Andreas Janssen: Viren, Hacker, Firewalls œ

Transcription

Andreas Janssen: Viren, Hacker, Firewalls œ
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
2
Hinweise zum Lesen dieser PDF-Datei
Bildqualität
Wir versuchen die Dateigröße zu reduzieren, um die Downloadzeit zu verkürzen. Daher ist die Bildqualität in dieser Download-Datei nicht in allen
Fällen optimal. Im Druck tritt dieses Problem nicht auf.
Acrobat Reader: Wie komme ich klar?
F5/F6 öffnet/schließt die Ansicht Lesezeichen
Strg+F sucht
Im Menü Ansicht stellst du ein, wie die Datei angezeigt wird
STRG+0 = Ganze Seite STRG+1 = Originalgröße STRG+2 = Fensterbreite
Im selben Menü kannst du folgendes einstellen: Einzelne Seite, Fortlaufend oder Fortlaufend - Doppelseiten ... Probiere es aus, um die
Unterschiede zu sehen.
Navigation
Pfeil Links/Rechts: eine Seite vor/zurück
Alt+ Pfeil Links/Rechts: Wie im Browser: Vorwärts/Zurück
Strg++ vergrößert und Strg+– verkleinert
Bestellung und Vertrieb für den Buchhandel
KnowWare-Vertrieb, Postfach 3920, D-49029 Osnabrück
Tel.: +49 (0)541 33145-20 Fax: +49 (0)541 33145-33
bestellung@knowware.de
www.knowware.de
Autoren gesucht
Der KnowWare-Verlag sucht ständig neue Autoren.
dass dir unter den Fingern brennt? - ein Thema,
ten leicht verständlich erklären kannst?
Schicke uns einfach ein paar Beispielseiten und
haltsverzeichnis an folgende Adresse:
lektorat@knowware.de
Wir werden uns deinen Vorschlag ansehen und dir
lich eine Antwort senden.
Hast du ein Thema,
das du anderen Leuein vorläufiges In-
so schnell wie mög-
www.knowware.de
© KnowWare.de
KnowWare
3
Inhaltsverzeichnis
Dialer ................................................................... 47
Vorwort ..............................................................4
Viren, Würmer und Trojaner – eine
Unterscheidung ................................................5
Was sind Dialer?....................................................... 47
Wo werden Dialer eingesetzt?.................................. 48
Wie funktionieren Webdialer?................................... 48
Beispiel für einen Dialer............................................ 48
Und die unseriösen Anbieter? .................................. 48
Wie unterscheide ich seriöse und unseriöse
Anbieter? .................................................................. 48
Weitere Tricks........................................................... 49
Was stellen unseriöse Dialer noch an? .................... 49
Schutz vor 0190/0900-Dialern .................................. 50
Was tun, wenn es mich erwischt hat? ...................... 51
Viren ........................................................................... 5
Würmer ....................................................................... 7
Trojaner ...................................................................... 7
Hoaxes ....................................................................... 8
Spyware...................................................................... 9
Wissenswertes über Viren.............................10
Verbreitung ............................................................... 10
Schäden ................................................................... 10
Geschichte der Viren ................................................ 10
Berühmte Viren......................................................... 13
Wie kommt ein Virus auf meinen Rechner? 16
Welche Dateien sind betroffen? ............................... 16
ICQ ...................................................................... 52
Tauschbörsen...................................................... 52
Wie mache ich mein Betriebssystem
sicher? .............................................................53
Ports ......................................................................... 53
Windows Scripting Host............................................ 53
Datei- und Druckerfreigabe....................................... 54
Dateiendungen anzeigen.......................................... 55
Was tue ich gegen Viren?..............................18
Wie schütze ich mich vor Viren? .............................. 18
Sind E-Mails sicher? ......................................20
Goldene Regeln für E-Mails...........................21
Wie mache ich meinen Rechner sicher?......22
Virenscanner........................................................22
Hacker und das Internet – ein kleiner
Exkurs..............................................................26
Hacker, Cracker, Tool-Kids..................................28
Gefahren für deine Privatsphäre...................56
Spyware.................................................................... 56
Web Bugs ................................................................. 56
Zusammenfassung.........................................57
War’s das jetzt? ..............................................58
Rechtliche Situation .......................................59
Die Gesetze .............................................................. 59
Was heißt das genau?.............................................. 59
Und wenn ich das Opfer bin? ................................... 60
Techniken des Hackens.................................29
Phishing.................................................................... 30
Wie arbeitet ein Hacker? .......................................... 30
Wie mache ich ein Passwort sicher?........................ 31
Adressen im WWW.........................................60
Firewalls.................................................................... 60
Browser..................................................................... 60
Sicherheitsinfo .......................................................... 60
Wer ist der Angreifer?............................................... 60
Andere KnowWare-Hefte zum Thema...................... 60
Wichtige Infoseiten ................................................... 60
Firewalls ..........................................................33
Wie kann ich mir das vorstellen?.............................. 33
Protokolle.................................................................. 33
Ports ......................................................................... 34
… und wozu das Ganze? ......................................... 34
Firewalls I – die Hardware-Lösung .....................35
Proxy-System ........................................................... 35
Firewalls II – die Software-Lösung ......................35
Welche Firewall sollte ich benutzen?...........36
ZoneAlarm ................................................................ 36
Installation ................................................................ 36
Einstellungen ............................................................ 37
Der Umgang mit Firewalls ........................................ 40
Weitere Gefahren rund ums Internet ............41
Browser................................................................41
Wo ändere ich die Einstellungen .............................. 41
Sicherheitszonen ...................................................... 42
Sicherheitsstufen ...................................................... 42
Erweiterte Einstellungen........................................... 44
Exkurs: Digitale Zertifikate........................................ 44
Sicherung der Privatsphäre ...................................... 44
Firefox..................................................................45
Einstellungen ............................................................ 46
Dokumentieren ....................................................47
Glossar ............................................................61
120 interessante KnowWare-Titel!
KnowWare bringt jeden Monat
mehrere Computerhefte auf den
Markt, von A wie Access über H wie Homepage
und P wie Programmierung bis W wie Word
oder X wie XML. Bitte blättere zum Bestellschein auf Seite 71 oder schaue dich auf
www.knowware.de um! Hier eine Auswahl:
•
•
•
•
•
Sicherheit im Internet
Diagramme mit Excel 2003/2
Word für Profis
Office 2003 für Einsteiger
Linux für Poweruser
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
4
Vorwort
Vorwort
Als ich „Viren, Hacker, Firewalls – Sicherheit am
PC“ im Jahr 2002 schrieb, ahnte ich zweierlei
nicht:
• Ich wusste nicht, wie groß die Nachfrage nach
einem solchen Heft sein würde und
• ich hatte keine Ahnung, was noch auf uns
User zukommen sollte.
2002 – die Angriffe auf das Internet fingen gerade erst an. Melissa und „I love you“ hatten uns
gezeigt, wie verwundbar ein internationales Netz
ist. Die Kommerzialisierung des Internets machte
es für viele „Hacker“ interessant, ihre Fähigkeiten und Kenntnisse zu erproben und zu beweisen.
Aus den Hobby-Hackern der Anfangszeit wurden
in der Zwischenzeit kriminelle Vereinigungen,
die Rechner von Unternehmen nach geheimen Informationen durchsuchen, Server von Firmen angreifen und als Geiseln nehmen. Im Zusammenhang mit den Kriegen in Afghanistan und Irak
kam es zu vermehrten Angriffen gegen amerikanische Websites. Zusätzlich wurden neue Wege
gefunden, das Internet für kriminelle Zwecke zu
missbrauchen.
