC z.B. verschicken sich selber per DCC an andere Benutzer. Wird das Script dann andere Benutzer. Wird das Script dann vielleicht an einer "falschen" Stelle gespeichert vielleicht an einer "falschen" Stelle gespeichert (z.B. im mIRC-Verzeichnis), wird der Wurm bei (z.B. im mIRC-Verzeichnis), wird der Wurm bei jedem Start des Programms aktiv und kann jedem Start des Programms aktiv und kann sich wiederum weiter verschicken.sich wiederum weiter verschicken. H



►Oftmals wird noch eine Schadensfunktion, Oftmals wird noch eine Schadensfunktion, der sog. Payload (engl.: Nutzlast), der sog. Payload (engl.: Nutzlast), eingebaut. Dieser Teil des Virus oder eingebaut. Dieser Teil des Virus oder Wurms wird durch ein bestimmtes Ereignis Wurms wird durch ein bestimmtes Ereignis (z.B. Datum/Uhrzeit, n-te Generation des (z.B. Datum/Uhrzeit, n-te Generation des Virus, Tastendruck, etc.) ausgelöst. Diese Virus, Tastendruck, etc.) ausgelöst. Diese Schadensfunktion kann dann alles Schadensfunktion kann dann alles anstellen: von einer einfachen anstellen: von einer einfachen Bildschirmmeldung über das Formatieren Bildschirmmeldung über das Formatieren der Festplatten bis hin zum Start externer der Festplatten bis hin zum Start externer EXE-Viren ist alles möglich. EXE-Viren ist alles möglich.

H


Beispiele für ScriptvirenBeispiele für Scriptviren

► VBS.LoveLetter VBS.LoveLetter ► VBS.Newlove VBS.Newlove ► VBS.FreeLink VBS.FreeLink ► VBS.Monopoly VBS.Monopoly ► CS.Gala CS.Gala ►HTML.Internal HTML.Internal ►HTML.NoWorm HTML.NoWorm ► Script.Inf Script.Inf ►WinScript.AVM WinScript.AVM ►WinScript.777 WinScript.777 ►WinScript.Rabbit WinScript.Rabbit

H


GegenmaßnahmenGegenmaßnahmen

►SensibilisierungSensibilisierung►Regeln für Firewall/Content-Filter Regeln für Firewall/Content-Filter

aufsetzen aufsetzen ►Verwenden Sie andere Email Clients Verwenden Sie andere Email Clients ►Einsatz einer guten Antivirensoftware Einsatz einer guten Antivirensoftware ► Internet-Sicherheitseinstellungen Internet-Sicherheitseinstellungen

maximieren maximieren ►Aktuelle Sicherheitspatches aufspielen. Aktuelle Sicherheitspatches aufspielen.

H


ZielZiel

Documents

Viren, Würmer und Trojaner