Wer die damalige Situation mit der heutigen vergleicht, wird feststellen, dass sich vieles geändert
hat. Nicht nur die Zahl und der Umfang von Angriffen im Internet sind angewachsen – heute
schlagen Regierungen immer heftiger zurück.
Die Strafen bei Vergehen im Zusammenhang mit
dem Internet wurden wesentlich verschärft –
ebenso die Überwachung. Anonymität im Internet gibt es nicht mehr.
Und dennoch: In vielen Firmen, und noch mehr
bei Privatleuten, ist Sicherheit offenbar nicht so
wichtig. Viele Angriffe durch Viren, Trojaner,
Würmer und Hacker könnten durch ein vernünftiges Maß an Vorsorge verhindert werden. Leider
wird dies immer mehr vernachlässigt.
Um so wichtiger ist es, informiert zu sein. Und
genau da soll dieses Heft ansetzen: Es soll dir das
Wissen vermitteln, welche Gefahren in der weltweiten Vernetzung durch das Internet auftauchen
können. Dazu musst du kein Admin sein, kein
Computercrack – ich will versuchen, das Ganze
möglichst einfach zu erklären, sodass auch totale
Anfänger etwas mit diesem Heft anfangen können. Es geht um einen sicheren Umgang mit Dateien, E-Mails und dem Internet – nicht mehr und
nicht weniger.
Schwerpunkt dieses Heftes sind natürlich Viren,
Trojaner und Würmer – was das ist, erfährst du
im ersten Teil des Heftes. Darüber hinaus werde
ich aber auch auf die Leute hinter diesen Schadensprogrammen eingehen und aufzeigen, wie
man sich gegen ihre Angriffe wehrt. Und natürlich geht es auch darum, wie du deinen Rechner
sicherer machen kannst, um dich vor Viren und
Hackern zu schützen.
Der Autor
Mittlerweile bin ich 40 Jahre alt und arbeite in
einer kleinen Softwarefirma. Noch immer ist
Computersicherheit eines der interessantesten
Themen für mich. Seit ich 1995 selber von einem
enormen Datenverlust durch einen Virus betroffen war, beschäftige ich mich mit diesem Thema.
Wie alle KnowWare-Autoren stehe ich für Rückfragen per E-Mail zur Verfügung. Fragen kannst
du an janssenandreas@yahoo.de stellen.
Viel Spaß beim Lesen dieses Hefts und wenig
Ärger mit Viren, Hackern und Firewalls wünscht
Andreas
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
Viren, Würmer und Trojaner – eine Unterscheidung
5
Viren, Würmer und Trojaner – eine Unterscheidung
Im alltäglichen Umgang werden alle Programme,
die einen Schaden auf Rechnern hervorrufen, als
„Viren“ bezeichnet – auch ich halte mich in diesem Heft an diese Gepflogenheit. Tatsächlich
handelt es sich aber um unterschiedliche „Schadprogramme“. Wir unterscheiden zwischen Viren,
Würmern, Trojanern und Hoaxes. Worin aber unterscheiden sich diese?
Viren
Ein Virus ist in erster Linie ein Programm. Als
Virus wird es bezeichnet, weil es in der Lage ist,
sich selber zu vermehren, sobald es gestartet
wird. In der Regel verursachen Viren einen enormen Schaden auf dem betroffenen System.
Es gibt verschiedene Arten von Viren: Programmviren, Bootsektorviren, Filesystem-Viren, BiosViren, Makroviren, polymorphe Viren, StealthViren, Hybrid-Viren, Logische Bomben, Antiviren-Viren, Retroviren und Scriptviren.
Programmviren
Bei Programm- oder Dateiviren handelt es sich
um Viren, die sich an ein Programm anhängen.
Wird das Programm gestartet, dann wird auch das
Virus aktiviert – es hängt sich an andere Programme an, löscht Dateien, macht den Rechner
instabil, führt irgendeine Aktion auf dem Rechner
aus oder verändert Systemeinstellungen.
Im Februar 2000 tauchten Versionen des beliebten Spieles „Moorhuhn“ auf, die mit Viren verseucht waren. Durch die weite Verbreitung des
Spieles wurden diese Viren eine ernste Gefahr.
Die Anwender wussten in der Regel nicht, dass
ihr Spiel ein Virus enthielt, zumal ein Zusammenhang zwischen dem Spiel und den Viren
nicht sofort ersichtlich war.
Einige Beispiele:
Parity-Boot
Systemabstürze
Form
harmlos
Tremor
Abstürze, Festplatten-Probleme
Ripper
Speichern falscher Bytes
Tequila
harmlos
Michelangelo
formatiert Festplatte am 6. März
AntiCMOS
ändert BIOS-Einstellungen
Delwin 1759
verhindert Windows-Start
Bootsektorviren
Jetzt geht es kurz in die Technik – keine Angst,
das ist noch alles recht harmlos.
Jeder Datenträger, ob Festplatte, Diskette oder
CD, enthält einen so genannten BOOTSEKTOR
(Master-Boot-Record, MBR). Hier finden sich
Programmteile, die schon beim Zugriff auf den
Datenträger benötigt werden – in der Regel beim
Systemstart. Der Bootsektor enthält Namen und
Version des Betriebssystems, Größe und Aufteilung der Festplatte und das Ladeprogramm
Ein Virus, das sich hier einnistet, wird also schon
beim Hochfahren des PCs aktiv – es ist nicht an
irgendein Programm gekoppelt und ist in der Regel auch nicht als Datei zu erkennen.
Bootsektorviren werden am häufigsten durch infizierte Disketten und CD-ROMs verbreitet. Früher waren sie die meistverbreitete Virenart – heute haben sie diesen zweifelhaften Ruf an die
Makroviren verloren.
Filesystem-Viren
Für Nutzer von DOS, Win95, Win98 und WinNT
ist dies ein sehr gefährlicher Virustyp. Diese Systeme arbeiten mit einer so genannten FILE ALLOCATION TABLE oder FAT. Hier ist vermerkt, in
welchem Sektor und Cluster welche Datei liegt.
Ist diese FAT beschädigt, dann findet das Betriebssystem die benötigten Programme nicht.
Und diese Viren beschädigen eben diese FAT.
Bios-Viren
Lange Zeit galt es als sicher, dass Viren die
Hardware nicht angreifen können. Dies stimmt
auch heute noch im Wesentlichen – allerdings
können sie indirekt die Hardware unbrauchbar
machen, wenn sie das BIOS angreifen.
Das BIOS ist die erste Software, die nach dem
Einschalten eines Computers gestartet wird. Es
ist also ein wesentlicher Bestandteil eines Computers. Ohne das BIOS ist ein Computer absolut
unbrauchbar.
Das BIOS ist auf einem speziellen Chip auf dem
Motherboard gespeichert, wo diese Daten auch
erhalten bleiben, wenn die Stromzufuhr unterbrochen ist. Damit wird gewährleistet, dass das BIOS
jederzeit zur Verfügung steht.
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
6
Viren, Würmer und Trojaner – eine Unterscheidung
Auf vielen Computern kann man mittlerweile das
BIOS mit Hilfe von Software des BIOS-Herstellers aktualisieren. Eine neue Gruppe von Viren,
zu denen unter anderem W95CIH.HTM gehört,
können es jedoch so beschädigen, dass der PC
nicht mehr booten kann. Kann der BIOS-Chip
dann nicht ersetzt werden – einige BIOS-Chips
sind verlötet –, muss sogar das Motherboard des
Computers ausgetauscht werden. Das wird teuer!
Makroviren
… gibt es, seit es eine eigene Makrosprache (z. B.
Visual Basic for Applications) gibt. Diese Makrosprache ist eigentlich eine geniale Sache – dient
sie doch dazu, Abläufe über so genannte Makros
zu automatisieren. Die Kehrseite der Medaille:
Leider können so auch schädliche Zugriffe automatisiert werden.
Makroviren sind in der Regel mit Dateien verbunden, etwa mit *.DOC-Dateien. Am beliebtesten
sind dabei Word- und Excel-Dateien, da diese
Programme am weitesten verbreitet sind. Das
heißt jedoch nicht, dass nur diese Programme betroffen sind! In der Regel kann jede Datei, die
Makros enthalten kann, auch Viren enthalten.
Makroviren sind die meistverbreiteten Viren. Da
sie einfach zu programmieren sind, ist es auch für
Anfänger kein Problem, selber ein solches Virus
zu schreiben.
Polymorphe oder Crypto-Viren
… sind Viren, die ihren Code zur Aktivierung der
Schadensfähigkeit über einen speziellen Algorithmus entschlüsseln. Bei ihrer Verbreitung ändern sie diesen Code jedesmal leicht. So soll erreicht werden, dass die gängigen AntivirenProgramme diese Viren nicht so schnell erkennen. Wegen dieser Änderung werden sie auch als
CRYPTO-VIREN bezeichnet.
Polymorphe Viren sind die kommende Gefahr für
alle Rechnersysteme. Da ihre Programmierung
jedoch nicht ganz einfach ist, spielen sie zur Zeit
noch keine so große Rolle
Stealth-Viren
… sind die Tarnkappenbomber unter den Viren.
Sie versuchen die gängige Antiviren-Software zu
täuschen, indem sie sich unter anderem Namen in
Verzeichnisse eintragen. Dabei können sie auch
bestehende Namen übernehmen und nur die Dateinamenserweiterung ändern.
Hier wird eine Eigenheit der Microsoft-Betriebssysteme genutzt – also mal wieder ein kurzer
Ausflug in die Technik:
Anhand der Dateinamenserweiterung erkennt das
Betriebssystem, mit welchem Programm eine Datei geöffnet werden soll. So kommt es dazu, dass
dein Rechner, wenn du auf eine *.HLP-Datei im
Explorer klickst, sofort die Windows-Hilfe hochfährt, um damit diese Datei zu öffnen.
Einige Dateinamenserweiterungen bezeichnen
ausführbare Dateien. Die wesentlichen sind
*.COM, *.EXE und *.BAT (es gibt noch weitere,
aber dazu später mehr). Die gängigen Betriebssysteme (DOS, Windows) geben bei sonstiger
Namensgleichheit den *.COM-Dateien den Vorzug. Hast du also eine Datei NOTEPAD.COM und
eine Datei NOTEPAD.EXE auf deinem Rechner und
gibst über START|AUSFÜHREN nur NOTEPAD ein,
wird dein Rechner die Datei NOTEPAD.COM ausführen.
Es gibt primitive Stealth-Viren, die sich diese Eigenart zu nutze machen, indem sie sich nach einer schon vorhandenen Datei benennen. Dem Virenscanner versuchen sie vorzugaukeln, es handele sich bei ihnen um die „echte“ Datei.
Hybrid-Viren
… sind eine Mischung aus Bootsektorvirus und
Programmvirus. Auf diese Weise versuchen sie,
gleich doppelt zuzuschlagen: Zum einen infizieren sie den Bootsektor, zum anderen greifen sie
auf Programmdateien zu.
Logische Bomben
… sind die „Schläfer“ unter den Viren. Sie werden nicht sofort aktiv, wenn ein Programm ausgeführt wird, sondern erst dann, wenn ein bestimmtes Ereignis eintritt – z. B. ein bestimmter Programmabruf oder ein Datum, wie beim berüchtigten HONECKER-Virus, der am 13. August Erich
Honecker auf den Bildschirm brachte, die Hymne
der DDR abspielte und dann Dateien löschte.
Antiviren-Viren
… sind Programme, die ursprünglich geschrieben
wurden, um Viren zu bekämpfen. In diesem Sinne wirken sie selber als Viren. Von dieser Technik
ist man mittlerweile abgekommen – einzelne Exemplare dieser Spezies kursieren auch heute
noch. Sie richten normalerweise jedoch keinen
Schaden an.
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
Viren, Würmer und Trojaner – eine Unterscheidung
Retroviren
… sind Viren, die darauf abzielen, AntivirenProgramme und Firewalls anzugreifen und außer
Gefecht zu setzen. Zum Teil sollen so Türen für
andere Viren geöffnet werden, zum Teil enthalten
diese Viren selber Schadensroutinen. Ihre Verbreitung ist zur Zeit noch minimal, sie können jedoch
eine wirkliche Gefahr werden.
Script-Viren
… werden in WordBasic-, VisualBasic-, JavaScript-Module und Java-Script einprogrammiert,
die dann in Office-Dokumente und HTML-Webseiten eingebettet werden können. Sie verbreiten
sich durch ein Windows-eigenes Tool – die Windows Script-Engine. Es besteht eine enge Verwandtschaft zu den Makroviren.
Würmer
… sind eigenständige Programme, die sich ausschließlich über Netzwerke verbreiten. Solch ein
Netzwerk ist z. B. das Internet.
Würmer dringen über bekannte Schwachstellen
etwa des Mailprogramms (meistens Outlook), des
Browsers (hier vor allem der Internet Explorer,
aber auch andere Browser) und des Betriebssystems ein, analysieren das Netzwerk, um neue Ziele zu finden, und verbreiten sich dann.
Würmer sind zur Zeit die verbreitetste Gefahr.
Das hängt weniger damit zusammen, dass die
Microsoft-Programme so schlecht sind – was sie
nämlich nicht sind –, sondern eher mit der einheitlichen Programmstruktur des Internets: Die
meisten User benutzen Software von Microsoft,
daher ist ein Virus, das diese Programme benutzt,
natürlich am effektivsten.
Das anfänglich erwähnte „I Love You“-„Virus“
war also kein Virus, sondern ein Wurm. Er kam
als Attachment einer E-Mail an. Klickte man den
Anhang an, suchte er als erstes nach dem Adressbuch von Outlook. Dann versendete er sich als
Mail vom Empfänger an alle dort gespeicherten
Adressen – mit dem Erfolg, dass dann andere User eine Mail mit diesem Attachment erhielten,
darauf klickten usw. Der Schaden entstand durch
die enorme Anzahl von Mails, die versendet wurden. Wer schon seit Jahren im Internet und per EMail aktiv ist, der hat schnell ein paar hundert
Adressen zusammen.
Stell dir vor, jeder Bürger Deutschlands versendet
mal eben 50 Postkarten – da brechen die Briefträ-
7
ger schnell zusammen. Genauso brachen die
Mail-Server in vielen großen Firmen zusammen,
die Rechner, die für den E-Mail-Verkehr zuständig sind – der Verkehr war einfach zu hoch.
Trojaner
– auch „trojanische Pferde“ genannt – verhalten
sich wie ihr berühmtes Vorbild: Du erhältst –
meist aus dem Internet – ein Programm, das du
schon immer haben wolltest – und weißt nicht,
dass sich hier ein Tool verbirgt, das den Zugriff
auf deinen Rechner ermöglicht.
Trojaner arbeiten auf zweierlei Weise: Entweder
durchsuchen sie den betroffenen Rechner auf interessante Informationen hin (z. B. KreditkartenDaten, Zugangscode z. B. für den Internetprovider etc.) und senden diese Informationen bei der
nächsten Internetverbindung an den jeweiligen
Empfänger oder erlauben den Zugriff von außen.
Dabei geben sie dem Zugreifenden die völlige
Kontrolle über den jeweiligen Rechner – dieser
kann Daten lesen, löschen, ändern, die Tastatur
blockieren …
Die bekanntesten Trojaner sind BACK ORIFICE
(Hintertür), NETBUS und SUBSEVEN. Ursprünglich waren viele dieser Programme als Fernwartungs-Systeme gedacht, sodass man zur Wartung
von außen auf einen Rechner zugreifen kann, um
Schäden zu beseitigen. Aber: Alles, was gut ist,
kann auch zum Bösen missbraucht werden.
Trojaner sind derzeit mit die größte Gefahr für
deinen Rechner und das Internet. Sie erlauben einem Angreifer, deinen Rechner z. B. für Mailbombing-Angriffe, für Spam oder andere Zwecke
zu benutzen – wie z. B. im folgenden Artikel.
Autor eines Webcam-Trojaners verhaftet
Nach Angaben von Sophos, Hersteller von Antiviren-Software, hat die spanische Polizei den
mutmaßlichen Autor eines Trojaners festgenommen, der Systeme von Anwendern ausspionierte
und über angeschlossene Webcams heimlich
Aufnahmen machte. Angeblich soll der Schädling, den der 37-jährige Programmierer über Filesharing-Netze verbreitete, schon seit 2003 kursieren und seinerzeit von keinem Virenscanner
erkannt worden sein. Aufgefallen war einem Anwender allerdings das merkwürdige Verhalten
seines PCs, und er meldete dies den Behörden.
Seit Juli 2004 untersuchen die Ermittlungsbehörden in diesem Fall.
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
8
Viren, Würmer und Trojaner – eine Unterscheidung
Bislang ist weder die Identität des Autors – außer
den Initialen J.A.S. – noch der Name des Trojaners bekannt. Allerdings soll der Schädling weltweit schon mehrere tausend PCs befallen haben –
er tarnt sich als Musik- oder Bilddatei. Auf infizierten Systemen protokolliert er Tastatureingaben und sendet Informationen über Online-Banking ins Netz. J.A.S. soll bei seiner Festnahme
gerade Anwender über deren Webcams beobachtet haben. Graham Cluley, Senior Technology
Consultant bei Sophos, weist darauf hin, dass aus
Platzgründen die PCs vieler Heimanwender im
Schlafzimmer stehen. Beim Verdacht, dass der
PC befallen sein könnte, solle man die WebcamVerbindung lieber abziehen, rät Cluley.
Quelle: http://www.heise.de
Eine Abart der Trojaner sind die KEYLOGGER.
Diese Programme zeichnen die Tastatureingaben
auf dem Rechner auf und geben sie an den jeweiligen Empfänger weiter. So können mit Leichtigkeit Texte, die du schreibst, von anderen gelesen,
Passwörter ausgeschnüffelt werden usw.
Der Einsatz von Keyloggern ist zum Politikum
geworden, seit das FBI den Einsatz des Programms MAGIC LANTERN erwägt, um so Kriminelle zu überwachen und eventuelle Terroranschläge im Voraus zu vereiteln. Hier wurde versucht, die Hersteller von Antiviren-Software dazu
zu bringen, dass ihre Programme das Spionagetool MAGIC LANTERN ignorieren. Die wichtigsten Hersteller von Antiviren-Software haben das
bereits abgelehnt.
Hoaxes
… sind eigentlich nichts weiter als das elektronische Äquivalent zu Kettenbriefen. Das reicht von
einer virtuellen Schneeballschlacht, die ja noch
recht spaßig ist, bis hin zu Warnungen wie der
hier vor dem Virus BAD TIMES:
Viruswarnung
Wenn Sie eine E-Mail mit dem Titel "Bad Times" erhalten, löschen Sie diese sofort, ohne
sie zu lesen. Es handelt sich hierbei um den
bislang gefährlichsten e-Mail-Virus. Er wird Ihre Festplatte formatieren. Und nicht nur die,
sondern alle Disketten, die auch nur in der Nähe Ihres PCs liegen. Er wird das Thermostat
Ihres Kühlschranks so einstellen, dass Ihre
Eisvorräte schmelzen und die Milch sauer wird.
Er wird die Magnetstreifen auf Ihren Kreditkarten entmagnetisieren, die Geheimnummer Ihrer EC-Karte umprogrammieren, die Spurlage
Ihres Videorecorders verstellen und Subraumschwingungen dazu verwenden, jede CD, die
Sie sich anhören, zu zerkratzen. Er wird Ihrem
Ex-Freund/der Ex-Freundin Ihre neue Telefonnummer mitteilen. Er wird Frostschutzmittel in
Ihr Aquarium schütten. Er wird all Ihr Bier austrinken und Ihre schmutzigen Socken auf dem
Wohnzimmertisch platzieren, wenn Sie Besuch
bekommen. Er wird Ihre Autoschlüssel verstecken, wenn Sie verschlafen haben und Ihr Autoradio stören, damit Sie im Stau nur statisches
Rauschen hören. Er wird Ihr Shampoo mit
Zahnpasta und Ihre Zahnpasta mit Schuhcreme vertauschen, während er sich mit Ihrem
Freund/Ihrer Freundin hinter Ihrem Rücken
trifft und die gemeinsame Nacht im Hotel auf
Ihre Kreditkarte bucht. Bad Times verursacht
juckende Hautrötungen. Er wird den Toilettendeckel oben lassen und den Fön gefährlich
nahe an eine gefüllte Badewanne platzieren.
Er ist hinterhältig und subtil. Er ist gefährlich
und schrecklich. Und außerdem ist er lila.
Soweit ist das noch spaßig. Leider sehen solche
Hoaxes jedoch manchmal auch sehr echt aus:
Hi Leute,
ich wende mich an Euch, weil ich ziemlich verzweifelt bin. Ich hoffe, Ihr könnt mir und meiner
Freundin helfen, und lest diesen Brief! Das
Problem ist, dass meine Freundin an Leukämie
erkrankt ist. Es hat sich herausgestellt, dass
Sie nur noch wenige Wochen zu Leben hat.
Aus diesem Grund seit Ihr meine letzte Chance Ihr zu helfen. Wir benötigen dringend eine/n
Spender/in mit der Blutgruppe "AB negativ"!!!!
der/die bereit wären, ggf. Knochenmark zu
Spenden. Dies ist für Euch nur ein kleiner ärztlicher Eingriff, kann aber meiner Freundin zu
Leben verhelfen. Wenn jemand diese Blutgruppe hat, möchte er/sie sich doch bitte mit
mir in Verbindung setzen. Alles weitere besprechen wir dann. Sendet bitte diesen Brief
an alle, die Ihr kennt!!! Fragt in Eurem
Bekanntenkreis nach !!!!!
Ich danke Euch für Eure Hilfe!!!
Gruß Toshiba65@aol.com
(Quelle: http://www.tu-berlin.de/www/software/hoax/
knochenmarkspendetxt.shtml)
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
Viren, Würmer und Trojaner – eine Unterscheidung
An dieser und ähnlichen Meldungen ist in der
Regel kein wahres Wort!
Ein Hoax sieht eher harmlos aus, da er keine
Schadensroutine enthält. Dennoch hat er mehrere
negative Folgen:
• Zum einen sorgt er für Unsicherheit und Panik, obwohl für Panik nun wirklich kein
Grund vorhanden ist.
• Zum Zweiten sorgt er für vermehrten Mailverkehr und kann unter Umständen zu Problemen
auf dem Mail-Server führen.
In unserer Firma gab es erst vor kurzem einen
solchen Fall: Durch eine Mail mit der berühmten „Virtuellen Schneeballschlacht“ kam
es dazu, dass innerhalb kürzester Zeit mehrere
tausend E-Mails versendet wurden.
• Zum Dritten führen solche E-Mails dazu, dass
echte Virenwarnungen nicht mehr ernst genommen werden.
• Schließlich aber untergraben diese Meldungen
einen der wichtigsten Bestandteile des Internets – das Vertrauen zueinander. Die Leukämie-Mail spielt mit den Ängsten und mit der
Hilfsbereitschaft der Menschen untereinander.
Eine eigentlich gute Sache (Hilfe per Internet)
wird dadurch faktisch unmöglich gemacht.
Einen Hoax erkennst du an folgenden Eigenarten:
• Der „Betreff“ (Betreffzeile) ist häufig „Viren
Warnung“ oder „Virus-Warning“, aber eben
auch Hilfe-Anfragen oder ähnliches.
• Der Empfänger soll die Mail an alle seine Bekannten weiterverbreiten.
• Bei Virenwarnungen wird die Wirkung als äußerst gefährlich dargestellt. Zum Teil werden
Dinge behauptet, die ein Virus nicht kann, wie
z. B. Hardware beschädigen, externe Disketten
formatieren usw.
• Die Mail kommt in der Regel angeblich von
einer sehr bekannten Firma, einer Hilfsorganisation oder Ähnlichem. Als Quellen erscheinen oft Microsoft, IBM oder AOL, manchmal
auch Hersteller von Antiviren-Software, Krankenhäuser etc.
• Als Datum der Warnung oder der Anfrage
wird „letzten Freitag“, „gestern“ oder „heute
morgen“ angegeben – ohne ein spezifisches
Datum. Wenn solch ein Kettenbrief also schon
9
länger unterwegs ist (in der Regel tauchen
solche Briefe über Monate immer wieder auf),
dann ist eine solche Angabe natürlich effektiver.
• Die Warnung wird mehrfach wiederholt,
durch Großbuchstaben dringlich gemacht und
immer wieder betont.
Oops, da habe ich oben den Begriff „Kettenbrief“
erwähnt. Und genau so wie diese Kettenbriefe
funktionieren die Hoaxes auch – nach dem
Schneeballprinzip: Ich sende den Kettenbrief an
10 Leute, von denen jeder wieder im Durchschnitt 10 Leute anmailt …
Spyware
Eine weitere Variante von Trojanern und Viren ist
die so genannte Spyware. Sie kommt oft mit seriösen Programmen – selbst mit Betriebssystemen. So enthält Windows XP das SpywareProgramm „Alexa“.
Spyware soll z. B. Informationen über das Surfverhalten eines Nutzers an den Inhaber der Spyware weitergeben, über eingesetzte Programme
oder – in Extremfällen – sogar über gespeicherte
Dateien.
Nichts und niemand ist wirklich sicher, wie der
folgende Bericht belegt:
Mailinglisten-Server des BSI verschickte
Wurm
Durch eine Panne wurde über eine CERTMailingliste des Bundesamtes für Sicherheit in
der Informationstechnik (BSI) am gestrigen Montagabend der Mass-Mailing-Wurm Sober.L verschickt. Nach Angaben von BSI-Sprecher Michael Dickopf gelangte der Wurm während Wartungsarbeiten ab 18:30 Uhr auf den Server. Dieser sei eigentlich nur für den Versand von Mails
konfiguriert und nicht für den Empfang von außen. Während eines kurzen Zeitraumes nahm er
aber doch Mails von außen entgegen, die mit dem
kurz zuvor aufgetauchten Sober.L infiziert waren.
Da zu diesem Zeitpunkt für die auf dem Server
mit der Mailingliste eingesetzten Virenscanner
von Symantec und Trend Micro noch keine Signaturen verfügbar waren, blieb der Schädling unerkannt.
Quelle: http://www.heise.de/newsticker/meldung/57217
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
10
Wissenswertes über Viren
Wissenswertes über Viren
Verbreitung
Welche Virenart ist wie weit verbreitet? Das ist
eine häufige Frage, die in meinen Schulungen gestellt wird. Hier eine Statistik vom BSI (Bundesamt für Sicherheit in der Informationstechnologie) für das 1. Halbjahr 2001:
Würmer
Makro-Viren
Bootsektor-Viren:
Trojaner
Programmviren
71%
13%
11%
3%
2%
Mittlerweile liegen die Wurm- und Trojanerangriffe bei ca. 95% aller Angriffe. Von Viren,
Würmern und Trojanern gibt es bislang über
100.000 Varianten, davon jedoch viele nur im
Labor.
Schäden
Welche Schäden werden durch Viren verursacht?
2004 war das bislang schlimmste Virenjahr in der
Geschichte der Computer – sowohl was die Zahl
der Viren anging als auch die verursachten Schäden und neue Technologien. Im Schnitt tauchten
bis zu zehn neue Viren pro Tag auf.
Insgesamt sind heute rund 100.000 Viren bekannt. Davon existieren die meisten allerdings
nur in den Labors der Antiviren-SoftwareHersteller, doch ca. 10% sind in freier Wildbahn
aufgetaucht.
Allein für europäische Unternehmen belief sich
der Gesamtschaden durch Viren, Würmer und
Trojaner im Jahr 2003 auf 22 Milliarden Euro
(PC Magazin News). Und die Angriffe steigern
sich von Jahr zu Jahr:
400 Prozent mehr Schäden durch Viren
20.09.2004
Laut neuen Studien sind die Probleme durch Viren und Würmer im ersten Halbjahr 2004 um 400
Prozent gestiegen; in der Schweiz ist jeder zweite
User betroffen.
Laut einem heute veröffentlichten Report von
Symantec hatten rund 40 Prozent der weltgrößten
Konzerne im ersten Halbjahr 2004 IT-Sicherheitsprobleme mit Viren und Würmern. Dies bedeutet eine Zunahme von über 400 Prozent gegenüber dem Vorjahreszeitraum. Hauptziel der
Angreifer waren E-Commerce-Systeme
mit einem Anteil von 16 Prozent. Großes Angriffspotential (82 Prozent) bieten die Sicherheitslücken von Web-Applikationen, welche von
den Viren und Würmern sehr einfach auszunutzen seien. Experten zufolge könnten sich neue
Typen der Parasiten zudem vermehrt gegen das
freie Betriebssystem Linux richten.
Auch in der Schweiz verursachen Viren und
Würmer nach wie vor große Schäden. Nach einer
Studie von Bluewin gab jeder zweite Befragte Internet-User an, in den letzten sechs Monaten
durch Viren Schaden erlitten zu haben. Der Anteil der Softwareschäden lag bei 62 Prozent, derjenige der Datenverluste bei 37 Prozent. Als
sinnvollste Schutzmaßnahmen betrachten 91 Prozent die Nutzung von Anti-Viren-Programmen
und die Bereitschaft, Spam-Filter und Firewall zu
installieren.
Quelle: Infoseek.ch
Geschichte der Viren
Für die, die es interessiert, folgt hier eine kurze
Geschichte der Viren.
1949
• Der Mathematiker John von Neumann stellt
theoretische Überlegungen über selbständige
Reproduktion von Computerprogrammen an.
50er Jahre
• Bell Labs entwickeln ein experimentelles
Spiel, in dem die Spieler gegenseitig ihre
Computer mit Programmen angreifen, um auf
dem gegnerischen Rechner einen Schaden zu
verursachen.
1975
• John Brunner, Autor von Science-FictionRomanen, entwickelt die Idee von einem
„Wurm“, der sich in Netzwerken verbreitet.
1982
• Apple-Computerviren werden in „freier Wildbahn“ gefunden.
• Jon Hepps und John Shock von Xerox PARC
generieren für den internen Gebrauch Würmer
für verteilte Rechenoperationen. Diese geraten
außer Kontrolle, und viele Systeme müssen
heruntergefahren werden.
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
Wissenswertes über Viren
1983
• Fred Cohen definiert den Begriff „Computervirus“ formal.
1986
• Das erste PC-Virus wird geschrieben. BRAIN
stammt aus Pakistan. Es ist ein Boot-Virus
und benutzt Tarntechniken.
• Das erste Datei-Virus wird entdeckt. Es heißt
VIRDEM und stammt aus Deutschland.
1987
• BRAIN wird in freier Wildbahn gesichtet, an
der Universität von Delaware, USA.
• Das LEHIGH-Virus wird in den USA entdeckt.
Es ist das erste Virus, das die COMMAND.COM
infiziert.
• Der Wurm CHRISTMAS EXEC verbreitet
sich auf IBM VM/CMS-Systemen. Obwohl
dieser Wurm auf menschliche Mithilfe angewiesen ist, erzwingt er das Abschalten vieler
Rechner.
• Das JERUSALEM-Virus ist das erste speicherresidente Virus.
• Das erste Bootsektorvirus, das STONED-Virus,
wird von einem Studenten der Universität von
Wellington geschrieben.
1988
• Das erste Antivirus-Virus wird geschrieben.
Es erkennt und entfernt das BRAIN-Virus.
• November: Robert Morris, 22, startet den INTERNET WORM. Er befällt 6000 Computer, das
sind 10% aller Computer im Internet. Morris
wird zu drei Jahren auf Bewährung, 400 Stunden gemeinnütziger Arbeit und 10.000 US$
Geldstrafe verurteilt.
• CASCADE wird in Deutschland entdeckt. Es
wird zum ersten selbstverschlüsselnden Virus.
1989
• Das Virus „Dark Avenger.1800“ entsteht. Es
ist das erste schnell infizierende Virus.
• Aus Haifa, Israel, wird die Entdeckung des
Virus FRODO berichtet. FRODO ist das erste
Stealth-Virus, das Dateien infiziert.
1990
• In den USA finden sich polymorphe Viren,
darunter V2PX, VIRUS-90 und VIRUS-101.
• Das Virus FLIP wird das erste polymorphe Virus, das sich erfolgreich verbreitet.
11
1991
• März: Entdeckung des Michelangelo-Virus.
• März: Publizierung des Virus-ConstructionSets, das den Zusammenbau eigener, neuer
Viren ermöglicht.
• Oktober: Entdeckung des ersten Cluster-Virus,
DIRII.
1992
• Januar: „Dark Avenger“ veröffentlicht seine
MUTATION ENGINE“ (MTE), die es möglich
macht, einfache Viren in polymorphe zu verwandeln.
• März: MICHELANGELO wird am 6. März aktiv,
weltweit vorausgesagte Schäden bleiben jedoch aus.
• WINVIR 1.4, das erste Windows-Virus, wird
entdeckt.
• Das erste Virus, das SYS-Dateien infiziert, erscheint auf der Bildfläche und bekommt den
Namen INVOLUNTARY.
1993
• Juli: Die Antivirus-Industrie veröffentlicht ihre erste Wild-List.
• Das Virus SATANBUG infiziert PCs in Washington, DC. Die Behörden können den Autor „Little Loc“ nach San Diego zurückverfolgen. Da er noch minderjährig ist, wird von
Strafmaßnahmen abgesehen.
1994
• Ein Virenprogrammierer benutzt das Internet,
um sein Virus zu verbreiten. Das Virus KAOS4
wird platziert in der Newsgroup
ALT.BINARIES.PICTURES.EROTICA.
• Das SMEG.PARAGON-Virus verbreitet sich in
England. Scotland Yard stellt den Virusautor
Christopher Pile (auch als „Black Baron“ bekannt). Er wird wegen Computerkriminalität
in elf Fällen angeklagt.
1995
• August: CONCEPT, das erste Makro-Virus, infiziert Microsoft-Word-Dokumente. Der im
Virus enthaltene Text lautet: „That’s enough
to prove my point.“
• November: „Black Baron“ bekennt sich
schuldig und wird zu 18 Monaten Haft verurteilt, gemäß Paragraph 3 des britischen Computermissbrauchgesetzes von 1990.
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
12
Wissenswertes über Viren
1996
• Das BOZA-Virus taucht auf, das erste Virus für
Windows 95
• Das erste Excel-Virus entsteht und wird in Alaska und Afrika gefunden. XM.LAROUX infiziert Tabellen von Microsoft Excel.
1997
• MIRC-Script-Würmer treten in Erscheinung.
Die Virusprogrammierer schreiben mIRCScripte, die sich automatisch wurmartig unter
den Benutzern des Internet Relay Chats
verbreiten
1998
• Das erste Excel-Formel-Virus namens
XF.PAIX.A wird entdeckt.
• NETBUS wird veröffentlicht. Es ermöglicht
Hackern einen Fernzugriff auf infizierte
Rechner.
• Das erste Virus für Microsoft Access wird gefunden.
• W95.CIH wird in Taiwan entdeckt.
• AOL-Trojaner tauchen auf.
• JAVAAPP.STRANGEBREW ist das erste JavaVirus, das .CLASS-Dateien infiziert. Es wurde
nie in freier Wildbahn gesichtet, beweist aber
die bestehende Möglichkeit.
• „Cult of the Dead Cow Back“ schreibt ein getarntes Fernsteuerungsprogramm, das die Ausführung von Programmen sowie die Überwachung eines Computers ermöglicht. –
VBS.RABBIT ist das erste von vielen ScriptViren, die den Windows Scripting Host nutzen.
• HTML.PREPEND wird als Nachweis einer
existierenden Möglichkeit geschrieben.
• HTML.PREPEND benutzt VBScript, um
HTML-Dateien zu infizieren.
• Das erste Virus für Microsoft PowerPoint
wird entdeckt.
1999
• W97M.MELISSA.A verbreitet sich weltweit.
Es infiziert Word-Dokumente und versendet
sich per E-Mail an bis zu 50 Adressen im Outlook-Adressbuch, was zum Zusammenbruch
vieler Mailserver führt.
• NETBUS 2 PRO wird als kommerzielles Programm veröffentlicht. Der Autor beginnt für
sein Produkt Geld zu verlangen, um Antivi-
•
•
•
•
rus-Hersteller davon abzuhalten, es als Virus
zu melden. Die Hersteller fügen trotzdem eine
Erkennungsroutine ein, da es sich um ein bösartiges Programm handelt.
W95.CIH aktiviert sich. Aus Asien werden erhebliche Schäden gemeldet. Aus den USA,
Europa, dem Nahen Osten und Afrika kommen nur sporadische Meldungen.
Der Wurm EXPLOREZIP wird entdeckt, der
sich mit der Geschwindigkeit von MELISSA
ausbreitet. Er enthält eine Schadensroutine,
die Dateien mit den Endungen DOC, XLS,
PPT, C, CPP und ASM zerstört.
BACK.ORIFICE 2000 wird veröffentlicht. Diese Version des Fernsteuerungsprogramms
funktioniert auch unter Windows NT.
Ein Virus wird nur durch Lesen von E-Mails
aktiv. VBS.BUBBLEBOY wird am 8. November
an Antivirus-Forscher gesendet.
2000
• Die Jahr-2000-Katastrophe bleibt aus –
Y2K-Viren bleiben weitgehend wirkungslos.
• VBS.BUBBLEBOY erscheint in freier Bahn.
• Mit einer Geschwindigkeit, die nur mit der
von MELISSA vergleichbar ist, verbreitet sich
der VBS.LOVELETTER weltweit. Der ersten
ILOVEYOU-Virus-Variante folgen unzählige
weitere. Viele Mailserver brechen zusammen.
• Das erste Virus, das mit SHS-Dateien (Shell
Scrap) arbeitet, wird entdeckt
• W32.POKEY.WORM heißt der jüngste Wurm,
der bereits Ende Juni registriert wurde. Ähnlich wie ILOVEYOU erscheint er als E-MailAnhang und nutzt Outlook Express, um sich
zu verbreiten.
• September: Der erste Trojaner für PDAs (Personal Digital Assistant) wird entdeckt.
PALM.LIBERTY.A verbreitet sich nicht von
selbst, sondern gelangt beim Synchronisationsprozess mit dem PC auf den Kleincomputer
und setzt ihn in seinen Ursprungszustand.
• November: NAVIDAD.EXE taucht pünktlich
zur Weihnachtszeit auft. Am 3. November
zum ersten Mal entdeckt, verbreitet sich NAVIDAD zwar nicht sehr schnell, ist aber dennoch gefährlich. Er nutzt Outlook oder Express, und alle Arten von Windows-Rechnern
können infiziert werden.
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
Wissenswertes über Viren
2001
• 2001 wird weithin als das „Jahr der Viren“
bezeichnet. Die Fachleute von Message-Labs
sprechen von einem Schädling auf 370 normale E-Mails – doppelt so viele wie im Jahr zuvor. Einsamer Spitzenreiter der „Top-Threats“
ist der SIRCAM-Wurm, der bei MessageLabs
537.523-mal registriert wurde, gefolgt von
BADTRANS (258.242), MAGISTR (152.102),
GONER (136.585) und HYBRIS (90.473). Dabei ist interessant, dass die beiden Spitzenreiter jünger als zwei Monate sind.
• Am weitesten verbreitet waren in diesem Jahr
die Würmer.
2002
• Erstmals gab es einen Rückgang in den Schäden durch Computerviren (kein Wunder: 2002
erschien die erste Auflage dieses Heftes ☺).
Dennoch gab es keinen Grund zum Aufatmen.
• Die verbreitetsten Schädlinge in diesem Jahr
waren die Würmer – hier vor allem Bride,
Lentin und Klez.I. Klez.I ist noch heute aktiv.
• Mit Opaserv.L kam ein Wurm zu trauriger Berühmtheit, der sowohl das CMOS des Rechners als auch den Inhalt der Festplatte löschen
kann.
2003
• Bugbear.B war wohl der gefährlichste und am
weitesten verbreitete Virus des Jahres. Er
schaltet Anti-Viren-Software und Firewalls ab
und öffnet eine Hintertür für Hacker.
• Gleichzeitig kam es zu einem Krieg zwischen
zwei verfeindeten Hacker-Gruppen: Zunächst
kam Blaster, ein Virus, der sich immer wieder
modifizierte, dann Nachi, ein Virus, der als
Tool gegen Blaster herauskam, aber selber ein
gefährliches Virus war und den Rechner für
Hacker öffnete.
• Ein trauriger Rekord: SQLSlammer und Sobig.F waren die wohl am schnellsten verbreiteten Viren der Computergeschichte – selbst
„I love you“ verbreitete sich nicht so schnell
wie diese Viren.
2004
• In diesem Jahr steigerte sich die Zahl der Angriffe durch Viren ins Unermessliche. Dabei
kam es zu neuen Angriffen. So kam es vor,
13
dass Rechner sich infizierten, sobald sie das
Internet betraten.
• Gleichzeitig kamen immer neue Varianten von
Viren in Umlauf. Netzky, Sacher, Natzky und
andere Viren kamen teilweise mit mehr als 40
Varianten in Umlauf.
Berühmte Viren
Was wäre ein Heft über Viren, wenn ich nicht
auch auf einige „berühmte“ Viren eingehen würde? Gleichzeitig siehst du daran, welche Gefahren durch Viren drohen und welche Schäden entstehen können.
New Zealand
… tauchte Ende der 80er Jahre in Neuseeland
auf. Es handelt sich hier um ein Bootsektorvirus. Bei einem von acht Bootversuchen von Diskette gibt es die Meldung „Your PC is now stoned“ aus und legt eine Kopie des Bootsektors im
letzten Sektor des „Rootverzeichnisses“ der Festplatte ab. Große Festplatten können dadurch zerstört werden.
Form
… ist bereits seit 1991 unterwegs. Auch heute ist
dieses Virus noch weit verbreitet. Unter Dos und
den älteren Windows-Versionen hat es eigentlich
nur eine Wirkung: Am 18. jeden Monats sorgt es
dafür, dass beim Drücken einer Taste ein Klickton entsteht. Unter WindowsNT konnten Rechner
allerdings nicht mehr richtig booten.
„Form“ ist ein in der Schweiz programmiertes
Bootsektorvirus.
Parity Boot
… war eines der „erfolgreichsten“ Viren der 80er
und frühen 90er Jahre. Noch 1998 war es eines
der häufigsten Viren. In Deutschland wurde es
1994 über eine Heft-CD verteilt.
Parity Boot ist ein Bootsektorvirus. Vermutlich
wurde es in Deutschland programmiert. Beim
Start zeigt es als Fehlermeldung einen „Parity
Check“ und friert den Computer ein. Dadurch
entsteht der Eindruck, es liege ein Problem mit
dem Arbeitsspeicher vor.
Anticmos
… ist – wieder einmal – ein typisches Bootsektorvirus. Zuerst tauchte es 1994 in Hongkong auf,
der Ursprung ist jedoch wahrscheinlich China.
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
14
Wissenswertes über Viren
„Anticmos“ versuchte, Informationen über die
Typenbezeichnung der installierten Diskettenund Festplattenlaufwerke zu löschen. Mitte der
90er Jahre war es regelmäßig unter den Top 10
der Virenschäden.
Concept
… war das erste Makrovirus in freier Wildbahn.
Es tauchte zuerst im August 1995 auf. Peinlich
ist, dass dieses Virus versehentlich mit offizieller
Microsoft-Software ausgeliefert wurde – für eine
weite Verbreitung war so gesorgt. Es war eines
der häufigsten Viren zwischen 1996 und 1998.
CONCEPT hängt an Word. Öffnest du ein infiziertes Dokument, erscheint eine Textmeldung mit
dem Titel „Microsoft Word“ und dem Text „1“.
Jedoch gibt es zahlreiche Varianten.
CIH (Chernobyl)
CIH ist ein Programmvirus, das ich aufgrund
seiner Eigenschaften unter die BIOS-Viren zähle. Es ist das erste Virus, das das BIOS überschreiben konnte. Geschrieben wurde es von
Chen Ing Hau aus Taiwan im Juni 1998. Am 26.
April eines jeden Jahres wird es ausgelöst – es
gibt jedoch auch Varianten, die an anderen 26.
ausgelöst werden.
Durch das Überschreiben des BIOS sorgt das Virus dafür, dass der Rechner nicht mehr booten
kann. Im Extremfall muss die Hauptplatine ausgetauscht werden.
Happy99
… ist das erste bekannte Virus, das sich selbst relativ schnell per E-Mail verbreitet hat. Es handelt
sich hier um ein Programmvirus für die Windows-Versionen ab Windows 95. Das Virus zeigt
auf dem Bildschirm ein Feuerwerk mit der Meldung „Happy New Year 1999“. Gleichzeitig verändert es die Datei WINSOCK32.DLL so, dass jeder
versandten Mail eine zweite mit dem Virus folgt.
Dieses Virus wurde zuerst von einem französischen Virenschreiber bei einer Newsgroup
abgelegt.
Melissa
… ist ebenfalls ein Makrovirus, das sich per
Mail versendet. Es ist das erste Virus, das sich –
im März 1999 – binnen eines Tages auf der ganzen Welt verbreitete und ein enormes Presseecho
hervorrief.
MELISSA schickt eine Nachricht an die ersten
fünfzig Einträge im Microsoft-Outlook-Adressbuch. In der Absenderzeile steht der Name des
Betroffenen. Die Mail scheint ein Dokument zu
enthalten, dessen Inhalt für den Empfänger von
Interesse ist. Öffnet dieser die Mail, so ist auch
sein Rechner betroffen. Sind Tag und Minute
beim Öffnen des Dokuments gleich, so fügt das
Virus Text über das Spiel „Scrabble“ in das Dokument ein.
Ursprünglich wurde auch diesesVirus in einer
Usegroup im Usenet abgelegt.
Kakworm
… ist ein Visual-Basic-Script-Wurm. Er ist das
erste Virus, bei dem Benutzer ihre PCs bereits
beim Lesen einer E-Mail mit einem Virus infizieren können. Voraussetzung dafür ist, dass der Benutzer Outlook oder Outlook-Express mit dem
Internet Explorer 5 verwendet. Das Virus ändert
die Einstellungen von Outlook-Express, sodass
alle versendeten Mails ebenfalls den Virencode
übernehmen. Am Ersten eines jeden Monats um
17.00 Uhr erscheint eine Meldung mit dem Text
„Kagou-Anti _Kro$oft says not today“, und Windows wird geschlossen.
Loveletter
Schließlich das bekannteste, wenn auch nicht gefährlichste Virus: LOVELETTER oder „I Love
You“. Im Mai 2000 wurde es von den Philippinen
aus versendet und legte weltweit die Mailserver
lahm. Auch hier handelt es sich um einen „Visual-Basic-Script-Wurm“. Mittlerweile gibt es unzählige Abarten.
Blaster
Ab dem 11.08.2003 erhielten viele Nutzer des Internets die folgende Fehlermeldung:
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
Wissenswertes über Viren
15
Benutzer erhielten die folgenden Sicherheitsmeldungen:
Anschließend wurde der Rechner heruntergefahren
Hier hatte der Wurm „Blaster“ alias „Lovesan“
zugeschlagen. Blaster attackiert gezielt Windows
NT, 2000, XP und 2003 Rechner. Dabei nutzt er
die so genannte „DCOM RPC“ Schwachstelle
von Windows aus. Diese Schwachstelle wurde
durch das Service-Pack 1 bei Windows XP geschlossen.
Sasser
Seit dem 1. Mai 2004 grassierte „Sasser“. Auch
dieser Wurm nutzt eine Sicherheitslücke in Windows (die LSASS-Schwachstelle) – diesmal das
Fehlen einer Firewall, denn er kam über offene
Ports, ohne dass der User etwas anklicken musste. Betroffen waren Windows 2000, 2003 und XP.
Anschließend wurde – wie schon bei Blaster –
der Rechner heruntergefahren. Das Internet konnte nicht mehr genutzt werden, bis eine Firewall
eingesetzt wurde.
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag
16
Wie kommt ein Virus auf meinen Rechner?
Wie kommt ein Virus auf meinen Rechner?
Im Auftrag des Wissenschaftsministeriums von
NRW wurde ein Programm erstellt, das die
Forschungsaktivitäten an den Lehrstühlen der
Universitäten des Landes Nordrhein-Westfalen
statistisch erfassen sollte. Die Master-Diskette
wurde in der Kopieranstalt ohne Wissen des
Auftraggebers einem Funktionstest unterzogen
– auf einem verseuchten Personalcomputer.
Damit waren sämtliche Disketten (annähernd
2000 Stück) mit dem "1701"-Virus verseucht.
Zum Glück entdeckte ein Anwender das Virus
auf der Diskette frühzeitig, sodass die Rückrufaktion recht erfolgreich war und nur in sehr
wenigen Fällen Schaden entstand.
Ein Computervirus fängst du dir schneller ein als
dir lieb sein kann. Praktisch kannst du jedes Mal,
wenn du neue Dateien auf deinen Rechner lädst,
Gefahr laufen, ein Virus auf die Festplatte zu
bringen. Die häufigsten Übertragungsquellen:
• E-Mail: Heute die häufigste Übertragungsart
von Viren. In der Regel handelt es sich um
Dateianhänge, die unbedacht geöffnet werden,
oder um Links, auf die geklickt wird.
• Disketten: Früher die häufigste Übertragungsart, spielen Disketten heute keine allzu große
Rolle mehr – was allerdings nicht heißt, dass
man sie vernachlässigen kann. Insbesondere
Bootsektorviren werden heute noch häufig
über Disketten verbreitet.
• CD-ROMs: CD-ROMs sind ebenfalls eine
häufige Quelle von Viren. Dabei spielt es
kaum eine Rolle, ob es sich um selbstgebrannte
CD-ROMs von Freunden handelt oder um
Heft-CDs.
Auch kommerzielle Software muss nicht unbedingt sicher sein. Oft werden hier veraltete
Scanner eingesetzt, manchmal auch gar keine.
• Wartungssoftware: Man sollte es nicht für
möglich halten, aber auch die Software von
Wartungsfirmen, denen du deinen Rechner zur
Reparatur anvertraut hattest, kann virenverseucht sein. Das BSI (Bundesamt für Sicherheit in der Informationstechnologie) zählt
diese Quelle mit zu den häufigeren Übertragungswegen.
• Raubkopien: Gerade von namhaften Herstellern werden Raubkopien als wichtigster Verbreitungsweg von Viren bezeichnet. Leider ist
dies nicht unbedingt zutreffend – viele namhafte Hersteller haben da selber ihre Leichen
im Keller, und ihre Reaktionen sind nicht immer vorbildlich: Sie reichen von Verharmlosung („defekte Diskette“ statt „Computervirus“) über recht zögerliche Aufklärung bis
zum versuchten Totschweigen.
• Downloads: Downloads aus dem Internet
sind ebenfalls eine häufige Quelle für Viren.
Gerade einige Musiktauschprogramme waren
berüchtigt dafür, dass hier mehr Viren als Programme kursierten.
• Ungesicherter Rechner: Wie Blaster und
Sasser zeigten, reicht schon ein ungesicherter
Rechner, um den Rechner in Gefahr zu bringen. Insbesondere das Fehlen eines aktuellen
Virenscanners und einer Firewall sowie ein
ungepatchtes (d.h. nicht auf dem neuesten
Stand befindliches) Betriebssystem können
Gefahrenquellen sein.
Wie die Meldung oben schon zeigt, gibt es keine
wirklich sicheren Quellen für virenfreie Software
– weder kommerzielle Anbieter noch den guten
Kumpel von nebenan.
Bei all dem musst du dir im Klaren sein: Mit sehr
wenigen Ausnahmen fängst du ein Virus nicht
dadurch ein, dass du im Internet surfst – Computerviren benötigen deine aktive Mitarbeit. Bei all
den oben genannten Übertragungswegen bist du
es, der aktiv ist – sei es durch Anklicken von EMails, durch Downloads, die installiert werden,
ohne dass du sie zuvor scannst, durch Software,
die ungeprüft auf deinen Rechner kommt.
Welche Dateien sind betroffen?
Bei den Stealth-Viren auf Seite 6 habe ich schon
erklärt, was es mit den Dateinamenserweiterungen auf sich hat. Welche Dateiarten können also
von Viren betroffen sein?
• COM, EXE, SCR, BAT, CMD, PIF, LNK,
HTA, HTM, HTML, VBS, VBE, JS, JSE,
VXD, CHM, EML:
Diese Dateien werden von Windows unmittelbar ausgeführt und können Viren enthalten.
© Andreas Janssen: Viren, Hacker, Firewalls – Probeseiten vom KnowWare-Verlag